区块链与个人信息保护法律规范的内生冲突及其调和

王禄生

(东南大学 法学院，江苏南京 211189)

引言

近年来，有关区块链技术和个人信息保护相结合的讨论日益丰富。与论者认为区块链中加密算法、共识机制、去中心化存储和智能合约等要素能够有效化解当前个人信息保护面临的困境，为知情同意、隐私保护、数据安全、数据共享带来全新可能。首先，区块链分布式账本的数据架构能够避免中心化的个人信息存储带来的弊端，个人可以通过节点掌握个人数据的使用，从而获得对自己数字信息和在线身份的控制权； 参见Michael Mainelli, , Havard Business Review(October 05, 2017), https://hbr.org/2017/10/smart-ledgers-can-help-us-reclaim-control-of-our-personal-data; Clare Sullivan & Eric Burger, - , 33 Computer Law & Security Review 460, 475(2017). 其次，区块链链式存储和不可篡改的特性，使得链上记录了从创世区块开始的所有信息。个人信息访问、交互的所有行动均被记录，且不可篡改、删除与伪造。 参见Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.iii. 再次，区块链利用加密算法可以极大提升个人数据的安全性。 参见M. H. Onik et al., - , 9 Open Computer Science, Volume 80, 80-91(2019). 最后，区块链去中心化的信任机制以及加密算法的运用可以实现不需要第三方机构信任背书的个人信息安全共享。参见Shraddha Kulhari, - : , Nomos Verlagsgesellschaft Mbh & Co, 2018, p31-34.

随着区块链技术的发展，不少国家与地区的官方机构开始关注区块链在个人信息保护领域的可能，相关的实践也在一定范围内推动。欧洲议会2019年发布的研究报告《区块链与通用数据保护条例》(Blockchain and the General Data Protection Regulation)，对区块链在个人信息保护方面的应用做了全面的分析。与此同时，欧盟委员会也推动成立“欧盟区块链瞭望台与论坛”(EU Blockchain Observatory and Forum)，旨在加速欧盟内部的区块链创新和区块链生态系统的发展。该机构成立后发布了多份区块链与个人信息结合的研究，比如《区块链与GDPR》(Blockchain and the GDPR)《区块链与在线身份》(Blockchain and Digital Identity)。2019年9月，德国正式发布国家区块链战略，对该技术在个人征信等诸多领域的应用做了全面规划。参见Federal Ministry for Economic Affairs and Energy of German, : , https://www.bmwi.de/Redaktion/EN/Publikationen/Digitale-Welt/blockchain-strategy.pdf?__blob=publicationFile&v=3.在顶层规划的推动下，结合区块链技术展开的个人信息创新项目开始在世界范围内方兴未艾。总而言之，区块链影响现已超越金融领域，开始向身份管理、民主参与、公司治理等诸多领域扩展。参见Shraddha Kulhari, - : , Nomos Verlagsgesellschaft Mbh & Co, 2018, p.15-16.

与个人信息保护的结合，同样是我国区块链发展的重要方向。2019年10月24日，习近平总书记在中央政治局第十八次集体学习时就明确提出，“把区块链作为核心技术自主创新重要突破口”“探索利用区块链数据共享模式”。有学者认为，区块链可以加大对个人信息商业化的规范力度，强化对信息主体的保护，实现通过信息科技手段科学管理和规范个人信息交易的目标。在国家网信办发布的五批境内区块链信息服务备案的1238个区块链应用中，有多个直接涉及身份认证、征信管理、电子证照共享等方面，涉及知识产权、金融股票、房产交易、数据资产等个人财产、交易信息存证的区块链则占据了更大比例。可以预见，在顶层规划与实践需求的双重加持之下，我国区块链与个人信息结合的应用将会日益丰富。

然而，在肯定区块链应用于个人信息领域的前景的同时，我们也不能忽视从形式上看区块链的技术逻辑与现有的个人信息法律规范之间存在的不同程度的冲突与抵牾。举例而言，区块链以数据的不可篡改性为核心特征并构建去中心化的信任机制，然而个人信息保护法律规范中普遍允许信息主体请求删除和更正个人信息。由此，个人信息删除与更正在区块链的应用中如何实现？更为重要的还在于，我国现有个人信息保护的规范整体上较为抽象，相关核心概念带有不确定性。这进一步加剧了区块链在个人信息保护领域应用的合法性困境。举例而言，个人信息保护法律规范允许网络运营者在匿名化的前提下使用信息而免于删除。然而，现行法律规范对何谓“匿名”的界定相对抽象，如《个人信息保护法》(下称《个保法》)第73条。随之而来便是一系列相关的问题，比如经过哈希函数转化并“上链”的个人信息是否属于匿名化？现有法律规定，网络运营者在收集个人信息时需要“保密”，采用公钥和私钥加密是否满足“保密”需求？区块链各节点地位平等，既处理本节点的数据，也通过共识机制验证和共享其他节点的数据。按照此种结构，个人作为公共区块链节点(尤其是全节点)时实际上既使用服务又为其他节点提供服务。那么个人是否构成“网络服务者”“区块链服务提供者”或“个人信息处理者”？如果构成，个人如何承担《网络安全法》《个保法》所赋予的一系列安全保障、登记注册、删除更改的义务？上述合法性困境从表面上看起源于法律文本与区块链技术特征的内生冲突，但究其深层原因则与个人信息保护规范的抽象性与核心概念的不确定性紧密相关。因此，区块链应用合法性困境的解决就不能仅仅围绕法律文本展开，而是要跳出法律文本，对“绝对删除”与“相对删除”、“去标识化”“假名化”与“匿名化”、“实质控制”与“相对控制”、“目的限缩解释”与“目的场景解释”等多组相互冲突的理论路径进行选择。当然，这些路径的选择并非天马行空，而是要受利益平衡立场的影响。概而言之，立场决定了合法化路径的选择进而决定了合法化方案的确定。唯有遵循从路径证成到制度展开的逻辑，才能使得脱链存储、密钥删除、非明文存储、承诺模式、许可区块链、轻量级节点、区块链修剪、零知识证明等具体衔接方案具有统一的指向性和充分的理论来源。

一、区块链与个人信息保护法律规范的内生冲突

区块链的技术发展日新月异，不同的主体可能采用不尽相同的技术架构。比如一般而言，区块链的各节点地位平等，然而，联盟链和私有链却允许“超级节点”存在。又比如通用区块链中各节点均为完整节点，保有全局数据，但也不排除特定区块链中存在“全节点”和“轻节点”的区分，前者保留全局数据，后者仅保留与节点服务相关的数据。因此，本部分的探讨更多是从通用区块链技术的一般特征展开，也就是大家惯常所了解的分布式存储、共识机制、加密算法、智能合约等技术特征。整体而言，被誉为第四次工业革命发动机的区块链技术固然与个人信息保护的理念存在诸多契合之处，但同时也与我国现行的法律规范形成不同程度的冲突。

(一)区块链不可篡改性与个人信息删除、更正的冲突

我国个人信息保护的法律规范奉行个人信息控制的理念，并由此演化出系列制度设计，其中就包括个人信息的删除和更正。《网络安全法》第43条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。《侵权责任法》中亦有被侵权人有权通知网络服务提供者予以删除的规定。虽然，上述规范并未言明“删除权”和“更正权”，但从现有立法的发展趋势上看，“删除”与“更正”有权利化认定和权能扩张的可能。《民法典》关于个人信息“更正”和“删除”的规定就在“第四编 人格权”之下。《个保法》则在“第四章 个人在个人信息处理活动中的权利”中规定更正、补充与删除的权利，并对上述权利的适用情形做了超过《网络安全法》的扩张。总之，“删除(权)”与“更正(权)”是个人信息保护法律规范体系的重要内容。个人信息以“同意”开始，以“更正”居中，以“删除”结尾，贯穿于个人信息使用的全生命周期。

