個人信息保護法與區塊鏈技術沖突的雙向紓解及合規監管

趙炳昊

(中國政法大學 民商經濟法學院，北京 100088)

在區塊鏈技術高速發展的時代背景下，個人信息作為科技發展的基礎資源需要得到新興技術的妥善處理，既要發揮出個人信息的潛在價值，又要避免個人信息在技術處理過程中遭受侵害。面對日益增長的個人信息處理需求，2021年8月20日，中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議審議通過《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，這是針對個人信息處理的專門法律，標志著我國個人信息保護邁入了全新時代。《個人信息保護法》強調保護與使用并重，不但強化在個人信息處理過程中對個人信息的保護與救濟，而且法律強制力的介入還意味著國家通過積極保護來支援個人對抗個人信息處理中面臨的風險。(1)參見王錫鋅：《個人信息國家保護義務及展開》，載《中國法學》2021年第1期。在此之前，歐盟發布《通用數據保護條例》(The General Data Protection Regulation，以下簡稱GDPR)來為個人信息提供專門保護，而美國也出臺了包括《網絡安全法》在內的多部專門保護個人信息的法規，(2)參見張立彬：《美英新個人信息保護政策法規的考察與借鑒》，載《情報理論與實踐》2020年第6期。并據此構建專門的個人信息法律保護體系。與之相似，《個人信息保護法》結合科技發展的實際狀況調整個人信息的處理與保護路徑，其中第4條規定“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”，其中特別強調電子方式這一全新記錄形式，體現了對以區塊鏈技術為代表的新興科技的重視。實際上，當前的《個人信息保護法》在規制區塊鏈技術處理個人信息的過程中經常會因為自身的滯后性而難以發揮強制力，導致區塊鏈技術風險與法律規范保護之間產生內生性沖突，需要從技術和法規兩方面入手展開雙向紓解。概言之，區塊鏈技術雖然為個人信息處理提供了絕佳的技術方案，但是又因為自身的技術風險而與法律法規產生內生性沖突，而這不僅需要從技術和規范兩方面入手進行雙向紓解，同時也需要構建合規監管體系進行持續性的制度保障。

一、問題提出：個人信息保護法與區塊鏈技術的沖突

區塊鏈技術的迭代升級意味著個人信息處理模式面臨整體性的技術革新，區塊鏈技術的使命與《個人信息保護法》的立法目標都是優化個人信息的處理過程，但是兩者在具體的適配過程中卻存在一定的內生性沖突。《個人信息保護法》在立法目的上強調保護與使用并重，但是在規范內容上具有一定的滯后性，而區塊鏈技術則更具靈活性且不斷迭代升級，在處理個人信息過程中容易突破現有的法律規范的限制。在個人信息處理的整體方向上，《個人信息保護法》第7條規定處理個人信息應當遵循公開、透明原則，這一原則同樣適用于指導區塊鏈技術處理個人信息的過程，防止區塊鏈技術對個人信息產生潛在威脅。實際上，區塊鏈技術在實際處理過程中努力秉持公開、透明原則，比如借助區塊鏈技術公開個人信息處理流程來落實《個人信息保護法》的具體要求，通過公開性增強了技術公信力，使得區塊鏈技術處理后的個人信息被賦予了公開性的技術屬性與科技增值，(3)參見Gabisori G, Policy Considerations for the Blockchain Technology Public and Private Applications, SMU science and technology law review, 2016, 19(3). pp. 327-350.并通過ShadowEth等智能私有合約的形式實現對個人信息的專門保護，(4)參見Yuan R, Xia Y B, Chen H B, ShadowEth: Private Smart Contract on Public Blockchain, Journal of Computer Science and Technology, 2018, 33(3). pp. 542-556.體現出《個人信息保護法》對應用區塊鏈技術的價值指引。

值得注意的是，盡管區塊鏈技術在整體上遵循了《個人信息保護法》的價值指引，但是在技術模式的具體運行過程中，區塊鏈技術與《個人信息保護法》中的具體規范卻存在內生性沖突，區塊鏈技術的底層運算邏輯與《個人信息保護法》規范銜接不恰反而加速了區塊鏈技術的迭代升級，造成了更大的法律監管漏洞，亟需配置對應區塊鏈技術的合規監管措施。(5)參見Thierer, Adam, Privacy Law's Precautionary Principle Problem, Maine Law Review, 2017, 66(2). pp. 468-486.第一，區塊鏈技術在《個人信息保護法》的監管語境下與法律規范的限制存在內生性沖突，區塊鏈技術因為迭代升級頻繁而容易觸犯法律規范的限制邊界，技術模式與《個人信息保護法》規定的個人信息處理要求相悖，因此需要對區塊鏈技術的研發與運行進行調整，基于法律規范的要求填補技術手段的不足。第二，區塊鏈技術的進步本質上是為了滿足個人信息的處理需求，而其技術路徑與《個人信息保護法》的規定產生沖突，側面反映出當前《個人信息保護法》在個人信息處理的規定上存在一定的滯后性，因此需要完善《個人信息保護法》的規范內容并優化其解釋路徑，包括限制公共法益的范圍、優化解釋區塊鏈技術處理方式以及提供針對應用區塊鏈技術的合理豁免，從而使《個人信息保護法》成為個人信息處理的保障而非阻礙。第三，區塊鏈帶來的技術風險對保護個人信息構成持續性挑戰，而持續性監管體系的缺失導致對內生性沖突的紓解呈現周期性狀態，無法創設穩定的個人信息處理環境。從長遠角度出發，需要通過合規監管的方式實現法律規范對區塊鏈技術的持續性監管，而構建合規監管體系需要將《個人信息保護法》的規范內容貫徹其中，制定合規任務、保障技術合規并明確合規對象，通過合規監管體系保障區塊鏈技術的可持續發展。

總之，針對《個人信息保護法》與區塊鏈技術在個人信息處理上存在的適配障礙，一方面需要分別從區塊鏈技術與《個人信息保護法》的角度出發進行雙向紓解，在完善區塊鏈技術發展的同時調整《個人信息保護法》的規范內容與解釋路徑；另一方面需要從長遠角度出發構建基于《個人信息保護法》的合規監管體系進行持續性監督，在合規框架下發揮區塊鏈的技術效能，從而大規模推廣區塊鏈技術的應用，并基于個人信息安全共享、新興技術合規運用、監管體系逐步完善等多重視角構建個人信息數字化治理體系。(6)參見佟家棟、張千：《數字經濟內涵及其對未來經濟發展的超常貢獻》，載《南開學報(哲學社會科學版)》2022年第3期。鑒于此，我國可以從技術與規范的雙重角度出發構建完備的個人信息法律保護體系，通過合規科技以區塊鏈技術為載體將《個人信息保護法》的內容轉化為對個人信息的全生命周期保護。(7)參見許可：《個人信息治理的科技之維》，載《東方法學》2021年第5期。

