作者：中国证券登记结算有限责任公司总经理 姚前

数据隐私保护日趋重要。本文从数据主体权利入手，讨论了数据主体权利与数据财产权、商业秘密权、数据主权等数据权利之间的冲突，指出为解决这些冲突，一种思路是在立法上划清不同权利的边界或明确不同权利的主张次序，但立法相对繁琐与复杂，且各种数据权利的确立本身就存在着很多争议，而若依靠匿名化技术，则更能直接、有效地实现数据隐私保护和数据应用之间的平衡。然而，在传统的中心化模式下，由于技术不对等，个人用户在企业面前处于弱势，企业自身又没有内在激励对个人数据进行“匿名化”处理，从而造成了个人与企业在数据权利之间的冲突无法得到真正解决，个人隐私被侵犯事件屡屡发生。

对此，本文以移动支付标识化技术为例，讨论了一种基于可信中介的解决办法，即由可信的第三方在源头对个人信息进行匿名化处理。但这种模式仍然将个人数据的“匿名化”交予用户之外的他方，用户并没有具备自主的数据隐私保护，依然存在用户隐私泄露风险。而区块链技术的出现则在支付领域创造了一种全新的不依赖中心化、多方共享环境下、基于密码学、用户自主可控的隐私保护思路，本文进行了详细的讨论。

一、数据隐私保护与数据主体权利

在互联网1.0时代，数据单向传播，互联网用户更多是信息接收者，而不是生产者，且互联网应用与现实生活的结合并不紧密，因此个人数据隐私问题并不突出。但随着互联网由1.0向2.0演进，情况发生了根本性变化。一是自媒体让每个用户都成为信息生产者，从而引发信息源的高度碎片化。二是O2O线上与线下相结合的互联网深度应用模式全面展开，同时移动互联网随时随地接入，具有高度的灵活便捷性，使互联网以前所未有的速度渗透到人们的日常生活。基于这些变化，互联网平台上产生了大量现实世界和网络世界的用户数据。从商业应用角度看，互联网快速发展所积累的庞大数据，为大数据分析和人工智能创造了绝好的条件，也为互联网的跨界融合创造了机会，比如催生了各种新型金融业态和各类金融科技创新。但另一方面，在缺乏有效保护的情况下，数据滥用、盗用使个人隐私泄露问题变得日益严重，甚至滋生非法活动。对于个体而言，数据隐私意识也在不断增强。数据隐私保护问题成为广受关注的网络空间治理问题。

各国正加快数据隐私保护的立法和相关制度建设。首先涉及“个人数据”的法律定义。目前的立法实践，包括美国、英国、德国、欧盟、加拿大等国家，基本上将“个人数据”定义为可被直接识别或间接识别的个人信息。我国《电信和互联网用户个人信息保护规定》也给出了相同的定义。在此基础上，数据主体权利得到确立。欧盟于2018年5月正式实施的《通用数据保护条例》（GDPR）规定数据主体享有知情同意权、访问权、拒绝权、可携权、删除权（被遗忘权）、更正权、持续控制权等多项权利。其中一些权利在我国于2016年11月通过的《网络安全法》中也得到了体现。

知情同意权是指数据控制者在采集或处理个人数据前均须先告知数据主体并征得数据主体同意。欧盟GDPR第7条对同意进行了比较严格的规定：如处理是基于同意，则控制者应能证明数据主体已经同意处理他或她的个人数据；数据主体有权随时撤回同意。访问权是指数据主体有权访问数据控制者正在处理的个人数据，并在支付合理费用后获得正在处理的个人数据副本。拒绝权是指数据主体有权利拒绝在任何时间为商业目的处理与其有关的个人数据。可携权是指数据主体有权要求数据控制者协助其将个人数据在不同系统或设备等载体之间进行迁移、保存。删除权（被遗忘权）是数据主体有权要求数据控制者立刻删除与其有关的个人数据及其副本、备份和任何链接。更正权是指数据主体有权要求数据控制者更正并且完善与其有关的个人数据的权利。持续控制权是指数据主体有权以结构化、常用和机器可读格式接收他或她提供给数据控制者的个人数据，并有权将这些数据无障碍地传送给另一个控制者。