然而，区块链以不可篡改性为核心技术特征。该特征使得个人信息区块链应用直接面临信息删除与更正的规范冲突。具体而言，区块链是区块按时间顺序生成、以链的方式组合在一起的分布式账本系统，系统中的各方共同参与数据的写入和维护，同时系统中各方都拥有实时更新的数据库副本。数据的链式结构储存保障了数据只可以被写入或读取，并依靠区块间的哈希指针和区块内的 Merkle树实现链上数据的不可篡改。工作量证明(PoW)、权益证明(PoS)等共识机制保证单一节点数据难以通过分叉攻击篡改历史数据。当有节点试图单方篡改或伪造数据时，由于未达成节点共识，将被其他节点同步覆盖，从而保证数据的完整性和稳定性。可见，区块链的上述技术特征使得数据一旦写入区块链，只具备“增”和“查”的功能，而不具备“删”和“改”的功能。由此，在个人信息保护领域大范围引入区块链创新时就会面临信息删除和更正无法有效行使的困境。尽管《个保法》第47条第2款引入“删除豁免”制度试图回应上述困境，规定“删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”，但考虑到在传统区块链的技术架构中，任何新区块的添加都要对已有区块进行验证，这使得在区块链技术上难以实现只“储存”不验证的制度设计。

(二)区块链信息透明与个人信息保密规范的冲突

在我国个人信息保护的法律规范体系中，网络运营者需要对收集的个人信息进行保密。《关于加强网络信息保护的决定》第3条和《网络安全法》第40条均明确规定，网络服务者/网络运营者应当对其收集的用户个人信息严格保密。《个保法》第25条规定，“个人信息处理者不得公开其处理的个人信息”。其中“不得公开”也包含保密的要求。可见，保密性是个人信息保护规范体系的重要内容。它起源于个人信息所具有的人格利益属性。有学者还进一步将信息保密解释为个人信息权中的信息保密权，即“本人得以请求信息处理主体保持信息隐秘性的权利。”如果个人信息的隐秘性无法得以保障，信息主体对其个人信息就难以控制。这不仅可能会侵害个人基本权利或精神利益，还有可能会危害个人的人身安全和财产安全。

然而，区块链全局账本完整、公开与同步的技术架构使得信息透明成为区块链的核心特征之一。尤其在个人信息与区块链相结合的应用场景中，个人信息本身就是区块链所公开记载的内容。由此便可能与个人信息保密性的需求形成直接冲突。这可以从三个方面展开：首先，区块链采用链式存储架构，全局账本包含初始创始区块到最新区块的所有数据。其次，区块链通过公开性保障公信力，任一节点的信息都必须公开给所有参与节点。最后，任何节点的信息公开后，其他节点通过共识机制验证后完成数据的同步。如果区块链被应用于个人信息的存储，那么当用户在一个节点完成个人信息上链时，其他节点也会通过共识机制校验和共享上述信息。每个节点的链上个人信息相较于其他节点而言实质上是透明的。这就使得区块链的个人信息保护创新应用需要面对保密性的合法性困境。

(三)区块链完整性与个人信息目的限制、数据最小化的冲突

所谓“目的限制”(purpose limitation)是指个人信息在收集时应当明确目的，并且数据的使用不能超过该目的约定的范围；所谓“数据最小化”(data minimization)，也称“最少够用”“最短期限”，它是指除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量并只保存最短的期限。总的来说，“目的限制”和“数据最小化”旨在应对个人信息保护领域普遍出现的超范围收集、强制授权、过度索权、无限保存等突出问题。在《个保法》发布之前，上述原则零星地分布在特定的规范性文件中。比如《网络安全法》第41条规定网络运营者要“明示收集、使用信息的目的”；《儿童个人信息网络保护规定》第15条要求儿童个人信息处理奉行“最小授权”原则。此外，相关标准、规范、指南中也明确提及“最小够用”“数据最小化”。比如公安部2019年发布的《互联网个人信息安全保护指南》就提到“对被授权访问个人信息数据的工作人员按照最小授权的原则，只能访问最少够用的信息，只具有完成职责所需的最少的数据操作权限”。《个保法》系统吸收了上述原则，在第6条、第14条和第20条规定，处理个人信息应当具有“明确的目的”、采取对个人权益“影响最小”的方式、限于处理目的的“最小范围”，处理目的变更时“应当重新取得个人同意”，个人信息保存期限应为实现处理目的所必须的“最短时间”。

区块链与目的限制原则、数据最小化冲突的根源就在于目的限制和数据最小化强调个人信息数量、类型和使用的最低点，而区块链技术追求数据的完整性和永久性。区块链之所以强调数据的完整度、全面度和永久性，是为了保障各节点之间验证账本与更新账本，促进区块链共识协议的形成。参见Zheng Zibin et al., : , , , 2017 IEEE International Congress on Big Data (BigData Congress), Honolulu, HI, 2017, pp. 557-564.但此点也不可避免地造成了与目的限制和数据最小化的对立。具体而言，区块链的分布式账本中，任何该网络的参与者均可保留完整的分类账副本，并且所有副本的内容完全相同，每一次交易的进行，都会在账本上留痕，永久存储，从而导致相关个人信息的多次复制、持续处理。在区块链上使用个人信息(无论是公钥还是交易数据的形式)执行加密资产交易的情况下，即使该交易已成功完成，从某种意义上讲，该个人信息仍将持续存储在分类账本中，并继续根据其所使用的共识算法进行处理。参见Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.65-68.这不仅在一定程度上超出了目的的设置，还因为节点数据的完整性而产生大量数据冗余，由此便与目的限制和数据最小化形成直接冲突。

(四)区块链分布式架构与个人信息中心化责任体系的冲突

我国现有的个人信息保护的法律责任体系是建立在对个人信息中心化收集与处理的假定之上。依据这样的假定，责任主体与权利主体的界限清晰明确。举例而言，《网络安全法》中将责任主体明确为“网络运营者”，并进一步细分为网络所有者、网络管理者和网络服务提供者。在《区块链信息服务管理规定》中主体被明确为“区块链信息服务提供者”，这实际上是“网络运营者”中“网络服务者”在区块链信息服务场景中的再细化。在个人信息保护场景中，与“网络运营者”对应的权利主体则是“个人信息主体”，也就是个人信息所标识或关联到的自然人。按照这一组对应关系，“网络运营者”需要承担个人信息保护的诸多义务，比如安全保障等。“个人信息主体”可以要求“网络运营者”履行特定的义务，比如信息的更正与删除。当“网络运营者”违反法律规定时，还可能面临国家的惩罚。换言之，现有的法律体系倾向于认为对于个人信息保护而言，始终至少有一个或若干个自然人、法人承担数据保护的责任。