二、內生性沖突促進區塊鏈技術優化以適配法律規范

區塊鏈技術作為新興技術具備透明、加密、可溯源和不可篡改等諸多優勢，不僅能大幅提升個人信息處理效率，還有助于降低信息泄露風險和處理成本，是未來科技發展的主要方向。但是在區塊鏈技術處理個人信息的過程中，技術的復雜原理以及固有缺陷容易導致其與《個人信息保護法》產生內生性沖突，從技術應用的角度出發，應該基于《個人信息保護法》的訴求來推動技術優化。

(一)區塊鏈技術原理與法律規范之間的適配調整

現有區塊鏈技術在基礎算法層面擁有多種類型的技術原理，不同的技術原理采用不同的處理模式，因此形成了不同的區塊鏈技術類型，主要分為公有鏈和許可鏈。值得注意的是，即便是不同類型的區塊鏈技術，其在基礎技術原理上也都和《個人信息保護法》的規范內容存在適配失衡，這意味著區塊鏈技術需要基于《個人信息保護法》的規定適度調整自身的底層技術原理。

區塊鏈的技術原理的演變體現了個人信息處理需求的發展，為了更好地處理個人信息，區塊鏈技術不斷升級。傳統區塊鏈主要是公有鏈(Public Blockchain)，其作為一種完全開放的區塊鏈具備完全的去中心化特征，參與節點按照系統規格自由地接入網絡并不受系統控制，基于共識機制開展工作并形成去中心化的信用機制，(8)參見曹雪蓮、張建輝、劉波：《區塊鏈安全、隱私與性能問題研究綜述》，載《計算機集成制造系統》2021年第7期。公有鏈的防篡改機制是通過區塊之間的連接展開，不存在控制公有鏈的實體，其本質上是一種分散的、不可變的信息分類存儲賬本。伴隨個人信息處理環境的日趨復雜，許可鏈(Permissioned Blockchain)作為公有鏈迭代升級的產物被廣泛應用，許可鏈中每個節點的更改都要經過許可，只有區塊鏈中的預選成員才有能力讀取并查看區塊上的個人信息變更記錄，其本質上是一種部分去中心化的區塊鏈，并增強其可溯源性特征以便在事后對個人信息變動進行快速溯源，保持許可鏈相對穩定。相較而言，許可鏈更適合傳遞個人信息，因為其可以提供存儲在不可變總賬中的即時、共用以及完全透明的個人信息，并且只有獲得許可的成員才能讀取，可以據此把控個人信息交易的全過程。現有的ConsenSys Quorum就是利用許可鏈技術處理并分享個人金融信息的商業機構，其借助許可鏈的共識算法增強個人信息交換與共享的可擴展性和適用性，(9)參見Mazzoni M, Corradi A, Di Nicola V, Performance evaluation of permissioned blockchains for financial applications: The ConsenSys Quorum case study, Blockchain: Research and Applications, 2022, 3(1). pp. 1-12.并對個人信息處理全程進行合規監管，防止造成隱私泄露。

經過比較后可以發現，雖然不同類型的區塊鏈技術存在技術原理上的差異，但是其技術原理中共有的共識機制、可溯源性、不可篡改性和去中心化等特征都與現有法律規范存在一定沖突，因此需要基于法律規范的要求來調整技術原理。第一，區塊鏈中共識機制的運行需要參考《個人信息保護法》第20條規定的“兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務”，這是共識機制運行的規范支撐。但是在不同類型的區塊鏈中共識機制的主體也不同，傳統公有鏈上的共識機制必須經過所有主體的同意驗證，而許可鏈中共識機制的主體則限定為被許可的主體，因此技術升級反而與《個人信息保護法》的既有規范產生沖突，需要對許可鏈技術中的主體同意程序進行一定的修正，以權重方式代替被許可的方式來構建技術同意流程。第二，區塊鏈技術中可溯源性的規范依據是工業和信息化部與中央網信辦聯合發布的《關于加快推動區塊鏈技術應用和產業發展的指導意見》(以下簡稱《區塊鏈指導意見》)中第2條“重點任務”規定的“用區塊鏈建立……產品溯源體系，實現全生命周期的追蹤溯源”，這保障了區塊鏈參與者能夠依時間順序查看鏈上的個人信息，且追溯范圍是個人信息的全生命周期。但是許可鏈對個人信息的管控力度下降，其為了提升處理效率在一定程度上降低了監管力度，這意味著溯源行為本身就存在技術風險，個人信息的過度透明將會導致個人隱私泄露以及信息被二次利用等次生損害，(10)參見謝絨娜、李暉、史國振等：《基于區塊鏈的可溯源訪問控制機制》，載《通信學報》2020年第12期。所以許可鏈技術的追溯路徑和管控力度需要依據法律規范進行強化。第三，區塊鏈的不可篡改性作為核心技術特征提供公信力背書，其規范依據是《區塊鏈指導意見》規定的“通過數據透明、不易篡改、可追溯，有望解決網絡空間的信任和安全問題”，這要求區塊中的個人信息在添加到分布式賬本后不能被編輯或刪除。但是伴隨著固有技術的漏洞與新興技術的突破，區塊鏈的不可篡改性特征也在逐漸動搖。比如公有鏈允許任何人僅憑最少的數據治理權就可以介入個人信息處理，但在具體操作過程中可能會因為監管漏洞引發篡改風險，反而與《個人信息保護法》等法律規范產生沖突，所以公有鏈需要在運行機理中強化對篡改行為的監管，將數據治理權與共識機制進行區分。第四，區塊鏈去中心化的特征是技術創新的核心，參考最高人民法院發布的《關于加強區塊鏈司法應用的意見》中第17條規定的“形成去中心化、去網系化、去系統化的數據串聯”，區塊鏈中的個人信息要分布到各個節點，這種技術原理有利于降低區塊鏈技術存儲個人信息的風險，即使個別節點出現故障，區塊鏈也不會立即停滯，個人信息仍然被儲存在相對安全的空間內。

總之，區塊鏈技術的復雜原理與頻繁技術升級導致其適用路徑與既有的法律規范之間形成適配沖突，而技術與規范的適配失衡會影響區塊鏈技術的處理效率，甚至造成個人信息泄露。鑒于此，基于內生性沖突來彌補區塊鏈技術的適用缺陷，可以挖掘出技術原理的共性不足，減少技術與規范的適配失衡，(11)參見趙宏：《我國疫情信息公開機制以及問題——基于法規范的分析》，載《東南法學》2020年第2期。那么無論是采用何種技術原理的區塊鏈技術，都可以在共有特征上減少與個人信息保護法律規范的內生性沖突。

