区块链技术与个人数据保护规范的内源性冲突及调和路径*——以欧盟GDPR为例

王士博 王海霞,2

(1.中国人民公安大学 北京 100038；
2.福建警察学院 福州 350007)

欧盟《通用数据保护条例》(General Data Protection Regulation，下文简称GDPR)是基于对数据控制者及处理者设定法律义务，实现数据主体的数据权利。但区块链是一种保护个人数据免受中心化权威检视的去中心化技术，以共识机制实现技术性数据自治。因此，新的技术与旧的制度之间龃龉不合，引发了技术逻辑与规范逻辑的冲突。两种数据治理范式之间存在张力，无从发挥数据作为战略资源的效用，无法实现数据主体的数据权利。

从底层规制逻辑来看，不论是GDPR抑或是我国的个人信息保护法律规范，都采取以个人数据集中存储、控制为前提，采用以特定的实体履行法律义务、承担法律责任为中心内容的规制进路。因而在我国规范语境下，区块链技术与个人信息保护规范之间也面临相似的困境，但目前这一问题尚未引起我国相关部门及研究人员的足够关注。鉴于此，研究欧盟及成员国针对区块链与GDPR冲突的应对之策，分析区块链技术与个人数据保护规范冲突的具体归因逻辑及实质，可为完善我国数据保护法律规范，有效实现数据保护目标提供可资借鉴的经验。

学界对区块链与GDPR之间的冲突进行了激烈的讨论，数据保护机构也相应地出台了一系列参考性、指南性意见。通过系统性的文献调研，可以将相关讨论以及应对措施归纳为以下几个方面。

1.1 区块链与GDPR冲突的理论纷争

通过广泛的文献调研发现，目前学界对GDPR和区块链技术之间的紧张关系主要围绕以下两个方面展开讨论：

一是区块链防篡改与GDPR被遗忘权冲突的对策问题，即如何解决数据擦除冲突。学界基于对被遗忘权概念的不同解释，提出了三种技术方案。第一，通过数据的链外存储实现被遗忘权。将所有个人身份信息存储在链下数据库中，通过区块链中的哈希指针进行链接。链下服务提供商根据数据主体的请求擦除链下数据库中的数据，从而打破链上哈希与链下数据的链接关系。这使得区块链上的哈希值无法用于识别目的，数据主体的被遗忘权得以实现[1]。然而，离线数据库与常规的中心数据库相同，需要链下可信任的第三方进行数据存储，无法释放区块链技术本身的优势。第二，使用变色龙哈希函数以擦除数据。变色龙哈希函数允许区块链之间的链接被解锁，如果对块进行了修改，则原始哈希被破坏，而变色龙哈希保持不变，以维持编辑过的块与现有块之间的链接[2]。但变色龙哈希改变了区块链最具价值的防篡改特性，恐有削足适履之弊端[3]。第三，将区块链数据主体的密钥销毁视为数据擦除。将个人数据加密保存在区块链上，同时在数据主体主张擦除时不可访问，销毁解密个人数据的密钥[4]。然而欧盟第29条数据保护工作组(Article 29 Working Party)明确指出，加密必须被视为一种假名化形式，它不会自动匿名化数据。此外，加密技术可能并不能保证在技术发展之后被破解，因此，这种解决方案被认为不符合数据擦除效果[5]。

二是确定区块链中何者为数据控制者问题，即数据控制者角色确定困境。学界普遍认为，在区块链中由谁决定数据处理的目的和手段的问题，要考量不同类型区块链的结构和治理设计[6]。在公有链中，有两种不同的意见。有的学者认为，区块链用户决定“目的”和“手段”，用户有选择不同区块链平台实现目的的自由，用户应被视为数据控制者[7]。记账节点仅验证用户提交的交易，并不干预这些交易的目的，因此记账节点可作为数据处理者[8]。而有的学者则认为矿工是区块链平台的运营商，因为其支持区块链平台，因此有义务遵守GDPR规则[9]。在私有链中，也有两种不同的观点。许可链的平台通常由一个中央实体控制，其不仅控制数据处理的手段，而且在许多情况下还决定数据处理的目的。基于此，有的学者倾向于将该实体视为数据控制者，因为处理的方式和目的基本上由其决定[7]。有的学者则认为，用户应该被视为数据控制者，而中心实体仅充当数据处理者[9]。

