您正在阅读算力智库第 229 篇原创作品
作者:高斯
编辑:生煎
算力说
有关区块链法律风险的话题,已经从“炒币”、“挖矿”等具体行为,延伸到了区块链技术本质对法律可能带来的冲击。而眼下最受关注的是,在数据保护与个人隐私安全方面,区块链究竟发挥了起到了什么作用。而更大的悖论在于,注重数据安全与个人隐私保护并非完全有利无弊。
“区块链是有法律原罪的,区块链一出生就违法”,北京大学法学院教授张平在日前举行的2018第七届北大-斯坦福互联网法律与公共政策研讨会上语出惊人。
该会议由北京大学法学院和斯坦福大学法学院共同主办,来自两校及两国的法律界学者、专家就互联网领域的法律问题展开深入讨论。而当下炙手可热的区块链在法律视角下的是是非非,也成为与会嘉宾的热议话题。
张平教授表示,区块链具有去中心化点对点、智能合约可信任协议、机器自治不可篡改可溯源三大特点。“但是,许多做区块链的人毫不顾忌法律规定,所谓区块链的技术特点在法律上也是有很多疑问的”,张教授说道。
“法律雷区”里的区块链
的确,本次会议对区块链法律层面问题的探讨较以往更为深刻。此前,区块链的法律窘境还多在涉及“炒币”、“挖矿”等方面,而张平教授则直接从区块链自身的技术特性出发,列举了区块链可能在本质上就已经存在的法律风险。
第一、法律主体缺失,触及消保法。
张教授表示,在去中心化结构中,一旦出现问题,监管机构找不到一个可以承担法律责任的主体。如此分散的责任主体很容易造成消费者权益问题,而如果要追究每一个参与者的责任显然不可行,这样就有规避法律责任之嫌。
显然,缺乏中心化平台的区块链是无法监管的,这主要表现为监管对象难以确认,监管政策不清晰,以及跨国纠纷难以监管。
第二、垄断现象普遍,触及竞争法。
张教授以区块链专利为例介绍道,目前区块链专利仍然牢牢被中心化主体控制,互联网巨头都在申请区块链专利,通过专利来控制相关区块链技术。甚至在倡导开源和去中心化的区块链行业内部,如IBM Fabric和R3两大阵营,都是以中心化的方式设定了行业标准。
若按此发展,一旦形成大范围乃至全球性的区块链标准,就会涉及管辖问题,需要建立全球性的纠纷解决机制,包括要解决和现有法律的冲突,以及跨国司法合作等。
而在企业层面,如果出现全球性的区块链基础设施平台,就会形成市场操控能力而具有垄断性。这种情况是否会触及竞争法,其他企业如何能进入市场,都将是问号。
第三、个人隐私问题,触及网安法。
张教授直指,区块链不可篡改的特性会导致个人信息保护问题。从网络安全法的规定来看这一问题,区块链的机制可能挑战其中多项原则。
首先是通知-同意原则:在获取个人信息时应通知用户并获得同意,但区块链获取信息都是自动执行。
其次是目的专用原则:为了特定目的收集到的客户信息可能会再被用于其他目的。
再次是去识别化原则:一般来说,当信息被转用时应该被“去识别化”处理,但区块链的不可篡改特性让这一点变得异常困难。
最后是跨境传输安全评估原则:各国法律都规定数据在跨境传输时应做安全评估,但区块链形成的全球化平台让评估难以实现,也等于让各国的相关数据保护法律形同虚设。
帮倒忙的区块链?
在上述三方面中,数据安全及个人隐私问题是目前最为现实也是最受关注的。在各国纷纷加大数据保护相关立法的大趋势下,区块链的出现是出手相助还是帮倒忙,也成为了本次会议的重要话题之一,其中最具代表性的就是GDPR(欧盟《通用数据保护条例》)。
GDPR于今年5月正式生效,旨在保护欧盟公民免受隐私和数据泄露影响,被认为具有里程碑意义且具有全球性影响。然而,TekID合规负责人Isabelle Hajjar认为,区块链将对GDPR产生重大挑战。
她表示,区块链带来了许多前所未有的特性,如交易和记录永远记录在链上,去中心化的记账体系等。在很多情况下,会有许多参与者在区块链上记录各种交易和信息,这就让监管机构很难找到数据控制人。而且,记录在链上的数据无法删除,也违背了数据可以删除、修改的基本原则。另外,区块链上的所有参与者对链上数据都有访问权限,无需得到数据主体的同意。
由此可以看出,在数据保护和个人隐私安全方面,区块链不仅很难发挥正面作用,相反还会带来更多问题。
中国支付清算协会业务协调三部主任丁华明表示,区块链在隐私保护和安全治理方面面临的技术挑战主要包括密码学隐私保护的实现仍存在性能或适用性的局限,而且基于开放区块链上的应用也更易受到攻击。
对此,他认为应大力发展有多重安全保障体系的联盟链应用,因为联盟链在以密码技术为核心构建安全体系的同时,更多融入了CA体系身份管理及其他安全手段,在追求隐私安全的同时也传承了传统安全体系架构。
而对于公链,丁华明认为,应该在参考借鉴技术创新的同时要考虑必要的监管平衡。具体措施包括建立相关公有链信息检测机制,加强区块链浏览器的监管,及时对不良信息识别预警。加强相关数据的安全立法,强化对数据持有第三方的监督,确保严重数据侵权事件的个人知情权,防止区块链应用对个人隐私数据的侵权行为。
委屈的区块链
客观来说,数据保护与个人隐私是一个大话题,把相关罪名都加在区块链头上未免有失偏颇。
首先,数据保护与个人隐私取决于人们的意识。
斯坦福大学胡佛研究所研究员Andrew Grotto讲述了发生在麻省理工学院(MIT)的一个小故事。有一位捐赠者向MIT捐赠了一些比特币,以此让学生们了解数字货币及钱包的使用。在选择用哪一款钱包时,他们发现,学生并不会考虑哪个钱包的隐私保护特性更好,而只是直接使用他们第一个看到的钱包。
另外一个实验则是让学生们用三个他人的电子邮件地址来换一份免费披萨,结果是披萨饼大获全胜。虽然这只是单一的实验,但反映出的普遍现象是,当人们在调研中表达自己对隐私保护的关切时,他们的行为却往往是不相匹配的。
另外,更大的悖论在于,注重数据安全与个人隐私保护并非完全有利无弊。
腾讯研究院资深专家王融表示,尽管GDPR带来了个人权利的极致保护,也帮助企业重拾消费者的信任,但GDPR也面临着争议与困境。尤其对于数据驱动的科技创新企业来说,GDPR可能会造成融资减少,技术岗位流失和投资流失等。
具体来说,隐私保护确实是市场有效运行的基石之一,但在依赖数据共享的领域(如医疗、城市管理),隐私保护可能造成社会总体福利的减损。此外,隐私保护还可能导致和扩大歧视,如雇主在无法获得雇员犯罪记录的情况下,可能会扩大对黑人或特定人种的歧视。
王融总结道,不论是加强数据保护还是放松数据保护,数据共享都会对个人及整体社会带来影响,如何平衡好积极影响和消极影响,并没有一刀切的解决方案,而是需要结合具体场景,恰当平衡各方因素,更为精细科学地考量政策。
