您正在閱讀算力智庫第 229 篇原創作品
作者:高斯
編輯:生煎
算力說
有關區塊鏈法律風險的話題,已經從“炒幣”、“挖礦”等具體行為,延伸到了區塊鏈技術本質對法律可能帶來的衝擊。而眼下最受關注的是,在資料保護與個人隱私安全方面,區塊鏈究竟發揮了起到了什麼作用。而更大的悖論在於,注重資料安全與個人隱私保護並非完全有利無弊。
“區塊鏈是有法律原罪的,區塊鏈一出生就違法”,北京大學法學院教授張平在日前舉行的2018第七屆北大-斯坦福網際網路法律與公共政策研討會上語出驚人。
該會議由北京大學法學院和斯坦福大學法學院共同主辦,來自兩校及兩國的法律界學者、專家就網際網路領域的法律問題展開深入討論。而當下炙手可熱的區塊鏈在法律視角下的是是非非,也成為與會嘉賓的熱議話題。
張平教授表示,區塊鏈具有去中心化點對點、智慧合約可信任協議、機器自治不可篡改可溯源三大特點。“但是,許多做區塊鏈的人毫不顧忌法律規定,所謂區塊鏈的技術特點在法律上也是有很多疑問的”,張教授說道。
“法律雷區”裡的區塊鏈
的確,本次會議對區塊鏈法律層面問題的探討較以往更為深刻。此前,區塊鏈的法律窘境還多在涉及“炒幣”、“挖礦”等方面,而張平教授則直接從區塊鏈自身的技術特性出發,列舉了區塊鏈可能在本質上就已經存在的法律風險。
第一、法律主體缺失,觸及消保法。
張教授表示,在去中心化結構中,一旦出現問題,監管機構找不到一個可以承擔法律責任的主體。如此分散的責任主體很容易造成消費者權益問題,而如果要追究每一個參與者的責任顯然不可行,這樣就有規避法律責任之嫌。
顯然,缺乏中心化平臺的區塊鏈是無法監管的,這主要表現為監管物件難以確認,監管政策不清晰,以及跨國糾紛難以監管。
第二、壟斷現象普遍,觸及競爭法。
張教授以區塊鏈專利為例介紹道,目前區塊鏈專利仍然牢牢被中心化主體控制,網際網路巨頭都在申請區塊鏈專利,透過專利來控制相關區塊鏈技術。甚至在倡導開源和去中心化的區塊鏈行業內部,如IBM Fabric和R3兩大陣營,都是以中心化的方式設定了行業標準。
若按此發展,一旦形成大範圍乃至全球性的區塊鏈標準,就會涉及管轄問題,需要建立全球性的糾紛解決機制,包括要解決和現有法律的衝突,以及跨國司法合作等。
而在企業層面,如果出現全球性的區塊鏈基礎設施平臺,就會形成市場操控能力而具有壟斷性。這種情況是否會觸及競爭法,其他企業如何能進入市場,都將是問號。
第三、個人隱私問題,觸及網安法。
張教授直指,區塊鏈不可篡改的特性會導致個人資訊保護問題。從網路安全法的規定來看這一問題,區塊鏈的機制可能挑戰其中多項原則。
首先是通知-同意原則:在獲取個人資訊時應通知使用者並獲得同意,但區塊鏈獲取資訊都是自動執行。
其次是目的專用原則:為了特定目的收集到的客戶資訊可能會再被用於其他目的。
再次是去識別化原則:一般來說,當資訊被轉用時應該被“去識別化”處理,但區塊鏈的不可篡改特性讓這一點變得異常困難。
最後是跨境傳輸安全評估原則:各國法律都規定資料在跨境傳輸時應做安全評估,但區塊鍊形成的全球化平臺讓評估難以實現,也等於讓各國的相關資料保護法律形同虛設。
幫倒忙的區塊鏈?
