<output id="5zixi"></output>
<output id="5zixi"><legend id="5zixi"></legend></output>
<p id="5zixi"><del id="5zixi"><div id="5zixi"></div></del></p>

<tr id="5zixi"><label id="5zixi"></label></tr>
<p id="5zixi"></p>
  • <tr id="5zixi"><label id="5zixi"></label></tr><td id="5zixi"><ruby id="5zixi"></ruby></td><acronym id="5zixi"><meter id="5zixi"></meter></acronym><object id="5zixi"><strong id="5zixi"><address id="5zixi"></address></strong></object>
    區塊鏈與個人信息保護法律規范的內生沖突及其調和
    2022/5/17 8:27:13  點擊率[912]  評論[0]
    【法寶引證碼】
      【學科類別】民商法學
      【出處】《法學論壇》2022年第3期
      【寫作時間】2022年
      【中文摘要】盡管區塊鏈在個人信息保護領域有重大應用前景,但其技術架構與個人信息保護規范存在內生沖突。這體現在區塊鏈不可篡改性與個人信息刪除、更正的沖突,區塊鏈信息透明與個人信息保密規范的沖突,區塊鏈完整性與個人信息目的限制、數據最小化的沖突,區塊鏈分布式架構與個人信息中心化責任體系的沖突。考慮到個人信息法益的特殊屬性,需要采用“利益平衡”的立場來選擇區塊鏈與個人信息保護規范銜接的路徑。這就要求依據“相對刪除論”判斷個人信息刪除、依據“去標識化”評價個人信息保密、采用“場景化解釋”分析數據收集的目的、采用“實質控制論”劃定責任主體范圍。依據上述路徑,在制度上明確個人信息區塊鏈應用必須遵循的脫鏈存儲與密鑰刪除、非明文存儲與承諾模式、許可區塊鏈與輕量級節點、區塊鏈修剪與零知識證明的技術架構,由此實現區塊鏈與個人信息保護法律規范的有效銜接。
      【中文關鍵字】區塊鏈;個人信息保護法;利益平衡;網絡運營者;個人信息主體
      【全文】

        引言
       
        近年來,有關區塊鏈技術和個人信息保護相結合的討論日益豐富。與論者認為區塊鏈中加密算法、共識機制、去中心化存儲和智能合約等要素能夠有效化解當前個人信息保護面臨的困境,為知情同意、隱私保護、數據安全、數據共享帶來全新可能。[1]首先,區塊鏈分布式賬本的數據架構能夠避免中心化的個人信息存儲帶來的弊端,個人可以通過節點掌握個人數據的使用,從而獲得對自己數字信息和在線身份的控制權;[2]其次,區塊鏈鏈式存儲和不可篡改的特性,使得鏈上記錄了從創世區塊開始的所有信息。個人信息訪問、交互的所有行動均被記錄,且不可篡改、刪除與偽造。[3]再次,區塊鏈利用加密算法可以極大提升個人數據的安全性。[4]最后,區塊鏈去中心化的信任機制以及加密算法的運用可以實現不需要第三方機構信任背書的個人信息安全共享。[5]
       
        隨著區塊鏈技術的發展,不少國家與地區的官方機構開始關注區塊鏈在個人信息保護領域的可能,相關的實踐也在一定范圍內推動。歐洲議會2019年發布的研究報告《區塊鏈與通用數據保護條例》(Blockchain and the General Data Protection Regulation),對區塊鏈在個人信息保護方面的應用做了全面的分析。與此同時,歐盟委員會也推動成立“歐盟區塊鏈瞭望臺與論壇”(EU Blockchain Observatory andForum),旨在加速歐盟內部的區塊鏈創新和區塊鏈生態系統的發展。該機構成立后發布了多份區塊鏈與個人信息結合的研究,比如《區塊鏈與GDPR》(Blockchain and the GDPR)《區塊鏈與在線身份》(Blockchain and Digital Identity)。[6]2019年9月,德國正式發布國家區塊鏈戰略,對該技術在個人征信等諸多領域的應用做了全面規劃。[7]在頂層規劃的推動下,結合區塊鏈技術展開的個人信息創新項目開始在世界范圍內方興未艾。總而言之,區塊鏈影響現已超越金融領域,開始向身份管理、民主參與、公司治理等諸多領域擴展。[8]
       
        與個人信息保護的結合,同樣是我國區塊鏈發展的重要方向。2019年10月24日,習近平總書記在中央政治局第十八次集體學習時就明確提出,“把區塊鏈作為核心技術自主創新重要突破口”“探索利用區塊鏈數據共享模式”。有學者認為,區塊鏈可以加大對個人信息商業化的規范力度,強化對信息主體的保護,實現通過信息科技手段科學管理和規范個人信息交易的目標。[9]在國家網信辦發布的五批境內區塊鏈信息服務備案的1238個區塊鏈應用中,有多個直接涉及身份認證、征信管理、電子證照共享等方面,涉及知識產權、金融股票、房產交易、數據資產等個人財產、交易信息存證的區塊鏈則占據了更大比例。可以預見,在頂層規劃與實踐需求的雙重加持之下,我國區塊鏈與個人信息結合的應用將會日益豐富。
       
        然而,在肯定區塊鏈應用于個人信息領域的前景的同時,我們也不能忽視從形式上看區塊鏈的技術邏輯與現有的個人信息法律規范之間存在的不同程度的沖突與抵牾。舉例而言,區塊鏈以數據的不可篡改性為核心特征并構建去中心化的信任機制,然而個人信息保護法律規范中普遍允許信息主體請求刪除和更正個人信息。由此,個人信息刪除與更正在區塊鏈的應用中如何實現?更為重要的還在于,我國現有個人信息保護的規范整體上較為抽象,相關核心概念帶有不確定性。這進一步加劇了區塊鏈在個人信息保護領域應用的合法性困境。舉例而言,個人信息保護法律規范允許網絡運營者在匿名化的前提下使用信息而免于刪除。然而,現行法律規范對何謂“匿名”的界定相對抽象,如《個人信息保護法》(下稱《個保法》)第73條。隨之而來便是一系列相關的問題,比如經過哈希函數轉化并“上鏈”的個人信息是否屬于匿名化?現有法律規定,網絡運營者在收集個人信息時需要“保密”,采用公鑰和私鑰加密是否滿足“保密”需求?區塊鏈各節點地位平等,既處理本節點的數據,也通過共識機制驗證和共享其他節點的數據。按照此種結構,個人作為公共區塊鏈節點(尤其是全節點)時實際上既使用服務又為其他節點提供服務。那么個人是否構成“網絡服務者”“區塊鏈服務提供者”或“個人信息處理者”?如果構成,個人如何承擔《網絡安全法》《個保法》所賦予的一系列安全保障、登記注冊、刪除更改的義務?上述合法性困境從表面上看起源于法律文本與區塊鏈技術特征的內生沖突,但究其深層原因則與個人信息保護規范的抽象性與核心概念的不確定性緊密相關。因此,區塊鏈應用合法性困境的解決就不能僅僅圍繞法律文本展開,而是要跳出法律文本,對“絕對刪除”與“相對刪除”、“去標識化”“假名化”與“匿名化”、“實質控制”與“相對控制”、“目的限縮解釋”與“目的場景解釋”等多組相互沖突的理論路徑進行選擇。當然,這些路徑的選擇并非天馬行空,而是要受利益平衡立場的影響。概而言之,立場決定了合法化路徑的選擇進而決定了合法化方案的確定。唯有遵循從路徑證成到制度展開的邏輯,才能使得脫鏈存儲、密鑰刪除、非明文存儲、承諾模式、許可區塊鏈、輕量級節點、區塊鏈修剪、零知識證明等具體銜接方案具有統一的指向性和充分的理論來源。
       
        一、區塊鏈與個人信息保護法律規范的內生沖突
       
        區塊鏈的技術發展日新月異,不同的主體可能采用不盡相同的技術架構。比如一般而言,區塊鏈的各節點地位平等,然而,聯盟鏈和私有鏈卻允許“超級節點”存在。又比如通用區塊鏈中各節點均為完整節點,保有全局數據,但也不排除特定區塊鏈中存在“全節點”和“輕節點”的區分,前者保留全局數據,后者僅保留與節點服務相關的數據。因此,本部分的探討更多是從通用區塊鏈技術的一般特征展開,也就是大家慣常所了解的分布式存儲、共識機制、加密算法、智能合約等技術特征。整體而言,被譽為第四次工業革命發動機的區塊鏈技術固然與個人信息保護的理念存在諸多契合之處,但同時也與我國現行的法律規范形成不同程度的沖突。
       
        (一)區塊鏈不可篡改性與個人信息刪除、更正的沖突
       
        我國個人信息保護的法律規范奉行個人信息控制的理念,并由此演化出系列制度設計,其中就包括個人信息的刪除和更正。《網絡安全法》第43條規定,個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。《侵權責任法》中亦有被侵權人有權通知網絡服務提供者予以刪除的規定。雖然,上述規范并未言明“刪除權”和“更正權”,但從現有立法的發展趨勢上看,“刪除”與“更正”有權利化認定和權能擴張的可能。《民法典》關于個人信息“更正”和“刪除”的規定就在“第四編人格權”之下。《個保法》則在“第四章個人在個人信息處理活動中的權利”中規定更正、補充與刪除的權利,并對上述權利的適用情形做了超過《網絡安全法》的擴張。總之,“刪除(權)”與“更正(權)”是個人信息保護法律規范體系的重要內容。個人信息以“同意”開始,以“更正”居中,以“刪除”結尾,貫穿于個人信息使用的全生命周期。
       