可见，学界已经认识到区块链技术与GDPR在概念层面上存在冲突，并尝试从技术路径与法律解释论路径进行调和。但尚未深入探讨区块链与法律冲突的根源，未从两种冲突的具体归因逻辑进行剖析，致使其提出对策的有效性、法律适应性及科学性存疑。因此，有必要深入技术和法理层面探究冲突的实质及具体原因，以提出可行的调和路径。

1.2 欧盟及其成员国应对区块链与GDPR冲突的初步举措

欧盟较早地意识到区块链技术是能够塑造欧洲未来的关键技术之一，且欧盟数据保护机构已经开始关注区块链与GDPR的冲突，逐步出台了一系列文件和专门项目，试图化解这一冲突的潜在风险。通过网络调研，笔者汇总并整理了欧盟及部分成员国近几年发布的一系列指导性意见，详见表1。

表1 欧盟机构及成员国应对区块链与GDPR冲突的文件或项目

GDPR合规性风险限制了欧盟范围内的区块链公司的业务活动，亟需欧盟层面或各成员国出台文件化解冲突，为区块链公司提供规范性指引。但从表1中可以看出，不论是欧盟还是各成员国，尽管都意识到区块链作为新技术与GDPR存在相容性问题，但两者的相关数据保护机构均未出台强制性的法律规范文件，多是参考性和指南性的意见。法律适用的不确定性已经成为欧盟区块链战略目标实现的阻碍因素之一。欧盟及其成员国出台的参考性意见尚不能应对并消解法律适用的不确定性，亟需从欧盟层面对GDPR的统一适用予以明确，防止同一案件被不同成员国的数据保护机构采取不同的处理方式，避免数据保护机构之间的执法冲突[14]。而欲化解这一不确定性，则需探究区块链与GDPR冲突的具体原因与根源。

区块链存储的数据是个人数据，属于GDPR的规制范围。但由于区块链技术架构所具有的去中心化、防篡改特性，区块链上的数据难以被删改。另外，区块链的分布式节点众多，难以确定数据控制者，造成追责困难。这一冲突的归因逻辑需从个人数据的涵摄范围、区块链技术架构、对被遗忘权及数据控制者的法律解释角度考量。

2.1 冲突产生的前提：区块链上的数据是GDPR的规制对象

探讨区块链上数据的法律属性之意义在于，该数据是否具有可识别性，如果该数据是GDPR规定下的匿名化数据，则GDPR无法适用于区块链，自然无讨论的必要。而区块链上的数据因不属于匿名化数据则必然纳入GDPR中个人数据的规制范围，这是两者冲突的交汇点。

2.1.1匿名化数据是GDPR适用的唯一例外

GDPR规定只有匿名化数据才不属于个人数据，匿名化数据的目的是实现不可逆转的身份识别，只有当直接或间接识别个人身份变得不可能时，数据才可被视为匿名。判断数据是否属于匿名化数据有以下几个标准：数据是否仍然有可能指向特定的人；
数据是否仍有可能与附加信息进行链接；
是否可以推断出特定个人的信息；
可链接性受到“合理可能的手段”限制。在Patrick Breyer v. Germany一案中，欧盟法院表示，如果识别数据主体由于需要在时间、成本和人力方面付出不成比例的努力，那么识别的风险在现实中显得微不足道，个人数据将被视为匿名[15]。为了匿名化数据，必须从数据中去除足够的元素。只要数据控制者或任何第三方仍然可以访问原始数据，即使直接标识符已经从提供给第三方的数据集中删除，其仍属于个人数据[16]。但是，如果在原始数据的基础上对数据进行整合与处理，形成统计数据，则其将被视为匿名数据。可见，数据实现匿名化的标准较高，只有在数据无法与个人链接的情况下，才可认定其不属于GDPR下的个人数据。