(二)區塊鏈技術基于個人信息保護法優化理念

區塊鏈技術是人工智能時代的新興技術，其對個人信息法律保護的既有架構和監管體系造成顛覆性影響，和《個人信息保護法》在具體理念上存在差異。對于技術與法規的理念差異，需要在技術創新升級與個人信息保護之間保持價值平衡，調整技術與法規達到相對一致的目的，平衡區塊鏈技術處理個人信息時的各方訴求，在促進技術升級的同時實現對個人信息的全方位保障。

第一，區塊鏈技術在處理范圍的選擇上應該契合《個人信息保護法》的目的訴求，將區塊鏈處理個人信息的范圍適當擴展至域外，提供合適的技術處理方案來最大程度地保護我國公民的個人信息自決權法益。《個人信息保護法》第3條對域外適用本法設定了限制條件，盡管該法不具備完全的域外規制效力，但同時設置了“法律、行政法規規定的其他情形”作為兜底條款，體現了《個人信息保護法》擴張保護范圍、強化保護力度的追求。與之相對，區塊鏈去中心化的技術特性決定了其處理范圍并不局限在某一特定地域范圍內，因此其技術監管范圍便可以進行相應的延伸，只要個人信息有一個存儲節點位于境內便可以參照《個人信息保護法》加以監管。區塊鏈的技術路徑傾向于對個人信息采用分布式去中心化記賬模式加以處理，個人信息的存儲與變更通過全節點驗證在區塊鏈上記載，并無特定的物理節點，從而提供了通暢的技術監管通道。質言之，適度擴張區塊鏈處理個人信息的監管范圍，有助于保護我國公民存儲在區塊鏈上的個人信息的安全，同時也促使《個人信息保護法》與域外GDPR等法律規范保持相對一致，在保證我國擁有區塊鏈技術監管的絕對優勢的前提下，推動個人信息保護的跨境合作。

第二，區塊鏈技術對個人信息的處理應該基于《個人信息保護法》的立法目的展開，將保護與使用并重的理念轉化為區塊鏈的技術指標，并將相關技術指標作為具體的合規任務來構建對個人信息的專門保護，將區塊鏈這一通用人工智能技術平移應用到專門的個人信息法律保護領域。(12)參見王祿生：《論法律大數據“領域理論”的構建》，載《中國法學》2020年第2期。《個人信息保護法》對個人信息倡導保護與使用并重，而保護和使用實際上都需要區塊鏈技術的加持。在個人信息的保護上，區塊鏈技術在處理個人信息時應該保持公開透明，不能以保護技術秘密為由剝奪公民對自身個人信息處理方式的知情權限，同時應利用新興技術消除現代化社會的治理風險，(13)參見周佑勇、朱崢：《風險治理現代化中的公民知情權保障》，載《比較法研究》2020年第3期。實現對個人隱私的全方位保護。在個人信息的使用上，區塊鏈技術需要發揮自身的技術優勢，提升個人信息的處理效率，將技術效能賦值個人信息的使用價值，區塊鏈技術處理后的個人信息不僅能挖掘出潛在價值，也能實現二次賦值。總之，區塊鏈技術的應用理念需要參考《個人信息保護法》加以優化，并通過合規監管的“橋梁”來消弭技術與法律的錯配，真正落實保護與使用并重的理念來提升技術效能。

第三，區塊鏈技術在個人信息的處理過程中應當保持各方主體的地位平等，在處理路徑的選擇上避免過分重視某一方的保護需求，做到技術公正并貫徹《個人信息保護法》所倡導的公正平等理念。在個人信息的處理過程中，公正平等的處理原則要求區塊鏈技術合規不應區分個人信息所有者的身份，對于被處理的個人信息，無論其內容構成、信息來源和應用目的有何不同，一律采用平等的處理模式，保護公民的個人信息自決權法益。為了保護公民個人信息自決權，區塊鏈技術應該在底層邏輯上避免算法偏見，在堅持技術內核公正的同時將消除算法偏見作為區塊鏈技術的合規要求，這本身也有利于降低技術成本，防止技術算力被無端消耗。退言之，如若區塊鏈技術不能實現公平公正，那么其處理個人信息的技術紅利將會被反噬，公眾對區塊鏈這一新興技術的信任程度會降低，其應用范圍也會隨之限縮，《個人信息保護法》的強制力就會限制區塊鏈技術的發展，所以區塊鏈技術處理個人信息需要公平公正地協調各方利益，力圖實現對個人信息的全方位保護。

(三)區塊鏈技術彌補個人信息權利的保護缺漏

《個人信息保護法》在個人信息權利保護上圍繞公民個人信息自決權的實質法益展開，個人信息權利保護來源于信息主體為了處理個人信息而讓渡部分個人信息權限，并因此享有對應的決定權與控制權。區塊鏈技術介入個人信息處理后，應該堅持技術公正，利用技術優勢完善對個人信息自決權的保護，而當前個人信息權利的保護缺漏主要集中在三個方面，分別是補充更正權、被遺忘權與可攜帶權，區塊鏈的技術優勢可以從多方面入手彌補保護缺漏。