        然而,區塊鏈以不可篡改性為核心技術特征。該特征使得個人信息區塊鏈應用直接面臨信息刪除與更正的規范沖突。具體而言,區塊鏈是區塊按時間順序生成、以鏈的方式組合在一起的分布式賬本系統,系統中的各方共同參與數據的寫入和維護,同時系統中各方都擁有實時更新的數據庫副本。數據的鏈式結構儲存保障了數據只可以被寫入或讀取,[10]并依靠區塊間的哈希指針和區塊內的Merkle樹實現鏈上數據的不可篡改。工作量證明(PoW)、權益證明(PoS)等共識機制保證單一節點數據難以通過分叉攻擊篡改歷史數據。[11]當有節點試圖單方篡改或偽造數據時,由于未達成節點共識,將被其他節點同步覆蓋,從而保證數據的完整性和穩定性。[12]可見,區塊鏈的上述技術特征使得數據一旦寫入區塊鏈,只具備“增”和“查”的功能,而不具備“刪”和“改”的功能。由此,在個人信息保護領域大范圍引入區塊鏈創新時就會面臨信息刪除和更正無法有效行使的困境。盡管《個保法》第47條第2款引入“刪除豁免”制度試圖回應上述困境,規定“刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理”,但考慮到在傳統區塊鏈的技術架構中,任何新區塊的添加都要對已有區塊進行驗證,這使得在區塊鏈技術上難以實現只“儲存”不驗證的制度設計。
       
        (二)區塊鏈信息透明與個人信息保密規范的沖突
       
        在我國個人信息保護的法律規范體系中,網絡運營者需要對收集的個人信息進行保密。《關于加強網絡信息保護的決定》第3條和《網絡安全法》第40條均明確規定,網絡服務者/網絡運營者應當對其收集的用戶個人信息嚴格保密。《個保法》第25條規定,“個人信息處理者不得公開其處理的個人信息”。其中“不得公開”也包含保密的要求。可見,保密性是個人信息保護規范體系的重要內容。它起源于個人信息所具有的人格利益屬性。有學者還進一步將信息保密解釋為個人信息權中的信息保密權,即“本人得以請求信息處理主體保持信息隱秘性的權利。”[13]如果個人信息的隱秘性無法得以保障,信息主體對其個人信息就難以控制。這不僅可能會侵害個人基本權利或精神利益,還有可能會危害個人的人身安全和財產安全。[14]
       
        然而,區塊鏈全局賬本完整、公開與同步的技術架構使得信息透明成為區塊鏈的核心特征之一。尤其在個人信息與區塊鏈相結合的應用場景中,個人信息本身就是區塊鏈所公開記載的內容。由此便可能與個人信息保密性的需求形成直接沖突。這可以從三個方面展開:首先,區塊鏈采用鏈式存儲架構,全局賬本包含初始創始區塊到最新區塊的所有數據。[15]其次,區塊鏈通過公開性保障公信力,任一節點的信息都必須公開給所有參與節點。最后,任何節點的信息公開后,其他節點通過共識機制驗證后完成數據的同步。如果區塊鏈被應用于個人信息的存儲,那么當用戶在一個節點完成個人信息上鏈時,其他節點也會通過共識機制校驗和共享上述信息。每個節點的鏈上個人信息相較于其他節點而言實質上是透明的。這就使得區塊鏈的個人信息保護創新應用需要面對保密性的合法性困境。
       
        (三)區塊鏈完整性與個人信息目的限制、數據最小化的沖突
       
        所謂“目的限制”(purpose limitation)是指個人信息在收集時應當明確目的,并且數據的使用不能超過該目的約定的范圍;所謂“數據最小化”(data minimization),也稱“最少夠用”“最短期限”,它是指除與個人信息主體另有約定外,只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量并只保存最短的期限。總的來說,“目的限制”和“數據最小化”旨在應對個人信息保護領域普遍出現的超范圍收集、強制授權、過度索權、無限保存等突出問題。在《個保法》發布之前,上述原則零星地分布在特定的規范性文件中。比如《網絡安全法》第41條規定網絡運營者要“明示收集、使用信息的目的”;《兒童個人信息網絡保護規定》第15條要求兒童個人信息處理奉行“最小授權”原則。此外,相關標準、規范、指南中也明確提及“最小夠用”“數據最小化”。比如公安部2019年發布的《互聯網個人信息安全保護指南》就提到“對被授權訪問個人信息數據的工作人員按照最小授權的原則,只能訪問最少夠用的信息,只具有完成職責所需的最少的數據操作權限”。《個保法》系統吸收了上述原則,在第6條、第14條和第20條規定,處理個人信息應當具有“明確的目的”、采取對個人權益“影響最小”的方式、限于處理目的的“最小范圍”,處理目的變更時“應當重新取得個人同意”,個人信息保存期限應為實現處理目的所必須的“最短時間”。
       
        區塊鏈與目的限制原則、數據最小化沖突的根源就在于目的限制和數據最小化強調個人信息數量、類型和使用的最低點,而區塊鏈技術追求數據的完整性和永久性。區塊鏈之所以強調數據的完整度、全面度和永久性,是為了保障各節點之間驗證賬本與更新賬本,促進區塊鏈共識協議的形成。[16]但此點也不可避免地造成了與目的限制和數據最小化的對立。具體而言,區塊鏈的分布式賬本中,任何該網絡的參與者均可保留完整的分類賬副本,并且所有副本的內容完全相同,每一次交易的進行,都會在賬本上留痕,永久存儲,從而導致相關個人信息的多次復制、持續處理。在區塊鏈上使用個人信息(無論是公鑰還是交易數據的形式)執行加密資產交易的情況下,即使該交易已成功完成,從某種意義上講,該個人信息仍將持續存儲在分類賬本中,并繼續根據其所使用的共識算法進行處理。[17]這不僅在一定程度上超出了目的的設置,還因為節點數據的完整性而產生大量數據冗余,由此便與目的限制和數據最小化形成直接沖突。
       
        (四)區塊鏈分布式架構與個人信息中心化責任體系的沖突
       
        我國現有的個人信息保護的法律責任體系是建立在對個人信息中心化收集與處理的假定之上。依據這樣的假定,責任主體與權利主體的界限清晰明確。舉例而言,《網絡安全法》中將責任主體明確為“網絡運營者”,并進一步細分為網絡所有者、網絡管理者和網絡服務提供者。在《區塊鏈信息服務管理規定》中主體被明確為“區塊鏈信息服務提供者”,這實際上是“網絡運營者”中“網絡服務者”在區塊鏈信息服務場景中的再細化。在個人信息保護場景中,與“網絡運營者”對應的權利主體則是“個人信息主體”,也就是個人信息所標識或關聯到的自然人。按照這一組對應關系,“網絡運營者”需要承擔個人信息保護的諸多義務,比如安全保障等。“個人信息主體”可以要求“網絡運營者”履行特定的義務,比如信息的更正與刪除。當“網絡運營者”違反法律規定時,還可能面臨國家的懲罰。換言之,現有的法律體系傾向于認為對于個人信息保護而言,始終至少有一個或若干個自然人、法人承擔數據保護的責任。
       
        然而,區塊鏈分布式存儲的方式形成了去中心化的數據結構,這使得區塊鏈的節點發生權利主體與責任主體的競合,進而出現責任的混同與失靈。這具體可以從兩個方面展開:其一,每個節點都是網絡服務提供者,對數據進行收集和處理。由于共識機制的存在,每個節點在寫入數據的同時還與其他節點進行數據的共享。將區塊鏈節點視作責任主體的理念已經被2019年出臺的《區塊鏈信息服務管理規定》所吸收。該規定第2條第3款規定:“本規定所稱區塊鏈信息服務提供者,是指向社會公眾提供區塊鏈信息服務的主體或者節點”。其二,在公民個人作為節點的場景下,個人節點兼具網絡服務使用者和網絡服務提供者雙重身份。舉例而言,公民A通過區塊鏈保存個人信息并成為一個A節點,那么A節點在保存A個人信息的同時還需要保存整個區塊鏈的全局賬本。在共識機制的運行過程中,A節點實際上積極參與了其他節點個人信息的處理。也正因如此,A就既是“個人信息主體”,又是“網絡服務提供者”。他/她既享受區塊鏈的服務,也在利用他人所有或者管理的網絡對其他節點提供區塊鏈服務。尤其在部分個人信息保護區塊鏈應用中包含個人特定信息交易的設置,此時服務的屬性就更加顯著。[18]可見,區塊鏈的分布式的數據架構使得責任主體和權利主體發生了競合。這樣的競合其實帶來一個法律適用難題,就是普通的自然人在作為節點時如何履行法律賦予的一系列身份驗證、安全管理和登記備案的責任。尤其是考慮到個人節點對區塊鏈數據處理方式缺乏實質影響的前提下,[19]當其他服務使用者提請要求刪除或者更正信息時,個人節點如何響應?當國家主管機關對特定區塊鏈應用作出行政處罰時,個人節點又需要如何承擔?綜上所述,區塊鏈去中心化的數據結構與中心化的網絡運營者責任體系形成沖突,使得區塊鏈的節點,尤其是個人節點雖然符合網絡服務提供者的形式要件,但卻無法實質履行相應的法律責任。正因如此,有學者就總結到,現有法律規范要求區塊鏈責任主體承擔警示、限制功能、關閉賬號等處置措施以及及時消除違反違規信息內容等責任設置在去中心化的區塊鏈系統上幾乎不可能得到執行。[20]歐盟議會發布的《區塊鏈與通用數據保護條例》也認為,區塊鏈分布式數據庫的架構以及由此引發的去中心化使得中心化責任體系的基本假設面臨沖擊,由此也就導致了相應的責任分配以及由此引發的問責面臨挑戰。[21]
       