2.1.2区块链的加密方式无法实现数据匿名化

区块链中含有两层数据，即内容数据与协议数据，内容数据包括特定事务的信息，而协议数据包括交易的上下文信息，即元数据[15]。区块链中的内容数据一般采用数据哈希值上链，针对交易身份的鉴别与数据加密，区块链中使用的密码学技术是公、私钥非对称加密方式。在区块链交易中，每一个节点的公钥与私钥是配对且唯一的，公钥不能被移出链，因为其是技术的典型组件，并且构成内容验证所需的“元数据”的一部分[16]。公钥与哈希值是区块链的两种基本加密技术，公钥结合附加信息可以揭示隐藏在地址账户后面的身份。根据CJEU在Patrick Breyer v. Germany一案中的判决，即使IP地址是动态的，也可被视为个人数据。这种情况与区块链上公钥加密的情况非常相似。此外，欧盟第29条数据保护工作组第05/2014号意见认为，加密和散列是假名化技术。哈希函数反向推导数据原文并非不可能，只是目前技术不可行。即使哈希值不能被逆转，如果已知输入值的范围和哈希函数，也可以重新进行识别[3]。因此，在GDPR下，假名化数据仍被视为私人数据。这意味着在区块链上发布的交易数据和公钥都被标记为假名数据，其与附加信息结合，仍具有可识别性。

2.2 数据擦除冲突形成的技术性归因：链式结构与树状结构的不可逆性

区块链的不可篡改性是其技术架构所天然决定的。区块之间形成的套构式的链条结构以及区块内部数据经哈希计算形成的树状结构，决定了区块链上的数据不可篡改。

2.2.1哈希函数使区块之间形成不可变动的链条结构

区块链分为区块和链两部分，实际上区块链是将传统中心服务器中存储的数据进行分区块打包，再用哈希指针链接的技术架构。区块链中每个区块都可以分为区块头和区块身。区块头中保存区块元数据，区块身则是有序排列的交易或事务数据集(见图1)。

图1 区块链条结构

个人数据一旦添加到区块链中，将永远作为链的一部分，每一个被认证的区块都通过区块头中的哈希与父区块(Parent Block)加密链接在一起，形成了不间断的数据链。区块链上每个节点发现区块链高度小于其他节点时，就会通过共识机制将最新的区块添加到本地区块链上，本地存储了区块链的全部账本[17]。节点作为区块链分布式网络中的一部分，对区块链网络其他节点存储的数据没有控制权，只能控制本地存储的区块链数据，某个节点更改本地存储的区块链无法使其他节点承认更改后的区块链。传统集中式数据库中存储的数据之间都是离散的，可以对某个数据进行查找并删除，而区块链存储的数据具有不可变动的结构性特征，数据之间以及区块之间都通过哈希值链接，无法对其进行更改或删除。

2.2.2默克尔树使区块内数据之间形成不可篡改的树状结构

区块链中使用的哈希算法大多是SHA256算法，其可将任意输入转换为256位二进制字符串。哈希算法具有单向性与防碰撞性，即无法自输出回溯输入的不可逆性，人为制造哈希碰撞也是不可实现的。在区块链场景下其有两方面的功能，一是链接区块。存储于区块头中的前一个区块哈希值指的是父区块所包含所有数据的哈希值，通过嵌套式结构形成链条。二是防止本区块数据被篡改。区块头中的Merkle root是基于Merkle tree算法对区块身交易数据进行哈希运算得到的哈希根(见图2)。与区块间形成的线性链条不同，Merkle tree算法是树状结构。哈希指针使区块之间以及区块内部的数据间形成了“多米诺骨牌”效应，即修改链上的任何一个数据，整个链条的数据都会发生变化。

图2 Merkle tree树状结构

总之，区块链技术下行使GDPR规定的删除权有两个障碍，一是技术本身所具有的特性，区块链是区块经过哈希链接形成的数据链条，且区块内部数据Merkle root存储于区块头，区块链上的数据只能增加，不可以删除。二是分布式结构的障碍。GDPR与区块链之间冲突的本质是数据集中控制模式与分散处理模式之间的冲突，数据分散处理模式导致删除义务分散到各个节点，而公有链的节点众多且匿名，位置无法确定，这造成GDPR规定的删除权在区块链中无法实现。

2.3 数据控制者角色困境形成的功能性归因：区块链共识机制决定数据处理的目的与手段

GDPR中数据控制者是“决定数据处理目的和手段”的实体，其有主观“目的”和客观“手段”两个构成要件。数据控制者承担大部分数据保护义务，并为自己对数据处理者发出的指令承担数据保护责任。因此，确定数据控制者是获得GDPR救济的关键。在区块链中，链上节点处理数据的功能是维持区块链运行，共识机制决定数据处理的目的与手段。而GDPR语境下数据处理的作用是满足数据控制者的商业动机。可见，前者数据处理的作用是基础性的，而后者数据处理的作用是衍生性的。