二、数据主体权利与其他数据权利之间的平衡：匿名化技术的意义

数据隐私保护的相关立法对数据的处理和应用施加了约束，极大增强了数据主体对个人数据的控制能力和保护能力，但在另一方面，关于数据控制者对数据的合理应用，各方亦是持积极肯定的态度。随着数字经济时代的到来，数据已成为关键的生产要素。数据赋权的意义不仅仅在于保护个人隐私，同时还有助于清晰产权，从而发挥出数据的最大经济效能。因此，除了前述各类数据主体权利，法学家们还从不同角度对数据进行“权利化”，包括数据财产权、商业秘密权、知识产权等不同权利，甚至从公共利益和国家安全的角度，提出数据主权的概念。这些数据权利与前述的数据主体权利构成了一个数据权利谱系。在这权利谱系中，存在许多数据权利主张者，有个人、企业、监管机构、政府部门等。不同的权利主张不免存在冲突。

以数据财产权为例。数据财产权观者认为，数据具备财产的经济性、可特定性和可转让性，因此可成为财产权的客体。数据的经济性体现在其不断上升的内含价值，只是价值的实现有赖于劳动投入和资源投入。通过物理载体和技术手段，数据可以被界定、分析和控制，满足交易的可特定性。可转让性也似乎显而易见，现实中各类数据交易市场已经形成。但需要注意的是，数据的可转让性却往往会与个人的隐私保护形成冲突，比如有许多敏感的个人数据是不能被转让的，而什么数据是敏感，抑或不敏感，因人或因事？而异，这也是为何立法上着重强调个人的知情同意权和删除权的出发点。从这角度看，数据主体权利与数据财产权的确立存在一定的冲突。

再者，如果由个人数据而形成的客户名单、用户画像和个人信息数据库等次级数据满足商业秘密的构成要件，那么它们将会被认定为商业秘密。如此的商业秘密就可能包含大量的个人信息，从而与数据主体权利产生冲突。比如，客户行使数据被遗忘权，将会删除商业秘密的部分内容，损害商业秘密的原有价值，甚者，如果批量主张，企业的商业秘密就不复存在；企业在保障个人数据知情权时，如果披露过多，则可能会导致商业秘密丧失。

在数据主权方面，亦可能存在冲突。数据主权是指国家享有对其政权管辖地域内的数据生成、传播、管理、控制、利用和保护的权力。从目前各国立法实践来看，数据主权的重点是加强数据跨国流动的管理和控制，比如规定数据必须在境内存储，并对跨境数据传输做出严格规定。这与个人的数据可携权形成了一定程度的冲突。

解决上述权利冲突，一种思路是在立法上划清不同权利的边界或明确不同权利的主张次序。在这方面，目前各国虽然尚未形成体系化的规定，但对各种权利在法律层面做出了初步规范，接下来需要在法理学的指导下，结合实践，进一步明确规定各类数据权利冲突的解决规则和路径。

另一种思路则是依靠匿名化技术。相较立法的繁琐与复杂（各种数据权利的确立本身就存在着很多争议），依靠技术的解决思路或许更为直接和有效。“匿名化”是指一种使个人数据在不使用额外信息的情况下不指向特定数据主体的对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储，并且使个人数据因技术和组织手段，而无法指向一个可识别和已识别的自然人。通俗来说，就是数据脱敏。从各国对个人数据的定义来看，可识别性是界定个人数据的关键标准，如果通过匿名化技术，将可识别的个人数据变为不可识别后再进行数据利用，自然就没有了侵犯个人隐私的担忧，从而在数据应用和数据隐私保护之间实现了平衡。

这就是匿名化技术的意义，但问题在于，由谁进行“匿名化”处理，在数据生命周期的什么阶段进行“匿名化”，数据生成的第一时点？还是收集阶段，或整理阶段？这些因素决定了不同的“匿名化”效果，进而影响数据主体权利和其他数据权利之间的冲突与协调。

在传统的中心化模式下，个人用户在企业面前历来处于弱势，虽然在一开始就可以匿名的身份参与商业活动，但在各类先进的数据捕获技术和分析技术面前，个体往往就是个“透明人”。技术的天然不对等使个人用户处于被动地位，无法做到自主的数据隐私保护。而对于企业而言，他们自身并没有对个人数据进行“匿名化”处理的内在激励，因此经常发生个人隐私被侵犯的事件。目前，在一些国家的立法上也仅是建议企业对个人数据进行匿名化处理，而非强制。比如，欧盟GDPR第32条针对数据处理过程的安全性，提出“控制者、处理者应当执行合适的技术措施和有组织性的措施来保证合理应对风险的安全水平，尤其要酌定考虑以下因素：（a）个人数据的匿名化和加密??”