然而，区块链分布式存储的方式形成了去中心化的数据结构，这使得区块链的节点发生权利主体与责任主体的竞合，进而出现责任的混同与失灵。这具体可以从两个方面展开：其一，每个节点都是网络服务提供者，对数据进行收集和处理。由于共识机制的存在，每个节点在写入数据的同时还与其他节点进行数据的共享。将区块链节点视作责任主体的理念已经被2019年出台的《区块链信息服务管理规定》所吸收。该规定第2条第3款规定：“本规定所称区块链信息服务提供者，是指向社会公众提供区块链信息服务的主体或者节点”。其二，在公民个人作为节点的场景下，个人节点兼具网络服务使用者和网络服务提供者双重身份。举例而言，公民A通过区块链保存个人信息并成为一个A节点，那么A节点在保存A个人信息的同时还需要保存整个区块链的全局账本。在共识机制的运行过程中，A节点实际上积极参与了其他节点个人信息的处理。也正因如此，A就既是“个人信息主体”，又是“网络服务提供者”。他/她既享受区块链的服务，也在利用他人所有或者管理的网络对其他节点提供区块链服务。尤其在部分个人信息保护区块链应用中包含个人特定信息交易的设置，此时服务的属性就更加显著。可见，区块链的分布式的数据架构使得责任主体和权利主体发生了竞合。这样的竞合其实带来一个法律适用难题，就是普通的自然人在作为节点时如何履行法律赋予的一系列身份验证、安全管理和登记备案的责任。尤其是考虑到个人节点对区块链数据处理方式缺乏实质影响的前提下，当其他服务使用者提请要求删除或者更正信息时，个人节点如何响应？当国家主管机关对特定区块链应用作出行政处罚时，个人节点又需要如何承担？综上所述，区块链去中心化的数据结构与中心化的网络运营者责任体系形成冲突，使得区块链的节点，尤其是个人节点虽然符合网络服务提供者的形式要件，但却无法实质履行相应的法律责任。正因如此，有学者就总结到，现有法律规范要求区块链责任主体承担警示、限制功能、关闭账号等处置措施以及及时消除违反违规信息内容等责任设置在去中心化的区块链系统上几乎不可能得到执行。欧盟议会发布的《区块链与通用数据保护条例》也认为，区块链分布式数据库的架构以及由此引发的去中心化使得中心化责任体系的基本假设面临冲击，由此也就导致了相应的责任分配以及由此引发的问责面临挑战。参见Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.2.

二、区块链与个人信息保护法律规范衔接的路径证成

归纳区块链的合法性困境并非要唱衰区块链技术，而是在区块链“大热”时保持必要的清醒与警惕。我们需要认识到，尽管区块链技术在个人信息保护方面存在极大的潜力，但该技术不会自动符合个人信息保护规范的所有要求，因此需要在认识规范冲突的基础上进行定制化地调整与开发，从而形成符合个人信息保护规范要求的区块链应用制度。要实现这一目标，就必须推动法律与技术更深层次的互动，使得区块链成为个人信息保护的真实解决方案。

在正式展开对区块链与个人信息保护规范衔接的阐述之前，需要首先明确本文所采取的“利益平衡”的总立场。这一立场，是由个人信息法益的独特属性所决定的。“传统的个人控制理论是建立在个人主义观念下，忽视了个人信息的社会性、公共性，不仅不能全面反映个人信息的法律属性，而且不能适应大数据时代个人信息利用的新环境和新方式”。在信息时代，个人信息包含人格尊严与自由价值、商业价值、公共管理价值，涉及到信息主体、信息业者和国家三方主体。信息业者和国家的角色介入，以及个人信息社会属性的出现，使得对个人信息的保护不能以单向度的权利保护为依托，而需要平衡保护与利用的二维视角，平衡数据有效保护和数据自由流动的双重目标。在此背景下，个人信息法律规范的执行需要特别考量信息主体与信息处理者的利益平衡。

单纯的利益平衡解释论由于没有制度支撑容易使得权利保护陷入空洞化。因此需要在利益平衡解释论的支撑之下进行相应的路径展开。在此过程中应遵循以下的原则：其一，保持法律规范解释的灵活性，不把个人信息视作由个人完全控制的客体，因此排除绝对保护主义的法律适用观。在面对区块链与个人信息保护潜在冲突时，要适当保证法律解释的弹性。这有助于保持区块链技术在发展初期的充足活力。其二，为区块链创新主体赋予合理的个人信息保护义务，推动区块链技术快速且有序地实质运用。正如后文将会论证的那样，此种合理化的义务分配不仅包括网络运营者，也包括个人信息主体作为区块链节点的义务豁免。换言之，利益平衡不是片面地站在网络运营者或者个人信息主体某一方的立场来展开合法性困境的解决。利益平衡的解释论为个人信息区块链应用面临的困境提供了合法化的路径。基于各种合法化路径，对通用区块链技术进行定制化的开发便可以有效应对区块链与个人信息保护规范之间的冲突。

(一)利益平衡下个人信息删除的“相对主义”路径

区块链与个人信息保护规范最直观的冲突就在于个人信息的删除、更正与区块链技术不可篡改性之间的兼容难题。对于更正而言，区块链可以通过添加新的个人信息区块的方式完成，并不存在实质的技术障碍。尽管原有的个人信息区块仍然存在，但新的区块可以在事实上起到“覆盖”旧区块的功能。与之形成鲜明对比的是，《个保法》“删除豁免”制度无法完全适用于区块链的应用场景，这就使得区块链应用仍然需要回应个人信息删除的需求。因此，如何在保持区块链核心技术特征的基础上实现个人信息的删除成为衔接区块链与个人信息保护规范的重中之重。解决上述冲突必须对我国现有规范体系中的“删除”进行合理界定。

本文第一部分已经提及，“删除”是信息主体实现个人信息控制最为重要的法律工具之一，《网络安全法》《民法典》《个保法》等法律规范都明确规定。然而，通读上述提及“删除”的法律文本，均未对何为“删除”做清晰的界定。如果我们进一步扩大搜寻范围，将关注点放置到法律之外各类国家标准、官方指南、行业规范，则会发现它们虽然对“删除”做了明确的界定，但具体内容也存在差异。其中，国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012，以下简称《个人信息保护指南》)5.1将“删除”定义为“使个人信息在信息系统中不再可用”，关键点在于“不再可用”。国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2017，以下简称《个人信息安全规范》)3.9将“删除”定义为“在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态”，关键点在“系统中去除”且“不可被检索、访问”。这就涉及到有关个人信息“删除”的两种解释方法：绝对删除与相对删除。“绝对删除”要求信息在系统空间完全删除以达到不可再用——物理删除(physical deletion)；“相对删除”则只要求不再可用。国家标准《个人信息安全规范》某种程度上采取的是“绝对删除”，即个人信息在信息系统中客观上不存在。国家标准《个人信息保护指南》虽未明确，但却给“相对删除”留下了空间，换言之它只要求个人信息在系统中“不再可用”，而并未要求物理删除。实际上，从技术角度来看，要做到“不再可用”，不一定要物理删除，去标识化、匿名化抑或是删除链接都是可选方案。

