（三）个人信息主体权利

个人信息保护法律最主要的立法目的为保障个人权益，同时促进个人信息合法利用。《个人信息保护法（草案）》赋予个人撤回同意和限制、拒绝处理信息的权利，个人有权查阅、复制个人信息，有权更正和补充个人信息，有权请求删除个人信息。GDPR的规定大致相同，但还包括数据可携带权的规定，可携带权与复制或者访问个人信息权利不同之处在于，可携带权要求数据控制者将数据整理为机器可读的机构化形式，自动传输给个人指定的其他数据接收方。

尽管区块链技术对互操作性的要求有利于诸如可携带权、查询复制权等的实现，但是整体来看个人信息保护法律赋予作为自然人的个人对信息的决定权和控制权会造成人为干扰。个人在信息收集、使用、消失的整个生命周期均可依法主张权利，而区块链却要实现对数据的高度自动化处理并尽量减少人为干预以保障计算效率和准确性。如果个人要求更正、补充、删除个人信息，可能会导致信息的不准确，且信息分散地存储于各个节点，如何广播通知所有节点、且保证各节点均采取一致行动，如何确保节点执行经过机器转化的内容与个人主张的权利一致，各节点是否需要按照数据控制或者受托处理不同要求采取不同行动。

（四）个人信息种类与匿名化

《个人信息保护法（草案）》规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，个人信息中包含种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感信息。经过匿名化处理后的信息不是个人信息。GDPR与此规定大致相同，例如均规定已识别或者可识别个人的才为个人信息，但也有不同，例如强调主要涉及自动化方式处理的信息才适用GDPR的规定，GDPR原则上禁止处理敏感信息，将匿名化信息区分为假名化和匿名化等。

中国个人信息保护法律对个人信息的载体规定更加宽松，包括电子方式体现的个人信息，也包括其他非电子方式体现的个人信息。而区块链中的个人信息均以电子方式体现，当然适用个人信息保护法律。而链下存储的信息有的以电子方式体现，有的可能以手写记录密码等非电子方式体现，也需要适用个人信息保护法律的规定，而GDPR下如果非以自动化方式处理数据又不形成文档的话，是不需要适用GDPR规定的。

匿名性是区块链技术产生的初衷和追求的目标，加密是实现匿名化的一种技术，常用于区块链的加密技术包括非对称加密、同态加密和哈希函数，用于实现不同的识别和验证目的。例如数字货币发行、挖矿和交易中用公钥加密、用私钥解密即为非对称加密的一种。在个人信息保护法律语境下，理论上只要实现匿名化即不为个人信息，不需要经过同意等法定事由就可以进行处理，但实践中实现匿名化的技术除了加密外还有很多种，每种技术可实现的匿名化程度并不一样，例如GDPR规定通过假名化技术对数据进行处理后仍然可以识别到个人，因此不是完全的匿名化，仍然需要适用GDPR的规定。所以，区块链所采用的加密等匿名化技术是否能够满足个人信息保护法律的规定是存疑的，例如加密后的信息是否可逆转重识别个人。 (责任编辑：admin)