區塊鏈技術應該根據個人信息權利內涵的差異提供針對性的保護。第一，《個人信息保護法》第46條規定了信息主體具有補充更正權，即個人信息主體有權要求更正不準確的個人信息，信息控制者在收到請求后必須從信息存儲庫中更正、修改或刪除不準確或不完整的個人信息。為了落實這一權利，區塊鏈技術可以對各個節點上的個人信息進行及時反饋，雖然其中的個人信息需要經由各方同意、按照共識機制實現更正，區塊鏈上難以及時對個人信息進行刪改，(14)參見王從光：《區塊鏈技術應用于個人信息保護的法理解讀與治理》，載《西北民族大學學報(哲學社會科學版)》2021年第6期。但是區塊鏈技術的去中心化與可溯源化特征意味著可以按照合規程序進行刪改，只要刪改流程符合其技術原理，便可以提供事后的權利救濟渠道。(15)參見陳奇偉、聶琳峰：《技術+法律：區塊鏈時代個人信息權的法律保護》，載《江西社會科學》2020年第6期。第二，《個人信息保護法》引入了被遺忘權，從兼顧個人信息安全和社會公共法益的角度出發，較為明確地規定了幾種可以請求刪除的情形。(16)參見程嘯：《論〈個人信息保護法〉中的刪除權》，載《社會科學輯刊》2022年第1期。被遺忘權規定信息主體可要求從企業的存儲器中刪除其個人信息且不得無故拖延，這是個人信息數據控制與信息刪除之沖突的一種平衡。(17)參見阮晨欣：《大數據時代賬號注銷權的保護實踐——以〈個人信息保護法〉“刪除”處理為視角》，載《東南法學》2021年第2期。當信息主體行使被遺忘權時，數據控制者須告知與其共享該個人信息數據的第三方并一同刪除個人信息數據。被遺忘權作為新型權利對于區塊鏈技術而言是一種全新的挑戰，區塊鏈技術必須在網絡留痕的傳統思維模式下不斷探索如何保障公民的被遺忘權，組成區塊鏈的各個節點可以及時清除個人信息的數據留存，滿足公民對個人信息的控制自治和信息自由。(18)參見阮晨欣：《被遺忘權作為新型權利之確證與實踐展開》，載《安徽大學學報(哲學社會科學版)》2022年第3期。第三，以往《個人信息保護法》中規定的可攜帶權在個人信息的實際處理過程中難以被妥善保護，個人信息蘊含的巨大利益以及技術發展的不成熟導致可攜帶權面臨空置化的窘境。可攜帶權賦予個人信息所有者根據其要求以“結構化、普遍使用和機器可讀”的格式從控制者處獲得自己個人信息的權利，但這同時帶來了隱私自治、數據遷移權的安全風險與合規成本利益失衡的潛在可能性。(19)參見康蘭平、程文文：《數據可攜帶權在歐美法律實踐上的權利要旨對我國個人信息權益保護的借鑒》，載《電子知識產權》2022年第3期。在區塊鏈技術介入后，其可以強化個人信息保護壁壘，隱私自治被限制在一定范圍內，在數據遷移過程中，個人信息在各節點的傳輸也處于可控制的范圍內，從而利用技術優勢降低了整體的合規成本。《個人信息保護法》第45條規定符合國家網信部門規定的個人信息處理者還需要提供轉移路徑，區塊鏈的去中心化特征可以避免大型平臺借助技術優勢壟斷個人信息，平臺在個人信息傳輸過程中難以占據絕對主導地位，而是由多方共同參與個人信息的傳輸過程。

總之，《個人信息保護法》中強調的補充更正權、被遺忘權和可攜帶權的權利譜系可以借助區塊鏈技術得以實現，但在技術應用的過程中仍需要堅持技術合規。實際上，在個人信息保護的過程中，區塊鏈技術在不斷調整適配個人信息的保護需求，(20)參見Timmons J, Hickman T, Blockchain and the GDPR: Coexisting in contradiction, Journal of Data Protection & Privacy, 2020, 3(3). pp. 310-322.并落實《個人信息保護法》的規范需求，實現對個人信息自決權的實質保護。區塊鏈可以通過多重技術路徑更迭個人信息，基于《個人信息保護法》規定的權利構成，區塊鏈技術在處理鏈上的個人信息時需要強化合規監管，事先對技術機理、運行模式進行合規改進，才能借助合規模式預先處理《個人信息保護法》與區塊鏈技術之間的齟齬，進行法律規范審查并規范信息處理流程，(21)參見趙炳昊：《個人信息保護法頒布后征信體系的調整與完善》，載《東方法學》2022年第3期。將區塊鏈技術廣泛地應用到個人信息的處理過程中。

三、鏡鑒區塊鏈技術發展完善個人信息保護法的適用

在完善個人信息處理的過程中，不能僅寄希望于區塊鏈技術的單方面迭代升級，同時也要從完善法律規范的層面進行紓解，基于內生性沖突來完善《個人信息保護法》的規范內容與解釋路徑。根據區塊鏈的技術特征，量化區塊鏈技術的不合理成本以限制公共法益的無限延伸，靈活解釋區塊鏈處理個人信息的方式，并提供一定程度的技術豁免，構建貫徹個人信息全生命周期的法律保護體系，借助《個人信息保護法》的強制性來保護個人信息的私權利。(22)參見劉艷紅：《人性民法與物性刑法的融合發展》，載《中國社會科學》2020年第4期。

(一)限制公共法益保護個人信息自決權

相較于《個人信息保護法》中對公共法益的延伸采用審慎的保護態度，GDPR中直接規定了為保護公共法益而不適用被遺忘權和可攜帶權的例外情形，如第9條規定為保護公共衛生安全或公共存檔安全法益在處理個人信息的某些特殊情況中不適用被遺忘權，第20條規定為公共法益或為行使其被授權的官方權威所必須時，不適用可攜帶權，上述規定是在復雜語境下有所側重地協調個人法益與公共法益的關系。(23)參見金晶：《歐盟〈一般數據保護條例〉：演進、要點與疑義》，載《歐洲研究》2018年第4期。在個人信息的實際處理過程中，很多跨國公司適用GDPR中保護公共法益的規定，但這必然會影響個人法益的保護，故而需要限制公共法益的保護范圍，比如Medicalchain公司為了建立高質量的醫療保健系統來安全分享去中心化的個人信息而放棄使用被遺忘權。(24)參見畢浩然、曾智、姚育楠：《區塊鏈+醫療個人健康數據存儲——基于medicalchain平臺的分析》，載《中國衛生事業管理》2021年第5期。ConsenSys Quorum為了建立高效的個人金融信息分享系統，在跨鏈訪問比特幣中的個人信息時基于服務公共法益而放棄被遺忘權，(25)參見李芳、李卓然、趙赫：《區塊鏈跨鏈技術進展研究》，載《軟件學報》2019年第6期。但在實際運行過程中也并非所有的區塊鏈技術都可以適用保護公共法益的例外情形。鑒于區塊鏈技術處理個人信息所要保護的核心法益是個人信息自決權，所以《個人信息保護法》需要框定公共法益的保護范圍，既要兼顧對公共法益的特殊保護，又要防止肆意擴張公權力的規范范圍。(26)參見楊楊、于水、胡衛衛：《區塊鏈賦能重塑社會治理結構：場景、風險與治理之道》，載《電子政務》2020年第3期。在區塊鏈技術的實際應用過程中，無視不合理成本而延伸公共法益的處理模式不具有長遠的可行性，并不利于區塊鏈的推廣應用。

