來源：《中國信息安全》2019年第1期 作者：中國證券登記結算有限責任公司總經理 姚前

　　數據隱私保護日趨重要。本文從數據主體權利入手，討論了數據主體權利與數據財產權、商業秘密權、數據主權等數據權利之間的沖突，指出為解決這些沖突，一種思路是在立法上劃清不同權利的邊界或明確不同權利的主張次序，但立法相對繁瑣與復雜，且各種數據權利的確立本身就存在著很多爭議，而若依靠匿名化技術，則更能直接、有效地實現數據隱私保護和數據應用之間的平衡。然而，在傳統的中心化模式下，由于技術不對等，個人用戶在企業面前處于弱勢，企業自身又沒有內在激勵對個人數據進行“匿名化”處理，從而造成了個人與企業在數據權利之間的沖突無法得到真正解決，個人隱私被侵犯事件屢屢發生。

　　對此，本文以移動支付標識化技術為例，討論了一種基于可信中介的解決辦法，即由可信的第三方在源頭對個人信息進行匿名化處理。但這種模式仍然將個人數據的“匿名化”交予用戶之外的他方，用戶并沒有具備自主的數據隱私保護，依然存在用戶隱私泄露風險。而區塊鏈技術的出現則在支付領域創造了一種全新的不依賴中心化、多方共享環境下、基于密碼學、用戶自主可控的隱私保護思路，本文進行了詳細的討論。

　　一、數據隱私保護與數據主體權利

　　在互聯網1.0時代，數據單向傳播，互聯網用戶更多是信息接收者，而不是生產者，且互聯網應用與現實生活的結合并不緊密，因此個人數據隱私問題并不突出。但隨著互聯網由1.0向2.0演進，情況發生了根本性變化。一是自媒體讓每個用戶都成為信息生產者，從而引發信息源的高度碎片化。二是O2O線上與線下相結合的互聯網深度應用模式全面展開，同時移動互聯網隨時隨地接入，具有高度的靈活便捷性，使互聯網以前所未有的速度滲透到人們的日常生活?；谶@些變化，互聯網平臺上產生了大量現實世界和網絡世界的用戶數據。從商業應用角度看，互聯網快速發展所積累的龐大數據，為大數據分析和人工智能創造了絕好的條件，也為互聯網的跨界融合創造了機會，比如催生了各種新型金融業態和各類金融科技創新。但另一方面，在缺乏有效保護的情況下，數據濫用、盜用使個人隱私泄露問題變得日益嚴重，甚至滋生非法活動。對于個體而言，數據隱私意識也在不斷增強。數據隱私保護問題成為廣受關注的網絡空間治理問題。

　　各國正加快數據隱私保護的立法和相關制度建設。首先涉及“個人數據”的法律定義。目前的立法實踐，包括美國、英國、德國、歐盟、加拿大等國家，基本上將“個人數據”定義為可被直接識別或間接識別的個人信息。我國《電信和互聯網用戶個人信息保護規定》也給出了相同的定義。在此基礎上，數據主體權利得到確立。歐盟于2018年5月正式實施的《通用數據保護條例》（GDPR）規定數據主體享有知情同意權、訪問權、拒絕權、可攜權、刪除權（被遺忘權）、更正權、持續控制權等多項權利。其中一些權利在我國于2016年11月通過的《網絡安全法》中也得到了體現。

　　知情同意權是指數據控制者在采集或處理個人數據前均須先告知數據主體并征得數據主體同意。歐盟GDPR第7條對同意進行了比較嚴格的規定：如處理是基于同意，則控制者應能證明數據主體已經同意處理他或她的個人數據；數據主體有權隨時撤回同意。訪問權是指數據主體有權訪問數據控制者正在處理的個人數據，并在支付合理費用后獲得正在處理的個人數據副本。拒絕權是指數據主體有權利拒絕在任何時間為商業目的處理與其有關的個人數據?？蓴y權是指數據主體有權要求數據控制者協助其將個人數據在不同系統或設備等載體之間進行遷移、保存。刪除權（被遺忘權）是數據主體有權要求數據控制者立刻刪除與其有關的個人數據及其副本、備份和任何鏈接。更正權是指數據主體有權要求數據控制者更正并且完善與其有關的個人數據的權利。持續控制權是指數據主體有權以結構化、常用和機器可讀格式接收他或她提供給數據控制者的個人數據，并有權將這些數據無障礙地傳送給另一個控制者。

