自2008年区块链第一代应用比特币出现以来，经过多年发展和迭代，依托区块链分布式、去中心化、不易篡改的核心特征，区块链技术应用逐渐融入社会经济发展体系之中，与人工智能、云计算等技术一同成为我国数字经济发展的驱动力，具有比较广阔的应用前景，比如非同质通证（NFT）等区块链技术应用。作为一个基于区块链技术、用户主导和去中心化的网络生态，Web3.0也迎来了新一轮的发展狂潮。

但不能忽视的是，区块链技术去中心化的特性与人工智能、云计算等高度中心化技术存在截然不同的底层逻辑，而《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（分别简称“《网络安全法》《数据安全法》《个人信息保护法》”）等立法是以规制中心化平台为逻辑起点，因此关于Web3.0或区块链合规问题的讨论一直都比较热烈，各种第一案也层出不穷，比如杭州互联网法院判决的所谓NFT第一案等。据此，本篇结合区块链技术应用情况和我国监管规定，浅谈Web3.0基础技术区块链的合规治理问题。

一、区块链及其运用场景

（一）区块链相关主体

区块链本质上是一个去中心化的分布式存储数据库，它打破了中心化机构授信，通过数据协议、加密算法、共识机制，点对点地传输到区块中的所有其他节点，从而构建一种去中心化、不可篡改、安全可验证的数据库，建立一种新的信任体系。区块链打造的信任体系主要具有五大特点：开放性、防篡改性、匿名性、去中心化、可追溯性。

一般而言，与区块链相关的行为人包括三类：第一为参与者，即在区块链上发起一项交易并提交验证的人；第二为挖矿者，验证交易，依据区块链协议的规则创立区块；第三为获取者，即可以读取区块链副本的人。

（二）区块链主要类型

区块链根据去中心化程度的差异可分为公有链、联盟链和私有链，公有链如比特币、以太坊等典型代表，理论上是完全去中心化的，所有人可以不受限制参与，参与者完全匿名化自由访问、发送接收和认证交易；联盟链介于公有链和私有链之间，由若干机构联合发起，参与主体有限，交易确认节点一般也需中心指定，没有挖矿者和挖矿程序，仅存在一定的共识机制；私有链虽然具有分布式的特点，但完全没有去中心化，而是由中心节点对可以参与交易和验证的参与者进行控制和授权，无挖矿者、挖矿程序和共识机制。

由此可知，联盟链和私有链仍是中心化的数据库，只不过在应用层面利用了区块链部分技术。

（三）区块链技术的主要运用场景

实践中，区块链技术主要用于底层平台开发和搭建于底层技术之上的各类场景性应用，如比较传统且典型的比特币、新型的NFT等。

1.比特币

比特币是区块链分散式账本的实际应用，也是世界上第一条真正意义上的区块链，可以说，比特币对于区块链发展具有决定性作用。比特币区块链各节点之所以有积极性投入资源创设和维护节点网络运行，原因在于参与者可以根据一定规则获得相应的Token，即比特币，这一过程为“挖矿”，即工作量证明。比特币存储的实际上是金融交易信息，按照密码学规则进行加密，分布式记录于各个节点并依托全网共识具备唯一性，无法被篡改，并基于区块链网络进行交易流通，故比特币可以作为记账凭证和价值的载体，且由于比特币总数量有限，挖矿越往后越难，故比特币具有稀缺性。

比特币的交易颠覆了传统支付方式，是点对点的交易，例如，微信支付和比特币同为虚拟支付系统，微信的每一笔交易需要经过银行系统提供信用背书和结算，与微信支付相比，比特币交易可以实现交易双方直接交易，不需要经过银行这一中心机构，而是依靠分布式记账、共识机制、时间戳和可追溯的特点，比特币只能被真实的拥有者转移或支付，安全性和准确性比传统银行更高，交易双方在任何国家和地区均可进行交易，全程匿名化，理论上可以做到不受金融法律的管制。

2.NFT

而NFT（Non Fungible Token）为非同质化通证，也是区块链最新应用之一，实际上狭义上的NFT则是由以太坊智能合约的系列标准发展而来，这个对整个区块链的影响更为深远。