        二、區塊鏈與個人信息保護法律規范銜接的路徑證成
       
        歸納區塊鏈的合法性困境并非要唱衰區塊鏈技術,而是在區塊鏈“大熱”時保持必要的清醒與警惕。我們需要認識到,盡管區塊鏈技術在個人信息保護方面存在極大的潛力,但該技術不會自動符合個人信息保護規范的所有要求,因此需要在認識規范沖突的基礎上進行定制化地調整與開發,從而形成符合個人信息保護規范要求的區塊鏈應用制度。要實現這一目標,就必須推動法律與技術更深層次的互動,使得區塊鏈成為個人信息保護的真實解決方案。
       
        在正式展開對區塊鏈與個人信息保護規范銜接的闡述之前,需要首先明確本文所采取的“利益平衡”的總立場。這一立場,是由個人信息法益的獨特屬性所決定的。“傳統的個人控制理論是建立在個人主義觀念下,忽視了個人信息的社會性、公共性,不僅不能全面反映個人信息的法律屬性,而且不能適應大數據時代個人信息利用的新環境和新方式”。[22]在信息時代,個人信息包含人格尊嚴與自由價值、商業價值、公共管理價值,涉及到信息主體、信息業者和國家三方主體。信息業者和國家的角色介入,以及個人信息社會屬性的出現,使得對個人信息的保護不能以單向度的權利保護為依托,而需要平衡保護與利用的二維視角,[23]平衡數據有效保護和數據自由流動的雙重目標。[24]在此背景下,個人信息法律規范的執行需要特別考量信息主體與信息處理者的利益平衡。[25]
       
        單純的利益平衡解釋論由于沒有制度支撐容易使得權利保護陷入空洞化。因此需要在利益平衡解釋論的支撐之下進行相應的路徑展開。在此過程中應遵循以下的原則:其一,保持法律規范解釋的靈活性,不把個人信息視作由個人完全控制的客體,因此排除絕對保護主義的法律適用觀。在面對區塊鏈與個人信息保護潛在沖突時,要適當保證法律解釋的彈性。這有助于保持區塊鏈技術在發展初期的充足活力。其二,為區塊鏈創新主體賦予合理的個人信息保護義務,推動區塊鏈技術快速且有序地實質運用。正如后文將會論證的那樣,此種合理化的義務分配不僅包括網絡運營者,也包括個人信息主體作為區塊鏈節點的義務豁免。換言之,利益平衡不是片面地站在網絡運營者或者個人信息主體某一方的立場來展開合法性困境的解決。利益平衡的解釋論為個人信息區塊鏈應用面臨的困境提供了合法化的路徑。基于各種合法化路徑,對通用區塊鏈技術進行定制化的開發便可以有效應對區塊鏈與個人信息保護規范之間的沖突。
       
        (一)利益平衡下個人信息刪除的“相對主義”路徑
       
        區塊鏈與個人信息保護規范最直觀的沖突就在于個人信息的刪除、更正與區塊鏈技術不可篡改性之間的兼容難題。對于更正而言,區塊鏈可以通過添加新的個人信息區塊的方式完成,并不存在實質的技術障礙。盡管原有的個人信息區塊仍然存在,但新的區塊可以在事實上起到“覆蓋”舊區塊的功能。與之形成鮮明對比的是,《個保法》“刪除豁免”制度無法完全適用于區塊鏈的應用場景,這就使得區塊鏈應用仍然需要回應個人信息刪除的需求。因此,如何在保持區塊鏈核心技術特征的基礎上實現個人信息的刪除成為銜接區塊鏈與個人信息保護規范的重中之重。解決上述沖突必須對我國現有規范體系中的“刪除”進行合理界定。
       
        本文第一部分已經提及,“刪除”是信息主體實現個人信息控制最為重要的法律工具之一,《網絡安全法》《民法典》《個保法》等法律規范都明確規定。然而,通讀上述提及“刪除”的法律文本,均未對何為“刪除”做清晰的界定。如果我們進一步擴大搜尋范圍,將關注點放置到法律之外各類國家標準、官方指南、行業規范,則會發現它們雖然對“刪除”做了明確的界定,但具體內容也存在差異。其中,國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012,以下簡稱《個人信息保護指南》)5.1將“刪除”定義為“使個人信息在信息系統中不再可用”,關鍵點在于“不再可用”。國家標準《信息安全技術個人信息安全規范》(GB/T 35273-2017,以下簡稱《個人信息安全規范》)3.9將“刪除”定義為“在實現日常業務功能所涉及的系統中去除個人信息的行為,使其保持不可被檢索、訪問的狀態”,關鍵點在“系統中去除”且“不可被檢索、訪問”。這就涉及到有關個人信息“刪除”的兩種解釋方法:絕對刪除與相對刪除。“絕對刪除”要求信息在系統空間完全刪除以達到不可再用——物理刪除(physical deletion);“相對刪除”則只要求不再可用。國家標準《個人信息安全規范》某種程度上采取的是“絕對刪除”,即個人信息在信息系統中客觀上不存在。國家標準《個人信息保護指南》雖未明確,但卻給“相對刪除”留下了空間,換言之它只要求個人信息在系統中“不再可用”,而并未要求物理刪除。實際上,從技術角度來看,要做到“不再可用”,不一定要物理刪除,去標識化、匿名化抑或是刪除鏈接都是可選方案。
       
        可見,對于個人信息“刪除”而言,采用何種解釋路徑會直接影響區塊鏈技術合法化方案的選擇。而解釋路徑的選擇又取決于在網絡運營者與信息主體之間的立場選擇。“絕對刪除”由于強調物理刪除,其實質是使得個人信息不復存在,因此其在立場上是傾向于信息主體的權利保障。與之對應,“相對刪除”則不要求物理刪除,而是允許采用靈活的措施使得個人信息不可使用。由此,降低了網絡運營者的合規要求,并為大數據時代數據的利用提供了可能。從“利益平衡”總立場來看,應該選擇“相對刪除”,原因如下:其一,“絕對刪除”雖然可以實現對信息主體最為有效的權利保障,但卻會給區塊鏈應用帶來根本性的打擊。這是因為,“不可篡改性”是區塊鏈最核心的特征,它支撐起區塊鏈的共識機制,決定了去中心化信任機制的形成。個人信息的區塊鏈應用正是要利用區塊鏈不可篡改性來解決傳統個人信息保護過程中存在的篡改、偽造等諸多弊端。因此,如果選擇“絕對刪除”的解釋論立場,就與區塊鏈技術形成根本沖突。也就是說,從實現個人信息保護的目的來看,保持區塊鏈的不可篡改性遠比實現區塊鏈的可刪除重要。[26]其二,“絕對刪除”只考慮了個人信息的私人屬性,而沒有考慮其具有社會治理等諸多公共價值。在大數據時代,個人信息處理行為的規制原則應是防止濫用,而非嚴格保護。[27]其三,相較于隱私權的保護程度而言,個人信息的保護是一種弱保護。[28]“相對刪除”在現有的技術能力下已經能夠實現對個人信息的有效保護,比如鏈上個人信息加密后對密鑰的刪除就可以使得個人信息事實上無法以指向個人的方式被使用。
       
        實際上,即便在高度傾向于個人保護的歐盟,對于“刪除”的理解也采用“相對刪除”的方法。歐盟《通用數據保護條例》(下稱GDPR)第17條規定了刪除權(被遺忘權),但未對“刪除”的內涵進行闡述。歐盟委員會的報告中指出,有跡象表明,GDPR規定的刪除權不必要求徹底刪除信息。[29]該觀點并非一家之言,奧地利數據保護局認為,“刪除”應理解為指對存儲的個人數據進行任何形式的模糊處理,由此提出了“模糊刪除”的概念,并強調無論使用何種刪除方式,完全的不可逆是不必要的。[30]英國監管機構“信息專員辦公室”(Information Commissioner's Office,下稱ICO)認為“刪除”只要個人信息“無法使用”(put beyond use),從英文的直譯來看,更接近“放到用不到的地方”,[31]并未要求“刪除”要達到物理上的不復存在。《德國聯邦數據保護法》(Federal Data Protection Act)則做了更具前瞻性的規定,該法第35(1)條明確提及,如果無法刪除個人數據,或者因為特定的儲存結構而使得刪除可能造成不成比例的影響,那么數據控制者可以免除刪除責任。[32]
       