相較于GDPR，我國《個人信息保護法》中尚未規定基于公共法益的例外情形，也就無從確定公共法益的保護范圍，那么對應的個人信息自決權的保護也就無所適從。(27)參見王利明：《論個人信息刪除權》，載《東方法學》2022年第1期。公共法益是區塊鏈技術處理個人信息時需要考慮的因素之一，但是區塊鏈的技術核心仍然是圍繞保護個人信息自決權展開，我國的《個人信息保護法》以保護私權利作為立法訴求，因此對公共法益的范圍應該進行相應的限縮，尤其是在區塊鏈等新興技術的介入下，更要避免新興技術對公共法益的過分擴張保護。在區塊鏈技術的加持下，限制公共法益的價值范圍需要基于個人信息的不同發展階段、使用合約機制的差異以及區塊鏈節點數量的不同進行區分解讀，《個人信息保護法》作為功能性立法，(28)參見劉艷紅：《中國反腐敗立法的戰略轉型及其體系化構建》，載《中國法學》2016年第4期。需要將具體的公共法益參照標準限制在法律規范的價值功能范疇內。第一是時間要素，個人信息的不同發展階段意味著公共法益與個人法益的權重比發生變化，在個人信息的后生命周期，公共法益的占比會隨之上升，此時區塊鏈技術介入后，如若為了公共法益就需要犧牲技術效率且增加不合理的技術應用成本，則應該限制對公共法益的保護。第二是合約機制要素，也就是區塊鏈技術的原始運行機理，比如采用哈希化編校方案的區塊鏈技術具有更強的技術靈活性，對于公共法益的影響較小，可以對個人信息進行合理處理，那么公共法益的范圍也需要適當限縮，相反更應突出對個人信息自決權的保護。第三是節點數量不同，當個人信息被存儲于多個節點時，其涉及的公共法益范圍較廣且關聯較多，某一節點的變動可能會引起區塊鏈上個人信息的連鎖反應，此時區塊鏈技術在處理個人信息時應該避免發生變動，限制公共法益的范圍而優先保護個人信息的整體穩定性。總之，基于區塊鏈技術的語境限縮公共法益的范圍，應該拆解區塊鏈技術的構成，并基于不同技術側面強調對公共法益的限制，更多地將《個人信息保護法》的關注重心放在個人信息自決權上，才能更好地促進區塊鏈技術創新，(29)參見Shahshahani S, The Role of Courts in Technology Policy, The Journal of Law and Economics, 2018, 61(1). pp. 37-61.同時為后續的合規監管提供量化依據。

(二)靈活解釋區塊鏈處理個人信息的方式

消解區塊鏈技術與《個人信息保護法》之間的沖突，除了在立法上盡可能完善個人信息法律規范體系，同時也需要依據《個人信息保護法》對區塊鏈處理個人信息的方式進行靈活解釋，將應用區塊鏈技術的核心靈活解釋使其融入既有的法律框架內。實際上，寬松且靈活的實質解釋路徑能夠在區塊鏈技術與《個人信息保護法》的要求之間維持平衡，有助于防止《個人信息保護法》陷入空置化的窘境。

基于《個人信息保護法》的規范要求來靈活解釋區塊鏈處理個人信息的方式，需要參考《個人信息保護法》第4條的定義，即“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”，而上述操作流程都可以由區塊鏈技術介入，因此法律規范對處理模式的限制也需要結合區塊鏈技術特征進行實質解釋。第一，對于區塊鏈分布存儲個人信息數據的行為模式，在涉及跨境存儲個人信息時因為區塊鏈的去中心化的技術特性而容易產生監管爭議。《個人信息保護法》中對于跨境存儲個人信息的規定是基于國家主權原則而傾向于將個人信息本地化存儲，并倡導通過多邊法律協助機制協調國際管轄沖突，這本身也符合個人信息數據的無形性特征。(30)參見吳玄：《云計算下數據跨境執法：美國云法與中國方案》，載《地方立法研究》2022年第3期。鑒于區塊鏈技術的去中心化特征，必然有部分節點會被設置在境外或者其本身即為無實體的存儲節點，那么在行為模式的規制上，不能機械地遵照既有規定，而應結合技術邏輯對區塊鏈中的存儲節點進行解釋，只要個人信息的主體構成存儲在境內的區塊鏈節點上，就可以認為個人信息存儲在境內。第二，考慮到區塊鏈技術具有不可篡改性的特征，所以在刪除行為模式上需要對《個人信息保護法》中的規定采用更為寬松的解釋路徑，將匿名化處理、斷開、限制或屏蔽鏈上個人信息的訪問路徑等替代性方案作為實質刪除的技術路徑，(31)參見陳愛飛：《解釋論視域下的區塊鏈個人信息刪除權》，載《南京社會科學》2022年第6期。采取了此種技術路徑便可以認定達成了刪除目標。對個人信息刪除模式的寬松解釋為區塊鏈技術提供了更廣闊的應用空間，受區塊鏈技術原理所限，只要個人信息的核心識別性被破壞且難以追溯，實際上就達成了刪除的效果，而這種寬松的解釋路徑也和GDPR的規定不謀而合，配合GDPR中關于個人信息刪除的若干參考標準，可以為相關機構應對新技術背景下提出的刪除請求提供衡量依據，(32)參見薛麗：《GDPR生效背景下我國被遺忘權確立研究》，載《法學論壇》2019年第2期。我國的《個人信息保護法》在采用了更為寬松的解釋路徑后也應該補充此類技術標準并且將其納入合規任務的制定中。

總之，鑒于當前《個人信息保護法》面臨的復雜多樣的個人信息處理場景，在應對區塊鏈技術帶來的技術風險挑戰時，需要對區塊鏈技術處理個人信息的方式進行靈活解釋，以此來保證個人信息得到合規處理，并確保個人信息的核心利益沒有受到侵害。實際上，基于《個人信息保護法》來嚴格解釋區塊鏈技術的使用模式可能會打擊技術發展的積極性，而過分限制區塊鏈技術的應用顯然不利于消除個人信息處理過程中的風險，(33)參見王海洋、郭春鎮：《公開的個人信息的認定與處理規則》，載《蘇州大學學報(法學版)》2021年第4期。對新興技術采用寬松的解釋模式實際上是技術發展的應然。

(三)個人信息保護法豁免處理技術責任

區塊鏈技術的發展日新月異，迭代升級的技術路徑具有潛在的處理效率優勢，為了更加高效地處理個人信息，以《個人信息保護法》為代表的法律規范在合規監管過程中應該對技術本身持寬容的態度并部分豁免處理技術的應用。《個人信息保護法》可將一定程度的豁免納入合規體系內，圍繞個人信息自決權的實質法益展開保護，對于其他保護法益的監管則適當放松，同時對潛在的風險進行及時報送并探討規范監管措施，這也符合《個人信息保護法》第53條“報送履行個人信息保護職責的部門”的規范要求。

GDPR中較為模糊地描述了某些關鍵節點的技術限制規范，提供了技術試錯與責任豁免的空間，區塊鏈技術可以在GDPR中的“灰色地帶”尋求技術突破。對于區塊鏈等新興技術而言，法律規范在規定相關爭議如何解決時基于技術是否侵害個人信息的實質法益來判斷是否豁免責任，意味著法律與新興技術之間達成“妥協”，促進了法律與技術間的良性互動。(34)參見Iancu A, The Role of the Courts in Shaping Patent Law & Policy, Berkeley technology law journal, 2019, 34(3). pp. 333-342.鑒于此，如果《個人信息保護法》對區塊鏈技術秉持嚴格監管的態度，將會阻礙區塊鏈技術創新并錯失技術賦能的良機，對應的合規監管體系也會趨于滯后，無法對區塊鏈技術的迭代升級做出及時應對，不利于區塊鏈技術充分發揮出技術效能。