于是，在个人用户不具备技术能力、企业不具有内在动力的情况下，出现了一种解决办法，那就是引入可信的第三方，在业务开始之初，就对个人信息进行匿名化处理，从源头防堵数据隐私泄露风险。典型例子是支付标识化技术。

三、通过可信第三方的匿名化处理实现数据隐私保护：支付标识化技术

电子支付是众多金融科技应用中，起步最早、发展最为成熟、应用最为广泛。电子支付隐私保护历来也是大家关注的焦点，传统电子支付隐私保护主要依赖主体信用和信息隐藏。在发展初期，电子支付业务主要发生银行和银行间卡组织或清算组织的封闭网络，因此支付信息也是封闭运转，主要依靠所有参与方的自身信用和信誉来保护用户隐私。随着电子支付发展，尤其是第三方支付兴起之后，传统上以银行为核心的整个封闭支付体系就被打开了，支付高度渗透场景，变得极度的开放。在某种程度上，这种由市场驱动的变化，在扩大电子支付的社会经济价值的同时，也增加了整个支付网络的隐私保护风险。尤其是在移动互联网时代，线下有卡支付大规模向线上无卡支付转移，便捷的小额快捷支付占据了移动支付市场主流，在这种情况下，用户银行卡等隐私信息很有可能在中间环节中被截留，引起严重的隐私泄露风险隐患。也就是说，传统上依靠主体信用来实现信息隐藏的模式，与便捷高效、深度融合的现代电子支付模式产生了深刻的矛盾。

支付标记化技术（Payment Tokenization）即是在这样的背景下产生，它由国际标准化组织EMVCo于2014年正式发布。主要思路是，引入可信的第三方来对用户银行卡等信息进行标记化隐藏，支付信息流中只包含标记信息，避免卡号等敏感信息在商户和中间方的传递和存储，由此从根本上杜绝敏感信息泄露的可能，降低了欺诈交易的发生概率，并可以通过域控功能限定交易场景（如交易类型、使用次数、交易金额、有效期、支付渠道、商户名称等），使支付更加安全，特别适合线上无卡支付场景。

四、借鉴区块链技术的新型思路：自主可控的数据隐私保护

支付标识技术较好地解决了个人用户不具备技术能力、企业不具有内在动力的数据“匿名化”困境，但这种模式仍然将个人数据的“匿名化”交予用户之外的第三方，用户并没有具备自主的数据隐私保护。单点依赖没有从根本上解决当前电子支付广泛渗透下的用户隐私保护难题，还是容易引发大规模用户隐私泄露问题。

区块链技术的出现为数据隐私保护提供了新思路。其核心在于为用户提供一种自主可控的技术方案，利用技术可信来解决传统互联网平台的信用风险和操纵风险，在一个公开透明的环境下保障用户数据的合法使用。

区块链隐私保护的思路最早可以追溯到加密货币的诞生。1982年大卫·乔姆（David Chaum）利用盲签名构建了一个具备匿名性、不可追踪性的电子现金系统E-Cash，这是最早的能够落地试验的加密货币系统，得到了学术界的高度认可。不仅如此，通过盲签名技术，用户可以保护支付交易信息，避免被银行获取，使参与支付过程的银行无法跟踪到用户支付交易的过程。这也可以看作是电子支付领域最早为用户提供自主性隐私保护的范例。

而比特币的大规模实验，不仅代表着电子支付的创新突破，而且还开启了全新的以用户为主的数据隐私保护模式。比特币用户自主产生本地公私钥，通过公钥计算发布有效的交易地址，来隔断交易地址和地址持有人真实身份的关联，达到匿名效果。虽然在比特币网络上能够公开看到每一笔转账记录的发送方和接受方的地址，但无法对应到现实世界中的具体某个人。某种意义上，比特币钱包是首个用户自主可控的钱包。自主可控体现在用户可以无需依赖传统中心化平台，自主完成电子支付的收付款，同时还可以自主地对用户身份信息进行保护。

