查看原文
其他

实施已满三月,区块链新规“回头看”(DPO社群成员观点)

袁立志 周星童 网安寻路人 2020-02-26

编者按:


本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本篇作者为竞天公诚律师事务所的袁立志律师和周星童律师。


正文:


2019年1月10日,国家互联网信息办公室(以下简称“国家网信办”)公布了《区块链信息服务管理规定》(以下简称“新规”),这是除了虚拟货币和代币发行融资(ICO)领域的禁止性规定以外,中国首部针对区块链行业的统一监管法规,初步确立了中国区块链行业的监管框架。

新规于2019年2月15日起施行,国家网信办也已依法启动备案审核工作,并于3月30日公布了第一批共197个境内区块链信息服务备案编号,其中不乏头部互联网企业的身影,如百度提供的“百度区块链引擎BBE”、“超级链”、“图腾”服务。

本文结合目前的备案情况及行业实践,对区块链新规的重点内容进行回顾和分析,以期对区块链企业的合规发展有所裨益。

新规的适用范围如何?

新规第2条规定,在境内从事区块链信息服务的,应遵守新规。区块链信息服务是指基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。区块链信息服务提供者是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织。在具体适用时,有以下问题需要关注。


1、境外机构是否适用?

根据规定,凡在境内从事区块链信息服务的,需要按照新规的要求进行备案并履行相应的义务。我们理解,境外机构如果面向中国境内机构或个人提供信息服务,属于在境内从事服务,应当办理备案手续,履行相关义务。但从目前备案系统的设计来看,并无供境外机构填写的选项,可见在新规实施初期,主管部门的重点是将境内机构纳入监管范围,尚未顾及境外机构如何适用的问题。但相关负责人表示,未来会对此加以完善。

2、是否基于区块链技术或系统?

是否运用区块链技术是判断是否构成区块链信息服务的核心。根据工信部发布的《区块链参考架构》,“区块链”是指一种在对等网络环境下,通过透明和可信规则,构建不可伪造、不可篡改和可追溯的块链式数据结构,实现和管理事务处理的模式

与传统的信息互联网相较,区块链具有去中心化的显著特征。传统的信息互联网,其提供服务采取的是B/S结构,如BATJ,用户是从中心服务器中去获取数据,而区块链的底层网络是P2P对等网络,该等架构不依赖中心服务器,每个节点的资源和信息都是对等的。另外,区块链所应用的技术要比传统互联网复杂,其核心技术包括分布式存储、密码学算法、共识机制、智能合约等。

基于传统的互联网技术所提供的信息服务不属于区块链信息服务,如一些区块链媒体及社区,虽然发布的信息内容与区块链有关,但并未利用区块链技术来提供信息服务,故不属于区块链信息服务。

3、是否面向社会公众?

从字面上看,社会公众指向不特定的人群,可以涵盖世界范围的所有用户,但区块链信息服务并非都是针对不特定对象的,根据开放程度的差异,区块链可以分为公有链、联盟链以及私有链。

公有链对参与者没有权限的要求,任何网络用户都可以阅读区块链、发布区块以及在链上发布交易,符合面向社会公众的特征。联盟链则要求参与者必须为联盟成员,该等成员应具有授权的权限,实现部分开放,如行业性区块链。私有链通常适用于机构或者组织的内部,仅在内部开放。

我们理解,联盟链和私有链面向的人群都是特定或相对特定的,依照对社会公众的字面理解,不属于新规适用范围,但在实操中,联盟链和私有链都被纳入了监管范畴,监管部门要求联盟链及私有链也需要在系统中完成备案工作。我们理解,其背后的逻辑是,区块链行业监管还处于初期阶段,备案也只是基本要求,是为后续监管奠定基础,因此大门宜开得宽一点,尽可能将所有主体和项目纳入监管范围。

4、提供的是否为信息服务?