比如NFT“加密猫”是基于以太坊区块链开发的，原因在于比特币区块链太单一，无法在交易的同时实现其他目的，而以太坊除主链的以太币外，还可通过智能合约支持NFT，即将拟NFT图片或音乐或视频等链上存储的元数据，通过哈希算法形成唯一哈希值存入区块链，即生成NFT。简而言之，NFT仅仅在区块链中表现为一串字符（Token URL)，依靠区块链特性，该Token是唯一的权益凭证，这个过程被称其为“铸造”，且通过智能合约执行交易，保障其唯一性，当前主流的NFT项目就是基于ERC-721和ERC-1155等以太坊标准来实现。由此可见，NFT之所以称之为非同质化通证，原因在于其唯一性，与比特币唯一性不同，比特币相当于货币，是“种类物”，而NFT是“特定物”。

二、区块链的合规治理

我国法律实践中，不认可比特币等不受监管的数字货币及基于以太坊等公链的NFT。NFT在我国法律语境下被称之为数字藏品，主要基于联盟链等，如腾讯的幻核发布的至信链，无法像基于公链上的NFT具有物权属性，可以自由支配、控制和处分，而必须依赖联盟链企业。

整体上，无论是区块链技术的发展还是NFT市场的壮大，可谓机遇与风险并存，为我国数字经济的发展提供了富有吸引力的新选项，也使区块链治理面临新挑战。具体来说：

（一）是否适用《个人信息保护法》？

基于前述分析，区块链技术及应用仍以网络和数据为驱动核心，不同的是分布式记账技术底层逻辑与现有中心化记账不同，但毫无疑问区块链技术以《网络安全法》和《数据安全法》等为本土化的依据，值得探讨的是，区块链及其应用一定程度上与我国数据保护法律之间存在适用争议。比如：

1.区块链上的信息是否为个人信息？

《个人信息保护法》是否适用区块链，首先要看区块链是否处理个人信息。根据《个人信息保护法》定义，个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

而如前述，不同区块链存储的信息不同，比特币存储的是金融交易信息，NFT所依附的区块链不仅是存储上链的唯一凭证信息，还存储NFT交易信息。这些上链的数据是否属于个人信息？存在一定的争议。

有观点认为，基于比特币和以太坊区块链所存储的信息经过加密等处理，无法识别到特定个人，属于匿名化信息，故不受《个人信息保护法》的规制。

也有观点认为，区块链上存储的数据，如比特币存储的金融交易数据，可能包括个人金融信息，虽然经过脱密处理，但由于区块链分布式记账特点，任何一个交易节点均可以查询全部交易和流水的详细信息，在特定场景下，特定交易主体结合其他信息可能重新识别到特定个人，则负有《个人信息保护法》相关义务。例如，法国国家信息自由委员会（CNIL)认为区块链中“参与者”与“矿工”的用户名属于个人数据，除用户名数据外，可能包括与“参与者”与“矿工”以外的人相关的个人数据，故区块链上数据并非全部匿名化。

简而言之，一种观点是区块链上的信息是匿名化的，故不属于个人信息。一种观点是区块链上的信息只是去标识化而非全部匿名化，这就需讨论两个问题：一是去标识化信息是否属于个人信息；二是区块链中的信息是否属于去标识化信息。当然这两个问题分析起来比较复杂，我们简要以类型来区分，即：第一，如是比特币和以太坊等公有链，交易都是匿名的，即便包括交易信息，也无法特定到任何个人，存储的信息并非《个人信息保护法》项下的个人信息，除非交易主体主动公开披露该交易信息，例如今年4月份，周杰伦的“无聊猿”NFT被盗，因为年初该NFT是由“麻吉大哥”赠与周杰伦，故被盗后全网都知道。后从NFT交易平台Opensea的链上数据看，已被快速转手卖掉，能够看到窃贼的钱包地址，但就是无法找出窃取者的身份，由此可见，公有链中存储信息几乎是匿名化的，从技术所实现的价值来说，匿名化的标准解释更有利，当然极端场景下例外。

无聊猿的形象 | 来源：Yuga Labs

第二，在我国语境下的联盟链和私有链，因其开发者本来就是大型平台企业，且根据2019年网信办《区块链信息服务管理规定》从事区块链信息服务的，应该按照《网络安全法》等规定履行作为平台的义务，即我国模式下，区块链服务提供者与传统的网络平台义务并没有区别，底层逻辑亦然，这就决定了联盟链和私有链开发和运营的机构必须清楚掌握参与区块链信息服务的全部节点和个人的信息，包括链上的数据，区块链信息服务使用者也必须实名注册，故即便区块链技术本身与比特币技术无差别，我国区块链开发和运营机构负有个人信息保护义务，链上信息与用户高度相关，属于我国个人信息范畴。