2.3.1规范视角下公有链对数据保护主体概念的消解

区块链上有开发者、用户和矿工三类不同主体，识别其中谁是数据控制者或处理者是将区块链纳入到法律规则框架的基础。然而，由于区块链上数据行为的不可逆性，以及各节点的平权式分布，不仅无法确定义务主体，且数据主体难以获得法律救济。

a.用户不符合数据控制者的客观构成要件。区块链技术架构所具有的分布式特征，使得区块链并无一个中心化机构进行监管与管理。实际上，区块链技术设计之本意即为去监管化，欲所有节点达成共识，必须向所有节点广播信息内容，以信息的透明度换取节点共识。在交易或事务数据形成一个区块时，有资格将数据打包的节点将候选区块向链中的各个节点公布，其他节点对区块中的数据进行验证后加入本地存储的区块链中。

在传统的客户端-服务器-客户端网络中，个人数据存储于中心服务器中。而分布式存储是将传统中心服务器所承担的工作与功能弥散化，记账节点既处理区块链上的个人数据，也是区块链的用户。CNIL从严格的文义解释出发，认为用户符合GDPR规定的“决定数据处理的最终目的与手段”，因此用户是数据控制者。而每个拥有数据副本的人是一个数据处理器[8]。按此观点，用户需向自己主张数据的更改、擦除等数据权利。显而易见，个人既是数据主体又是数据控制者，这不仅彻底颠覆GDPR的概念框架，也是不可能实现的[11]。用户只有决定数据是否上链的权利自由，数据一旦上链，数据的处理由区块链共识机制决定，用户即失去了数据的控制权。因此，用户虽然能够自由决定数据处理的最终目的，但数据上链后，用户不能干预数据处理的手段。换言之，用户只符合数据控制者定义的主观要件，欠缺客观要件的符合性。

b.矿工短缺数据控制者的主观构成要件。在区块链网络中，分布式存储需要各个记账节点参与数据处理，记账节点有两个不同的任务，一是验证交易，二是打包区块。记账节点仅完成的是数据上链以及广播工作，其遵循区块链共识规则并拒绝承认不合规的交易。因此，记账节点并无权力决定处理个人数据的目的。在这一过程中，区块链中的数据处理并非是对数据价值的利用，而是完成区块链底层架构的必需步骤，确保了区块链网络的完整性。各个节点只是完成了传统由中心数据库负责的存储工作，处于从数据产生到数据存储这一阶段。而GDPR所界定的数据控制者则是从数据存储到数据价值挖掘这一阶段。换言之，区块链上所有的记账节点都对上链数据处理的主体、方式达成了共识，并非由某一个记账节点就数据处理的目的和方式做出决定。因此，矿工短缺数据处理完成的最终目的，即数据控制者的主观要件，矿工的法律属性应是数据处理者而非数据控制者。

c.开发者欠缺数据控制者的具体主客观构成要件。那么公有链的设计者是否符合GDPR中的数据控制者或处理者的概念，这其中依然存在问题。公有链的设计者只是技术架构及共识机制的提出一方，对链上的数据并没有控制权。任何人都可以不受阻碍地使用公有链。如区块链的创始人中本聪，并不能决定每一次具体的数据处理活动的目的和方式。换言之，区块链技术架构搭建完成之后，开发者就将数据处理的控制权转移给了共识机制。区块链技术的开发者只是对每一次数据的处理进行了规则性的“抽象”控制，而非具体控制。以用户为中心的区块链是一种平权结构，其是维护一个任何人都可以在不信任中间人的情况下向另一个人发送任何信息的网络，并不存在节点之上的控制者。因此，并不能将开发者解释为数据控制者。开发者并没有参与具体的数据处理活动，而是以区块链底层技术规则“抽象”参与，其欠缺数据控制者的具体主客观要件。