　　二、數據主體權利與其他數據權利之間的平衡：匿名化技術的意義

　　數據隱私保護的相關立法對數據的處理和應用施加了約束，極大增強了數據主體對個人數據的控制能力和保護能力，但在另一方面，關于數據控制者對數據的合理應用，各方亦是持積極肯定的態度。隨著數字經濟時代的到來，數據已成為關鍵的生產要素。數據賦權的意義不僅僅在于保護個人隱私，同時還有助于清晰產權，從而發揮出數據的最大經濟效能。因此，除了前述各類數據主體權利，法學家們還從不同角度對數據進行“權利化”，包括數據財產權、商業秘密權、知識產權等不同權利，甚至從公共利益和國家安全的角度，提出數據主權的概念。這些數據權利與前述的數據主體權利構成了一個數據權利譜系。在這權利譜系中，存在許多數據權利主張者，有個人、企業、監管機構、政府部門等。不同的權利主張不免存在沖突。

　　以數據財產權為例。數據財產權觀者認為，數據具備財產的經濟性、可特定性和可轉讓性，因此可成為財產權的客體。數據的經濟性體現在其不斷上升的內含價值，只是價值的實現有賴于勞動投入和資源投入。通過物理載體和技術手段，數據可以被界定、分析和控制，滿足交易的可特定性?？赊D讓性也似乎顯而易見，現實中各類數據交易市場已經形成。但需要注意的是，數據的可轉讓性卻往往會與個人的隱私保護形成沖突，比如有許多敏感的個人數據是不能被轉讓的，而什么數據是敏感，抑或不敏感，因人或因事？而異，這也是為何立法上著重強調個人的知情同意權和刪除權的出發點。從這角度看，數據主體權利與數據財產權的確立存在一定的沖突。

　　再者，如果由個人數據而形成的客戶名單、用戶畫像和個人信息數據庫等次級數據滿足商業秘密的構成要件，那么它們將會被認定為商業秘密。如此的商業秘密就可能包含大量的個人信息，從而與數據主體權利產生沖突。比如，客戶行使數據被遺忘權，將會刪除商業秘密的部分內容，損害商業秘密的原有價值，甚者，如果批量主張，企業的商業秘密就不復存在；企業在保障個人數據知情權時，如果披露過多，則可能會導致商業秘密喪失。

　　在數據主權方面，亦可能存在沖突。數據主權是指國家享有對其政權管轄地域內的數據生成、傳播、管理、控制、利用和保護的權力。從目前各國立法實踐來看，數據主權的重點是加強數據跨國流動的管理和控制，比如規定數據必須在境內存儲，并對跨境數據傳輸做出嚴格規定。這與個人的數據可攜權形成了一定程度的沖突。

　　解決上述權利沖突，一種思路是在立法上劃清不同權利的邊界或明確不同權利的主張次序。在這方面，目前各國雖然尚未形成體系化的規定，但對各種權利在法律層面做出了初步規范，接下來需要在法理學的指導下，結合實踐，進一步明確規定各類數據權利沖突的解決規則和路徑。

　　另一種思路則是依靠匿名化技術。相較立法的繁瑣與復雜（各種數據權利的確立本身就存在著很多爭議），依靠技術的解決思路或許更為直接和有效?！澳涿笔侵敢环N使個人數據在不使用額外信息的情況下不指向特定數據主體的對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲，并且使個人數據因技術和組織手段，而無法指向一個可識別和已識別的自然人。通俗來說，就是數據脫敏。從各國對個人數據的定義來看，可識別性是界定個人數據的關鍵標準，如果通過匿名化技術，將可識別的個人數據變為不可識別后再進行數據利用，自然就沒有了侵犯個人隱私的擔憂，從而在數據應用和數據隱私保護之間實現了平衡。

　　這就是匿名化技術的意義，但問題在于，由誰進行“匿名化”處理，在數據生命周期的什么階段進行“匿名化”，數據生成的第一時點？還是收集階段，或整理階段？這些因素決定了不同的“匿名化”效果，進而影響數據主體權利和其他數據權利之間的沖突與協調。

　　在傳統的中心化模式下，個人用戶在企業面前歷來處于弱勢，雖然在一開始就可以匿名的身份參與商業活動，但在各類先進的數據捕獲技術和分析技術面前，個體往往就是個“透明人”。技術的天然不對等使個人用戶處于被動地位，無法做到自主的數據隱私保護。而對于企業而言，他們自身并沒有對個人數據進行“匿名化”處理的內在激勵，因此經常發生個人隱私被侵犯的事件。目前，在一些國家的立法上也僅是建議企業對個人數據進行匿名化處理，而非強制。比如，歐盟GDPR第32條針對數據處理過程的安全性，提出“控制者、處理者應當執行合適的技術措施和有組織性的措施來保證合理應對風險的安全水平，尤其要酌定考慮以下因素：（a）個人數據的匿名化和加密??”