不过，由于比特币网络的完全开放式，通过对整个网络进行探测，辅以其他的手段，还是可以对用户身份信息进行分析。为了进一步防止这种技术分析手段，又产生了混币机制，将正常交易进行拆分组合，进一步混淆交易路径，来加强信息保护。这种隔离身份的匿名化模式，走向了隐私保护的极端，试图通过完全匿名来对抗任何可能的身份暴露。这一点显然有悖于法律和金融监管的要求，极易被非法和违规活动所利用。因而，这种方案无法真正在满足符合法律法规要求的前提下，对用户隐私保护的要求，不适合企业级应用。

但即便如此，基于比特币底层的区块链技术，一种全新的不依赖中心化、多方共享环境下、基于密码学、用户自主可控的隐私保护思路由此发展起来，涌现了大量的基于密码学技术的创新方案。例如：基于环签名、群签名等密码学方案的隐私保护机制来保护签名方身份；采用高效的同态加密方案或安全多方计算方案来实现多方对密文进行处理，隐藏用户交易金额等敏感信息等。技术上，还可对提供用户操作密钥对数据的安全访问进行控制，而不用依赖外部主体，防止出现集中性的隐私泄露风险。同时，也能够最大限度地提供隐私保护的灵活性和大规模使用。

当前这些新的基于先进密码学技术的方案尚处于研究试验阶段，在性能等方面还存在不足。因此还需要结合一些通道技术来降低信息的扩散，减少需要保护的信息内容，从而提高效率。以Corda、Hyperledger、Quorum为例，Corda网络的分类账是基于须知模式而非广播方式，所以只有在特定交易中的当事人能够掌握交易细节，且Corda为每一笔交易都添加了一个额外的机密身份来加强隐私的保护，即只有交易当事人可以识别交易参与者。这些参与者利用Corda的“互换身份流”来交换新密钥，并将新密钥用于交易的输出、指令和签名。Hyperledger Fabric建立了专用渠道，使信息能够在须知的基础上在各方之间共享。具体而言，渠道是一种数据分区机制，仅限于对利益相关者的交易可见性。网络上的其他成员不允许访问该渠道，并且不会在渠道上看到交易。分类账存在于渠道范围内。这使得在整个网络节点中可共享的分类账（例如，净结算渠道）和仅包含特定参与者的分类账（例如，双边渠道）的设置成为可能。在双边渠道中，虽然交易对手都可以查看双方渠道级账户的余额，但由于只能查看每个交易对手一个渠道级别账户的余额，因此任何交易对手都不可能推断出对手方的总余额。Quorum支持私人交易。私人交易由隐私服务模块Constellation作为加密的二进制对象直接发送到指定的收件人。Quorum还使用了零知识证明算法(ZKP)，来管理每个参与银行的存款余额。任何参与者的真实账户余额仅对自己可见。只有当发送方和接收方提交零知识证明并得到整个网络的验证时，账户余额才可能发生变化，这使得网络在不了解真实余额的情况下可以验证余额。

五、结语

在中心化模式下，处于中心节点的数据控制者对于数据具有强大的控制力，而普通个人却无法控制自己的数据，两者之间形成了一种强大的非对称力量。基于均势的理念，目前立法者对数据控制者提出了数据主体权利保护的要求，将责任和义务“压”向数据控制者一方，但实质上，且不论立法和执法的成本以及数据控制者本身承担的合规成本，若从技术的角度看，数据控制者依然有办法去规避法律上给予的约束，因为他们历来是数据处理技术的“主导者”。所以说，除了法律上的规制，还需要技术上的把控。从根本上打破中心化模式下数据控制者对数据的天然垄断，赋予用户真正的数据隐私保护自主性，而区块链技术为我们提供了一种全新的借鉴方案。展望未来，在量子计算时代，利用量子纠缠等特性，或将使区块链技术在现有密码学技术基础上实现飞越，最终使技术驱动的完全自主的用户隐私保护达到一种理想的状态。

（本文刊登于《中国信息安全》杂志2019年第1期）