关于信息服务,可以参考《互联网信息服务管理办法》第2条对互联网信息服务的定义,即信息服务是指向上网用户提供信息的服务活动。这是一个非常宽泛的定义,几乎可以涵盖整个区块链行业。

根据工信部的定义,区块链定义的落脚点是“事务处理”,所谓“事务处理”,主要是指可信数据的产生、存取和使用,因此,区块链天然与数据(信息)相关,当其运用于特定的商业场景中时,从用户角度而言,就体现为一种“信息服务”。当前区块链已在金融领域和产业领域广泛应用,包括支付清算、票据、信用证、资产交易、征信、电子信息存证、版权管理和交易、产品溯源、数字资产交易、物联网、智能制造、供应链管理等,这些都是在向用户提供信息。因此,有观点认为,新规适用于所有的区块链项目,有一定道理。


5、 “区块链信息服务提供者”有哪些类别?

新规中提到三类区块链信息服务提供者,一是提供信息服务的主体(“主体”),二是区块链上的节点,三是为主体提供技术支持的第三方。在实践操作中,区块链备案系统根据服务内容的不同将备案主体重新划分为三类,不同类型主体及对应的服务类型分别为:基础设施提供方(矿池、云挖矿;节点);应用运营方(钱包;区块链交易查询浏览器;其他类应用);技术提供方(Baas;其他)。

从上述内容可以看出,除了在区块链上开发或运营应用的主体、提供Baas平台的主体需要备案外,接入区块链网络的节点也需要进行备案。

如何进行备案?

1、备案时间有何要求?

备案:根据新规第11、23条,服务提供者应当在提供服务之日起10个工作日内通过区块链信息服务备案管理系统填报相关信息,履行备案手续。因此,企业如果还没有实际开展业务的,可不急于进行备案。对于新规公布前已从事区块链信息服务的主体,应于规定生效日起20日内补办备案手续。

变更:如果企业需要变更服务项目、平台网址等事项的,应在变更之日起5个工作日内办理变更手续。如果企业未及时履行变更义务的,网信办有权依职责给予警告、责令限期整改,企业在完成改正前应暂停相关业务。

终止:企业如终止服务的,应当在终止服务30个工作日前办理注销手续。

2、备案内容有何要求?

新规第11条规定,区块链信息服务提供者需要填报名称、服务类别、服务形式、应用领域、服务器地址等信息。

实操中,区块链企业在进行首次备案信息登记时,需要填写“申请主体信息”、“负责人信息”和“服务信息”,并上传相应的证明性资料。关于“服务信息”,系统要求填写服务名称、网站首页URL/客户端名称/公众号名称、取得前置性审核情况、是否具备信息服务管理机制等信息。其中,取得前置性审核情况非必填项,只有涉及到新闻、宗教、出版、教育、运动保健、医疗器械等特殊行业的,需要上传相应的审核证明。关于“信息服务管理机制”,我们理解是指新规中提及的信息服务提供者应遵守的其他义务,如建立健全用户注册、信息审核、应急处置、安全防护等制度。

在上述基础服务信息填写完成后,企业需根据不同的服务内容选择对应的服务种类。如企业选择“基础设施提供方”,首先应确认具体的服务类型,可选的有“矿池、云挖矿”和“节点”,再添加支持的主链名称,如以太坊、比特币、EOS等,系统已提供了比较全面的主链类别供企业选择。其中,每个主链需要填报的信息有:当前总算力、矿工数量、矿机数量、设备类型、自由设备物理位置的信息。

区块链企业的义务和责任

上述备案仅起到登记、公示的作用,并不构成对主体、产品或业务合法合规性的确认,区块链企业还应当承担一系列的义务,否则将承担相应的法律责任。

1、落实信息内容安全管理责任

网络信息内容管理制度是《网络安全法》(以下简称“网安法”)下的一项重要制度。网安法第47条规定,网络运营者应加强对用户发布信息的管理,发现属于法规禁止发布或者传输的信息的,应当立即停止传输,并采取消除等处置措施,防止信息扩散,同时保存有关记录,并向有关主管部门报告。新规将网络信息内容管理制度落实到区块链监管中,要求区块链企业对在网络空间存储或传播的信息内容进行审核和监管,主要目的在于防止违法有害信息的传播,如违法的政治性信息、淫秽色情信息等。