《個人信息保護法》對區塊鏈技術應用的責任豁免，本質上是為了避免技術研發者和技術使用者在面對復雜多樣的數字環境時承擔苛重的責任。人工智能時代的到來意味著區塊鏈技術面臨日趨復雜的技術環境，而科技的不斷發展所引發的高風險不僅需要法律規范進行預防，還需要技術迭代升級進行消除，(35)參見劉艷紅：《刑法理論因應時代發展需處理好五種關系》，載《東方法學》2020年第2期。這就需要《個人信息保護法》為區塊鏈技術提供較為寬松的監管環境與責任豁免空間，進而營造良好的技術發展環境。框定具體的責任豁免范圍需要基于區塊鏈處理個人信息所對應的實質法益展開，個人信息法益的內涵是公民個人信息自決權，公民有權決定如何處理自己的個人信息，而具體的處理技術方式也取決于其自身意志。(36)參見冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，載《中國法學》2019年第4期。鑒于此，只要區塊鏈技術處理個人信息沒有侵犯公民個人信息自決權，那么《個人信息保護法》就可以根據技術應用的實際情況、技術發展的現實水平以及處理信息的復雜程度提供一定范圍的責任豁免。技術應用的實際情況主要考慮技術是否按照既定流程提供了個人信息處理的最佳方案，判斷是否豁免責任需要參考區塊鏈技術對處理個人信息產生的其他方面的影響。鑒于技術發展的現實水平，需要考慮區塊鏈技術是否已經完全發揮出自身的技術效力，面對個人信息處理時能否在既有的處理能力內提供技術保障。衡量處理信息的復雜程度則需要考慮個人信息自身所處的狀況，如若個人信息本身存在潛藏的風險，那么后續技術處理中只要沒有增加風險就應該豁免技術的責任。實際上，《個人信息保護法》不僅要保護公民個人信息不受侵犯，其同時也要促進個人信息處理技術的進步，要求違反特定數據義務者承擔侵權責任只是一種有效的補充或替代方式，(37)參見解正山：《個人信息保護法背景下的數據抓取侵權救濟》，載《政法論壇》2021年第6期。而非法律監管的最終目的，《個人信息保護法》強調使用與保護并重，提供適當的責任豁免空間無可厚非，而且也并不存在成為違規避風港的風險。

總之，區塊鏈技術和《個人信息保護法》的目標相對一致，區塊鏈處理個人信息契合《個人信息保護法》提倡的保護與使用并重的訴求，人工智能時代法律歸責體系也需要隨之迭代升級，(38)參見周佑勇：《論智能時代的技術邏輯與法律變革》，載《東南大學學報(哲學社會科學版)》2019年第5期。推動區塊鏈技術的部分責任豁免實際上有助于激發技術潛力。為了消除個人信息保護的積弊，通過優化區塊鏈使用路徑來提升安全性與透明度的行為不應被視為濫用技術，而應被視為優化《個人信息保護法》對個人信息的保護與使用模式的外部助力，體現出我國個人信息保護體系對網絡時代公民個人信息權利保障訴求的回應。

四、基于個人信息保護法強化對區塊鏈技術合規監管

區塊鏈技術是未來處理個人信息的發展方向，因此《個人信息保護法》需要事先在法律規范的基礎上結合技術發展境況構建對應的合規監管體系，在技術迭代升級的客觀前提下，將個人信息保護的法律規范轉化為具體的合規任務，推動區塊鏈技術與《個人信息保護法》等法律規范之間的積極對話。(39)參見Schwerin S, Blockchain and Privacy Protection in the Case of the European General Data Protection Regulation (GDPR): A Delphi Study, The Journal of British Blockchain Association, 2018, 1(1). pp.1-77.在合規監管區塊鏈技術風險的過程中，需要結合技術發展的實際情況調整合規監管的對象和技術路徑，這種對區塊鏈技術的外部干預契合了其發展的現實需求。(40)參見Jéssica N, Blockchain, Behavioural Remedies, and Merger Control: How can access remedies do better, Journal of European Competition Law & Practice, 2022, 13(3). pp. 167-186.為了確保區塊鏈技術創新不被扼殺，相關法律規范必須完善技術指南來明確關于個人信息的違規條款，從而避免區塊鏈技術陷入過于苛重的責任。(41)參見Mirchandani A, The GDPR-Blockchain Paradox: Exempting Permissioned Blockchains from the GDPR, Fordham Intellectual Property, Media and Entertainment Law Journal, 2019, 29(4). pp. 1201-1241.

(一)參考個人信息保護法規范制定合規任務

區塊鏈技術與《個人信息保護法》配合的嫌隙來源于法律規范的滯后性導致其難以追隨上技術升級的步伐，而法律規范在技術升級的過程中卻始終扮演監管角色。在基于《個人信息保護法》塑造合規監管體系的過程中，合規任務是技術遵照執行的重點，而合規任務具體內容的確定則需要重新解讀《個人信息保護法》中關于技術發展的規范內容，促使應用區塊鏈技術的企業能夠從外部規制轉向自我管理，對應用區塊鏈技術處理個人信息的潛在風險由事后規制模式轉向事前預防模式。(42)萬方：《合規計劃作為預防性法律規則的規制邏輯與實踐進路》，載《政法論壇》2021年第6期。

第一，將個人信息所有者事先同意作為區塊鏈處理個人信息的合規前提，將知情同意制度作為合規任務予以考察。《個人信息保護法》第14條規定“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出”，這一規范是塑造知情同意合規任務的規范依據。知情同意機制在個人信息處理過程中扮演合規出罪的角色，具有幫助區塊鏈技術出罪的功能，雖然區塊鏈的技術風險可能對個人信息處理帶來沖擊，但是只要其事先將技術處理方式告知公民并獲得其同意，就可以在事后對可能出現的侵害公民個人信息自決權的行為出罪。(43)參見李立豐：《〈個人信息保護法〉中“知情同意條款”的出罪功能》，載《武漢大學學報(哲學社會科學版)》2022年第1期。.區塊鏈技術本身就是促進信息流通共享的機制，《個人信息保護法》的立法目標就是確保個人信息所有者可以自由選擇以明確同意的方式將個人信息的控制權交給區塊鏈并由其進行技術加工。(44)參見周漢華：《個人信息保護的法律定位》，載《法商研究》2020年第3期。在合規監管體系中，將知情同意機制作為合規任務符合公開、透明原則，讓公民參與到對區塊鏈技術的合規監管過程中，既然公眾在事前已經知道了區塊鏈技術對自身信息的處理路徑，那么在獲得處理后收益的同時就應該將潛在的技術風險納入合理的接受范圍內。這保障了公民對自身個人信息處理的知情權，同時明確區塊鏈技術的優勢和威脅，(45)參見Rothchild, John A, Against Notice and Choice: The Manifest Failure of the Proceduralist Paradigm to Protect Privacy Online (or Anywhere Else), Cleveland State Law Review, 2018, 66(3). pp. 559-648.知情同意制度以合規任務的方式降低了個人信息處理的不確定性，將區塊鏈技術這一新興科技試驗全方位納入合規監管框架。