可见，对于个人信息“删除”而言，采用何种解释路径会直接影响区块链技术合法化方案的选择。而解释路径的选择又取决于在网络运营者与信息主体之间的立场选择。“绝对删除”由于强调物理删除，其实质是使得个人信息不复存在，因此其在立场上是倾向于信息主体的权利保障。与之对应，“相对删除”则不要求物理删除，而是允许采用灵活的措施使得个人信息不可使用。由此，降低了网络运营者的合规要求，并为大数据时代数据的利用提供了可能。从“利益平衡”总立场来看，应该选择“相对删除”，原因如下：其一，“绝对删除”虽然可以实现对信息主体最为有效的权利保障，但却会给区块链应用带来根本性的打击。这是因为，“不可篡改性”是区块链最核心的特征，它支撑起区块链的共识机制，决定了去中心化信任机制的形成。个人信息的区块链应用正是要利用区块链不可篡改性来解决传统个人信息保护过程中存在的篡改、伪造等诸多弊端。因此，如果选择“绝对删除”的解释论立场，就与区块链技术形成根本冲突。也就是说，从实现个人信息保护的目的来看，保持区块链的不可篡改性远比实现区块链的可删除重要。参见Shraddha Kulhari,, Nomos Verlagsgesellschaft Mbh & Co, 2018, p.47. 其二，“绝对删除”只考虑了个人信息的私人属性，而没有考虑其具有社会治理等诸多公共价值。在大数据时代，个人信息处理行为的规制原则应是防止滥用，而非严格保护。其三，相较于隐私权的保护程度而言，个人信息的保护是一种弱保护。“相对删除”在现有的技术能力下已经能够实现对个人信息的有效保护，比如链上个人信息加密后对密钥的删除就可以使得个人信息事实上无法以指向个人的方式被使用。

实际上，即便在高度倾向于个人保护的欧盟，对于“删除”的理解也采用“相对删除”的方法。欧盟《通用数据保护条例》(下称GDPR)第17条规定了删除权(被遗忘权)，但未对“删除”的内涵进行阐述。欧盟委员会的报告中指出，有迹象表明，GDPR规定的删除权不必要求彻底删除信息。参见Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.75.该观点并非一家之言，奥地利数据保护局认为，“删除”应理解为指对存储的个人数据进行任何形式的模糊处理，由此提出了“模糊删除”的概念，并强调无论使用何种删除方式，完全的不可逆是不必要的。参见Datenschutzbehörde, -1232700009-2018 ( 5, 2018),https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00.html.英国监管机构“信息专员办公室”(Information Commissioner’s Office，下称ICO)认为“删除”只要个人信息“无法使用”(put beyond use)，从英文的直译来看，更接近“放到用不到的地方”，参见Information Commissioner’s Office of UK, (December 31, 2019), https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.并未要求“删除”要达到物理上的不复存在。《德国联邦数据保护法》(Federal Data Protection Act)则做了更具前瞻性的规定，该法第35(1)条明确提及，如果无法删除个人数据，或者因为特定的储存结构而使得删除可能造成不成比例的影响，那么数据控制者可以免除删除责任。

(二)利益平衡下个人信息保密的“去标识化”路径

前文已经提及，我国现行个人信息保护规范要求对个人信息进行“严格保密”或“不得公开”，这与个人信息区块链应用的技术架构形成内生冲突。调和上述冲突的方式便是对上链的个人信息采取特定的加密、去标识化等措施以实现“形式公开”基础上的“实质不公开”。一般认为，“保密”是与“泄露”相对应，意指保守事物的秘密，使其不被泄露。“加密”则是指以特定的方式改变原有的信息数据，使得未掌握密钥的用户即使获得了已加密的信息，也无法真正知悉信息的内容。可见，“加密”是一种“保密”的方法。现有法律规范赋予网络运营者以个人信息保密的义务，那么何种方式可以被视为法定保密义务的适当履行方式呢？或者更具体一点展开，在区块链中，哈希函数、非对称加密是否符合个人信息“保密”的法律规范？要明确这个问题，就必须从技术的逻辑切入，分析加密、去标识化、假名化、匿名化等在内涵上具有不确定性，但却高度近似的概念。

按照《个保法》的规定，“去标识化”(de-identification)是指“个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程”。该定义与国家标准《个人信息安全规范》3.14条基本一致。对此可以简化为“不借助额外信息+无法识别”来理解。对于“假名化”我国现有的规范体系并未明确解释。在此可以参考欧盟GDPR的规定。GDPR第4(5)条指出“假名化”(pseudonymisation)是“在不使用附加信息的情况下，不再可以将个人数据归于特定数据主体，但前提是此类附加信息应单独保存并且受技术和组织措施的约束，确保个人数据不归属于已识别或可识别的自然人。”“假名化”被认为是GDPR在个人信息保护方面的重要创新，它可以被简化为“不借助额外信息+无法识别+额外信息妥善保存”进行理解。从定义的内容来看，GDPR的“假名化”与我国法律规范中的“去标识化”主体部分重合，但“假名化”是“去标识化”的进一步优化——“附加信息应单独保存并且受技术和组织措施的约束，确保个人数据不归属于已识别或可识别的自然人”。由此可见，“去标识化”与“假名化”并非一个层面的概念，前者要包含后者。这一点与国家标准《个人信息安全规范》的界定高度一致。在该标准的概念体系中，“去标识化”项下包括“假名”“加密”“哈希函数”。以“加密”为例，在对数据进行加密的情况下，假设个人数据仍然存在于已加密的数据集中，则密钥持有者仍可以通过解密来重新标识每个数据主体。这里的“秘钥”就是“额外的信息”。运用“秘钥”解密，就是“识别”个人的过程。因此“加密”是“去标识化”的一种方式。与“去标识化”“假名化”高度相关的一个概念便是“匿名化”。所谓“匿名化”(anonymization)，是指“个人信息经过处理无法识别特定自然人且不能复原的过程。”在计算机科学中，匿名强调“无关联性”，也就是指站在攻击者的角度，无法将用户与系统之间的任意两次交互进行关联。换言之，“去标识化”或“假名化”都是在结合附加信息的情况下可以实现个人定位，而“匿名化”则是完全无法再次识别。两者对个人信息保护的程度差异可见一斑。在欧盟关于区块链的研究报告中明确提到，区块链所惯常使用的哈希函数、非对称加密、椭圆函数加密等方案，其实都只是“假名化”。具体而言，区块链技术通常是在用户的控制下利用公钥加密算法(例如ECC)生成，但流出和流进某一地址的所有交易记录哈希值都会被记录在区块链的全局账本中，尽管加密使得信息得到了一定程度的保护，但这些存储网络层的传播轨迹，可以追踪与推测出区块链地址对应的真实身份。综上所述，“保密”的范围最大，“去标识化”“假名化”“匿名化”都是保密的一种方式；“去标识化”的范围次之，它包含“假名化”“匿名化”“加密”“哈希函数”等；“假名化”则再次之，它包含了“匿名化”。