根据新规第5条,企业应建立健全用户注册、信息审核、应急处置、安全防护等管理制度。在用户注册阶段,企业应对用户的注册信息进行审核,同时通过注册协议等方式明确告知用户其应遵守的信息内容安全义务,如不得使用区块链服务发布或传播违法违规信息等。在提供服务过程中,企业应对用户发布或传输的内容进行有效监控,不断提高安全防护能力,如设置过滤机制等,对于机器无法自动过滤的内容,适当采用人工审核弥补。为防患于未然,企业还应制定安全事件应急预案,如发生信息内容安全事件,应调动相应的部门和人员采取应急手段进行处理,以免危害扩大。


2、具备与服务相适应的技术条件

具备与所提供服务相匹配的技术能力和条件是区块链企业有效提供服务以及保障服务安全的重要支撑。与传统互联网所依赖的技术条件相比,区块链产业所需要的技术更为复杂,对业务核心技术及安全技术的要求都非常高。

为尽快推动形成完备的区块链标准体系,工信部信息化和软件服务业司指导中国电子技术标准化研究院提出“全国区块链和分布式记账技术标准化技术委员会”组建方案。下一步,部信息化和软件服务业司将积极推动相关工作,加快推动标委会成立,更好的服务区块链技术产业发展。另外,与区块链技术相关的国家标准正在紧锣密鼓地制定当中,未来区块链标准和技术研究方面将会有突破性的进展。

目前区块链企业可参考国际上ISO、ITU、W3C等标准化机构提出的相关技术标准来提升自身的技术条件,企业也可以参照现有的《信息系统等级保护安全设计技术要求》等国家标准做好技术建设工作。

3、制定并公开管理规则和平台公约

新规第7条要求区块链企业与区块链信息服务使用者签订服务协议,并明确双方权利义务,要求其承诺遵守法律规定和平台公约。

区块链信息服务使用者是指使用区块链信息服务的组织或者个人,即通常所说的“用户”,是区块链生态关系中的重要一环。区块链企业除了向用户提供区块链信息服务、保障用户权益外,还应加强对用户的有效管理。在网络环境下,用户数量庞大,用户协议、管理规则或平台公约是实现用户管理的有效方式,同时,该等文件也是区块链企业自证合规的重要手段。

管理规则和平台公约应至少包括两大类内容,一是对用户使用区块链信息服务规则的说明,二是对用户使用区块链信息服务义务的说明,简而言之,即告诉用户怎么使用以及需履行的义务,包括法定义务及约定义务。从良好实践的角度建议,区块链企业还可以通过该等规则向用户说明企业履行了哪些义务,采取了哪些安全措施以确保用户使用服务的安全等。

新规第16条提出区块链企业对违反法律、行政法规规定和服务协议的用户,可依法依约采取警示、限制功能、关闭账号等处置措施,该等内容可体现在上述各项规则文件中。

4、实名制

新规第8条要求信息服务提供者对使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,不得为其提供相关服务。

网安法第24条规定,网络运营者为用户提供信息发布等服务的,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。实名制是中国网络安全管理的重要基础性手段。互联网信息服务一般都要求落实实名制。

身份信息从严格意义上指的是该用户真实姓名、住址、手机号等信息。在实名认证方面,要求用户提供完善全面信息可能存在一定难度。目前监管部门要求提供的信息是指可通过该等信息查找到用户真实身份的信息,比如提供手机号的,可以后续通过手机运营商取得该用户的身份信息;提供银行卡号的,可以后续通过银行取得该用户真实身份和联系方式等,这些都可以认为满足了实名制的要求。