2.3.2数据处理是维持区块链运行的基础

对于公有链，区块链观察站和论坛认为其仍然处于一个灰色地带，如果网络用户将个人数据作为商业活动的一部分上传到区块链，则他们将被认为是个人数据的控制者。但是个人用户将自己的个人数据上传到区块链上，则可能属于GDPR第2条规定的家庭豁免例外，不属于个人数据控制者[10]。CNIL则认为以个人目的在区块链中处理自己数据的个人或家庭适用GDPR的豁免。实际上，不论是欧盟区块链观察站和论坛还是CNIL，其观点均是以链下为着眼点，即数据是由何实体上传至区块链中。区分数据上链的决定主体是个人或者商业主体并非破局之策。因其在区块链上均属于用户，对数据上链后的处理方式与目的并无权定夺。节点并不决定将什么数据写入区块链，也不决定处理第三方上传到区块链的个人数据的方式与目的，因此节点之间并不能称其为联合控制者。应该被视为基础设施，就如同路由器或互联网一样。节点不能决定在区块链上写入什么数据，他们验证参与者之前提交的交易，他们无法对任何单个数据处理活动作为任何决定，由于他们通常不决定处理第三方发送到网络的个人数据的目的和方法，节点没有资格作为数据控制者，而是共同构成了区块链基础架构。每个节点只是区块链技术架构的支撑点，为区块链运行提供数据处理能力[19]。此外，如果将区块链的记账节点视为个人数据的共同控制者，要求这些数量庞大的节点承担法律义务也并不现实。

区块链不仅是互联网技术的革新，还是价值互联、技术信任建构的底层技术，意味着治理的技术性变革。区块链技术带来的技术创新深刻地改变了个人数据治理的范式，其技术治理属性与法律的规范治理属性产生的冲突，本质是中心化他律与去中心化自律之间存在矛盾。

3.1 区块链技术与个人数据保护规范同为数据治理的方法论

区块链与其他技术不同之处在于其是基础设施型技术，区块链是作为技术治理机制存在，可作为新型的社会基础架构与传统治理架构的法律分庭抗礼，其他技术则是在其之上的应用型技术。区块链与法律同为网络空间数据治理的方法论，这表现在两个方面。

一是创造信任。区块链与法律都通过创造信任维护秩序。法律经由设置权利和义务、惩罚和救济措施产生制度信任，取代了熟人社会中的人际信任。区块链技术通过分布式存储、共识机制等技术手段产生技术信任，实现了“无需中介”的信任，取代了传统上中心化的信任。从这个角度而言，区块链所具有的去中心化信任是传统法律所创造制度信任的迭代与革新。GDPR作为数据治理的法律，其基于一个假设，即个人数据控制者至少是一个自然人或法人实体，区块链则通过许多不同的参与者作为节点，取代单一的数据控制者，从而实现去中心化的数据存储机制，解决了数据活动中安全性、数据完整性等问题[20]。这与GDPR可谓是殊途同归。二是价值认同。区块链中各节点通过共识机制达成一致，这里的共识机制为所有节点所认可，是区块链运行的底层技术规则。而法律作为维持社会秩序、保护公民利益的社会规范，制度所蕴含的价值追求符合民众的价值观念[21]。

从内部规制机理来看，区块链技术与法律具有同质性，其能够作为数据治理的路径之一。但因区块链去中心化的技术理念与法律中心化的框架不相容，二者在数据治理层面形成了自律与他律的冲突，而这种冲突才是区块链与GDPR同而不和的实质。

3.2 数据治理的中心化他律与去中心化自律之冲突

个人信息保护规范与区块链的冲突本质上是中心化他律与去中心化自律之间的冲突，这表现在以下三个方面。一是从治理的秩序形成上，法律是一种集中式治理模式，其理论预设是人类中心主义，其将人或者拟制人格的责任作为前提设想，以权利和义务为内容判定主体合法与非法的边界，通过外部的即国家强制力来维系法律实施。而区块链是通过算法二维逻辑达成即时性技术强制。区块链中每一个区块的形成都是自律与自治的产物，节点在其中既是维持区块链运行的一部分，也是区块链技术的用户。因此，每个节点在区块链中地位平等，其对区块链的贡献相同。相对于法律的事后性救济，区块链实现了事中的合规性，区块链的共识机制完成了事中的“规定动作”，祛除了法律救济中所具有的“人”的因素。实际上，区块链是基于自治理念的产物，意图借助技术实现对现有国家权力和法律体制的阻断[22]。可以说，去监管化和去中心化是区块链与生俱来的属性。

二是从治理的生发逻辑上，区块链中“使用”与“治理”具有同一性。区块链底层代码决定了使用的逻辑必然符合治理的逻辑。内嵌于区块链的共识机制以代码形式存在，区块链的使用规则即为其治理规则。进入区块链网络就必然服从区块链的底层代码所设置的各项条件，这些代码规则反过来又成为区块链治理的方式。而法律处于社会规则层次中最底层，之上还有道德规范等内化性自律规范。但道德规范缺乏法律规范所包含的国家强制力内容，依靠个人内心中的道德观念以及社会道德谴责发挥作用。法律是对无法完成行为自律的兜底他律，其效力发挥具有的事后性和迟缓性，区块链技术则通过代码实现了自律与他律的融合。

