數(shù)字人民幣發(fā)行過程中個(gè)人信息保護(hù)機(jī)制探究

□ 文 許 玲 洪 宜 田璐璐

0 引言

當(dāng)前，我國數(shù)字人民幣的研發(fā)推廣工作進(jìn)展順利，社會(huì)各界充滿了期待，但數(shù)字人民幣的使用作為新生事物，仍會(huì)引起人們對(duì)信息安全方面的擔(dān)憂。如何管控責(zé)任主體只將收集到的個(gè)人信息運(yùn)用于必要用處，而非另作他用，是當(dāng)下密切關(guān)注的核心問題?；诖?，本文提出了以下幾點(diǎn)思考：一是數(shù)字人民幣的設(shè)計(jì)中是如何處理和保護(hù)個(gè)人信息？二是數(shù)字化的個(gè)人信息面臨哪些風(fēng)險(xiǎn)和挑戰(zhàn)？三是應(yīng)當(dāng)如何優(yōu)化數(shù)字人民幣的個(gè)人信息保護(hù)機(jī)制？

1 數(shù)字人民幣發(fā)行過程中個(gè)人信息保護(hù)的法律依據(jù)

1.1 數(shù)字人民幣中的個(gè)人信息

數(shù)字人民幣是中國人民銀行發(fā)行，并由指定的運(yùn)營機(jī)構(gòu)參與運(yùn)營，以數(shù)字化形式呈現(xiàn)出來的法定貨幣。根據(jù)定義，我們不難看出，在數(shù)字人民幣交易過程中會(huì)產(chǎn)生大量數(shù)字化的個(gè)人信息，包括姓名、身份證號(hào)、資產(chǎn)狀況等。這些信息會(huì)被記錄和留存在央行以及指定運(yùn)營機(jī)構(gòu)的數(shù)字人民幣系統(tǒng)當(dāng)中。所以，構(gòu)建更加完善的信息保護(hù)機(jī)制，以更好的保護(hù)數(shù)字人民幣系統(tǒng)中的個(gè)人信息勢在必行。

1.2 數(shù)字人民幣中個(gè)人信息的法律保護(hù)現(xiàn)狀

2 數(shù)字人民幣發(fā)行體系下個(gè)人信息保護(hù)的制度設(shè)計(jì)

從目前公布的資料來看，數(shù)字人民幣已經(jīng)做了大量保護(hù)個(gè)人信息不被泄露和濫用的具體設(shè)計(jì)，也進(jìn)一步實(shí)現(xiàn)數(shù)字人民幣的現(xiàn)金類支付憑證（M0）的定位，其中具體包括：先進(jìn)技術(shù)、分級(jí)分類設(shè)置、子錢包和信息的嚴(yán)密控制等。

2.1 使用先進(jìn)技術(shù)保障信息安全

作為新興事物，數(shù)字人民幣的運(yùn)行需要以多學(xué)科的先進(jìn)科學(xué)技術(shù)為支撐。2014年，我國成立數(shù)字人民幣研究小組，開始了對(duì)關(guān)鍵技術(shù)的探索。為了增強(qiáng)相關(guān)系統(tǒng)韌性和可擴(kuò)展性，數(shù)字人民幣在設(shè)計(jì)過程中采用了分布式以支持支付交易量的快速增長。此外，可信計(jì)算等技術(shù)的采用確保了系統(tǒng)的可靠性和穩(wěn)健性，多點(diǎn)多活數(shù)據(jù)中心解決方案增強(qiáng)了業(yè)務(wù)連續(xù)性。一系列先進(jìn)技術(shù)的運(yùn)用，為數(shù)字人民幣構(gòu)建了一個(gè)過硬的安全屏障，將威脅因素阻隔在外。

