文 | 张延来
一、众目睽睽之下的 " 销赃 "
周杰伦的无聊猿 NFT 被盗一时间成为关注焦点,这个过程中最令人诧异的似乎不是 NFT 被盗本身,而是窃贼后续的销赃过程能够被所有人看到,就连周杰伦在本人在媒体平台上发文称他所持有的 BAYC#3738 被盗了的同时还标示出了窃盗者的钱包地址,有点像是被人偷了,结果还知道小偷住在哪里,但就是抓不住。
从 Opensea 的链上数据,我们可以看到周杰伦的 NFT 是被一个钱包名为「E34F00」所窃走。攻击者得手后,已在 LooksRare 将被盗取的 BAYC#3738 转手卖掉获利 130 ETH。
据了解,被窃的 BAYC#3738 是在大约三个月前,由麻吉大哥赠与给周杰伦,区块链非常 " 尽忠职守 " 的记载了这个 NFT 的整个流转过程,并且全部都是可以查询的到的,真正做到了 " 传承有绪 "。
二、区块链浏览器:一览无余的链上数据
区块链作为超级账本的技术特点已经被越来越多的人所熟知了,既然所有节点都保留一份完整的交易记录,既然对外宣称 " 交易透明公开 "、" 可追溯 ",那么这些交易是否真是被记录了、能否被公众查询和验证也成了检验区块链是否可靠的重要维度。
于是,越来越多区块链都配套开发出自己的链上数据查询系统,一般这种系统是以区块链浏览器的方式提供给用户的,区块链浏览器跟搜索引擎差不多,跟我们平时常见的搜索引擎相比,它被用来专门查询区块链上的数据信息以及相关的智能合约代码等信息。我们可以借助区块链浏览器输入必要的一些线索(token ID、hash 值、智能合约地址等)之后,查询到与之相对应全部链上交易信息,除此之外,如果有人在链上开发了 DDAP 或者其他智能合约供用户使用,用户甚至还可以通过区块链浏览器查看这个智能合约的源代码,借此用户可以自行审计整个智能合约的架构、功能、真实性等。
可见,从区块链的技术原理角度看,区块链不相信 " 广告 " 而是更看重 " 口碑 ",把尽可能多的信息开放给大众,接受所有人的监督,这样的逻辑可以说相比 " 中心化 "、" 封闭 " 的平台有很大的进步性。
(区块链浏览器中查看知名 NFT CRYPTOPUNKS 的智能合约部署情况以及交易记录)
可能有人会说这些都是针对比特币、以太坊等公链开发的,其实不尽然,无论公链、私链还是联盟链,技术上都可以实现链上数据的可查询,事实上国内的一些私链和联盟链就已经部分开放出了查询功能,包括一些 NFT 平台自带了部分链上数据的查询和公示功能,这样做都是为了取信与用户,毕竟数据只有上链之后,权利和交易才能被确认,这个要比传统的后台订单记录重要的多。
三、链上个人信息何处安放
无论是周杰伦的 NFT 被盗信息,还是市面上已经可以使用的区块链浏览器,不难发现,这些被公开出来的链上数据与我国法律重点保护的个人信息存在相当程度的交集,例如 " 智能合约地址 ",这个基本上等同于用户在区块链上的身份 ID,周杰伦一旦公开了自己和盗窃者的 " 地址 ",人们就可以持续跟踪了解到他们地址下的全部交易,进而了解到杰伦的 NFT 来自麻吉大哥,而被盗后又做了几次转手,现在的持有者地址是什么等等。
我们可以看一下 GB/T 35273-2020《信息安全技术 个人信息安全规范》,从其附表 B.1 第一行的记载中,交易信息、流水记录(虚拟财产)信息是被作为 " 个人敏感信息 " 罗列的。而根据《个人信息保护法》第二十八条:" 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息 "。
有人可能会说,上链后的数据都是哈希值等不能直接反映信息主体身份的数据,都是匿名化的数据,够不上个人信息的标准。这个我个人有不同看法,首先这些上链数据最多只能说做了 " 去标识化 ",是否达到 " 匿名化 " 标准恐怕很难讲,而根据《个人信息保护法》第四条:" 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息 "。从条文出发,如果做不到匿名化恐怕仍然可能构成个人信息。
回到杰伦的例子,他的地址已经披露了,公众可以将其相关的所有交易跟周杰伦本人对应上,显然这些都属于是杰伦的个人信息,当然你可以说这些信息由于他本人主动披露而失去了法律保护的条件,但如果他不披露,我们就无法还原了吗?链上的交易既然可以查询,我们完全可以从无聊猿的异常交易链条 " 反向分析 " 出杰伦的智能合约地址,进而识别包括麻吉大哥的地址在内的更多个人信息,如此一来很可能构成《个人信息保护法》上 " 借助额外信息的情况下识别特定自然人的过程 "。
更多情况下,我们并不像杰伦那般大气,丢了东西也不怕别人知道。普通用户恐怕不希望自己买了什么、在哪里买、跟谁买、卖给了谁都被(部分)公开出去,所以个人信息和区块链的数据公开之间确实存在一种紧张状态,这个结论我相信不是庸人自扰。
事实上,我个人不赞成按照一般的个人信息保护标准去要求区块链,这种新技术带给产业的影响是革命性的,法律应该给予足够的宽容,至少应该有试错空间。特别是国内几乎无公链的容身之地的情况下,私链和联盟链本身就因为技术的特性不同而一定程度上受到公众对可靠性的质疑,此时最大程度的公开上链数据一定是 " 自我增信 " 的最好方式,否则技术的先进性就难以体现了。
与此同时,也应该照顾到我国特殊的个人信息保护环境,无论是区块链运营者还是区块链浏览器开发者,应该结合个人信息保护要求寻找最大合规的公开范围,必要时应该通过用户协议、行业标准等推动授权和共识,真本身也是法律人即将面对的又一个新课题。
作者介绍
张延来
浙江垦丁律师事务所 创始人 主任律师 专利代理人
「网络法学社」及「网络法实务圈」创始人
中国政法大学实务导师
浙江省反垄断专家指导委员会委员
杭州仲裁委员会仲裁员
执业以来完全专注于互联网法律实务工作,担任数十家头部网络公司常年法律顾问,并代理群控第一案、微信小程序第一案、智能手机刷机第一案、5G 云游戏第一案、人脸识别第一案等多个标杆涉网诉讼案件,代理的案例分别入选 " 最高院十大知产典型案件 "、" 最高院五十大知产典型案件 "、" 中国最具研究价值知识产权案件 "、" 中国十大宪法事例 " 等。
深度参与中国《电子商务法》、工商总局《网络交易管理办法》、杭州市《网络交易管理办法》的立法工作。个人专著《法眼电商》、《网络法战地笔记》已由法律出版社出版。
区块链周杰伦搜索引擎nft智能合约
世链NFT是业内领先的NFT信息资讯平台,汇集全球NFT行业资讯,覆盖NFT从创作、发行到实际应用的五大前沿领域,聚焦国内外NFT数字藏品信息、NFT交易平台,帮助NFT爱好者挖掘投资机会,全方位打造最新、最及时、最全面的NFT资讯平台。