5、安全评估

新规第9条要求,信息服务提供者开发上线新产品、新应用、新功能(“新项目”)的,应当按照有关规定报国家和省级网信部门进行安全评估。目前这只是一个框架性的规定,评估的具体流程和标准目前还未出台。

在网络安全领域,安全评估是一项常见的安全管理措施,但是评估的实施主体通常都是企业自身或企业委托的第三方机构,如个人信息安全影响评估、数据出境安全评估、网络安全等级保护测评等,主管部门只是负责监督检查,鲜有以主管部门作为评估实施主体的。区块链行业建立主管部门评估制度,原因在于,区块链应用还处在探索阶段,关于区块链安全的法规和标准基本还是空白,由网信部门统一实施安全评估,便于网信部门了解区块链应用的最新发展动态,及时发现和控制风险。

但是,随着区块链应用的日益广泛和深入,如果所有的新项目都由网信部门组织安全评估,网信部门将不堪重负,也可能会阻碍区块链行业的发展,因此未来的方向应当是企业自评估或第三方评估为主,主管部门履行监督检查职责。

6、记录和备份

新规第17条要求信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于6个月,并在相关执法部门依法查询时予以提供。

网络日志保存义务是网络安全等级保护制度提出的基本要求,如果主管部门或法律规定等有更长期限要求的,区块链企业应适用更长期限。


7、配合监管

新规第18条明确了配合监管的要求,还提出要求区块链企业在配合监督检查时,提供必要的技术支持和协助。

区块链企业除了在应对监管时给予监管部门必要的配合和支持外,在日常运营中,也应加强与监管部门的联系,如寻求监管部门的咨询支持,积极参与监管部门组织的培训、指导活动,及时向监管部门报告安全事件的应急处置情况等,未来安全评估规则落地后,还应就新项目的开发上线问题与监管部门进行沟通。

8、投诉与举报

新规第18条还要求区块链企业接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。

区块链企业可以参照一般网络运营者的做法,在用户服务协议或平台公约等文件上公布企业接受投诉举报的方式,如提供客服电话、投诉邮箱、收件地址等信息,同时明确响应的期限。企业内部还应置备投诉管理制度,明确受理投诉举报的流程及规则等。

9、法律责任

新规第19-22条明确了区块链企业违反相关义务的法律责任。

未履行备案义务的,责令改正,拒不改正或情节严重的,给予警告,并处1-3万元罚款。

未履行实名制义务的,按照网安法第61条,责令改正,拒不改正或者情节严重的,处5-50万元罚款,并可以由主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处1-10万元罚款,

未履行用户管理职责的,按照网安法第68条,责令改正,给予警告,没收违法所得,拒不改正或者情节严重的,处10-50万元罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处1-10万元罚款。

利用区块链信息服务从事违法违规活动或制作、发布违法违规信息的,给予警告,责令限期改正,改正前应当暂停相关业务,拒不改正或者情节严重的,并处2-3万元罚款。

违反新规下其他义务的,如落实信息内容安全管理责任等,给予警告,责令限期改正,改正前应当暂停相关业务,拒不改正或者情节严重的,并处0.5-3万元罚款。严重违反新规的,还面临刑事责任,如拒不履行信息网络安全管理义务罪等。

目前尚未发现依据新规进行处罚的案例。结合目前网安法执法的总体情况来看,行政执法案例将随着新规的落地陆续出现,预计初期将以教育引导为主,故约谈、警告、责令改正将是主要的执法形式,实名制和信息内容管理可能会是执法的重点领域。

结语

新规是区块链行业监管的新起点,新规建立的备案制度以及一系列义务为区块链企业的合规建设提供了基本的指引,这将对区块链行业摆脱虚拟货币和代币发行的负面影响、推动区块链技术在金融及实业领域的广泛应用带来积极的影响。(完)



关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存