2.2 實(shí)行分級(jí)分類實(shí)現(xiàn)可控匿名

數(shù)字人民幣的匿名性是有差別的匿名，對(duì)金融機(jī)構(gòu)和交易相對(duì)方匿名，對(duì)央行不會(huì)完全匿名，這體現(xiàn)在錢包分級(jí)分類的設(shè)計(jì)上。指定的運(yùn)營機(jī)構(gòu)會(huì)根據(jù)用戶已提供信息的身份識(shí)別強(qiáng)度劃分不同等級(jí)，根據(jù)不同的等級(jí)分配不同的余額上限和單筆限額（見表1）?？梢娮畹偷燃?jí)錢包的限額可以覆蓋大部分人的日常生活需求，此等級(jí)也不需要身份信息。使用者可以選擇用最低權(quán)限錢包，后可根據(jù)自身需求決定是否加強(qiáng)身份認(rèn)證來提升錢包等級(jí)。分級(jí)分類設(shè)置充分體現(xiàn)了其“小額匿名、大額依法可溯”的原則。即小額匿名交易，大額資金需要進(jìn)行身份驗(yàn)證。

表1 數(shù)字人民幣錢包的主要類型

2.3 設(shè)計(jì)子錢包避免信息泄露

“推送子錢包”是用來保護(hù)個(gè)人隱私另一手段。在網(wǎng)購時(shí)，傳統(tǒng)電商平臺(tái)多采用網(wǎng)關(guān)支付或綁卡開通快捷支付等方式，在這種形式下所有的信息都會(huì)被電商平臺(tái)獲取。此模式下，平臺(tái)大量收集用戶個(gè)人信息，甚至?xí)M(jìn)行個(gè)人信息交易。而數(shù)字人民幣通過子錢包模式將用戶信息加密處理后再推送到電商平臺(tái)，電商平臺(tái)無法識(shí)別特定主體的信息。從源頭上減少能夠掌握信息的主體數(shù)量，也就避免了用戶核心信息被大范圍泄露的可能。

2.4 實(shí)行信息嚴(yán)密控制形成強(qiáng)責(zé)任鏈條

個(gè)人信息安全的擔(dān)憂不僅在金融機(jī)構(gòu)等第三方是否會(huì)非法掌握信息，還在于央行會(huì)不會(huì)不當(dāng)監(jiān)控個(gè)人信息。事實(shí)上，用戶的個(gè)人信息不僅金融機(jī)構(gòu)、交易相對(duì)方難以獲取，而且央行也難以調(diào)動(dòng)特定個(gè)人的信息。即使電信運(yùn)營商在研發(fā)過程中也要承擔(dān)嚴(yán)格的保密責(zé)任，既不得向央行等第三方披露其支付部門所掌握的用戶的個(gè)人信息，更不能在部門間隨意轉(zhuǎn)移用戶信息。因此，用手機(jī)號(hào)開立的錢包可以獨(dú)立于央行和各運(yùn)營機(jī)構(gòu)“真空”存在。此外，央行內(nèi)部對(duì)數(shù)字人民幣相關(guān)信息設(shè)置了“防火墻”，安排了專人負(fù)責(zé)管理，各崗位之間是相互隔離的，并且設(shè)置了制衡和審計(jì)制度，嚴(yán)格落實(shí)信息安全及隱私保護(hù)管理。

3 數(shù)字人民幣發(fā)行過程中個(gè)人信息保護(hù)的現(xiàn)實(shí)挑戰(zhàn)

3.1 外部黑客攻擊形勢嚴(yán)峻

我國目前侵犯個(gè)人隱私的違法犯罪活動(dòng)較多，形勢嚴(yán)峻。公安機(jī)關(guān)在“凈網(wǎng)2020”專項(xiàng)打擊網(wǎng)絡(luò)犯罪案件活動(dòng)中偵辦侵犯公民個(gè)人信息類案件6524起，偵辦黑客攻擊及新技術(shù)犯罪案件1782起?？梢灶A(yù)見，我國數(shù)字人民幣系統(tǒng)一經(jīng)正式運(yùn)行可能遭到猛烈的攻擊。黑客技術(shù)日新月異的演化向數(shù)字人民幣的個(gè)人信息保護(hù)技術(shù)提出了更高的挑戰(zhàn)。黑客會(huì)在整個(gè)系統(tǒng)運(yùn)行中尋找最薄弱的保護(hù)環(huán)節(jié)，竊取大量的個(gè)人數(shù)據(jù)，這一嚴(yán)重的后果不僅會(huì)對(duì)個(gè)人生命財(cái)產(chǎn)安全造成危險(xiǎn)，而且會(huì)威脅國家金融秩序穩(wěn)定。