三是从治理的方式路径上，区块链治理是分权路径，法律则是集权路径。区块链的对等网络架构颠覆了传统服务器—用户的架构模式。在区块链网络中，每个节点都担负了服务器和用户双重角色。区块链网络中的若干个节点为了完成区块数据的存储而展开协作。同时，共识机制会激励节点争夺区块数据的打包权，避免某个节点成为事实上的中心节点。区块链的对等网络和激励机制，在结构上避免了中心化，构成了去中心化运作的架构基础，突出了区块链治理的节点平等性与协作性。而法律治理为了维护法律本身的统一性与权威性，需要一个统一集中的部门运用法律、解释法律并执行法律，以集权式治理方式维系作为他律的法律运作。

总之，个人信息保护规范和区块链有着共同的数据治理目标，都强调公平、透明和准确地处理个人数据，法律以中心化为实现路径，而区块链则通过去中心化的技术框架来达成目标。区块链技术的运用对数据保护所带来的挑战，归根到底是区块链自律的数据治理方式突破了法律固有的他律模式，导致区块链技术与法律规范呈现紧张态势。

我国个人信息保护法律规范与欧盟GDPR具有规制路径上的相似性，因此在客观上，我国也面临这种冲突。应结合冲突产生的根源，考量冲突的技术性及功能性原因，汲取欧盟为消解区块链与GDPR冲突所采取的有益措施，建构调和冲突的本土化方案。

4.1 理性认识我国与欧盟所处的相似困境，积极探索消解冲突的中国方案

具体到我国个人信息保护规范而言，首先，我国2021年11月施行的《个人信息保护法》，其中个人信息指的是匿名化以外的可识别自然人的信息。2017年两高颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将“可识别性”标准作为个人信息概念的内核。基于此，我国的“个人信息”概念某种程度上即相当于欧盟的“个人数据”概念。其次，我国《个人信息保护法》第四十六条、第四十七条规定了数据主体有权向个人信息处理者主张更改和删除个人信息。最后，我国对个人信息保护的路径是依靠中心化的实体履行个人信息保护相关义务，《个人信息保护法》第五章规定了信息处理者的义务与责任，包括确保个人信息处理活动合法、定期合规审计、事前评估个人信息保护影响、信息泄露、篡改、丢失的报告等义务。同时，我国《区块链信息服务管理规定》第八条规定了区块链信息服务提供者的安全管理主体责任、第十六条项下区块链信息服务提供者的安全评估义务。可见，我国对个人数据的保护采用以数据控制者为义务承担者的规制模式，数据主体通过义务主体主张权利，法律对义务主体设定法律责任。因此，区块链技术与我国《个人信息保护法》客观上也存在着数据擦除冲突以及责任主体无法确定的冲突。实际上，我国《个人信息保护法》在立法过程中参考借鉴了GDPR的部分制度架构和制度设计，采取与GDPR基本一致的规制路径[23]。如上文所述，区块链与GDPR冲突的根源在于，中心化监管模式与去中心化自律之间存在抵牾，这种冲突具有天然性。公有链的去中心化、参加人的匿名化以及任何人都能参与共识的特点使其极具理想主义，无政府地实现自治化[24]。区块链设计的初衷就是去监管、去中心化。因此，区块链不仅与GDPR产生冲突，与我国的个人信息保护法律规范也具有无可辩驳的张力。需要针对实践中产生冲突的具体表现，借鉴欧盟应对之策，明确我国的应对模式，以消解二者之冲突。

4.2 理念应对：个人信息保护规范与区块链的双向调和

从数据治理模式而言，个人信息保护规范是以数据控制者和处理者为中心的“伞状”结构，这种结构是对实践中个人数据处理日益规模化、集中化的回应，而区块链则是以节点、算法为基点的分布式“点状”结构。区块链提供了一种与传统集中监管模式完全不同的自我监管模式，将中心服务器的功能分散化，用户节点对个人数据拥有更多的知情权与控制权，这也意味着将中介平台的义务与责任弥散化。信息的生产者与传播者由分离走向同一，网络结构由层级化转向了扁平化，以去中心化为特征的技术与以个体责任为中心的法律面临严峻的冲突，使得监管部门追责更加困难。