在上述三方面中,資料安全及個人隱私問題是目前最為現實也是最受關注的。在各國紛紛加大資料保護相關立法的大趨勢下,區塊鏈的出現是出手相助還是幫倒忙,也成為了本次會議的重要話題之一,其中最具代表性的就是GDPR(歐盟《通用資料保護條例》)。
GDPR於今年5月正式生效,旨在保護歐盟公民免受隱私和資料洩露影響,被認為具有里程碑意義且具有全球性影響。然而,TekID合規負責人Isabelle Hajjar認為,區塊鏈將對GDPR產生重大挑戰。
她表示,區塊鏈帶來了許多前所未有的特性,如交易和記錄永遠記錄在鏈上,去中心化的記賬體系等。在很多情況下,會有許多參與者在區塊鏈上記錄各種交易和資訊,這就讓監管機構很難找到資料控制人。而且,記錄在鏈上的資料無法刪除,也違背了資料可以刪除、修改的基本原則。另外,區塊鏈上的所有參與者對鏈上資料都有訪問許可權,無需得到資料主體的同意。
由此可以看出,在資料保護和個人隱私安全方面,區塊鏈不僅很難發揮正面作用,相反還會帶來更多問題。
中國支付清算協會業務協調三部主任丁華明表示,區塊鏈在隱私保護和安全治理方面面臨的技術挑戰主要包括密碼學隱私保護的實現仍存在效能或適用性的侷限,而且基於開放區塊鏈上的應用也更易受到攻擊。
對此,他認為應大力發展有多重安全保障體系的聯盟鏈應用,因為聯盟鏈在以密碼技術為核心構建安全體系的同時,更多融入了CA體系身份管理及其他安全手段,在追求隱私安全的同時也傳承了傳統安全體系架構。
而對於公鏈,丁華明認為,應該在參考借鑑技術創新的同時要考慮必要的監管平衡。具體措施包括建立相關公有鏈資訊檢測機制,加強區塊鏈瀏覽器的監管,及時對不良資訊識別預警。加強相關資料的安全立法,強化對資料持有第三方的監督,確保嚴重資料侵權事件的個人知情權,防止區塊鏈應用對個人隱私資料的侵權行為。
委屈的區塊鏈
客觀來說,資料保護與個人隱私是一個大話題,把相關罪名都加在區塊鏈頭上未免有失偏頗。
首先,資料保護與個人隱私取決於人們的意識。
斯坦福大學胡佛研究所研究員Andrew Grotto講述了發生在麻省理工學院(MIT)的一個小故事。有一位捐贈者向MIT捐贈了一些比特幣,以此讓學生們瞭解數字貨幣及錢包的使用。在選擇用哪一款錢包時,他們發現,學生並不會考慮哪個錢包的隱私保護特性更好,而只是直接使用他們第一個看到的錢包。
另外一個實驗則是讓學生們用三個他人的電子郵件地址來換一份免費披薩,結果是披薩餅大獲全勝。雖然這只是單一的實驗,但反映出的普遍現象是,當人們在調研中表達自己對隱私保護的關切時,他們的行為卻往往是不相匹配的。
另外,更大的悖論在於,注重資料安全與個人隱私保護並非完全有利無弊。
騰訊研究院資深專家王融表示,儘管GDPR帶來了個人權利的極致保護,也幫助企業重拾消費者的信任,但GDPR也面臨著爭議與困境。尤其對於資料驅動的科技創新企業來說,GDPR可能會造成融資減少,技術崗位流失和投資流失等。
具體來說,隱私保護確實是市場有效執行的基石之一,但在依賴資料共享的領域(如醫療、城市管理),隱私保護可能造成社會總體福利的減損。此外,隱私保護還可能導致和擴大歧視,如僱主在無法獲得僱員犯罪記錄的情況下,可能會擴大對黑人或特定人種的歧視。
王融總結道,不論是加強資料保護還是放鬆資料保護,資料共享都會對個人及整體社會帶來影響,如何平衡好積極影響和消極影響,並沒有一刀切的解決方案,而是需要結合具體場景,恰當平衡各方因素,更為精細科學地考量政策。