        (二)利益平衡下個人信息保密的“去標識化”路徑
       
        前文已經提及,我國現行個人信息保護規范要求對個人信息進行“嚴格保密”或“不得公開”,這與個人信息區塊鏈應用的技術架構形成內生沖突。調和上述沖突的方式便是對上鏈的個人信息采取特定的加密、去標識化等措施以實現“形式公開”基礎上的“實質不公開”。一般認為,“保密”是與“泄露”相對應,意指保守事物的秘密,使其不被泄露。“加密”則是指以特定的方式改變原有的信息數據,使得未掌握密鑰的用戶即使獲得了已加密的信息,也無法真正知悉信息的內容。可見,“加密”是一種“保密”的方法。現有法律規范賦予網絡運營者以個人信息保密的義務,那么何種方式可以被視為法定保密義務的適當履行方式呢?或者更具體一點展開,在區塊鏈中,哈希函數、非對稱加密是否符合個人信息“保密”的法律規范?要明確這個問題,就必須從技術的邏輯切入,分析加密、去標識化、假名化、匿名化等在內涵上具有不確定性,但卻高度近似的概念。
       
        按照《個保法》的規定,“去標識化”(de-identification)是指“個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程”。該定義與國家標準《個人信息安全規范》3.14條基本一致。對此可以簡化為“不借助額外信息+無法識別”來理解。對于“假名化”我國現有的規范體系并未明確解釋。在此可以參考歐盟GDPR的規定。 GDPR第4(5)條指出“假名化”(pseudonymisation)是“在不使用附加信息的情況下,不再可以將個人數據歸于特定數據主體,但前提是此類附加信息應單獨保存并且受技術和組織措施的約束,確保個人數據不歸屬于已識別或可識別的自然人。”“假名化”被認為是GDPR在個人信息保護方面的重要創新,它可以被簡化為“不借助額外信息+無法識別+額外信息妥善保存”進行理解。從定義的內容來看,GDPR的“假名化”與我國法律規范中的“去標識化”主體部分重合,但“假名化”是“去標識化”的進一步優化——“附加信息應單獨保存并且受技術和組織措施的約束,確保個人數據不歸屬于已識別或可識別的自然人”。由此可見,“去標識化”與“假名化”并非一個層面的概念,前者要包含后者。這一點與國家標準《個人信息安全規范》的界定高度一致。在該標準的概念體系中,“去標識化”項下包括“假名”“加密”“哈希函數”。以“加密”為例,在對數據進行加密的情況下,假設個人數據仍然存在于已加密的數據集中,則密鑰持有者仍可以通過解密來重新標識每個數據主體。這里的“秘鑰”就是“額外的信息”。運用“秘鑰”解密,就是“識別”個人的過程。因此“加密”是“去標識化”的一種方式。與“去標識化”“假名化”高度相關的一個概念便是“匿名化”。所謂“匿名化”(anonymization),是指“個人信息經過處理無法識別特定自然人且不能復原的過程。”在計算機科學中,匿名強調“無關聯性”,也就是指站在攻擊者的角度,無法將用戶與系統之間的任意兩次交互進行關聯。[33]換言之,“去標識化”或“假名化”都是在結合附加信息的情況下可以實現個人定位,而“匿名化”則是完全無法再次識別。兩者對個人信息保護的程度差異可見一斑。在歐盟關于區塊鏈的研究報告中明確提到,區塊鏈所慣常使用的哈希函數、非對稱加密、橢圓函數加密等方案,其實都只是“假名化”。[34]具體而言,區塊鏈技術通常是在用戶的控制下利用公鑰加密算法(例如ECC)生成,但流出和流進某一地址的所有交易記錄哈希值都會被記錄在區塊鏈的全局賬本中,盡管加密使得信息得到了一定程度的保護,但這些存儲網絡層的傳播軌跡,可以追蹤與推測出區塊鏈地址對應的真實身份。[35]綜上所述,“保密”的范圍最大,“去標識化”“假名化”“匿名化”都是保密的一種方式;“去標識化”的范圍次之,它包含“假名化”“匿名化”“加密”“哈希函數”等;“假名化”則再次之,它包含了“匿名化”。
       
        在完成相關概念的區分之后,接著要討論的問題就是,《網絡安全法》等個人信息保護規范中對個人信息的“保密”要求究竟是需要達到“去標識化”“假名化”,抑或是要達到更高程度,完全排除再識別可能的“匿名化”?筆者認為,根據“利益平衡”的總立場,“保密”只需要達到“去標識化”即可,而無需達到“匿名化”的程度,原因如下:第一,“匿名化”是完全排除再識別的可能性。從現有技術路徑來看,很少有技術能夠實現嚴格意義的“匿名化”。這是因為,一方面,“匿名化”是一個高度動態且不確定性的技術標準。“匿名化”中排除識別可能性的標準必須充分考慮到未來技術的發展。在區塊鏈中,個人信息理論上是永久保存的,按照這一標準,如果把時間軸放置得足夠長,那么理論上沒有技術可以完全“匿名化”,比如量子計算機的普遍運用。可見,如果按照嚴格“識別可能”來判斷,區塊鏈上所有的個人數據,無論基于何種加密,它都應該被視為個人信息。另一方面,“匿名化”識別的可能性與嘗試識別者的技術條件密切相關。世界各國對識別時是否不計時間和成本存在爭議。即使是認為應該采用“合理手段”來判斷識別可能性的國家內部,也存在爭議。比如,英國就認為,判斷識別可能性只需要假定具備“合理手段”,這個“合理手段”不包括入侵者有黑客的專業知識或具有“專業的設備”。[36]個人信息區塊鏈應用的重要目標就包括推動個人信息的可信共享。如果將“保密”設定為“匿名化”,則為區塊鏈創新主體設置無法達到的過高義務。第二,從法律規范的體系來看,“匿名化”由于已經完全排除了再識別的可能性,因此不被以為是“個人信息”,并且也無法恢復為“個人信息”。由此,如果要求區塊鏈在“保密”時必須達到“匿名化”的標準,那么區塊鏈應用于個人信息領域(認證、驗真等)的初始目的已無法實現。第三,無論是“去標識化”抑或是“假名化”都顯著降低了數據集與數據主體的原始身份之間的可鏈接性,已經可以起到個人信息“保密”的功能。尤其是“假名化”還要求將識別個人身份的附加信息單獨保存并妥善保管,這進一步提升了“保密”的層級。總而言之,按照“利益平衡”的理論,區塊鏈上保存的個人信息只要“去標識化”就已經達到《網絡安全法》等個人信息保護規范的“保密”標準,將“去標識化”后的個人信息“上鏈”應當不被視作公開個人信息。
       
        (三)利益平衡下目的限制與數據最小化的“場景解釋”路徑
       
        分布式賬本中數據的完整性是區塊鏈的核心技術特征之一。從創世區塊開始,區塊鏈上的所有數據活動都被詳細記錄。任何區塊的增加原則上都需要對之前的所有區塊進行驗證。隨著特定區塊鏈應用的推進,數據的冗余、效率的降低就成為必然。正因如此,區塊鏈應用于個人信息保護就潛在地與目的限制與數據最小化的基本需求發生沖突。
       
        從解釋論角度來看,無論是目的限制抑或是數據最小化,都與對區塊鏈收集個人信息的目的緊密相關。對目的解釋標準的寬松與否將直接決定區塊鏈應用于個人信息保護時能否適應目的限制與最小夠用的合法性要求。具體而言,嚴格限定的標準將個人數據使用的目的限縮在原初目的之上,并只做最有限的擴展。數據處理者只要對數據的使用與原初目的有所差異,則需要重新授權。同時,嚴格的目的解釋標準還會使得數據收集的范圍、數量、頻率局限在限縮的目的之下,進一步提升了區塊鏈適應數據最小化要求的實現難度。毋庸置疑,嚴格限縮的解釋論是對個人信息最大化的保護。然而,大數據時代,數據的價值在多次挖掘中得以體現。數據控制者在收集數據之初無法對所有的可能性做充分的預期,因此也就無法對數據使用目的作出準確的預判。嚴格限縮的解釋論就在某種程度上給數據控制主體帶來了較重的合規義務。隨著大數據技術的推進,基于“利益平衡”的理論,“場景導向”(contextual ap-proach)的目的解釋論被提出。它是指個人信息原始收集時的具體語境應得到尊重,其后續傳播及利用不得超出原初的情境脈絡。場景導向路徑認識到個人信息保護的合理程度要置于其所處的環境中具體審視,避免脫離場景做抽象式的預判。換言之,信息收集目的的解釋不是嚴格的字面符合,而是從最初收集的場景中來判斷,考慮是否符合用戶的“合理預期”。[37]場景導向的目的解釋由于摒棄了嚴格限縮解釋論帶來的要么合目的,要么不符合的二元對立劃分,而使得對個人信息使用的目的解釋具有一定的動態性和彈性。當前,美國主流的數據目的解釋便采用此種方式。與此同時,歐盟在目的解釋時也一定程度上采用了“場景化”的理念。我們大致可以把歐盟的上述理念概括為“嚴進寬出”。具體而言,在數據收集之初,對數據控制者設定了嚴格的要求,不允許數據控制者進行概括性或者抽象意義的目的陳述。作為補充,在數據具體運用過程中,允許目的有一定的彈性解釋空間,即允許“適當性使用”,或者說允許一定程度與目的不完全相同的使用。[38]上述理念在GDPR第6(4)(a)條和6(4)(b)條就有明確的體現。
       