　　于是，在個人用戶不具備技術能力、企業不具有內在動力的情況下，出現了一種解決辦法，那就是引入可信的第三方，在業務開始之初，就對個人信息進行匿名化處理，從源頭防堵數據隱私泄露風險。典型例子是支付標識化技術。

　　三、通過可信第三方的匿名化處理實現數據隱私保護：支付標識化技術

　　電子支付是眾多金融科技應用中，起步最早、發展最為成熟、應用最為廣泛。電子支付隱私保護歷來也是大家關注的焦點，傳統電子支付隱私保護主要依賴主體信用和信息隱藏。在發展初期，電子支付業務主要發生銀行和銀行間卡組織或清算組織的封閉網絡，因此支付信息也是封閉運轉，主要依靠所有參與方的自身信用和信譽來保護用戶隱私。隨著電子支付發展，尤其是第三方支付興起之后，傳統上以銀行為核心的整個封閉支付體系就被打開了，支付高度滲透場景，變得極度的開放。在某種程度上，這種由市場驅動的變化，在擴大電子支付的社會經濟價值的同時，也增加了整個支付網絡的隱私保護風險。尤其是在移動互聯網時代，線下有卡支付大規模向線上無卡支付轉移，便捷的小額快捷支付占據了移動支付市場主流，在這種情況下，用戶銀行卡等隱私信息很有可能在中間環節中被截留，引起嚴重的隱私泄露風險隱患。也就是說，傳統上依靠主體信用來實現信息隱藏的模式，與便捷高效、深度融合的現代電子支付模式產生了深刻的矛盾。

　　支付標記化技術（Payment Tokenization）即是在這樣的背景下產生，它由國際標準化組織EMVCo于2014年正式發布。主要思路是，引入可信的第三方來對用戶銀行卡等信息進行標記化隱藏，支付信息流中只包含標記信息，避免卡號等敏感信息在商戶和中間方的傳遞和存儲，由此從根本上杜絕敏感信息泄露的可能，降低了欺詐交易的發生概率，并可以通過域控功能限定交易場景（如交易類型、使用次數、交易金額、有效期、支付渠道、商戶名稱等），使支付更加安全，特別適合線上無卡支付場景。

　　四、借鑒區塊鏈技術的新型思路：自主可控的數據隱私保護

　　支付標識技術較好地解決了個人用戶不具備技術能力、企業不具有內在動力的數據“匿名化”困境，但這種模式仍然將個人數據的“匿名化”交予用戶之外的第三方，用戶并沒有具備自主的數據隱私保護。單點依賴沒有從根本上解決當前電子支付廣泛滲透下的用戶隱私保護難題，還是容易引發大規模用戶隱私泄露問題。

　　區塊鏈技術的出現為數據隱私保護提供了新思路。其核心在于為用戶提供一種自主可控的技術方案，利用技術可信來解決傳統互聯網平臺的信用風險和操縱風險，在一個公開透明的環境下保障用戶數據的合法使用。

　　區塊鏈隱私保護的思路最早可以追溯到加密貨幣的誕生。1982 年大衛·喬姆（David Chaum）利用盲簽名構建了一個具備匿名性、不可追蹤性的電子現金系統E-Cash，這是最早的能夠落地試驗的加密貨幣系統，得到了學術界的高度認可。不僅如此，通過盲簽名技術，用戶可以保護支付交易信息，避免被銀行獲取，使參與支付過程的銀行無法跟蹤到用戶支付交易的過程。這也可以看作是電子支付領域最早為用戶提供自主性隱私保護的范例。

　　而比特幣的大規模實驗，不僅代表著電子支付的創新突破，而且還開啟了全新的以用戶為主的數據隱私保護模式。比特幣用戶自主產生本地公私鑰，通過公鑰計算發布有效的交易地址，來隔斷交易地址和地址持有人真實身份的關聯，達到匿名效果。雖然在比特幣網絡上能夠公開看到每一筆轉賬記錄的發送方和接受方的地址，但無法對應到現實世界中的具體某個人。某種意義上，比特幣錢包是首個用戶自主可控的錢包。自主可控體現在用戶可以無需依賴傳統中心化平臺，自主完成電子支付的收付款，同時還可以自主地對用戶身份信息進行保護。

