难以区分区块链节点在信息处理中的角色分工会导致责任划分不清。个人信息保护法律要求能够共同决定信息处理目的和方式的主体承担连带责任，接受委托按照指示处理数据的受托方不能转委托他人处理个人信息，均是建立在对责任主体明确区分的基础上。此外，由于是分布式处理技术，每一个节点可能既是信息控制者或者处理者，又是信息的来源与提供者，使得个人信息保护法律中与控制者或者处理者相对应的个人信息主体之间的概念模糊。无论是中国个人信息保护法律还是GDPR，其信息控制者和处理者既包括单位也包括个人，并未将个人排除在处理者或者控制者之外，因此法律保护的权利主体在区块链技术下可能同时又是义务主体。更进一步，区块链技术通过算法实现，使得这种权利义务实时转化且大量发生，而法律规则具有稳定性，当试图系统性而不仅仅针对个案从法律角度进行角色定位或者规制时，会遇到障碍。

导致这一困境的根本原因在于个人信息保护法律的制度设计是中心化的“伞状”设计，而区块链技术本质上是去中心化的“网状”设计，个人信息保护法律将责任归于集中处理数据的顶端平台，由平台对个人信息主体承担义务，个人信息主体享有权利。而在区块链中不存在这样的集中处理数据平台，由链中节点借助算法，多方协同实现传统中心化平台对数据处理的功能。由于实现功能的方式不一样，将个人信息保护法律设定的责任承担机制平移到区块链中就会遭到挑战。

（二）个人信息处理的原则与合法事由规则

个人信息保护法律要求在最短时间内为特定目的处理最少量的个人信息，且保证数据的真实、准确与安全。《个人信息保护法（草案）》规定的处理个人信息的原则主要包括正当、合法且目的明确，仅处理为实现目的所需要的最少信息，应当保障信息的准确性和及时更新等。GDPR也专门集中规定了个人信息处理原则，包括合法、公平与透明、目的限制、数据处理最小化与准确性、存储期限限制和数据完整性与保密性。

基于以上原则，《个人信息保护法（草案）》规定仅在特定情况下才可以处理个人信息，包括取得个人同意、根据合同或者法律规定、应对紧急情况和以公共利益为目的在特定范围内处理个人信息，对同意规则还进行了细化规定，例如应当确保个人在充分知情的前提下自愿、明确地做出同意等。GDPR也是围绕“告知-同意”设计处理规则，要求在被充分告知的前提下自由地对特定处理行为作出明确的同意。

就“告知-同意”规则和根据合同约定处理而言，区块链技术依赖智能合约在不同的计算机之间达成协议，本质上是一种可自动执行的计算机程序，如同APP通过个人信息保护政策和弹窗告知用户并取得用户同意，智能合约将交易的规则和条件从文字转化为数据并且在计算机之间通话。智能合约还具有可扩展性，可以根据规则创建、编译等。区块链共识机制主要是确保各节点之间的一致性，即各节点同意根据一致规则进行数据处理，不仅需要同意对数据进行处理，还需要同意一致的处理规则。可以看到，在区块链技术中“告知-同意”规则和根据合同约定处理是同步的，但在个人信息保护法律中是不同的处理基础，例如GDPR明确禁止事后选定合法处理的基础，在这种情况下处理个人信息的合法性基础边界非常模糊。 (责任编辑：admin)