区块链作为一个新兴的技术发展方向和产业发展领域,引起了全球科技、经济、法律和政府人士的广泛关注。然而,区块链技术的出现也为当前的法律和监管提出了新的问题。区块链因去中心化、难篡改、自激励的特性,使其成为一个由技术驱动但深刻影响着经济、金融、社会、组织形态及治理的综合课题。
区块链技术因其内在的技术特性,为当前的法律监管带来了新的问题和挑战。一是去中心化的分布式共享账本带来了监管主体分散的问题。二是自动执行的智能合约带来了其法律有效性的问题。三是区块链难以篡改的特性带来的数据隐私和内容监管问题。四是激励机制与数字资产特性带来的金融监管问题。
分布式共享导致责任主体分散
区块链是一个分布式的共享数据库。在分布式网络结构中,没有中央服务器,节点可以通过多条路径来互相通信。同时由于没有中心化的参与者,网络节点本身也是难以直接管控的。所以,从法律和监管意义上讲,节点设立的一般性规则仍不明确。按照区块链网络类型的不同,这一问题呈现出不同的形态。
在私有链的情况下,虽然私有链系统仍具有多个节点,但其本质上是属于一个法律主体控制的。因此,节点的设立与其成员的法律关系完全兼容于当前的社会法律架构。
在联盟链的情况下,联盟链的节点(成员)也是需要认证和许可的。但不同于私有链,联盟链通常是在不同的法律主体之间搭建的区块链网络,并且在一些情况下,联盟链的网络是在不同国家、地区的主体间搭建的,这就会涉及现行法律对在不同国家设立节点的适用性问题。
在公有链的情况下,由于公有链往往完全没有任何的节点准入限制,全球任何人都可接入,上述谈及的问题均可出现,并且,由于公有链几乎完全无责任主体,节点的监管难度大,法律属性及监管政策需全球多国协作共同推进。
智能合约法律有效性仍待商榷
由于区块链上的智能合约可自动执行,并且其执行只依赖于智能合约中设置的条件,因此,智能合约可以自动执行一些通常与具有法律约束力的合约相关联的流程。在现代社会中,一旦发生合同违约,合约(合同)的执行和强制力最终诉诸司法机关,司法机关的执行和强制力必然伴随着高昂的司法与社会成本。而基于区块链的智能合约因其“自动执行”和“中立”的特性,“自动、强制执行”的特性极大地节约了整体的信任成本,使得不同的主体在不互信和无中介条件下进行协作,开启了新形态的商业模式。
但实际上,相比于传统合约,智能合约并没有取代司法,它只是通过机器将“执行”的过程自动化、强制化地完成,减少缔约双方的监督成本。目前基于区块链的合约在真正的商业实践中,仍旧面临着较大的法律障碍。
首先,关于智能合约的法律定义问题。目前,对基于区块链的由计算机程序编写的涉及多方权利义务的合约(智能合约)仍没有明确的法律定义。换句话说,虽然智能合约在技术上是可用的,但其合约的法律“合法性”仍未明确规范,其中涉及的底层链技术要求和合约的标准等还未形成,如果出现像智能合约失效或出现程序性错误或被盗的情况,其中多方的法律责任亦难以判断。
其次,关于智能合约的隐私性问题。公有链的智能合约通常会将合约代码及所执行的交易广播到整个网络,所有节点均会公开可见。基于对隐私问题的担忧,在大量的商业场景中,智能合约难以取代传统法律合同。如果没有强有力的隐私保护机制,智能合约不适用于像关键供应商付款、敏感交易等需高度保密的协议合约。
上链数据难篡改带来监管风险
2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式生效,GDPR不仅适用于欧盟内的组织,而且适用于欧盟之外,向欧盟数据主体提供商品、服务或监控其行为的组织。GDPR的核心要求,如数据最小化、对国际转让的限制和个人的擦除权利(即“被遗忘的权利”)与区块链数据难以篡改、难以删除的特性相冲突。具体来说,可能的不适配及冲突体现在以下几个方面:
数据保护责任主体。GDPR下的责任主体主要有两个:数据控制主体(Data controller)和数据处理主体(Data possessor)。数据控制主体为“决定数据处理目的和手段的自然人或法人”;数据处理主体是指“代表数据控制主体进行数据处理的自然人、法人、公权力机构、代理人或其他主体”。
数据的访问、修正及删除权问题。根据GDPR第15、16、17条的规定,数据主体可以就与其相关的个人数据是否正在被处理、在何处被处理以及因什么目的被处理的问题从管理者处查询;数据主体有权要求数据控制主体对不准确的他/她的个人数据进行修正;数据主体有权让数据控制主体擦除他/她的个人数据,停止进一步传播数据,并有权要求第三方停止处理数据。
在分布式存储的场景下,数据并不是存储在中心化的数据库中,而是存储在系统的每一个节点上。数据主体将数据存储到区块中之后,系统随机选择的矿工将会把区块中的数据通过哈希算法编入链上,链上每个节点的账单都会对新增节点进行更新。
对联盟链及私有链来说,其一般会设置一定的准入机制和中心化管理机制,也会有类似管理员的角色对其交易数据的存储进行干预,一般具有较为明确的控制主体和数据处理主体。但对于公有链来说,网络中的节点完全是平等的,节点对于信息的管理能力也是极为有限的,无论是数据的修正、删除,还是发布数据的责任主体都难以确定,存在数据保护责任主体不明的问题。目前来看,GDPR的数据删除、修改权似乎与公有区块链产生了不可调和的矛盾。
数字资产的监管问题是由于公有链代码设计和运行中都是包含相应的代币(或通证)设计,而这些代币的法律定义是什么、以何种方式去监管、税收政策等是主要涉及的问题。
作为激励的载体,虚拟货币与公有链密不可分。虚拟货币天然具有匿名跨境流动的特性,因此很容易被用于非法交易,其产业需要经账户审核、反恐怖主义融资及反洗钱等监管。我国于2013年12月5日发布《关于防范比特币风险的通知》,否定了比特币的货币属性,禁止金融和支付机构开展与比特币相关的业务,并且提示了通过比特币洗钱的风险。