两者迥别的数据治理路径看似处于“零和博弈”的境地，实则殊途同归。个人信息保护规范与区块链技术并没有核心价值诉求的冲突，区块链对数据责任主体概念的消解、个人行使数据删除权路径的阻塞是以法律为中心对区块链技术“评头论足”。网络社会的治理与传统物理空间的治理在方式、结构上存在差异，区块链“点状”结构的刚性极强，用法律“伞状”治理结构和方式思考区块链网络的治理问题，难免“水土不服”。技术的发展不会遵循法律的框架，因此，个人信息保护规范与区块链代码的融合只能在非核心价值上寻找可能性与可行性。

从短期来看，化解二者冲突一是需要解释法律以对区块链有效治理。区块链与个人信息保护规范在个人数据删除权上的冲突聚焦于删除的概念，而我国和欧盟的个人信息保护规范均未明确“删除”的内涵。假使以文义解释进路，要求对个人数据进行物理层面的删除，则二者缺乏对话调和的可能。而以目的解释，删除权设立的目的是保护个人数据，删除效果达到数据不可用、不可获取即可视为满足删除权，方可搭建区块链与个人信息保护规范二元互动的桥梁。二是需要调适区块链技术以适应法律秩序。去中心化的数据存储机制是区块链技术的核心价值，公有链的完全去中心化特征阻绝了个人信息保护规范的归责路径，与之相比，具有实名、相对中心化的许可链能确定数据控制者与处理者。因此，应当根据区块链的应用场景推行许可链。针对链上数据难以删除的问题，可以采用数据链外分布式存储的技术路径，以最大程度维护区块链去中心化的核心价值。

从长远来看，化解冲突仍需通过法律规范与区块链代码规则的交互融合。区块链网络的底层代码不仅是区块链的运行逻辑，同时也是区块链网络的使用规则，这种规制性功能与法律的规范性机理具有内在一致性，功能上的相似性为二者互动提供了可能性。个人信息保护规范与区块链能否实现深度融合应考虑两个问题。一是法律能否代码化。法律规范文本是对类型化现象的抽象表达，天生地具有模糊性、概括性和抽象性，方可涵摄不同的实践情况。而代码则具有明确性、穷尽性和具象性，以IF…THEN条件语句为基础表达的代码，需要穷尽列举可能的情况以及相对应的输出，否则系统可能出现运行错误。换言之，法律规范的代码化需要在具体的网络空间场景下解释法律，以减少抽象性法律文本的模糊性，填平法律文本与实践之间的沟壑。可见，法律的代码化并非机械地将法律文本转化为代码规则，而是法律文本的具体适用过程。二是代码能否法律化，即遵循数字逻辑的工具理性能否准确地表达遵循道德与伦理的价值理性。代码无需完整地表述法律文本，只需在具体场景下设定符合法律规范的处理规则，进而达到用抽象化的法律调整具象化网络空间的目的。可见，法律与代码具有融合的可能性。监管部门可作为区块链上一个读取节点，在区块链上发布指令数据，在各个节点之间先行达成数据监管共识，并可实时监测链上数据。实现在区块链技术框架内进行监管，形成法律与区块链融合共治模式。

4.3 实体应对：搭建公有链和私有链分级分类监管体系

公有链中的共识机制和分布式存储造成了区块链监管的困难，其是集中化程度最低的一类区块链，所以法律介入区块链面对的是整个区块链节点网络，这使得法律很难找到介入区块链的着力点。因此，针对集中化程度不同的区块链，应寻求不同的监管路径进行分类规制。

4.3.1推行许可链以摆脱数据控制者角色困境

公有链中不仅数据控制者的角色缺位，对其中任何一个主体设定法律义务也难以实现。而与公有链相比，区块链中的许可链技术结构更符合GDPR的规定。首先，许可链相对公有链而言更加集中，权责更加明确，共识机制、节点权限具有可设计性。许可区块链的节点通常由一个法律实体发起，其背后是一个中心化机构对区块链进行管理[11]。因而许可链上个人数据保护的义务主体数量有限，仍然可以通过传统确定责任主体的形式进行追责。其次，许可链的运行并非依靠像公有链的PoW、DPoS和PoS等共识机制，许可链可以在线下签订协议，明确各个节点在许可链中的作用，有效地避免了公有链争夺记账权而浪费资源的问题。需要明确的一点是，许可链并非基于完全陌生的节点去信任化，每个节点的准入与退出都要经过其他节点同意或审核，并且只对特定的组织开放。最后，许可链内部可以明确各节点的义务及责任，从而便于监管部门追责。从技术架构上而言，许可链与目前的中心化监管体系较为契合，监管难度低。欧盟区块链观察站和论坛(EUBOF)也认为，许可区块链比无许可区块链能更好地应用于个人信息保护[20]。