2.是否为个人信息处理者？

如前述，公有链中，完全去中心化，即没有中心控制节点，各节点存储的信息与其他节点一样，理论上也就没有个人信息处理者，但是按照法国国家信息自由委员会（CNIL)的观点，公有链中参与者可被视为GDPR的数据控制者，理由在于“参与者”发起交易并决定将交易信息发送给“矿工”核验，相当于其决定该数据的处理目的和方式。而“矿工”在特定情况下则视为数据处理者。

而我国国内联盟链和私有链下，联盟链成员或者私有链机构属于数据控制者和处理者，对应《个人信息保护法》项下的个人信息处理者，虽然联盟成员是交易的确认方（相当于“矿工”），但因用户参与需要按照联盟的规则进行许可，用户虽然是“参与者”，结合《区块链信息服务管理规定》的规定和实践情况来看，与其他中心平台无区别，用户实际无法决定信息处理的目的和方式，即便有权决定，用户也不是《个人信息保护法》项下的个人信息处理者，而国外联盟链下用户在特定场景下构成GDPR的个人信息控制者，这是我国联盟链与国外联盟链的区别之一。

（二）区块链在我国法律语境下的合规探讨

如前述分析，区块链在我国法律语境下应适用《个人信息保护法》，区块链服务提供平台属于个人信息处理者，但基于区块链分布式记账技术特征，区块链技术在我国法律语境下仍有需要进一步探讨相关问题，以下以国内所谓NFT第一案对主要问题展开。

图片来源于网络

2022年4月20日，杭州互联网法院公众号发布《用户发布侵权NFT作品，“元宇宙”平台要担责吗？法院判了》一文，文中提到杭州互联网法院依法公开开庭审理原告奇策公司与被告某科技公司侵害作品信息网络传播权纠纷一案，原告享有“我不是胖虎”系列作品在全球范围内独占的著作权财产性权利及维权权利，被告经营的“元宇宙”平台上，有用户铸造并发布“胖虎打疫苗”NFT，售价899元。该NFT数字作品与马千里在微博发布的插图作品完全一致，甚至在右下角依然带有作者微博水印。原告认为，被告行为构成信息网络传播权帮助侵权，故诉至法院，要求被告停止侵权并赔偿损失10万元，杭州互联网法院经审理当庭宣判，判决被告立即“删除”（采取经该侵权NFT数字作品在区块链上予以断开并打入地址黑洞以达到停止侵权的效果）涉案平台上发布的“胖虎打疫苗”NFT作品，同时赔偿奇策公司经济损失及合理费用合计4000元。

1.数据主体权利保护问题

承前述，若链上数据为个人信息的情况下，根据法律规定，个人信息主体有权要求更正、补充、删除，但由于分布式记账特征，数据一旦上联将无法删除，如果个人提出更正、补充、删除请求，执行该项请求的明显会直接导致信息的不准确，一旦部分节点删除信息，则涉及其他节点是否要删除、删除内容与权利主体主张是否一致等问题。

如NFT第一案中，原告主张被告承担责任的理由在于NFT数字作品一旦被铸造上链，便无法像传统互联网信息进行删除。被告则辩称已经将涉案作品打入地址黑洞，尽到通知-删除义务。法院判决被告采取该侵权NFT数字作品在区块链上予以断开并打入地址黑洞以达到停止侵权的效果，但实际上将NFT作品打入地址黑洞并无法达到完全删除数据。因此，上链后的数据无法更正、补充和删除与数据主体权利存在一定的冲突，还包括数据主体撤回授权问题。

2.数据出境问题

如前述，区块链是分布式记账的，比特币等公链，“参与者”按照规则可匿名自由加入、查阅，不受国境的限制，因此理论上数据是全球自由流动的，即便是联盟链，在不同国家组织联合发起的情况下、可允许不同国家公民参与交易的情况下，数据的也是直接分布在各节点，若要做到完全按照GDPR要求的合规，不确定能否完全实现，即便能做到成本也非常高，这给各国数据跨境流动合规带来挑战。

同理，在我国联盟链也存在上述问题，在区块链跨境业务场景下，例如，2015年9月的R3区块链联盟，有数十家国际银行和金融机构加入，成员包括我国部分金融机构。在跨境交易背景下，当客户与境外交易主体进行交易，上链信息会全部广播至全部成员节点数据库中，以确保交易安全，这涉及个人金融信息出境问题。在其他联盟链场景丰富的情况下更需注意合规问题，尤其需注意满足《数据出境安全评估办法》的规定。