在完成相关概念的区分之后，接着要讨论的问题就是，《网络安全法》等个人信息保护规范中对个人信息的“保密”要求究竟是需要达到“去标识化”“假名化”，抑或是要达到更高程度，完全排除再识别可能的“匿名化”？笔者认为，根据“利益平衡”的总立场，“保密”只需要达到“去标识化”即可，而无需达到“匿名化”的程度，原因如下：第一，“匿名化”是完全排除再识别的可能性。从现有技术路径来看，很少有技术能够实现严格意义的“匿名化”。这是因为，一方面，“匿名化”是一个高度动态且不确定性的技术标准。“匿名化”中排除识别可能性的标准必须充分考虑到未来技术的发展。在区块链中，个人信息理论上是永久保存的，按照这一标准，如果把时间轴放置得足够长，那么理论上没有技术可以完全“匿名化”，比如量子计算机的普遍运用。可见，如果按照严格“识别可能”来判断，区块链上所有的个人数据，无论基于何种加密，它都应该被视为个人信息。另一方面，“匿名化”识别的可能性与尝试识别者的技术条件密切相关。世界各国对识别时是否不计时间和成本存在争议。即使是认为应该采用“合理手段”来判断识别可能性的国家内部，也存在争议。比如，英国就认为，判断识别可能性只需要假定具备“合理手段”，这个“合理手段”不包括入侵者有黑客的专业知识或具有“专业的设备”。Information Commissioner’s Office of UK, : ( 2012), p.22-24, https://ico.org.uk/media/1061/anonymisation-code.pdf.个人信息区块链应用的重要目标就包括推动个人信息的可信共享。如果将“保密”设定为“匿名化”，则为区块链创新主体设置无法达到的过高义务。第二，从法律规范的体系来看，“匿名化”由于已经完全排除了再识别的可能性，因此不被以为是“个人信息”，并且也无法恢复为“个人信息”。由此，如果要求区块链在“保密”时必须达到“匿名化”的标准，那么区块链应用于个人信息领域(认证、验真等)的初始目的已无法实现。第三，无论是“去标识化”抑或是“假名化”都显著降低了数据集与数据主体的原始身份之间的可链接性，已经可以起到个人信息“保密”的功能。尤其是“假名化”还要求将识别个人身份的附加信息单独保存并妥善保管，这进一步提升了“保密”的层级。总而言之，按照“利益平衡”的理论，区块链上保存的个人信息只要“去标识化”就已经达到《网络安全法》等个人信息保护规范的“保密”标准，将“去标识化”后的个人信息“上链”应当不被视作公开个人信息。

(三)利益平衡下目的限制与数据最小化的“场景解释”路径

分布式账本中数据的完整性是区块链的核心技术特征之一。从创世区块开始，区块链上的所有数据活动都被详细记录。任何区块的增加原则上都需要对之前的所有区块进行验证。随着特定区块链应用的推进，数据的冗余、效率的降低就成为必然。正因如此，区块链应用于个人信息保护就潜在地与目的限制与数据最小化的基本需求发生冲突。

从解释论角度来看，无论是目的限制抑或是数据最小化，都与对区块链收集个人信息的目的紧密相关。对目的解释标准的宽松与否将直接决定区块链应用于个人信息保护时能否适应目的限制与最小够用的合法性要求。具体而言，严格限定的标准将个人数据使用的目的限缩在原初目的之上，并只做最有限的扩展。数据处理者只要对数据的使用与原初目的有所差异，则需要重新授权。同时，严格的目的解释标准还会使得数据收集的范围、数量、频率局限在限缩的目的之下，进一步提升了区块链适应数据最小化要求的实现难度。毋庸置疑，严格限缩的解释论是对个人信息最大化的保护。然而，大数据时代，数据的价值在多次挖掘中得以体现。数据控制者在收集数据之初无法对所有的可能性做充分的预期，因此也就无法对数据使用目的作出准确的预判。严格限缩的解释论就在某种程度上给数据控制主体带来了较重的合规义务。随着大数据技术的推进，基于“利益平衡”的理论，“场景导向”(contextual approach)的目的解释论被提出。它是指个人信息原始收集时的具体语境应得到尊重，其后续传播及利用不得超出原初的情境脉络。场景导向路径认识到个人信息保护的合理程度要置于其所处的环境中具体审视，避免脱离场景做抽象式的预判。换言之，信息收集目的的解释不是严格的字面符合，而是从最初收集的场景中来判断，考虑是否符合用户的“合理预期”。场景导向的目的解释由于摒弃了严格限缩解释论带来的要么合目的，要么不符合的二元对立划分，而使得对个人信息使用的目的解释具有一定的动态性和弹性。当前，美国主流的数据目的解释便采用此种方式。与此同时，欧盟在目的解释时也一定程度上采用了“场景化”的理念。我们大致可以把欧盟的上述理念概括为“严进宽出”。具体而言，在数据收集之初，对数据控制者设定了严格的要求，不允许数据控制者进行概括性或者抽象意义的目的陈述。作为补充，在数据具体运用过程中，允许目的有一定的弹性解释空间，即允许“适当性使用”，或者说允许一定程度与目的不完全相同的使用。上述理念在GDPR第6(4)(a)条和6(4)(b)条就有明确的体现。

“目的场景化解释”的思路对区块链的运用具有很强的指导意义。也就是说对于利用区块链收集个人信息的目的解释必须充分考虑区块链这样一种独特的技术方式及其应用场景。一方面，不能把个人数据收集的目的限缩为仅与“个人”相关，而是必须考虑到区块链去中心化等场景特征，将共识机制支撑的数据验证与共享也纳入到个人信息区块链应用的目的之中。另一方面，不能将数据最小化的理解限缩为仅与个人相关，或者只考虑单一节点的需要。相反，需要将数据最小化放置到整条区块链所有节点共识机制形成的需求去进行场景化的理解。举例而言，假设存在一个学历验证的公共区块链，用户通过加入区块链上传学历的哈希值用以在特定场合时作为学历验证的使用。那么，这个公共区块链的目的从微观上说是将每个人的学历信息以区块的形式添加到区块链之上，从宏观上说则是实现学历信息的验证与共享。因此，区块链的目的不仅包括初始的个人数据添加，还包括后续所有符合场景目标的数据活动。可见，在场景化的目的解释中，区块链分布式数据库的复制性质和数据的连续存储可以被认为符合目的限制。参见Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p.68.

(四)利益平衡下节点责任划定的“实质控制”路径

本文第一部分已经提及，区块链分布式架构以及全账本的应用，使得一般情况下每个节点都保有完整的数据。在个人信息应用领域，每个节点，尤其是全节点既在本节点完成个人信息的写入，也通过共识机制参与处理(共享)其他节点的数据，因此每个节点形式上符合《网络安全法》“网络运营者”中“网络服务提供者”和《区块链信息服务管理规定》中“区块链信息服务提供者”的定义，权利主体和责任主体发生混同。此时，以“节点”为依据的形式判断标准就可能在实践中遭遇合法性困境。一方面，在区块链，尤其是公共区块链的应用中，特定法律实体极有可能仅出于数据安全备份的考量而选择区块链服务。由于单纯选择数据服务而成为区块链节点，并由此承担安全保障、实名认证、登记备案、应急处置等法律责任，按照权责相统一的原则，显失公平。另一方面，区块链的技术框架高度多元化，“节点”与“节点”之间也存在很大的差异。有些区块链的架构可能使得特定主体以“单纯选择服务”为幌子行“节点”之实。作为划定法律责任承担主体的执法者，不能仅以相关主体自我声明的形式要件来判断是否需要承担责任。因此，对于区块链中心化运营责任履行困境而言，迫切的问题在于建立一种解释框架，既能够对“节点”与“单纯选择服务”作出清晰的划分，又可以促成“单纯选择服务”主体的责任豁免，实现权责的统一。这便是利益平衡下“实质控制”解释论的由来，其实质是刺破“节点”的面纱，分析“节点”承担责任背后的法理，从而破除非此即彼的简单化责任主体划分。