3.2 內(nèi)部泄露信息現(xiàn)象嚴(yán)重

信息內(nèi)部泄露是現(xiàn)階段個(gè)人信息泄露的主要原因之一。個(gè)人信息灰色產(chǎn)業(yè)鏈的上游往往發(fā)源于有資質(zhì)掌握個(gè)人信息的企業(yè)內(nèi)部。在數(shù)字人民幣設(shè)計(jì)中，央行和指定的運(yùn)營機(jī)構(gòu)肩負(fù)著打擊反洗錢、反恐怖融資等犯罪活動(dòng)的責(zé)任。但是，如何管控責(zé)任主體只將個(gè)人信息運(yùn)用到打擊犯罪中，而非為機(jī)構(gòu)自身利益另作他用，如何壓縮掌握個(gè)人信息的機(jī)構(gòu)工作人員操作空間，如何防止內(nèi)部人員故意泄露，這都是當(dāng)前需要解決的技術(shù)和管理難題。

3.3 相關(guān)法律法規(guī)有待完善

與此同時(shí)，數(shù)字人民幣中對(duì)個(gè)人信息保護(hù)的規(guī)范仍留有大片空白。央行和指定商業(yè)機(jī)構(gòu)在運(yùn)行中如何合法地運(yùn)用個(gè)人信息的邊界并不明確。此外，相關(guān)機(jī)構(gòu)和工作人員是否侵犯了個(gè)人信息，用戶自身并不能即刻判斷，這使得保護(hù)更加依賴于事前的預(yù)防措施。雖然《個(gè)人信息保護(hù)法》已經(jīng)頒布，但是央行作為能完整獲取數(shù)字人民幣全流通信息的主體，其在適用《個(gè)人信息保護(hù)法》中“個(gè)人信息處理者”的義務(wù)履行規(guī)定、訴訟糾紛解決等方面也存在諸多難題。

城市規(guī)劃建設(shè)要從本城市自身的歷史和文化淵源出發(fā)，根據(jù)本城市的實(shí)際情況來對(duì)城市進(jìn)行規(guī)劃建設(shè)，切不可照搬照抄。同時(shí)要構(gòu)建多層次的生態(tài)資產(chǎn)體系，確保生態(tài)系統(tǒng)的健康穩(wěn)定。

4 數(shù)字人民幣發(fā)行過程中個(gè)人信息保護(hù)的完善建議

4.1 進(jìn)一步加強(qiáng)外部保護(hù)屏障

4.1.1 提高技術(shù)研發(fā)能力

在保護(hù)技術(shù)上，采用競爭方式動(dòng)態(tài)演進(jìn)策略，橫縱比較各類技術(shù)之間的優(yōu)越性，在不斷發(fā)展中及時(shí)吸收最新的成果。與具備前沿技術(shù)的機(jī)構(gòu)合作調(diào)研，建立核心技術(shù)人才交流學(xué)習(xí)機(jī)制，探索更加堅(jiān)實(shí)的保護(hù)技術(shù)。劃分研發(fā)技術(shù)梯度等級(jí)制，人才技術(shù)能力和研發(fā)技術(shù)難度等級(jí)適配，確保人盡其才。模擬處于黑客實(shí)時(shí)攻擊中的數(shù)字人民幣生態(tài)環(huán)境，模仿黑客攻擊路線，反向檢查技術(shù)保護(hù)漏洞，即時(shí)修復(fù)加固保護(hù)技術(shù)。