许可链的应用可能产生两类场景：一是中心化的平台将平台用户数据上链；
二是用户直接将个人数据上链。场景一类似于传统互联网平台服务机制，平台在此场景下为数据控制者，许可链的其他服务节点为数据处理者。场景二则是用户直接使用许可链，该场景下许可链上控制数据的节点为数据控制者，其他服务节点为数据处理者。

4.3.2以相对擦除的技术路径应对数据擦除冲突

传统平台集中式系统的特点是平台作为中介，持有全部用户数据，在这种情况下，平台本身承担数据控制者的角色，似乎不会出现难以解释的问题。然而，当数据分别存储于相当数量的节点时，定义谁是分布式系统中法律意义上的数据控制者就陷入了困境[25]。与GDPR不同的是，我国《个人信息保护法》第四十七条第二款规定当删除个人信息从技术上难以实现的，个人信息处理者应停止除存储和采取必要的安全措施之外的处理，该条为删除权创造了一个“技术例外”。区块链技术是否属于“技术例外”尚不明确，仍需从技术角度寻求更安全、更贴近于“删除”含义的措施。数据的链外存储也可实现与区块链架构相似的分布式结构，即星际文件系统(Inter Planetary File System, IPFS)，这意味着链外存储不需要集中的中心服务器，而是存储于每个节点的终端系统中。IPFS系统将数据的哈希值存储于区块链上，数据内容分割成小块数据存储于不同节点用户的服务器中。与基于位置查找文件的HTTP协议不同，IPFS是基于文件内容查找，每个文件都有其唯一的哈希值，通过链上哈希值寻找链下文件，且IPFS是一种点对点的网络，无需中心服务器。IPFS将文件分成小块数据，分散存储与不同的节点，在接收文件时，从不同的节点服务器中接受片段数据并组合成整体文件，每个节点无法知晓存储片段的具体内容[26]。这样可规避链下中心化数据库存储的弊端。

4.3.3构建区块链应用分级许可制度

鉴于公有链、联盟链和私有链的集中化程度不同，其监管难度以及涉及的法律关系各异。公有链监管难度最高，其不仅涉及个人数据保护问题，且有数据跨境流通的法律障碍。也正因为对公有链监管较为困难，CNIL建议寻求使用区块链技术处理大量个人数据的公司使用许可链而不是公有链，以对节点运营进行更严格的监管。尽管三种区块链均无法确定特定义务主体，但联盟链与私有链的节点数量控制在相对较小的范围内，而公有链节点数量庞大。数据上链后难以实现可逆性操作，因此公权力有必要介入管制，应需经国家工信部门审批后方可进行相关数据业务。

区块链作为技术信任的底层架构，在多个场景中显现出重塑性、革命性的技术潜力。因其以去中心化自律为设计理念，以分布式的平权节点为运行基础设施，因此其与以责任为中心的法律具有天然地对抗性、抵制性，致使区块链技术成为治理的一大难题。

在个人数据处理场景中，区块链与作为欧盟数据宪章地位的GDPR形成抗衡之势，成为个人数据治理的另一路径选择。区块链能否以符合GDPR规定的方式发展，同时仍保留其独特的价值属性。针对该问题，尽管欧盟及成员国出台了一系列具有前沿性、战略性的参考性意见，但其尚未颁布具有强制性效力的规范，致使GDPR对区块链的适用性问题仍悬而未决，并因此危及欧洲数字市场及其技术发展。

我国个人信息保护法律规范与GDPR的部分制度设计和架构相似，都采取了以数据处理者/控制者责任为中心的数据保护立法例。基于此，我国区块链技术发展面临与欧盟同样的困境。在吸收欧盟出台的相关意见性文件及学界讨论的基础上，我国消弭区块链与个人信息保护规范冲突的应对方案需转变压制型治理理念，而应在“代码即法”与“法即代码”的辩证关系中寻找到规范与区块链技术的深度融合，从而形成数据治理的合力。