在正式展开分析之前，我们有必要追问一个本源问题，即“网络运营者”为什么以及如何能够承担个人信息保护的责任。尽管我国的相关法律规范没有言明，但从具体的法条可以推知，这种责任是来自于网络运营者对个人信息的“收集”与“使用”以及由此带来的直接或间接收益。欧盟GDPR也是类似思路，即责任来源于对个人信息的“控制”和“处理”。欧盟GDPR采用的是“相对控制”的理念，极大扩张了责任主体的范围。具体而言，GDPR第4(7)条规定“数据控制者”(controller)是指单独或与他人共同确定处理个人数据的目的和方式的自然人或法人，公共当局、机构或其他机构。可以发现，这里的“控制”是相对意义的控制，而并非实质意义的占有或持有数据(in possession)。“相对控制”高度倾向于保护数据主体的，也就是通过扩大责任主体的范围来保障数据主体的权利。2017年的“Facebook Insight案”就是一个典型的例子。该案中，一个教育机构利用“脸书”(Facebook)的服务创建了一个粉丝页面作为和客户的交流工具。每个访问该教育机构页面的用户电脑上都会被放置一个cookie，但无论是“脸书”抑或是该教育机构均没有告知用户。借助收集的数据，教育结构可以通过名为“Facebook Insight”的工具来获知粉丝的基本信息。在这起案件中，教育机构只是单纯地选择“脸书”的一项服务，不开发粉丝页面、不开发分析粉丝信息的工具“Facebook Insight”，也不参与对粉丝数据的处理。然而，主管机构却基于GDPR第4(7)的规定，要求关闭粉丝页面。在主管机构看来，教育机构选择“脸书”粉丝页面的服务，实际上同意了该页面数据收集的目的和方式，因此就和“脸书”成为粉丝个人数据的“联合控制者”。尽管法院最终裁定政府方败诉，但判决意见中仍然采用了“相对控制”的解释路径。法院认定，单纯使用一项服务并不构成“联合控制者”，但是如果选择服务的同时对数据处理产生了影响，则构成“联合控制”。举例而言，按照“脸书”粉丝页面的功能，教育机构可以通过页面来设置关注特定的用户信息(例如人口统计和地理数据，或有关兴趣，购买和生活方式的信息)。脸书也可以通过“Facebook Insight”的工具收集处理这些信息，并反馈给教育机构，用以优化服务。那么此时，教育机构就与“脸书”成为“联合控制者”。可见，按照欧盟法院的意见，成为联合控制者的门槛极低。如果按照欧盟的理念，区块链服务的应用者极易视为“共同控制者”，因为区块链存续是依托共识机制，运用区块链服务的前提是同意特定的共识机制，也就符合GDPR的4(7)条中规定的“共同确定数据处理目的和方式”。这种“相对控制”的理念的弊端显著，因为作为单纯的服务选定者，即使参与了共同目的的形成，但服务使用者绝大多数情况下对于数据的处理目的只有有限的影响力(微乎其微)，对于数据的处理方式则毫无影响力。即使相关节点(尤其是公链的个人节点)想要履行应急处置、信息审核等法定义务，也会因为没有实质控制个人信息而无法实现。

因此，从“利益平衡”角度来看，区块链责任主体的确定必须采用“实质控制”原则来划定责任主体范围，具体标准有两方面：其一，主体需要对数据的收集目的和使用方式有实质影响，单纯选用服务不构成对数据收集目的和使用方式的实质影响；其二，主体还需要对数据享有实质的控制权，这个控制权不是一般意义的形式控制(control)而是实质意义上的控制(possess)。只有同时具备两个条件，才构成《网络安全法》上的责任主体，才能依法履行数据保护的相关责任。举例而言，一个银行决定用区块链来存储特定的账户交易信息，它不仅决定了处理数据的方式，还决定了哪些数据需要用这种处理的信息主体以及信息处理的目的(交易)。此时，按照“相对控制”的理念，银行已经是数据的共同控制主体，但是按照“绝对控制”的理念，还要判断银行是单纯使用某项区块链服务，还是作为节点参与到共识中。如果是后者，则银行不仅实质影响了数据处理的目的和方式，也实质掌握了数据(全局账本)，因此是当然的网络运营者。如果是前者，银行由于并未实质掌握数据，那么数据控诉者的责任就由提供区块链服务的主体承担。实际上，实质控制既是相关主体承担责任的前提，也是承担责任的保障。如果一个主体没有形成对个人信息(数据)的实质控制，安全保障、信息修改、信息删除的责任事实上也无法承担。有学者在分析GDPR与区块链的冲突时就指出，因为个人节点的特殊性，使得GDPR许多数据处理的要求“毫无意义”。参见Clare Sullivan & Eric Burger, - , 33 Computer Law & Security Review 460, 479(2017).“实质主义”的判断路径平衡了信息主体与网络运营者之间的身份竞合，既有助于“节点”与“单纯选择服务”的区分，也有助于将个人节点排除在责任主体之外，为破除责任混同创造条件。

三、区块链与个人信息保护法律规范衔接的制度展开

(一)“相对删除”路径的展开：“脱链存储”与“密钥删除”

在“相对删除”路径指导下，通过构建个人信息区块链应用“脱链存储”与“密钥删除”的标准，可以在保持区块链核心特性的基础上满足删除个人信息的规范需求。

“脱链存储”是将个人信息储存在单独的“脱链数据库”中，仅通过散列链接到区块链的分布式分类账中。在区块上仅保留索引信息以及个人信息转换的哈希值。哈希值成为避免个人信息泄露的关键控制要素。当信息主体要求删除个人信息时，区块链服务提供者只要删除区块之上哈希值与脱链数据库中特定个人信息的“可连接性”(linkability)即可实现，且不会破坏整个区块链。当然，此种方案是以一定程度上牺牲个人信息的安全性、透明性和效率性为代价的。举例而言，个人信息脱链将面临管理难题，信息主体无法确定谁访问了数据，以及谁可以访问数据且容易遭受黑客攻击。但“脱链存储”能使得区块链完全符合个人信息保护中的删除要求。参见Carlo R.W. De Meijer, , Finextra(October 9, 2018), https://www.finextra.com/blogposting/16102/blockchain-versus-gdpr-and-who-should-adjust-most.当接收到删除请求时，责任主体可以把区块链之外的脱链数据库完全删除。当然，哈希函数在技术上虽然具有极高的破解难度，但其并非真正意义上的“匿名化”操作。因此，即使是脱链存储，在区块链上有关个人信息的哈希函数仍然是个人信息。也正因如此，此种方式仍然属于“相对删除”。

此外，密钥删除也是调和区块链技术特征与个人信息删除矛盾的有效方案，此种方案不删除储存在区块之上的数据，而是通过删除解密密钥的方式来实现删除。比如将A是本科学历的信息记录在区块链上，同时对A的个人身份进行加密处理。在收到删除个人信息的申请时将A对应个人身份的解密密钥删除。此时，A是本科学历的信息仍然储存在区块之上的分布式账本之中，但是所有节点都只能访问未解密A身份的学历信息。参见Andrew Arnold, ?, Forbes(November 20, 2018), https://www.forbes.com/sites/andrewarnold/2018/11/20/can-blockchain-help-brands-become-gdpr-compliant/#315949c51203.当然，个人信息在区块链之上通过加密的方式形成的数据仍然应该被视为个人信息，其只是实现了“假名化”，而非不可逆的“匿名化”，因此也同样属于“相对删除”，毕竟获取密钥就有可能再次恢复相应的数据。不过从现有技术来看，删除解密密钥使得该份信息虽储存在区块链上，但其他节点只能访问未解密的信息以满足验证的需求，个人信息“名存实亡”，从“相对删除”的视角来看已经等效于被删除。在英国，此种方案被视为完成了“删除”。英国ICO发布的指南就对此作了说明。英国ICO对“相对删除”的解释为：如果因为技术原因无法实质删除数据，则只要满足以下四个条件就可以视同删除：(1)无法或不会尝试使用个人数据；(2)不允许其他组织访问个人数据；(3)采用适当的技术保障数据安全；(4)承诺在可能的情况下永久删除。通过数据的加密结合密钥的彻底删除，在现有技术条件下，无论是网络运营者抑或是其他主体事实上都难以有效访问个人信息，因此可以视作数据被删除。参见Information Commissioner’s Office of UK, , https://ico.org.uk/media/for-organisations/documents/1475/deleting_personal_data.pdf.