3.平台责任问题

如前述，比特币等公链通常情况下无法认定哪个主体构成平台，特定场景可能例外，但在国内，根据《区块链信息服务管理规定》规制的逻辑也是从监管平台出发，区块链信息服务提供者与其他网络平台责任责任无实质区别。

比如所谓NFT第一案中，法院判决NFT交易平台对交易的NFT作品著作权有初步审查义务，由于平台没有尽到审查注意义务，不适用避风港原则，应承担责任，故法院认定该NFT平台的逻辑仍然是从传统平台规制角度出发。

值得进一步追问的是，法院判决被告采取经该侵权NFT数字作品在区块链上予以断开并打入地址黑洞以达到停止侵权的效果，平台按照判决进行“删除”的情况下，后续结果是否其他节点信息也应一并删除？如果已经转手多次，则该删除行为理论上将直接导致NFT作品灭失，其他用户权利如何救济？该平台是否应向用户承担违约责任？如果交易次数多，涉及金额大，平台是否构成侵犯著作权罪及相应知识产权犯罪？

此外，从侵权行为上来看，该案实际上是共同侵权，直接侵权方即上传该侵权NFT的用户，从诉讼程序来说应与平台作为共同诉讼被告，但该案为何未追加直接侵权方？是基于区块链技术特定的考量？被告给出的抗辩意见第3点提到，“其并没有披露涉案作品对应NFT所在的具体区块链及节点位置以及涉案作品NFT所适用的智能合约内容的义务，法律对此没有明文规定”，法院对此没有回应，可能也是考虑区块链技术本身的特点。

三、区块链合规治理思路

基于前述讨论，我们从监管和平台治理角度提出治理思路：

第一，关于区块链中数据主体权利，如删除、更正、补充、撤回授权的问题。我们认为，区块链技术特点与传统中心数据库底层逻辑的差异决定了数据主体权利实现方式有一定差别，删除权方面，由于无法彻底删除，故只能从现有技术和能力范围内实现接近匿名化的标准。

因此，我们并不认可杭州互联网法院判决的采取断开链接并将上链后的NFT信息地址打入黑洞等措施，若全都如此可能破坏区块链本身生态。至于更正、补充和撤回授权等，由于区块链无法篡改的特点，要求权利人使用区块链产品或者服务前必须尽到高度注意义务，平台一般情况下是无义务响应的。

第二，关于数据出境问题。国内联盟链情况下，若业务场景涉及出境的情况下，联盟链发起者或者成员要提前部署合规应对，评估业务可行性和合规成本，建议监管部门对于新兴技术和商业模式在基本合规的情况下要降低企业的合规成本，促进创新。

第三，关于平台责任问题。在我国现行法律和实践中，区块链平台企业的性质与其他平台具有相同的治理逻辑，但具体个案的责任方面，要考察具体业务模式。区块链业务模式仍在不断发展中，涉及的主体众多，平台的角色和责任可能差异很大，具体需要结合各主体权利义务和实际控制能力来划分，不能一刀切。

四、结语

区块链依靠技术本身为陌生人交互搭建了坚实的信任机制，使人类社会从信息互联阶段跨入价值互联阶段。作为Web3.0奠基技术之一，具有很大的发展前景，但区块链技术应用也带来不少社会问题，故在我国法律严格禁止比特币以及其他虚拟货币，警惕NFT违规风险等。然而我国法律监管思路下，区块链应用发展合规成本较高，一定程度上不利于创新，需要监管探索符合区块链技术本身特点的方式，在合规成本降低和监管规定鼓励下，相信区块链技术应用会得到更好的发展。后续我们也将持续关注和研究相关法律问题，以飨读者，讨论学习。

作者介绍

苏耀云  专职律师

执业证号：14401201710401320

专注领域：涉互联网纠纷争议解决、隐私和个人信息保护、数据安全与合规、政府监管合规等

曾恺   专职律师

执业证号：14401201710013849

专注领域：互联网、新经济领域的商业顶层设计、商业模式/业务产品合规、数据合规、网络犯罪辩护等

*声明：本站对所有原创、转载、分享的内容、陈述、观点判断均保持中立，推送文章仅供读者参考。本站发布的文章、图片等版权归作者享有，如需转载原创文章，或因部分转载作品、图片的作者来源标记有误或涉及侵权，请通过留言方式联系本站运营者。谢谢！