区块链的保护对象主要有:一是交易信息的隐私保护,包括交易双方、交易金额等;二是智能合约的隐私保护,针对合约数据的保护方案,包含零知识证明、多方安全计算、同态加密等;三是链上数据的隐私保护,主要有账本隔离、私有数据和数据加密授权访问等解决方案。区块链加密算法隔离身份信息和交易数据,加密存储和分布式存储降低了数据全部泄露的风险,共识机制杜绝个体犯错风险,混币协议割裂交易对应关系,零知识证明同时实现隐私保障与数据共享,匿名化数据处理对敏感信息进行加密或匿名化处理,加密保护则确保只有授权人员能够解密和访问数据。
但是区块链的去中心化特性使得数据存储在区块链网络的多个节点上,增加了数据泄露的潜在风险。企业和组织应进行合规性审查,确保处理个人信息是符合适用的隐私法规。
2021年,国外软件Facebook上的来自106个国家和地区的用户的个人信息在一个黑客论坛上被泄露,其中包括用户的电话号码、Facebook ID、全名、位置、出生日期、简历、邮件地址以及用户可能在个人资料中输入的其他任何内容等,此外,这批数据还包括所有用户的电话号码,未在网站公开个人电话号码的用户也没有幸免,这批数据通过随机抽样检测验证了其真实性。紧随其后的是,有黑客在暗网出售一个包含100万领英用户的样本数据集,这也是目前领英最大规模的数据泄露。除社交属性较强的软件外,还有一些私链、联盟链相关的均有可能造成数据泄露。
我国《个人信息保护法》第五十七条及五十八条规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应建立健全个人信息保护合规制度体系,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,定期发布个人信息保护社会责任报告,接受社会监督。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。
此外,我国规定的公民个人信息包括:姓名、性别、年龄、身份证号码 、电话号码 、Email地址及家庭住址等在内的个人基本信息以及婚姻、信仰、职业、工作单位、收入等相对隐私的个人基本信息、用户终端设备信息、账户信息、社会关系信息、网络行为信息、行踪轨迹信息等,我国《民法典》第一千零三十二条规定,自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
区块链智能合约是基于数字代码运行的,数字代码自身的风险性可能会破坏社会主义市场经济秩序、破坏金融管理秩序、妨碍社会管理秩序等,涉及非法经营罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪等法律风险。智能合约在金融交易中使用,以公钥和私钥组合的方式运行,私钥可证明加密资产的所有权,同时智能合约被认为是“链上代码”,但“代码”是可以被欺诈和操纵的,也就是说,一旦“代码”被欺诈或操纵,智能合约承担的加密资产财产权利将面临被盗失、被破坏的风险;另一方面,非法获取私钥、非法备份他人私钥、故意破坏他人私钥的行为亦有可能构成刑法上的犯罪。
区块链上智能合约具有自动执行性,代码结束执行,交易即结束。涉及交易必有风险。在黑客转移资产的过程中,程序无法对转移动机进行评估,区块链技术无法区分盗取资金的攻击者和试图通过以太坊硬分叉夺回被盗资金的矿工,更不用说自动执行的保险、信用违约掉期的结算等更为复杂的场景,因此区块链智能合约的执行需要区分自身的系统故障、在未适当注册的设施上进行交易或处理、具有破坏性的交易行为、带有恶意代码的欺诈或源于内部人员的操纵行为、因其他系统的安全漏洞导致的智能合约无法正常运行的问题、技术平台提供者责任以及技术服务管理责任等。智能合约的技术漏洞是无法避免的,智能合约的完全自治是不可能实现的,智能合约危机处理进行应急人工干预是必要的,如The DAO事件源于智能合约的漏洞,黑客通过利用其“递归调用”漏洞,从The DAO的以太坊地址转出以太币,转移的以太币随后被保存在“攻击者”控制的“子DAO”(类似于账户独立的子公司)中,The DAO的智能合约禁止“攻击者”在34天内从该地址转移走以太币,随后,Slock.it、以太坊基金会、众多加密资产交易所介入,“攻击者”被禁止将转移的资产兑换成法币。以太坊的“硬分叉”保护转移的以太坊并将其归还给DAO通证持有者,“硬分叉”具有交易回滚的功效,使得所有筹集资产都可从The DAO转回投资者的区块链地址。
区块链智能合约提供匿名交易,带来的最大的问题是隐私泄露,现阶段的犯罪行为,犯罪行为人可以匿名通过区块链智能合约招募犯罪实施者,对于此种犯罪行为,归责问题迎来挑战。区块链智能合约具有分布式和去中心化的特性,这增大了网络监管难度,同时在犯罪中,确定犯罪主体、共同犯罪成立与否、各犯罪主体的精准归责等都值得商榷。
2018年9月开始施行的《最高人民法院关于互联网法院审理案件若干问题的规定》,第十一条明确规定,“当事人提交的电子数据,通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。”这同样说明区块链链上证据被明确界定为民事诉讼证据。
在进行区块链证据认定时,需确认区块链证据的真实性,常见的外部鉴真方式有“保管链证明”和“独特性确认”。保管链证明是指通过证明电子数据的生成、提取、保存以及出示等全过程没有中断或被破坏,从而证明其真实性、完整性。独特性确认则是通过证明电子数据区别于其他数据的特征和类似特征,实现鉴真。但仅凭外部鉴真,是不完善的,需要通过进行外部鉴真和自我鉴真相结合的方法,进行内容与载体双层鉴真。先进行区块链电子证据内容鉴真,确保电子证据收集、提取过程中的关联性、合法性,后进行区块链电子证据载体鉴真,确保电子证据流转、移送过程的合法性和同一性。在《最高人民法院关于民事诉讼证据的若干规定》第九十三条和第九十四条规定,确认了人民法院认定电子数据真实性的因素及情形。最高人民法院对黄冈永安医疗器械有限公司、北京东华原医疗设备有限责任公司等侵害发明专利权纠纷民事管辖上诉管辖裁定一案【(2022)最高法知民辖终386号】中,法院认可原告提交的杭州互联网公证处出具的《电子数据保管单》中的区块链存证信息、照片等证据,并初步证明被告实施制造被诉侵权产品的行为。