        “目的場景化解釋”的思路對區塊鏈的運用具有很強的指導意義。也就是說對于利用區塊鏈收集個人信息的目的解釋必須充分考慮區塊鏈這樣一種獨特的技術方式及其應用場景。一方面,不能把個人數據收集的目的限縮為僅與“個人”相關,而是必須考慮到區塊鏈去中心化等場景特征,將共識機制支撐的數據驗證與共享也納入到個人信息區塊鏈應用的目的之中。另一方面,不能將數據最小化的理解限縮為僅與個人相關,或者只考慮單一節點的需要。相反,需要將數據最小化放置到整條區塊鏈所有節點共識機制形成的需求去進行場景化的理解。舉例而言,假設存在一個學歷驗證的公共區塊鏈,用戶通過加入區塊鏈上傳學歷的哈希值用以在特定場合時作為學歷驗證的使用。那么,這個公共區塊鏈的目的從微觀上說是將每個人的學歷信息以區塊的形式添加到區塊鏈之上,從宏觀上說則是實現學歷信息的驗證與共享。因此,區塊鏈的目的不僅包括初始的個人數據添加,還包括后續所有符合場景目標的數據活動。可見,在場景化的目的解釋中,區塊鏈分布式數據庫的復制性質和數據的連續存儲可以被認為符合目的限制。[39]
       
        (四)利益平衡下節點責任劃定的“實質控制”路徑
       
        本文第一部分已經提及,區塊鏈分布式架構以及全賬本的應用,使得一般情況下每個節點都保有完整的數據。在個人信息應用領域,每個節點,尤其是全節點既在本節點完成個人信息的寫入,也通過共識機制參與處理(共享)其他節點的數據,因此每個節點形式上符合《網絡安全法》“網絡運營者”中“網絡服務提供者”和《區塊鏈信息服務管理規定》中“區塊鏈信息服務提供者”的定義,權利主體和責任主體發生混同。此時,以“節點”為依據的形式判斷標準就可能在實踐中遭遇合法性困境。一方面,在區塊鏈,尤其是公共區塊鏈的應用中,特定法律實體極有可能僅出于數據安全備份的考量而選擇區塊鏈服務。由于單純選擇數據服務而成為區塊鏈節點,并由此承擔安全保障、實名認證、登記備案、應急處置等法律責任,按照權責相統一的原則,顯失公平。另一方面,區塊鏈的技術框架高度多元化,“節點”與“節點”之間也存在很大的差異。有些區塊鏈的架構可能使得特定主體以“單純選擇服務”為幌子行“節點”之實。作為劃定法律責任承擔主體的執法者,不能僅以相關主體自我聲明的形式要件來判斷是否需要承擔責任。因此,對于區塊鏈中心化運營責任履行困境而言,迫切的問題在于建立一種解釋框架,既能夠對“節點”與“單純選擇服務”作出清晰的劃分,又可以促成“單純選擇服務”主體的責任豁免,實現權責的統一。這便是利益平衡下“實質控制”解釋論的由來,其實質是刺破“節點”的面紗,分析“節點”承擔責任背后的法理,從而破除非此即彼的簡單化責任主體劃分。
       
        在正式展開分析之前,我們有必要追問一個本源問題,即“網絡運營者”為什么以及如何能夠承擔個人信息保護的責任。盡管我國的相關法律規范沒有言明,但從具體的法條可以推知,這種責任是來自于網絡運營者對個人信息的“收集”與“使用”以及由此帶來的直接或間接收益。歐盟GDPR也是類似思路,即責任來源于對個人信息的“控制”和“處理”。歐盟GDPR采用的是“相對控制”的理念,極大擴張了責任主體的范圍。具體而言,GDPR第4(7)條規定“數據控制者”(controller)是指單獨或與他人共同確定處理個人數據的目的和方式的自然人或法人,公共當局、機構或其他機構。可以發現,這里的“控制”是相對意義的控制,而并非實質意義的占有或持有數據(in possession)。“相對控制”高度傾向于保護數據主體的,也就是通過擴大責任主體的范圍來保障數據主體的權利。2017年的“Facebook In-sight案”就是一個典型的例子。該案中,一個教育機構利用“臉書”(Facebook)的服務創建了一個粉絲頁面作為和客戶的交流工具。每個訪問該教育機構頁面的用戶電腦上都會被放置一個cookie,但無論是“臉書”抑或是該教育機構均沒有告知用戶。借助收集的數據,教育結構可以通過名為“Facebook In-sight”的工具來獲知粉絲的基本信息。在這起案件中,教育機構只是單純地選擇“臉書”的一項服務,不開發粉絲頁面、不開發分析粉絲信息的工具“Facebook Insight”,也不參與對粉絲數據的處理。然而,主管機構卻基于GDPR第4(7)的規定,要求關閉粉絲頁面。在主管機構看來,教育機構選擇“臉書”粉絲頁面的服務,實際上同意了該頁面數據收集的目的和方式,因此就和“臉書”成為粉絲個人數據的“聯合控制者”。盡管法院最終裁定政府方敗訴,但判決意見中仍然采用了“相對控制”的解釋路徑。法院認定,單純使用一項服務并不構成“聯合控制者”,但是如果選擇服務的同時對數據處理產生了影響,則構成“聯合控制”。舉例而言,按照“臉書”粉絲頁面的功能,教育機構可以通過頁面來設置關注特定的用戶信息(例如人口統計和地理數據,或有關興趣,購買和生活方式的信息)。臉書也可以通過“Facebook Insight”的工具收集處理這些信息,并反饋給教育機構,用以優化服務。那么此時,教育機構就與“臉書”成為“聯合控制者”。可見,按照歐盟法院的意見,成為聯合控制者的門檻極低。如果按照歐盟的理念,區塊鏈服務的應用者極易視為“共同控制者”,因為區塊鏈存續是依托共識機制,運用區塊鏈服務的前提是同意特定的共識機制,也就符合GDPR的4(7)條中規定的“共同確定數據處理目的和方式”。這種“相對控制”的理念的弊端顯著,因為作為單純的服務選定者,即使參與了共同目的的形成,但服務使用者絕大多數情況下對于數據的處理目的只有有限的影響力(微乎其微),對于數據的處理方式則毫無影響力。即使相關節點(尤其是公鏈的個人節點)想要履行應急處置、信息審核等法定義務,也會因為沒有實質控制個人信息而無法實現。
       
        因此,從“利益平衡”角度來看,區塊鏈責任主體的確定必須采用“實質控制”原則來劃定責任主體范圍,具體標準有兩方面:其一,主體需要對數據的收集目的和使用方式有實質影響,單純選用服務不構成對數據收集目的和使用方式的實質影響;其二,主體還需要對數據享有實質的控制權,這個控制權不是一般意義的形式控制(control)而是實質意義上的控制(possess)。只有同時具備兩個條件,才構成《網絡安全法》上的責任主體,才能依法履行數據保護的相關責任。舉例而言,一個銀行決定用區塊鏈來存儲特定的賬戶交易信息,它不僅決定了處理數據的方式,還決定了哪些數據需要用這種處理的信息主體以及信息處理的目的(交易)。此時,按照“相對控制”的理念,銀行已經是數據的共同控制主體,但是按照“絕對控制”的理念,還要判斷銀行是單純使用某項區塊鏈服務,還是作為節點參與到共識中。如果是后者,則銀行不僅實質影響了數據處理的目的和方式,也實質掌握了數據(全局賬本),因此是當然的網絡運營者。如果是前者,銀行由于并未實質掌握數據,那么數據控訴者的責任就由提供區塊鏈服務的主體承擔。實際上,實質控制既是相關主體承擔責任的前提,也是承擔責任的保障。如果一個主體沒有形成對個人信息(數據)的實質控制,安全保障、信息修改、信息刪除的責任事實上也無法承擔。有學者在分析GDPR與區塊鏈的沖突時就指出,因為個人節點的特殊性,使得GDPR許多數據處理的要求“毫無意義”。[40]“實質主義”的判斷路徑平衡了信息主體與網絡運營者之間的身份競合,既有助于“節點”與“單純選擇服務”的區分,也有助于將個人節點排除在責任主體之外,為破除責任混同創造條件。
       
        三、區塊鏈與個人信息保護法律規范銜接的制度展開
       
        (一)“相對刪除”路徑的展開:“脫鏈存儲”與“密鑰刪除”
       
        在“相對刪除”路徑指導下,通過構建個人信息區塊鏈應用“脫鏈存儲”與“密鑰刪除”的標準,可以在保持區塊鏈核心特性的基礎上滿足刪除個人信息的規范需求。
       
        “脫鏈存儲”是將個人信息儲存在單獨的“脫鏈數據庫”中,僅通過散列鏈接到區塊鏈的分布式分類賬中。在區塊上僅保留索引信息以及個人信息轉換的哈希值。哈希值成為避免個人信息泄露的關鍵控制要素。當信息主體要求刪除個人信息時,區塊鏈服務提供者只要刪除區塊之上哈希值與脫鏈數據庫中特定個人信息的“可連接性”(linkability)即可實現,且不會破壞整個區塊鏈。當然,此種方案是以一定程度上犧牲個人信息的安全性、透明性和效率性為代價的。舉例而言,個人信息脫鏈將面臨管理難題,信息主體無法確定誰訪問了數據,以及誰可以訪問數據且容易遭受黑客攻擊。但“脫鏈存儲”能使得區塊鏈完全符合個人信息保護中的刪除要求。[41]當接收到刪除請求時,責任主體可以把區塊鏈之外的脫鏈數據庫完全刪除。當然,哈希函數在技術上雖然具有極高的破解難度,但其并非真正意義上的“匿名化”操作。因此,即使是脫鏈存儲,在區塊鏈上有關個人信息的哈希函數仍然是個人信息。也正因如此,此種方式仍然屬于“相對刪除”。
       