　　不過，由于比特幣網絡的完全開放式，通過對整個網絡進行探測，輔以其他的手段，還是可以對用戶身份信息進行分析。為了進一步防止這種技術分析手段，又產生了混幣機制，將正常交易進行拆分組合，進一步混淆交易路徑，來加強信息保護。這種隔離身份的匿名化模式，走向了隱私保護的極端，試圖通過完全匿名來對抗任何可能的身份暴露。這一點顯然有悖于法律和金融監管的要求，極易被非法和違規活動所利用。因而，這種方案無法真正在滿足符合法律法規要求的前提下，對用戶隱私保護的要求，不適合企業級應用。

　　但即便如此，基于比特幣底層的區塊鏈技術，一種全新的不依賴中心化、多方共享環境下、基于密碼學、用戶自主可控的隱私保護思路由此發展起來，涌現了大量的基于密碼學技術的創新方案。例如：基于環簽名、群簽名等密碼學方案的隱私保護機制來保護簽名方身份；采用高效的同態加密方案或安全多方計算方案來實現多方對密文進行處理，隱藏用戶交易金額等敏感信息等。技術上，還可對提供用戶操作密鑰對數據的安全訪問進行控制，而不用依賴外部主體，防止出現集中性的隱私泄露風險。同時，也能夠最大限度地提供隱私保護的靈活性和大規模使用。

　　當前這些新的基于先進密碼學技術的方案尚處于研究試驗階段，在性能等方面還存在不足。因此還需要結合一些通道技術來降低信息的擴散，減少需要保護的信息內容，從而提高效率。以Corda、Hyperledger、Quorum為例，Corda網絡的分類賬是基于須知模式而非廣播方式，所以只有在特定交易中的當事人能夠掌握交易細節，且Corda為每一筆交易都添加了一個額外的機密身份來加強隱私的保護，即只有交易當事人可以識別交易參與者。這些參與者利用Corda的“互換身份流”來交換新密鑰，并將新密鑰用于交易的輸出、指令和簽名。Hyperledger Fabric建立了專用渠道，使信息能夠在須知的基礎上在各方之間共享。具體而言，渠道是一種數據分區機制，僅限于對利益相關者的交易可見性。網絡上的其他成員不允許訪問該渠道，并且不會在渠道上看到交易。分類賬存在于渠道范圍內。這使得在整個網絡節點中可共享的分類賬（例如，凈結算渠道）和僅包含特定參與者的分類賬（例如，雙邊渠道）的設置成為可能。在雙邊渠道中，雖然交易對手都可以查看雙方渠道級賬戶的余額，但由于只能查看每個交易對手一個渠道級別賬戶的余額，因此任何交易對手都不可能推斷出對手方的總余額。Quorum支持私人交易。私人交易由隱私服務模塊Constellation作為加密的二進制對象直接發送到指定的收件人。Quorum還使用了零知識證明算法（ZKP），來管理每個參與銀行的存款余額。任何參與者的真實賬戶余額僅對自己可見。只有當發送方和接收方提交零知識證明并得到整個網絡的驗證時，賬戶余額才可能發生變化，這使得網絡在不了解真實余額的情況下可以驗證余額。

　　五、結語

　　在中心化模式下，處于中心節點的數據控制者對于數據具有強大的控制力，而普通個人卻無法控制自己的數據，兩者之間形成了一種強大的非對稱力量?；诰鶆莸睦砟?，目前立法者對數據控制者提出了數據主體權利保護的要求，將責任和義務“壓”向數據控制者一方，但實質上，且不論立法和執法的成本以及數據控制者本身承擔的合規成本，若從技術的角度看，數據控制者依然有辦法去規避法律上給予的約束，因為他們歷來是數據處理技術的“主導者”。所以說，除了法律上的規制，還需要技術上的把控。從根本上打破中心化模式下數據控制者對數據的天然壟斷，賦予用戶真正的數據隱私保護自主性，而區塊鏈技術為我們提供了一種全新的借鑒方案。展望未來，在量子計算時代，利用量子糾纏等特性，或將使區塊鏈技術在現有密碼學技術基礎上實現飛越，最終使技術驅動的完全自主的用戶隱私保護達到一種理想的狀態。

責任編輯：王超