我国《个人信息保护法》第五章明确了个人信息处理者的义务,但敦促个人信息处理者履行相关义务首先应当对个人信息处理者进行识别和明确。然而,对于部分区块链应用,由于其经营模式特殊性,认定该业务中的个人信息处理者存在认定上的困难。因此,本文在此对该问题进行明确、分析和研究,供参考。
一、我国依靠个人信息处理者进行个人信息保护
我国《个人信息保护法》从路径上依靠个人信息处理者履行相关义务来保护个人信息,从方法上对个人信息处理者作出了界定,认为“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”根据概念界定,处理目的和处理方式是定义个人信息处理者的关键。其中,处理目的说明了个人信息处理为何发生,即为什么处理者要处理个人信息。处理方式则说明了个人信息处理如何发生,即处理者将如何处理个人信息。根据概念定义,决定了个人信息处理目的和处理方式的组织或个人就是我国法律中的个人信息处理者。在实践中,我国对个人信息处理者的认定非常广泛,由于个人信息处理统摄了围绕着个人信息开展的收集、存储、使用、加工、传输、提供、公开等一系列行为,个人信息处理者的范围事实上也涵盖了实施这些个人信息处理行为的全部主体。
A股开盘:深证区块链50指数下跌0.11%:金色财经消息,A股开盘,上证指数报3366.58点,开盘下跌0.08%,深证成指报13682.28点,开盘下跌0.07%,深证区块链50指数报3769.67点,开盘下跌0.11%。区块链板块开盘下跌0.26%,数字货币板块开盘下跌0.24%。[2020/12/15 15:13:05]
认定个人信息处理者具有重要的法律意义。一方面,《个人信息保护法》规定了个人信息处理者处理个人信息的相关要求,个人信息处理者处理个人信息前,必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法律规定的事项,除非法律、行政法规规定应当保密或者不需要告知,或者告知将妨碍国家机关履行法定职责的除外。另一方面,《个人信息保护法》对个人信息处理者的义务作出了集中、详细的规定,构建了完整的义务体系。这些义务包括:个人信息处理者采取措施确保个人信息处理活动合法并保护个人信息安全的义务;按照规定指定个人信息保护负责人的义务;定期进行合规审计的义务;对于高风险个人信息处理活动进行个人信息保护影响评估并对处理情况进行记录的义务;在发生或可能个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务等。
行情 | 美股开盘:在美上市区块链中概股涨多跌少:美股开盘,三大股指小幅高开,在美上市区块链中概股涨多跌少。嘉楠科技上涨0.35%,人人网平盘,寺库上涨0.72%,迅雷下跌0.88%,猎豹移动上涨0.51%,兰亭集势平盘,中网载线下跌0.70%。[2020/1/17]
二、区块链应用中个人信息处理者认定具有特殊性
区块链应用存在多种类型,导致认定个人信息处理者存在类型上的差别。一是公有链。公有链是去中心化程度最高的区块链,由链上所有参与者共享控制权,不受第三方机构的控制,世界上所有的人都可以读取在链上的数据记录、参与交易以及竞争新区块的记账权等。即使是程序开发者也无权干涉用户,各个参与者(即节点)可以自由加入和退出网络,并按照意愿进行相关操作。其特点为:所有节点共享,完全开放,任何个人或机构都能匿名加入,链上的数据全局可见,通常作为基础性服务。二是私有链。私有区块链则完全相反,该网络的写入权限由某个组织或者机构全权控制,数据读取权限受组织规定,要么对外开放、要么具有一定程度的访问限制。由于参与节点具有严格限制且数量少,与公有链相比,私有链达成共识的时间相对较短、交易速度更快、效率更高、成本更低。可以将其理解为一个弱中心化或者多中心化的系统。不过这种类型的区块链更适合于特定机构内部使用,比如Linux基金会、农行涉农互联网电商融资e贷链、浙商银行应收款链平台等。其特点为:企业内部使用,主要权限集中在运营组织者手中。三是联盟链。联盟链则是介于公有链以及私有链之间,可实现“部分去中心化”。链上各个节点通常有与之相对应的实体机构或者组织,参与者通过授权加入区块链并组成利益相关联盟,共同维护联盟链运行。从某种程度上来说,联盟链也属于私有链的范畴,只是私有化程度有所不同而已。因此,其同样具有成本较低、效率较高的特点,适用于不同实体间的交易、结算等B2B交易。例如,Hyperledger(超级账本)、企业以太坊联盟、运营商区块链研究组CBSG、微软Coco等。其特点为:私有链的联盟,对特定组织开放,链上的信息授权可见,具有很强隐私保护机制,侧重商务,性能已经达到实用阶段。这种区块链业务类型上的差别导致部分区块链场景存在大量个人信息,但却没有明确的处理个人信息的主体。区块链应用中涉及大量的个人信息的收集、存储、使用、加工、传输、提供等活动,确定区块链应用中的个人信息处理者对规范区块链应用发展具有重要意义。目前,我国法律尚未对各类型区块链应用的个人信息处理者进行明确规定。
声音 | 工商银行董事长:运用区块链等手段加强小微信贷风控:据金融时报消息,对于如何加强小微信贷风险管控,中国工商银行董事长易会满在该行中期业绩发布会上表示,工行主要采取以下三个措施,一是真正做小微,做真小微,做小做精;二是打造诚信环境,创造良好的生态;三是运用现代科技,主要是利用非现场的线上大数据,包括区块链等手段加强风险监控。[2018/9/8]
三、域外对于区块链应用个人信息处理者的认定方式