        此外,密鑰刪除也是調和區塊鏈技術特征與個人信息刪除矛盾的有效方案,此種方案不刪除儲存在區塊之上的數據,而是通過刪除解密密鑰的方式來實現刪除。比如將A是本科學歷的信息記錄在區塊鏈上,同時對A的個人身份進行加密處理。在收到刪除個人信息的申請時將A對應個人身份的解密密鑰刪除。此時,A是本科學歷的信息仍然儲存在區塊之上的分布式賬本之中,但是所有節點都只能訪問未解密A身份的學歷信息。[42]當然,個人信息在區塊鏈之上通過加密的方式形成的數據仍然應該被視為個人信息,其只是實現了“假名化”,而非不可逆的“匿名化”,因此也同樣屬于“相對刪除”,畢竟獲取密鑰就有可能再次恢復相應的數據。不過從現有技術來看,刪除解密密鑰使得該份信息雖儲存在區塊鏈上,但其他節點只能訪問未解密的信息以滿足驗證的需求,個人信息“名存實亡”,從“相對刪除”的視角來看已經等效于被刪除。在英國,此種方案被視為完成了“刪除”。英國ICO發布的指南就對此作了說明。[43]
       
        值得注意的是,近期有研發主體完成了“可編輯區塊鏈”(editable blockchain)的專利申請工作,其實質是利用“變色龍哈希函數”(chameleon hash)在每個區塊上安裝一個可以編輯的“后門”,由此實現區塊鏈信息的可刪除、可編輯。該專利的核心目標是為了滿足政府對區塊鏈的監管需求而犧牲區塊鏈核心的去中心化和不可撤銷性的技術優勢。在“可編輯區塊鏈”的應用場景中,由于哈希函數的可變性,它無法形成多節點的共識,而只能在使用“變色龍哈希函數”的兩個節點間形成共識。由此,區塊鏈賴以生存的共識機制也遭到破壞。試想,如果區塊鏈可以實現數據的篡改那么還如何實現去中心化的共識。也就是說,“可編輯區塊鏈”的運用已經在某種程度上使得區塊鏈有名無實,與區塊鏈得以立足的創新背道而馳。正因如此,筆者并不認為“可編輯區塊鏈”是調和區塊鏈應用與個人信息刪除之間沖突的合法性工具,盡管它在技術上也可以破除個人信息刪除的合法性困境。
       
        (二)“去標識化”路徑的展開:“非明文存儲”與“承諾模式”
       
        既然按照“利益平衡”的解釋論,區塊鏈個人信息應用只要達到“去標識化”便符合法律規范的保密需求,那么,解決區塊鏈信息透明與個人信息隱秘性沖突的方式便是明確規定“上鏈”的個人信息必須采用“非明文存儲”與“承諾模式”相結合的方式。正如“法國國家信息自由與發展委員會”(Commission Nationale de l'Informatique et des Libertés,簡稱CNIL)所強調的:“保護區塊鏈上的個人信息重點在于不要將個人數據以明文形式存儲在區塊鏈上”。[44]由于全局賬本的存在,那種將個人信息明文放置在區塊鏈之上的做法直接與個人信息保密責任形成沖突。本文第二部分已提及,哈希函數、非對稱加密、公鑰和私鑰都屬于加密的方式,都達到了“去標識化”的要求,因此個人信息無論通過哪種方式,只要不是明文方式上鏈,都可以視作達到個人信息保護規范要求的“保密”要求。為貫徹“非明文存儲原則”,個人信息應還可以進一步通過“承諾模式”(commitment)在區塊鏈上進行登記,從而在通用“去標識化”的基礎之上進一步加密。作一個形象的比喻,可以將“承諾模式”想象為信息主體將個人信息放入一個鎖著的盒子里,然后將盒子交給接收方(區塊鏈/上鏈)。盒子里的信息對接受者是隱藏的,接受者無法自己開鎖。同時,因為接收者盒子的存在,信息主體也無法自行修改相關信息。如果發送者決定特定時候給接收者以鑰匙,則信息就會顯示。換言之,“承諾”是一種凍結數據的加密機制,它可以通過附加信息(承諾)來確定哪些數據已被凍結,也可以通過附加信息(承諾)來查找或識別特定數據。通過“承諾”機制,個人信息的控制權將牢牢掌握在信息主體手中,即便該信息上鏈,其他主體也難以知曉其中內容。
       
        (三)“場景解釋”路徑的展開:“區塊鏈修剪”與“零知識證明”
       
        場景化的目的解釋可以有效地回應區塊鏈個人信息應用中面對的目的限制的需求。在此基礎上,通過區塊鏈修剪與零知識證明技術就能夠回應數據最小化的要求,從而實現目的限制與數據最小化的合法化應對。
       
        所謂區塊的修剪(pruning)是指從節點的本地儲存刪除非關鍵區塊鏈信息的過程。本文已經反復提及,通用區塊鏈技術采用去中心化的分布式存儲模式,每個節點地位平等,并均保有區塊鏈自創始區塊以來內容的完整副本(全局賬本)。截至2021年10月5日20時,從2009年1月9日的創世區塊開始,比特幣共有703,672個區塊,發生了超過6.76億次的交易,數據總體量為367.82GB; [45]同時段,從2015年7月30日的創世區塊開始,以太坊共有13,358,974個區塊,發生了超過13.1億次交易,數據的總體量為295GB。[46]換言之,每個比特幣或者以太坊的節點,不僅需要準備數百GB的空間,并且每新增一次交易都要遍歷所有節點,對既往數億次的交易進行驗證,這極大地降低了區塊鏈的運行效率。修剪后的節點具有大多數重要信息,并且仍然可以支持共識機制的形成。舉例而言,比特幣目前的修剪方式就允許節點只存儲550個區塊來進行交易驗證。盡管節點賬本的體量在修剪后有了顯著下降,但550個區塊的信息仍然包含完整的區塊頭和區塊體。因此,不同于只儲存區塊頭的“輕量級節點”,修剪的節點被認為是完整的節點,也可以驗證事務并參與共識。根據最新研究顯示,采用選擇性修剪技術,可以使得區塊鏈的賬本體量下降84.49%。[47]實際上,“輕量級節點”與“區塊修剪”技術結合可以進一步下降區塊鏈賬本的體量。
       
        所謂“零知識證明”(zero knowledge proof,簡稱ZKF)可以看作是一種協議,通過該協議可以在不使用任何密碼或其他敏感數據的情況下促進數字身份驗證過程結果,無論從發送方還是接收方的任何信息都不會受到任何損害。[48]通俗來講,“零知識證明是指一方(證明者)向另一方(驗證者)證明一個陳述是正確的,而無需透露除該陳述正確以外的任何信息”。[49]經典的零知識證明便是“阿里巴巴洞穴”。[50]目前,零知識證明的機制已經被應用于區塊鏈相關的個人身份驗證之上。[51]同樣以個人學歷信息驗證的區塊鏈應用為例。傳統上,個人在尋找工作時,工作單位可能需要驗證應聘人員是否具有本科學歷。按照傳統的驗證方式,應聘人員需要提交本科學歷證書。在這個過程中,其實存在大量的信息冗余,因為用人單位很可能只需要知道是否具有本科學歷,而不需要知道學歷簽發的時間、專業、簽發人、畢業學校等。將這個例子平移到區塊鏈的個人信息應用就會發現,傳統區塊鏈架構需要保存個人特定的完整信息以滿足驗證的需要,而這一保存行為其實并不是最優的選擇。零知識證明引入區塊鏈的實質是允許個人不向用人單位共享學歷證書的情況下證明自己具有本科學歷。也正因如此,“零知識證明”機制的運用將會極大推動區塊鏈數據最小化的實現。[52]有機構就聲稱可以通過不斷遞歸,實現區塊鏈賬本體量由GB向KB的縮減,從而使得移動端也可以即時同步區塊鏈數據。[53]
       
        (四)“實質控制”路徑的展開:許可區塊鏈與輕量級節點
       
        1.許可區塊鏈優先。區塊鏈是一種極具變化的應用技術,以“是否需要許可”為標準可分為“無許可區塊鏈”(permissionless blockchain)和“許可區塊鏈”(permissioned blockchain)。前者是指個人或者機構不需要許可即可以自由訪問和添加數據的區塊鏈;后者是指個人或者機構需要許可才能訪問和添加數據的區塊鏈。[54]同時,以場景和設計體系為標準還可分為公共鏈(public blockchain)、聯盟鏈(consortium blockchain)和私有鏈(private blockchain)。[55]一般而言,私有鏈和聯盟鏈是許可區塊鏈,而公共鏈則是非許可區塊鏈。從破除區塊鏈應用的責任混同和責任不能困境角度出發,一個最為有效的合法化路徑就是明確規定個人信息的區塊鏈應用必須遵循許可區塊鏈優先的原則。
       