值得注意的是，近期有研发主体完成了“可编辑区块链”(editable blockchain)的专利申请工作，其实质是利用“变色龙哈希函数”(chameleon hash)在每个区块上安装一个可以编辑的“后门”，由此实现区块链信息的可删除、可编辑。该专利的核心目标是为了满足政府对区块链的监管需求而牺牲区块链核心的去中心化和不可撤销性的技术优势。在“可编辑区块链”的应用场景中，由于哈希函数的可变性，它无法形成多节点的共识，而只能在使用“变色龙哈希函数”的两个节点间形成共识。由此，区块链赖以生存的共识机制也遭到破坏。试想，如果区块链可以实现数据的篡改那么还如何实现去中心化的共识。也就是说，“可编辑区块链”的运用已经在某种程度上使得区块链有名无实，与区块链得以立足的创新背道而驰。正因如此，笔者并不认为“可编辑区块链”是调和区块链应用与个人信息删除之间冲突的合法性工具，尽管它在技术上也可以破除个人信息删除的合法性困境。

(二)“去标识化”路径的展开：“非明文存储”与“承诺模式”

既然按照“利益平衡”的解释论，区块链个人信息应用只要达到“去标识化”便符合法律规范的保密需求，那么，解决区块链信息透明与个人信息隐秘性冲突的方式便是明确规定“上链”的个人信息必须采用“非明文存储”与“承诺模式”相结合的方式。正如“法国国家信息自由与发展委员会”(Commission Nationale de l’Informatique et des Libertés，简称CNIL)所强调的：“保护区块链上的个人信息重点在于不要将个人数据以明文形式存储在区块链上”。CNIL, : (November 6, 2018), p7, https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data.由于全局账本的存在，那种将个人信息明文放置在区块链之上的做法直接与个人信息保密责任形成冲突。本文第二部分已提及，哈希函数、非对称加密、公钥和私钥都属于加密的方式，都达到了“去标识化”的要求，因此个人信息无论通过哪种方式，只要不是明文方式上链，都可以视作达到个人信息保护规范要求的“保密”要求。为贯彻“非明文存储原则”，个人信息应还可以进一步通过“承诺模式”(commitment)在区块链上进行登记，从而在通用“去标识化”的基础之上进一步加密。作一个形象的比喻，可以将“承诺模式”想象为信息主体将个人信息放入一个锁着的盒子里，然后将盒子交给接收方(区块链/上链)。盒子里的信息对接受者是隐藏的，接受者无法自己开锁。同时，因为接收者盒子的存在，信息主体也无法自行修改相关信息。如果发送者决定特定时候给接收者以钥匙，则信息就会显示。换言之，“承诺”是一种冻结数据的加密机制，它可以通过附加信息(承诺)来确定哪些数据已被冻结，也可以通过附加信息(承诺)来查找或识别特定数据。通过“承诺”机制，个人信息的控制权将牢牢掌握在信息主体手中，即便该信息上链，其他主体也难以知晓其中内容。

(三)“场景解释”路径的展开：“区块链修剪”与“零知识证明”

场景化的目的解释可以有效地回应区块链个人信息应用中面对的目的限制的需求。在此基础上，通过区块链修剪与零知识证明技术就能够回应数据最小化的要求，从而实现目的限制与数据最小化的合法化应对。

所谓区块的修剪(pruning)是指从节点的本地储存删除非关键区块链信息的过程。本文已经反复提及，通用区块链技术采用去中心化的分布式存储模式，每个节点地位平等，并均保有区块链自创始区块以来内容的完整副本(全局账本)。截至2021年10月5日20时，从2009年1月9日的创世区块开始，比特币共有703,672个区块，发生了超过6.76亿次的交易，数据总体量为367.82GB；同时段，从2015年7月30日的创世区块开始，以太坊共有13,358,974个区块，发生了超过13.1亿次交易，数据的总体量为295GB。换言之，每个比特币或者以太坊的节点，不仅需要准备数百GB的空间，并且每新增一次交易都要遍历所有节点，对既往数亿次的交易进行验证，这极大地降低了区块链的运行效率。修剪后的节点具有大多数重要信息，并且仍然可以支持共识机制的形成。举例而言，比特币目前的修剪方式就允许节点只存储550个区块来进行交易验证。尽管节点账本的体量在修剪后有了显著下降，但550个区块的信息仍然包含完整的区块头和区块体。因此，不同于只储存区块头的“轻量级节点”，修剪的节点被认为是完整的节点，也可以验证事务并参与共识。根据最新研究显示，采用选择性修剪技术，可以使得区块链的账本体量下降84.49%。参见Emanuel Palm, Olov Schelén &Ulf Bodin, , 2018 Crypto Valley Conference on Blockchain Technology (CVCBT), p.31.实际上，“轻量级节点”与“区块修剪”技术结合可以进一步下降区块链账本的体量。

所谓“零知识证明”(zero knowledge proof，简称ZKF)可以看作是一种协议，通过该协议可以在不使用任何密码或其他敏感数据的情况下促进数字身份验证过程结果，无论从发送方还是接收方的任何信息都不会受到任何损害。参见Shiraz Jagati, - , , Cointelegraph(NOV 18, 2019), https://cointelegraph.com/explained/zero-knowledge-proofs-explained.通俗来讲，“零知识证明是指一方(证明者)向另一方(验证者)证明一个陈述是正确的，而无需透露除该陈述正确以外的任何信息”。经典的零知识证明便是“阿里巴巴洞穴”。目前，零知识证明的机制已经被应用于区块链相关的个人身份验证之上。同样以个人学历信息验证的区块链应用为例。传统上，个人在寻找工作时，工作单位可能需要验证应聘人员是否具有本科学历。按照传统的验证方式，应聘人员需要提交本科学历证书。在这个过程中，其实存在大量的信息冗余，因为用人单位很可能只需要知道是否具有本科学历，而不需要知道学历签发的时间、专业、签发人、毕业学校等。将这个例子平移到区块链的个人信息应用就会发现，传统区块链架构需要保存个人特定的完整信息以满足验证的需要，而这一保存行为其实并不是最优的选择。零知识证明引入区块链的实质是允许个人不向用人单位共享学历证书的情况下证明自己具有本科学历。也正因如此，“零知识证明”机制的运用将会极大推动区块链数据最小化的实现。有机构就声称可以通过不断递归，实现区块链账本体量由GB向KB的缩减，从而使得移动端也可以即时同步区块链数据。参见: , Medium(May 10, 2018), https://medium.com/codaprotocol/coda-keeping-cryptocurrency-decentralized-e4b180721f42.