第二，調整《個人信息保護法》中對應處理個人信息權利的行為模式，在對個人信息處理模式進行寬松解釋的基礎上，將重新解釋后的行為內容作為區塊鏈的具體合規任務。以區塊鏈的刪除行為為例，《個人信息保護法》尚未規定在區塊鏈技術中刪除個人信息的具體含義，那么可以根據區塊鏈技術的運行邏輯將合規的刪除任務限定為將個人信息轉移到新的訪問權受限的區塊或者在區塊鏈中創建新的區塊鏈分支，將上述兩種刪除個人信息的方式規定為合規有助于貫徹《個人信息保護法》對個人信息被遺忘權的保護，以此作為合規任務考慮到了區塊鏈技術固有的不可篡改性特征，以轉移訪問或者創建新分支的模式覆蓋節點中的原有個人信息，在實質上實現刪除效果，同時避免合規任務和技術基礎原理相沖突。對于區塊鏈技術而言，技術發展需要限定在《個人信息保護法》的合規框架內，由于區塊鏈技術的運行原理可能導致行為模式的創新和發展與法律規范相悖，因此需要對行為重新進行解釋并作為合規任務敦促區塊鏈技術遵守，否則區塊鏈技術的應用將面臨不確定的技術風險，合規體系的構建也會因此缺乏明確方向，甚至會阻礙區塊鏈技術的推廣。

總之，應基于《個人信息保護法》采用寬松的解釋路徑并結合技術發展現狀圍繞個人信息自決權法益塑造實質的合規任務，避免出現將法律規范的內容機械地轉化為合規任務的情形，防止因為集體法益的抽象化導致法益保護原則的虛空。(46)參見劉艷紅：《積極預防性刑法觀的中國實踐發展——以〈刑法修正案(十一)〉為視角的分析》，載《比較法研究》2021年第1期。合規監管體系的內在原理是特殊預防理論，(47)參見馬明亮：《作為犯罪治理方式的企業合規》，載《政法論壇》2020年第3期。這和區塊鏈技術作為新興技術的特殊運行模式相契合，需要針對其在個人信息處理過程中的特殊情況加以預防，同時對一般性的技術路徑保持開放態度。在個人信息風險層出不窮的背景下，制定合規任務需要在技術發展與規范要求之間尋求平衡，制定出真正滿足公民個人信息保護需求且不會阻礙技術進步的合規任務。

(二)優化編校方案實現區塊鏈技術合規升級

合規處理個人信息會倒逼區塊鏈技術升級，在技術編校環節針對技術風險進行事先預防，在區塊鏈技術的初始設計階段優化其運行機理，通過調整區塊鏈技術編校方案來規避使用爭議以實現合規升級。實際上，域外區塊鏈合規體系的完善已經促使諸如埃森哲公司等科技企業嘗試改進區塊鏈編校方案，消除區塊鏈應用過程中的固有缺陷，(48)參見Ke H A, Xza B, Yi M C, Scalable and redactable blockchain with update and anonymity, Information Sciences, 2021, 546(15). pp. 25-41.其中典型的優化方案是具備特殊哈希功能的變色龍哈希(chameleon hash)區塊鏈，當其被添加到鏈接鏈上兩個區塊的哈希函數中時會提供一個允許解鎖區塊之間鏈接的密鑰，并在鏈上處理完個人信息后重新鎖定區塊，(49)參見Wu C, Ke L, Du Y, Quantum resistant key-exposure free chameleon hash and applications in redactable blockchain, Information Sciences, 2021, 548(1). pp. 438-449.而這正好滿足《個人信息保護法》對個人信息處理提出的補充更正權、被遺忘權和可攜帶權的要求，通過編校方案預先在技術層面實現合規監管。(50)參見吳燕妮：《金融科技前沿應用的法律挑戰與監管——區塊鏈和監管科技的視角》，載《大連理工大學學報(社會科學版)》2018年第3期。變色龍哈希雖然在一定程度上破壞了區塊鏈固有的去中心化及不可篡改的特征，但是其擴張了區塊鏈技術的應用場景，在實際功能上將區塊鏈的節點存儲轉化為數據庫存儲，通過技術原理改進實現對個人信息的合規保護并保護了個人信息的實質法益。

以變色龍哈希為代表的新興區塊鏈技術在編校方案中預設合規解決內生性沖突的技術路徑，而這種編校方案能夠保持合規的原因是其將個人信息存儲在數據庫而非單個鏈上的節點中，這同時也符合《個人信息保護法》第40條“將個人信息存儲于境內的關鍵信息基礎設施”的規定，將法律規范轉化為合規基礎。相較于傳統區塊鏈技術將個人信息存儲在不同的無實體的鏈上節點，存儲于形象具體的數據庫中顯然更容易進行合規監管，防止個人信息在跨境傳輸過程中出現泄露。變色龍哈希在處理個人信息時，除了鏈上對外展示的個人信息，備份的哈希化個人信息與哈希運算時輸入的原始個人信息一一對應，并單獨存儲在數據庫中，而數據庫則是合規監管的重心，形成了區塊鏈合規處理個人信息的程序閉環。(51)參見Herian R, Blockchain, GDPR, and fantasies of data sovereignty, Law, Innovation and Technology, 2020, 12(1). pp. 156-174.當個人信息主體行使被遺忘權時，數據庫中哈希化個人信息以及對應的原始個人信息會被銷毀，區塊鏈上的個人信息與數據庫中的個人信息之間的鏈接會被切斷，區塊鏈上的個人信息也就無法用于識別個人信息主體，從而達成刪除效果。這種編校方案的區塊鏈技術同樣可以用于處理與回應個人信息的補充更正權和可攜帶權，其整體技術流程都在合規框架下運行，既沒有突破《個人信息保護法》的規范要求，也沒有篡改區塊鏈的技術核心，當哈希化的個人信息都存儲在數據庫上就可以按照《個人信息保護法》的要求進行更改，降低以區塊鏈為代表的新興技術給個人信息法律保護體系帶來的影響與沖擊。(52)參見羅勇：《特定識別與容易比照：區塊鏈背景下的個人信息法律界定》，載《學習與探索》2020年第3期。