        前文已經提及,按照“實質控制論”的解釋,對個人信息的實質控制既是網絡運營者/區塊鏈服務提供者相關責任(刪除、更正、登記、審核)的來源,亦是履行責任的條件保障。從這個角度出發,“無許可區塊鏈”的技術特征與個人信息保護責任體系具有極強的沖突性。[56]眾所周知,“無許可區塊鏈”屬完全分布式,各節點自由加入,共同維護全部交易數據。在上述架構中,通常沒有一個單一的法律實體來決定所有節點的軟件、硬件。相反,這些決定是由一系列不同的參與者根據自身情況分散做出的決策。也就是說,無許可區塊鏈節點之間的數據驗證與共享主要取決于預先定義的服務器協議,個人節點對區塊鏈的數據處理的目的和處理方式沒有實質影響力。因此,無許可區塊鏈的技術特點會造成一種悖論,即按照“相對控制”的解釋路徑,所有公共區塊鏈的個人節點都是網絡服務者,因此需要承擔相應的法律責任。然而,個人節點由于資金、技術等多方面的限制事實上無法承擔責任;反之,如果按照“實質控制”的解釋路徑,所有公共區塊鏈上的個人節點都可能不是網絡服務者,那么整個公共區塊鏈就可能沒有承擔責任的主體。也就是說,無論按照“實質控制”還是“相對控制”,公共區塊鏈的架構選擇都會陷入責任混同與責任不能的困境。
       
        與非許可區塊鏈形成鮮明對比的是,許可區塊鏈(私有鏈和聯盟鏈)的架構設計能夠較好地貼合“實質控制論”的需求,從而為責任混同和責任不能的解決提供可能。首先,“許可區塊鏈”的節點通常由一個法律實體發起,其背后是一個已知的中心化機構對區塊鏈進行直接管理。[57]由此,也就當然具有可以承擔法律責任的數據實質控制節點。其次,“許可區塊鏈”相對封閉,只對特定的組織或人群開放。在“許可”的過程中可以對節點的資金、技術、人員的實力進行有效審核。節點也可以采用相同的軟件、硬件以及區塊鏈的基礎設置。由此,加入的節點也具有實質控制數據的能力。再次,“許可區塊鏈”的節點群體較為穩定,節點無法隨意加入與退出,因此責任主體的配置具有穩定性。最后,“許可區塊鏈”還可以在節點加入時通過簽訂協議的方式明確各自的權利義務,從而有效地避免了責任的混同問題。因此,從個人信息保護的角度來看,許可區塊鏈節點的設立與其成員的法律關系能較好地兼容于現有法律責任體系,監管難度低。“歐盟區塊鏈觀察站與論壇”也認為,“許可區塊鏈”比“無許可區塊鏈”能更好地應用于個人信息保護。[58]
       
        2.輕量級節點構建。“實質控制”的解釋論固然能夠使得單純選擇服務的個人豁免于節點的責任。然而,節點的實質是參與共識,是對數據的控制。成為節點固然會增加相應的責任,但個人同樣可以通過節點來加強對個人信息的控制。因此,成為節點和單純選擇服務對于個人信息的控制不可等量齊觀。由此,便形成一種矛盾:個人想要更好地控制區塊鏈上的個人信息,就必須成為節點,然而成為節點又可能需要承擔網絡運營者的責任。輕量級節點技術的出現使得用戶可以享受對個人信息有效控制的基礎上,同時又不至于對其他節點的數據形成“實質控制”,因此是當前技術條件下的一條最優的路徑。
       
        “輕量級節點”(lightweight node)是相對“全節點”(full node)而言的,是區塊鏈技術發展的必然需求。節點是存儲完整或部分區塊鏈副本并參與新塊驗證的計算機。[59]在采用全節點的分布式存儲中,公民個人通過區塊鏈應用的客戶端完成區塊鏈節點建設后,客戶端會在互聯網上搜尋區塊鏈的其他節點,并記錄每個節點的IP地址。當發現自己節點上的區塊鏈高度低于其他節點時,就會通過共識機制把最新的區塊鏈同步到自己的節點上。因為區塊鏈采用鏈式存儲,每個數據區塊依次疊加,因此最高的區塊鏈就是最新的區塊鏈。同樣,如果公民完成在自己接入上的數據寫入,那么其他節點也通過相同的機制完成全局賬本的更新與共享。可以預想,在公鏈的環境下,當節點數量過大時,共享對資源的需求就越大。因為每個節點都可能隨機地更新數據區塊,一經更新,其他節點也要同步更新。隨著數據量的增加,同步的耗時就會越來越大。因此,隨著區塊鏈技術的發展,就出現了“輕量級節點”的概念。
       
        眾所周知,完整的區塊(block)包括為區塊頭(header)和區塊體(body)兩個部分。前者用以儲存本區塊哈希值、上一區塊哈希值、時間戳以及默克爾根(Merkle root)根等信息,其中默克爾根是節點之間區塊鏈校驗的關鍵設置,它可以理解為所有區塊鏈信息匯總之后形成的一個數據指紋,任何區塊鏈信息的變化都會影響這個數據指紋的狀態。區塊體則儲存著區塊鏈上所有的信息。在個人信息應用領域,是每個主體上鏈的所有個人信息之和,以及個人信息交互的所有數據。可見,區塊體才是全局賬本構建的關鍵,它包含了全局信息,而區塊頭只包含有限的信息,主要用于數據驗證。換言之,個人信息保護的區塊鏈應用中,公民可以以輕量級節點的形式參與共識。具體而言,就是個人節點只保存自己全部信息,同時只獲取其他節點的區塊頭信息。由此,個人節點既參與了整個區塊鏈共識,享受了區塊鏈防篡改等安全保障,同時因為只獲取其他節點的區塊頭信息而并不會實質處理其他節點的個人信息。它不驗證自己目的所需之外的任何信息。之所以能夠選擇輕量級節點來存儲個人信息,是因為在個人信息的區塊鏈應用中,不需要類似比特幣的“雙花”交易驗證,而只需要通過簡化驗證機制(Simplified pay-ment verification,簡稱SPV)驗證特定交易是否在區塊鏈中,而不需要下載全局賬本。此時,驗證所需的信息就不需要完整的全局賬本,而只需要區塊頭的信息即可。完整節點通過允許輕量級節點連接并將信息傳輸到區塊鏈網絡。因此在完整節點與輕量級節點的二元化分中,完整節點才是提供服務的節點。
       
        結語
       
        本文通過利益平衡的解釋論為區塊鏈與個人信息保護規范的銜接提供了利益平衡的解決方案,也為區塊鏈在個人信息保護方面的應用掃除了部分障礙。然而,需要明確的是區塊鏈在個人信息保護上的應用應恪守必要性原則,即當個人信息處理不需區塊鏈即可實現特定目的時,就應采用其他可行方案。區塊鏈并非無所不能,網絡運營者需要慎重考慮在相關個人信息保護的應用中采用區塊鏈技術的必要性。如果決定采用,則需要關注技術的合規問題。盡管,解釋論已經能夠較好地回應區塊鏈在個人信息保護應用過程中的合法性困境,但在未來立法上仍然可以就個人信息保護的諸多關鍵概念予以明確,降低適用的不確定性。同時,立法也要充分考慮區塊鏈技術的特點,構建適合區塊鏈發展的責任主體識別標準及責任體系。這些內容,都是未來可以進一步展開的研究。