4.1.2 樹立多重防御機(jī)制

防范黑客對(duì)客戶端的攻擊，以多重方式驗(yàn)證個(gè)人登錄信息。通過大數(shù)據(jù)分析，即時(shí)察覺異常數(shù)據(jù)，注重標(biāo)記反常數(shù)據(jù)，著重監(jiān)控非常態(tài)化數(shù)據(jù)的變化動(dòng)態(tài)。與國家反詐中心聯(lián)合聯(lián)動(dòng)，共享檢測數(shù)據(jù)，搭乘反詐中心的風(fēng)險(xiǎn)提醒之“便車”。從而降低外界騙取用戶登錄驗(yàn)證碼、非法收集生物識(shí)別信息、發(fā)布黑色網(wǎng)站遠(yuǎn)程控制等手段的成功率。建立客戶端信息鎖定機(jī)制，以國家機(jī)關(guān)的大數(shù)據(jù)監(jiān)測外來風(fēng)險(xiǎn)入侵成功的內(nèi)部警報(bào)為主，用戶報(bào)警尋求救濟(jì)為輔的手段，一旦察覺非法入侵，即鎖定客戶端封存信息，以白名單方式阻礙竊取用戶個(gè)人信息的違法行為。關(guān)注用戶反饋意見，即時(shí)規(guī)避運(yùn)行中存在的風(fēng)險(xiǎn)。

4.2 進(jìn)一步降低內(nèi)部泄露風(fēng)險(xiǎn)

4.2.1 凸顯個(gè)人信息的財(cái)產(chǎn)屬性

個(gè)人信息權(quán)不是一種單一性權(quán)利，其不僅具有精神價(jià)值，還具有財(cái)產(chǎn)價(jià)值。因此，個(gè)人信息不僅具有人身屬性，還具有財(cái)產(chǎn)屬性。但是從目前的法律制度可知，在個(gè)人信息保護(hù)中，人身屬性被放在首位，財(cái)產(chǎn)屬性保護(hù)較弱。這也使得個(gè)人信息的獲取成本降低，始終得不到充分保護(hù)。為此，數(shù)字人民幣可以充分利用區(qū)塊鏈的技術(shù)特點(diǎn)，對(duì)個(gè)人數(shù)據(jù)的使用通過智能合同加以約定，來實(shí)現(xiàn)個(gè)人授權(quán)信息時(shí)可同步收取收益，這也真正體現(xiàn)了個(gè)人信息權(quán)利人對(duì)信息的所有權(quán)。此外，這也在一定程度上給第三方獲取信息設(shè)置了障礙，提高了成本，加大了難度。

4.2.2 樹立個(gè)人信息的保護(hù)屏障

建立個(gè)人信息授權(quán)的唯一通徑，授權(quán)主動(dòng)性掌握在用戶手中，使得個(gè)人信息敏感度與支付限額等級(jí)相平衡，獲取信息的敏感度應(yīng)與第三方的保護(hù)能力協(xié)調(diào)。央行負(fù)責(zé)審查第三方的保護(hù)能力，若審查不足，當(dāng)?shù)谌奖Ｗo(hù)不利時(shí)，央行也同時(shí)應(yīng)該承擔(dān)相應(yīng)責(zé)任，為個(gè)人信息罩上雙重保護(hù)屏障?；趥€(gè)人信息的財(cái)產(chǎn)屬性，以個(gè)人信息敏感程度設(shè)置不同層級(jí)的保障金。以人數(shù)為橫軸，信息級(jí)別為縱軸，第三方向央行申請(qǐng)接入的個(gè)人信息數(shù)據(jù)的人次和信息級(jí)別的橫縱交叉點(diǎn)就是其應(yīng)向央行繳納的保障金。央行充當(dāng)保管人的角色，若因第三方保護(hù)不利，保障金立即激活，先行賠償受害者，以防第三方賠償慢、執(zhí)行不足而導(dǎo)致權(quán)益受損時(shí)間跨度長的窘境發(fā)生。