欧盟立法没有采用数据处理者概念,而是对数据控制者和数据处理者进行了区分。1995年10月24日《欧洲议会以及欧盟理事会关于对于个人数据处理有关的个人进行保护以及数据自由流动的指令(95/46号指令)》第2条第4款、第5款分别规定:控制者(controller)是指单独或与他人联合决定个人数据处理的目的与方式的自然人、法人、公共机构、代理机构或者其他任何实体;如果数据处理的目的和方式由成员国或共同体的法律或法规决定,则控制者或其资格的具体标准由成员国或共同体的法律决定。处理者(processor)是代表控制者对个人数据进行处理的自然人、法人、公共机构、代理机构或者其他任何实体。上述区分的法律意义包括三个方面。一是控制者必须承担95/46号指令所规定的大部分的数据保护义务;二是在大多数情况下,是数据的控制者而非处理者承担违反数据保护的责任;三是数据处理者的工作非常有限,实际上只能按照控制者的指示来处理个人数据。
声音 | 链塔智库:印度是亚太地区最大的区块链人才储备地:据链塔智库消息,印度至今没有承认比特币及其他加密货币的合法地位,对发行通证的监管政策也迟迟未见出台,但在应用落地方面却进展较快,尤其是银行业应用较多,企业巨头也在区块链应用上有一定建树。此外,在区块链枢纽、区块链社区的建设上也颇具规划性,处处看得到政府努力的痕迹。印度是亚太地区最大的区块链人才储备地,占全球的7%。[2018/8/31]
在实践中,欧盟对于区块链应用中的获取者、参与者、挖矿者进行了区分,明确了各自的职责。一是获取者是有权阅读和获得一份区块链副本的人。二是参与者是有权在区块链上书写的人。书写意味着发起一项交易,参与者将之提交以作验效。三是挖矿者是能够验证一项交易的人,通过适用区块链协议的规则创立区块,以便后者能被区块链社群所接受。对区块链框架下的数据处理负责人,欧盟认为,区块链中的“参与者”可被视为GDPR所要规范的数据处理负责人,因为“参与者”有权在区块链上进行交易,并决定将相关数据交由“挖矿者”核实。其不仅决定了最终目的(将交易数据提交以待核实),而且决定了实现此数据处理的手段(比如采用何种数据格式诉诸区块链,等等),符合GDPR第4条第7款对处理负责人“为何”及“如何”处理个人数据的要求,而受到GDPR相关条款的规束。而对于区块链中的“挖矿者”或“核实者”,则不被视为数据处理负责人,因为其仅限于将“参与者”提交的交易予以核实,但不干预这些交易的目标,所以并不决定数据处理之目的和运用之手段。
冰蝶社区在6月1号的成都SOS儿童村举行全国首次区块链技术支付捐赠:据金色财经合作媒体IMEOS消息,冰蝶社区作为区块链的女性社区,它有独特女性特质,就像翩翩起舞的蝴蝶一样,化蛹破茧成蝶让人充满了遐想与期待。而可爱的儿童,他们亦是如此。冰蝶社区呼吁全球7个分站,北京、悉尼、波士顿、纽约、上海、杭州、成都,在6月1号的成都SOS儿童村举行全国首次区块链技术支付捐赠,这将是中国历史上首次使用区块链技术的儿童捐赠仪式。
希望通过冰蝶社区的力量,把有志能士结合起来,为更多需要帮助的孩子们出上一份微薄之力。[2018/6/1]
四、认定区块链应用中的个人信息处理者
为规范区块链应用发展,有必要对区块链应用中的个人信息处理者进行明确,督促其履行相关义务。笔者认为,针对区块链应用个人信息处理者模糊问题,可借鉴欧盟关于区块链业务中的个人信息处理义务承担方法,进行分类型解释认定个人信息处理者。一是可将私有链业务中将业务经营者认定为个人信息处理者。因为私有链网络的写入权限由某个组织或者机构全权控制,数据读取权限受组织规定,主要权限集中在运营组织者手中。私有链业务经营者符合个保法规定自主决定处理目的、处理方式的组织或个人的条件,因此应当被认定为个人信息处理者。二是可将联盟链业务中将联盟整体认定为个人信息处理者。联盟链上各个节点通常有与之相对应的实体机构或者组织;参与者通过授权加入网络并组成利益相关联盟,共同维护区块链运行。从某种程度上来说,联盟链也属于私有链的范畴,只是私有化程度不同,由联盟整体控制。联盟链业务中的联盟符合个保法规定自主决定处理目的、处理方式的组织或个人的条件,因此应当被认定为个人信息处理者。三是可认为公有链业务中无个人信息处理者,但公有链业务需经国家机关审批后才能开展个人信息相关业务。公有链中的参与者虽然在定义上符合个保法规定自主决定处理目的、处理方式的个人的条件,但由于其自主决定的范围仅限在自己的个人信息范围内,个人难以向自己请求个保法上规定的权利,在实质不应当被认定为个人信息处理者。因为公有链上涉及大量个人信息且采集个人信息行为具有不可撤销性,而通过私权救济又呈现出无效的状态,因此有必要启动公权力管制,由国家对公有链上的个人信息处理行为进行规范。
除此之外,由于在区块链上存储个人信息具有永久保留的属性,个人难以向区块链应用个人信息处理者撤回同意,也难以删除和修改,带来的个人信息风险是永久性的,对个人具有超过一般个人信息处理行为的重要性。因此建议通过立法规定个人信息上区块链时应当明示提醒个人信息主体获得个人信息主体关于个人信息上链行为的单独同意,以减缓区块链业务中的个人信息处理风险。
来源:袁纪辉 信通院互联网法律研究中心研究员?
《中华人民共和国个人信息保护法》第十七条。
详见《中华人民共和国个人信息保护法》第五章。
https://mp.weixin.qq.com/s/ylayxpii9WubVCB95eling
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。