      【作者簡介】
      王祿生,法學博士,東南大學法學院教授、東南大學人民法院司法大數據研究基地研究員、博士生導師,主要研究方向:人工智能法學、刑事訴訟法學、司法制度學。
      【注釋】
      [1]參見王祿生、王爽:《困境溯源與模式創新:基于區塊鏈的個人信息合作治理研究》,載《中國行政管理》2020年第12期。
      [2]參見Michael Mainelli, Blockchain Could Help Us Reclaim Control of Our Personal Data, Havard Business Review(October 05,2017), ht-tps://hbr.org/2017/10/smart-ledgers-can-help-us-reclaim-control-of-our-personal-data; Clare Sullivan & Eric Burger, E-Residency and Blockchain, 33 Computer Law & Security Review 460,475(2017).
      [3]參見Michèle Finck, Blockchain and the General Data Protection Regulation: Can Distributed Ledgers be Squared with European Data Protection Law?, European Parliamentary Research Service(July 2019), p.iii.
      [4]參見M. H. Onik et al., Privacy-aware Blockchain for Personal Data Sharing and Tracking, 9 Open Computer Science, Volume 80,80-91(2019).
      [5]參見Shraddha Kulhari, Building-Blocks of a Data Protection Revolution: The Uneasy Case for Blockchain Technology to Secure Privacy and Identity, Nomos Verlagsgesellschaft Mbh & Co, 2018, p31-34.
      [6]系列報告可參見“歐盟區塊鏈瞭望臺與論壇”官方網站,https://www.eublockchainforum.eu/reports.
      [7]參見Federal Ministry for Economic Affairs and Energy of German, Blockchain Strategy of the Federal Government: We Set Out the Course for the Token Economy, https://www.bmwi.de/Redaktion/EN/Publikationen/Digitale-Welt/blockchain-strategy.pdf?__blob = publication File&v =3.
      [8]參見Shraddha Kulhari, Building-Blocks of a Data Protection Revolution: The Uneasy Case for Blockchain Technology to Secure Privacy and Identity, Nomos Verlagsgesellschaft Mbh & Co, 2018, p.15-16.
      [9]參見涵銘:《個人數據使用,期待更規范》,載《人民日報》2019年4月8日,第18版。
      [10]參見中國電子信息產業發展研究院等:《區塊鏈溯源應用白皮書(1.0版本)》,第14頁,http://www.caict.ac.cn/kxyj/qwfb/bps/201810/t20181019_187262.htm,最后訪問時間2021年6月5日。
      [11]參見李旭東等:《比特幣隱私保護綜述》,載《密碼學報》2019年第2期。
      [12]參見中國信息通信研究院:《區塊鏈賦能新型智慧城市白皮書(2019)》,第13頁,http://www.caict.ac.cn/kxyj/qwfb/bps/201911/t20191108_269147.htm,最后訪問時間:2021年6月5日。
      [13]齊愛民:《論個人信息的法律保護》,載《蘇州大學學報》2005年第2期。
      [14]參見高富平:《論個人信息保護的目的——以個人信息保護法益區分為核心》,載《法商研究》2019年第1期。
      [15]參見祝烈煌等:《區塊鏈隱私保護研究綜述》,載《計算機研究與發展》2017年第10期。
      [16]參見Zheng Zibin et al., An Overview of Blockchain Technology: Architecture, Consensus, and Future Trends, 2017 IEEE International Congress on Big Data (Big Data Congress), Honolulu, HI, 2017, pp.557-564.
      [17]參見Michèle Finck, Blockchain and the General Data Protection Regulation: Can Distributed Ledgers be Squared with European Data Protection Law?, European Parliamentary Research Service(July 2019), p.65-68.
      [18]國外已有基于區塊鏈展開個人遺傳信息存儲、加密、交易的應用,參見李宓:《區塊鏈可望帶來個人數據保護“革命”》,載《新華每日電訊》2018年4月20日,第7版。
      [19]本質上,節點是連接到區塊鏈網絡的設備,該設備通過維護區塊鏈的副本來支持該網絡。節點處理數據時無法完全控制系統的工作方式。
      [20]參見楊東:《“共票”:區塊鏈治理新維度》,載《東方法學》2019年第3期。
      [21]參見Michèle Finck, Blockchain and the General Data Protection Regulation: Can Distributed Ledgers be Squared with European Data Protection Law?, European Parliamentary Research Service(July 2019), p.2.
      [22]高富平:《個人信息保護:從個人控制到社會控制》,載《法學研究》2018年第3期。
      [23]參見張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,載《中國法學》2015年第3期。
      [24]參見Michèle Finck, Blockchains and Data Protection in the European Union, 4 European Data Protection Law Review 17,34(2018).
      [25]參見王利明:《論個人信息權的法律保護以個人信息權與隱私權的界分為中心》,載《現代法學》2013年第4期。
      [26]參見Shraddha Kulhari, Building-Blocks of a Data Protection Revolution: TheUneasyCaseforBlockchainTechnologytoSecurePrivacyandIdenti-ty, Nomos Verlagsgesellschaft Mbh & Co, 2018, p.47.
      [27]參見任龍龍:《論同意不是個人信息處理的正當性基礎》,載《政治與法律》2016年第1期。
      [28]參見張新寶:《個人信息收集:告知同意原則適用的限制》,載《比較法研究》2019年第6期。
      [29]參見Michèle Finck, Blockchain and the General Data Protection Regulation: Can Distributed Ledgers be Squared with European Data Protection Law?, European Parliamentary Research Service(July 2019), p.75.
      [30]參見Datenschutzbeh?rde, DSB -D123.270/0009-DSB/2018(December 5,2018), https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT _20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00.html.
      [31]參見Information Commissioner’s Office of UK, Right to Erasure(December 31,2019), https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.
      [32]參見Federal Data Protection Act of 30 June 2017(Federal Law Gazette I p.2097), as last amended by Article 12 of the Act of 20 November 2019(Federal Law Gazette I, p.1626), https://www.gesetze-im-internet.de/englisch_bdsg/englisch_bdsg.html#p0304.
      [33]參見張憲、蔣鈺釗、閏鶯:《區塊鏈隱私技術綜述》,載《信息安全研究》2017年第11期。
      [34]參見石丹、孫文帥譯:《歐盟數據保護工作組關于匿名化技術的意見》,載《互聯網法律通訊》2016年第3期。
      [35]參見鄭戈:《區塊鏈與未來法治》,載《東方法學》2019年第3期。
      [36]Information Commissioner’s Office of UK, Anonymisation: Managing Data Protection Risk Code of Practice(November 2012), p.22-24, https://ico.org.uk/media/1061/anonymisation-code.pdf.
      [37]參見范為:《大數據時代個人信息保護的路徑重構》,載《環球法律評論》2016年第5期。
      [38]參見梁澤宇:《個人信息保護中目的限制原則的解釋與適用》,載《比較法研究》2018年第5期。
      [39]參見Tom Lyons et al., Blockchain and the GDPR, a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16,2018), p.68.
      [40]參見Clare Sullivan & Eric Burger, E-Residency and Blockchain, 33 Computer Law & Security Review 460,479(2017).
      [41]參見Carlo R. W. De Meijer, Blockchain versus GDPR and Who Should Adjust Most, Finextra(October 9,2018), https://www.finextra.com/blogposting/16102/blockchain-versus-gdpr-and-who-should-adjust-most.
      [42]參見Andrew Arnold, Can Blockchain Help Brands Become GDPR Compliant?, Forbes(November 20,2018), https://www.forbes.com/sites/an-drewarnold/2018/11/20/can-blockchain-help-brands-become-gdpr-compliant/#315949c51203.
      [43]英國ICO對“相對刪除”的解釋為:如果因為技術原因無法實質刪除數據,則只要滿足以下四個條件就可以視同刪除:(1)無法或不會嘗試使用個人數據;(2)不允許其他組織訪問個人數據;(3)采用適當的技術保障數據安全;(4)承諾在可能的情況下永久刪除。通過數據的加密結合密鑰的徹底刪除,在現有技術條件下,無論是網絡運營者抑或是其他主體事實上都難以有效訪問個人信息,因此可以視作數據被刪除。參見Information Commissioner’s Office of UK, Deleting Personal Data, https://ico.org.uk/media/for-organisations/documents/1475/dele-ting_personal_data.pdf.
      [44]CNIL, Blockchain and the GDPR: Solutions for a Responsible Use of the Blockchain in the Context of Personal Data(November 6,2018), p7, ht-tps://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data.
      [45]實時數據參見https://blockchair.com/bitcoin,最后訪問時間2021年10月5日20時。
      [46]實時數據參見https://blockchair.com/ethereum,最后訪問時間2021年10月5日20時。
      [47]參見Emanuel Palm, Olov Schelén &Ulf Bodin, Selective Blockchain Transaction Pruning and State Derivability, 2018 Crypto Valley Conference on Blockchain Technology (CVCBT), p.31.
      [48]參見Shiraz Jagati, Zero-Knowledge Proofs, Explained, Cointelegraph(NOV 18,2019), https://cointelegraph.com/explained/zero-knowledge-proofs-explained.
      [49]李康等:《零知識證明應用到區塊鏈中的技術挑戰》,載《大數據》2018年第1期。
      [50]關于零知識證明的洞穴例子,參見Teresa Alameda, Zero Knowledge Proof: how to maintain privacy in a data-based world, BBVA(September 11,2019), https://www.bbva.com/en/zero-knowledge-proof-how-to-maintain-privacy-in-a-data-based-world/.
      [51]關于零知識證明在身份認證方面應用的原理可參見李琳、岳建華:《基于零知識證明的匿名身份認證機制》,載《計算機科學》2013年第12期。
      [52]參見Ronald Mannak, ZKPs or Zero Knowledge Proofs Are Evolving Blockchains, Hackernoon(December 27,2019), https://hackernoon.com/how-zero-knowledge-proofs-are-changing-blockchain-in-non-technical-terms-y0aa3nr8.
      [53]參見Coda: Keeping Cryptocurrency Decentralized, Medium(May 10,2018), https://medium.com/codaprotocol/coda-keeping-cryptocurrency-decentralized-e4b180721f42.
      [54]參見Bruce Bennett et al.,The GDPR and Blockchain, Insideprivacy(July.24,2018),https://www.insideprivacy.com/international/european-union/the-gdpr-and-blockchain/.
      [55]參見謝輝、王健:《區塊鏈技術及其應用研究》,載《信息網絡安全》2016年第9期。
      [56]參見Michèle Finck, Blockchains and Data Protection in the European Union, 4 European Data Protection Law Review 17,20(2018).
      [57]參見Michèle Finck, Blockchain and the General Data Protection Regulation: Can Distributed Ledgers be Squared with European Data Protection Law?, European Parliamentary Research Service(July 2019), p.5.
      [58]參見Tom Lyons et al., Blockchain and the GDPR, a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16,2018), p14.
      [59]參見Tom Lyons et al., Blockchain and the GDPR, a Thematic Report Prepared by the European Union Blockchain Observatory and Forum(October 16,2018), p46.

      本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
      轉載請注明出自北大法律信息網
    0
    北大法律信息網
    www.chinalawinfo.com
    法律動態
    網站簡介
    合作意向
    網站地圖
    隱私政策
    版權聲明
    北大法寶
    www.pkulaw.cn
    法寶動態
    法寶優勢
    經典客戶
    免費試用
    產品服務
    專業定制
    購買指南
    郵件訂閱
    法律會刊
    北大英華
    www.pkulaw.com
    英華簡介
    主要業務
    產品列表
    英華網站
    聯系我們
    用戶反饋
    返回頂部
    二維碼
    不要添了,我高潮了视频