4.3 進(jìn)一步完善立法與適用

4.3.1 明確個(gè)人信息的權(quán)屬

在個(gè)人信息權(quán)屬不清的情況下，個(gè)人信息的保護(hù)很難完全到位。大部分App用戶都在使用過程中，勾選“知情+同意”的用戶協(xié)議和隱私協(xié)議，使得大量的個(gè)人信息被企業(yè)收集。其中部分協(xié)議關(guān)系到用戶信息的權(quán)屬問題，大致可以分為兩類，一類協(xié)議規(guī)定產(chǎn)生的用戶信息是歸用戶所有，而企業(yè)只享有使用權(quán)。而另一類規(guī)定用戶信息歸企業(yè)所有，用戶僅享有使用權(quán)。在2021年字節(jié)跳動(dòng)訴騰訊科技不正當(dāng)競爭案中，騰訊方認(rèn)為“部分用戶數(shù)據(jù)的所有權(quán)歸企業(yè)所有”，而字節(jié)跳動(dòng)方則認(rèn)為“用戶對(duì)數(shù)據(jù)擁有絕對(duì)權(quán)利”。這種規(guī)定信息數(shù)據(jù)屬于企業(yè)所有的行為也為出賣個(gè)人信息提供了便利。而在法定數(shù)字貨幣中，應(yīng)當(dāng)在法律法規(guī)層面明確，其產(chǎn)生的個(gè)人信息歸屬于用戶個(gè)人。這不僅利于保護(hù)，還符合個(gè)人信息的人格權(quán)屬性特點(diǎn)。

4.3.2 加強(qiáng)與《個(gè)人信息保護(hù)法》的銜接

《個(gè)人信息保護(hù)法》正式頒布將初步建立起一個(gè)較為全面的法律體系，但其中關(guān)于國家機(jī)關(guān)處理個(gè)人信息的規(guī)定較為模糊。此外，數(shù)字人民幣應(yīng)當(dāng)注意做好與《個(gè)人信息保護(hù)法》的銜接。例如，在分級(jí)分類錢包設(shè)置中，用戶最初是最低權(quán)限錢包，如需更高限額則需加強(qiáng)身份驗(yàn)證。對(duì)照《個(gè)人信息保護(hù)法》第十五條規(guī)定，數(shù)字人民幣應(yīng)向用戶提供簡單便捷的方式來撤回身份認(rèn)證，并且保證不私自留存信息。另外，該法在國內(nèi)通過概括加例舉的方式創(chuàng)新定義了“敏感個(gè)人信息”。數(shù)字人民幣中大量的個(gè)人信息需要根據(jù)法律的規(guī)定作進(jìn)一步劃分，對(duì)于敏感信息應(yīng)當(dāng)實(shí)行嚴(yán)密管控，信息掌握方不可隨意向第三方提供，并且負(fù)有保護(hù)和定時(shí)管理的職責(zé)。

5 結(jié)束語

從本質(zhì)上來說，在數(shù)字人民幣發(fā)行流通過程中設(shè)立個(gè)人信息保護(hù)機(jī)制，是在一頭是“交易透明性”，一頭是“個(gè)人信息私密性”的杠桿上站立，想要持續(xù)推進(jìn)，就需要保持好平衡。深入來看，是為信息用于打擊洗錢等違法犯罪活動(dòng)（公開信息以用于監(jiān)管）和保護(hù)個(gè)人隱私（保密信息以維護(hù)權(quán)利）劃定合理邊界。而央行作為國家機(jī)關(guān)，其對(duì)公共利益的保護(hù)自然周全。作為弱主體的個(gè)人，更應(yīng)關(guān)注對(duì)于個(gè)人信息的保護(hù)，以達(dá)到除非必要用于監(jiān)管違法活動(dòng)，不得私自使用個(gè)人信息（非必要不使用）。目前數(shù)字人民幣仍處在試點(diǎn)階段，無論是技術(shù)上還是架構(gòu)設(shè)計(jì)上，對(duì)于個(gè)人信息的保護(hù)都有待進(jìn)一步完善，以構(gòu)建完整的保護(hù)屏障。■