針對新興區塊鏈技術編校方案構建合規監管體系，需要將《個人信息保護法》作為合規依據用以保護區塊鏈技術優勢，通過技術合規提升個人信息處理效率，在技術編校的初始階段借助《個人信息保護法》的規范要求來保障技術優勢。以哈希化編校方案中的數據庫為例，數據庫作為技術核心不能放任外界修改其中存儲的個人信息，并且要求對修改過程進行備份且實現記錄可追溯，保證信息主體知曉是誰在訪問或修改數據庫中的個人信息，保障數據庫處理個人信息的透明性，將《個人信息保護法》第55條“個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄”轉化為具體的合規任務并遵照執行。哈希化編校方案中對數據庫進行合規監管，需要參考法律規范對技術方案的要求，在技術創新的基礎上增加合規保障，以數據庫取代節點存儲是在技術賦能驅動的同時強調合規監管，并對新興技術構成進行預先的合規審查。(53)參見黃震：《區塊鏈在監管科技領域的實踐與探索改進》，載《人民論壇·學術前沿》2018年第12期。

總之，基于對《個人信息保護法》的實質解讀，通過優化區塊鏈編校方案實現區塊鏈技術的合規升級，是合規框架下區塊鏈技術進步的必經之路。區塊鏈技術的迭代升級過程需要在保證使用效率的基礎上依據《個人信息保護法》的具體規定進行合規監管，編校方案決定了區塊鏈技術的運行機理，預先設置合規監管體系能夠避免因技術升級所導致的潛在處理技術越界風險。

(三)基于區塊鏈技術發展方向明確合規對象

對于應用區塊鏈技術的企業而言，強化合規監管并將合規計劃納入企業犯罪治理體系可以規避風險社會中“創新就可能犯罪”的風險，針對以區塊鏈技術為代表的技術創新，需要明確具體的合規對象從而限制技術處理方式。實際上，經過區塊鏈技術處理的個人信息作為合規對象被賦予了全新的價值內涵，合規處理后的個人信息屬于《個人信息保護法》第4條規定的匿名數據，個人信息的可追溯性等要素都被區塊鏈技術進行重組與改造并服務于不同的社會交流矩陣中。(54)參見Post D G, Pooling Intellectual Capital: Thoughts on Anonymity, Pseudonymity, and Limited Liability in Cyberspace, University of Chicago Legal Forum, 1996, 5(1). pp. 139-169.區塊鏈技術對個人信息的技術改造改變了其基本屬性，改造后的個人信息屬于合規監管的重點，既要保持處理流程合規，又要確保個人信息的自身構成合規。

經過區塊鏈技術合規處理后的個人信息是具體的合規對象，而個人信息的構成特征則是合規保護的重點。以當前被廣泛應用的哈希區塊鏈技術為例，處理后的個人信息的內在價值屬性被深度改造，具有匿名性和不可追溯性的典型特征：在匿名性上，哈希化將個人信息的構成分散到不同的節點和數據庫中，外界只能部分獲取個人信息的內容，個人信息所有者的數據將會被隱藏；而在不可追溯性上，只要切斷哈希鏈上個人信息與數據庫中個人信息之間的關聯，那么自然無法對個人信息的所屬進行反向追溯。鑒于此，明確區塊鏈合規處理的個人信息作為合規對象，可以發揮合規監管體系的強制力，參考《個人信息保護法》的規定展開合規監管。在處理流程上，明確合規對象可以避免處理流程中的權利爭端，在合規框架下利用區塊鏈技術處理的個人信息能夠在一定范圍內規避權利保護爭議，以預設合規的方式肯定區塊鏈技術對個人信息的處理模式，按照法律規范對個人信息進行逐步拆解與運算，防止其中的個人隱私泄露。在面對可能存在的技術威脅時，強調對合規對象的保護能夠重塑公民對法律保護個人隱私的信心，合規處理后的個人信息在價值內涵上得到區塊鏈技術的加密保護，以節點分布的方式降低了個人信息完全泄露的風險，從而構建了從技術路徑到個人信息保護的整體合規處理流程，(55)參見顧理平：《區塊鏈與公民隱私保護的技術想象》，載《中州學刊》2020年第3期。充分發揮區塊鏈技術的合規處理效能。對于應用區塊鏈技術的企業而言，明確合規對象意味著合規任務有了明確的保護目標，相應的合規保護措施也可以據此展開，從而將人工智能技術產能通過制度由公權力應用引向私權利保障，(56)參見李小猛：《司法大數據和法律人工智能的唯公權力化傾向及應對——以私權保障為中心》，載《蘇州大學學報(法學版)》2020年第4期。將技術進步的時代紅利以合規的方式應用于保護個人信息。

總之，對個人信息的合規監管首先需要明確合規保護的對象，將合規處理后的個人信息作為合規監管體系的保護核心，限縮了合規體系的監管范圍，避免區塊鏈負擔過重的監管成本，同時能夠對可能存在的犯罪風險進行精準的事先預防。圍繞合規處理后的個人信息展開技術升級與體系建構，意味著《個人信息保護法》的保護內容有了明確的落腳點，而對公民個人信息自決權的保護也在傳統個人信息的基礎上增加了對處理技術的考量，通過保護合規對象實現對處理技術的監管，在保障合規處理后個人信息的實質法益的同時強化了區塊鏈的技術優勢，推動重點化構建、系統化推進、協同化銜接的個人信息合規監管體系的建設與完善。

結語

區塊鏈技術代表了未來人工智能的發展方向，個人信息作為未來社會的重要生產資料，如何對其加以利用成為科技發展所必須思考的問題。區塊鏈技術不能無限制地被應用于處理個人信息，而是應該基于《個人信息保護法》等法律規范的要求，在預設的合規框架下發揮自身的技術效能。區塊鏈技術與《個人信息保護法》之間配合使用的內生性沖突，需要從法律規范與技術發展兩個方面進行雙向紓解，一方面推動區塊鏈技術的合規化改造實現技術升級，另一方面調整相關法律的規范內容與解釋路徑，使其能更加有效地預防新興技術風險。從區塊鏈技術長久發展的角度來看，合規監管是推動區塊鏈技術廣泛應用并參與科技產業活動的外部保障，通過合規體系引導區塊鏈技術實現跨越式發展，能為破解個人信息治理困境提供全新可能，(57)參見王祿生、王爽：《困境溯源與模式創新：基于區塊鏈的個人信息合作治理研究》，載《中國行政管理》2020年第12期。確保其能夠真正地發掘出個人信息的潛在價值。