(四)“实质控制”路径的展开：许可区块链与轻量级节点

1. 许可区块链优先。区块链是一种极具变化的应用技术，以“是否需要许可”为标准可分为“无许可区块链”(permissionless blockchain)和“许可区块链”(permissioned blockchain)。前者是指个人或者机构不需要许可即可以自由访问和添加数据的区块链；后者是指个人或者机构需要许可才能访问和添加数据的区块链。参见Bruce Bennett et al., , Insideprivacy(July. 24, 2018),https://www.insideprivacy.com/international/european-union/the-gdpr-and-blockchain/.同时，以场景和设计体系为标准还可分为公共链 (public blockchain) 、联盟链 (consortium blockchain)和私有链(private blockchain)。一般而言，私有链和联盟链是许可区块链，而公共链则是非许可区块链。从破除区块链应用的责任混同和责任不能困境角度出发，一个最为有效的合法化路径就是明确规定个人信息的区块链应用必须遵循许可区块链优先的原则。

前文已经提及，按照“实质控制论”的解释，对个人信息的实质控制既是网络运营者/区块链服务提供者相关责任(删除、更正、登记、审核)的来源，亦是履行责任的条件保障。从这个角度出发，“无许可区块链”的技术特征与个人信息保护责任体系具有极强的冲突性。众所周知，“无许可区块链”属完全分布式，各节点自由加入，共同维护全部交易数据。在上述架构中，通常没有一个单一的法律实体来决定所有节点的软件、硬件。相反，这些决定是由一系列不同的参与者根据自身情况分散做出的决策。也就是说，无许可区块链节点之间的数据验证与共享主要取决于预先定义的服务器协议，个人节点对区块链的数据处理的目的和处理方式没有实质影响力。因此，无许可区块链的技术特点会造成一种悖论，即按照“相对控制”的解释路径，所有公共区块链的个人节点都是网络服务者，因此需要承担相应的法律责任。然而，个人节点由于资金、技术等多方面的限制事实上无法承担责任；反之，如果按照“实质控制”的解释路径，所有公共区块链上的个人节点都可能不是网络服务者，那么整个公共区块链就可能没有承担责任的主体。也就是说，无论按照“实质控制”还是“相对控制”，公共区块链的架构选择都会陷入责任混同与责任不能的困境。

与非许可区块链形成鲜明对比的是，许可区块链(私有链和联盟链)的架构设计能够较好地贴合“实质控制论”的需求，从而为责任混同和责任不能的解决提供可能。首先，“许可区块链”的节点通常由一个法律实体发起，其背后是一个已知的中心化机构对区块链进行直接管理。参见Michèle Finck, : ?, European Parliamentary Research Service(July 2019), p.5.由此，也就当然具有可以承担法律责任的数据实质控制节点。其次，“许可区块链”相对封闭，只对特定的组织或人群开放。在“许可”的过程中可以对节点的资金、技术、人员的实力进行有效审核。节点也可以采用相同的软件、硬件以及区块链的基础设置。由此，加入的节点也具有实质控制数据的能力。再次，“许可区块链”的节点群体较为稳定，节点无法随意加入与退出，因此责任主体的配置具有稳定性。最后，“许可区块链”还可以在节点加入时通过签订协议的方式明确各自的权利义务，从而有效地避免了责任的混同问题。因此，从个人信息保护的角度来看，许可区块链节点的设立与其成员的法律关系能较好地兼容于现有法律责任体系，监管难度低。“欧盟区块链观察站与论坛”也认为，“许可区块链”比“无许可区块链”能更好地应用于个人信息保护。参见Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p14.

2. 轻量级节点构建。“实质控制”的解释论固然能够使得单纯选择服务的个人豁免于节点的责任。然而，节点的实质是参与共识，是对数据的控制。成为节点固然会增加相应的责任，但个人同样可以通过节点来加强对个人信息的控制。因此，成为节点和单纯选择服务对于个人信息的控制不可等量齐观。由此，便形成一种矛盾：个人想要更好地控制区块链上的个人信息，就必须成为节点，然而成为节点又可能需要承担网络运营者的责任。轻量级节点技术的出现使得用户可以享受对个人信息有效控制的基础上，同时又不至于对其他节点的数据形成“实质控制”，因此是当前技术条件下的一条最优的路径。

“轻量级节点”(lightweight node)是相对“全节点”(full node)而言的，是区块链技术发展的必然需求。节点是存储完整或部分区块链副本并参与新块验证的计算机。参见Tom Lyons et al., , a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16, 2018), p46.在采用全节点的分布式存储中，公民个人通过区块链应用的客户端完成区块链节点建设后，客户端会在互联网上搜寻区块链的其他节点，并记录每个节点的IP地址。当发现自己节点上的区块链高度低于其他节点时，就会通过共识机制把最新的区块链同步到自己的节点上。因为区块链采用链式存储，每个数据区块依次叠加，因此最高的区块链就是最新的区块链。同样，如果公民完成在自己接入上的数据写入，那么其他节点也通过相同的机制完成全局账本的更新与共享。可以预想，在公链的环境下，当节点数量过大时，共享对资源的需求就越大。因为每个节点都可能随机地更新数据区块，一经更新，其他节点也要同步更新。随着数据量的增加，同步的耗时就会越来越大。因此，随着区块链技术的发展，就出现了“轻量级节点”的概念。

众所周知，完整的区块(block)包括为区块头(header)和区块体(body)两个部分。前者用以储存本区块哈希值、上一区块哈希值、时间戳以及默克尔根(Merkle root)根等信息，其中默克尔根是节点之间区块链校验的关键设置，它可以理解为所有区块链信息汇总之后形成的一个数据指纹，任何区块链信息的变化都会影响这个数据指纹的状态。区块体则储存着区块链上所有的信息。在个人信息应用领域，是每个主体上链的所有个人信息之和，以及个人信息交互的所有数据。可见，区块体才是全局账本构建的关键，它包含了全局信息，而区块头只包含有限的信息，主要用于数据验证。换言之，个人信息保护的区块链应用中，公民可以以轻量级节点的形式参与共识。具体而言，就是个人节点只保存自己全部信息，同时只获取其他节点的区块头信息。由此，个人节点既参与了整个区块链共识，享受了区块链防篡改等安全保障，同时因为只获取其他节点的区块头信息而并不会实质处理其他节点的个人信息。它不验证自己目的所需之外的任何信息。之所以能够选择轻量级节点来存储个人信息，是因为在个人信息的区块链应用中，不需要类似比特币的“双花”交易验证，而只需要通过简化验证机制(Simplified payment verification，简称SPV) 验证特定交易是否在区块链中，而不需要下载全局账本。此时，验证所需的信息就不需要完整的全局账本，而只需要区块头的信息即可。完整节点通过允许轻量级节点连接并将信息传输到区块链网络。因此在完整节点与轻量级节点的二元化分中，完整节点才是提供服务的节点。

结语

本文通过利益平衡的解释论为区块链与个人信息保护规范的衔接提供了利益平衡的解决方案，也为区块链在个人信息保护方面的应用扫除了部分障碍。然而，需要明确的是区块链在个人信息保护上的应用应恪守必要性原则，即当个人信息处理不需区块链即可实现特定目的时，就应采用其他可行方案。区块链并非无所不能，网络运营者需要慎重考虑在相关个人信息保护的应用中采用区块链技术的必要性。如果决定采用，则需要关注技术的合规问题。尽管，解释论已经能够较好地回应区块链在个人信息保护应用过程中的合法性困境，但在未来立法上仍然可以就个人信息保护的诸多关键概念予以明确，降低适用的不确定性。同时，立法也要充分考虑区块链技术的特点，构建适合区块链发展的责任主体识别标准及责任体系。这些内容，都是未来可以进一步展开的研究。