AD
满足机构的ETH2 Staking需求,了解ConsenSys全资开发的ETH2客户端Teku
作为唯一一个未从以太坊基金会获得资金并得到ConsenSys全面支持的客户端,Teku了解一下。
作者按:《个人信息庇护法》草案中含有域外统领的划定规矩,相符前提的境外区块链或加密钱银业务相干运营者大概会落入我国《个人信息庇护法》的统领局限。
不管是出于业务运营本身的须要,照样出于KYC/AML等业务合规的须要,收集、贮存、运用、供应客户或用户的个人信息(罕见的如自然人的姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱等),是一些处置区块链、加密钱银业务的运营者在其运营过程当中常常所触及的运动(典范的如中间化的数字钱银交易平台、钱包、加密钱银借贷平台、云算力平台等)。
近年来,跟着大数据时期个人信息经济价值的凸显,吸收黑客的资产不再局限于加密钱银本身,尚有相干企业所收集和贮存的客户或用户个人信息。仅2020年以来,就有加密钱银借贷平台BlockFi发作个人数据泄漏,尚有比特币硬件钱包Legder的100万用户数据、加密资产报税效劳平台CryptoTrader.tax1000多个用户的个人数据泄漏事宜等,客岁也有加密钱银交易所Binance、QuickBit等,加密钱银钱包GateHub等被爆用户数据泄漏。
同其他触及个人信息处置惩罚运动的市场主体一样,业务运动中触及收集、贮存、运用个人信息的区块链、加密钱银相干业务运营者,也须要恪守其地点国有关个人信息庇护相干的执法划定。同时,因为世界上许多国度和区域已将个人信息庇护法的实用局限扩大至域外(如欧盟、美国、德国、英国、日本、新加坡等),因而,区块链、加密钱银业务相干运营者,依据其业务运营地、数据处置惩罚地、用户特性、地点地、处置惩罚行动目的等等要素,大概还需受制于其他国度或区域有关个人信息庇护的执法轨制。另外,跟着环球都在加强对本国个人信息平安的庇护力度,触及个人信息处置惩罚运动的相干实体因而大概还会遭到来自更多国度、更大局限、更多维度的羁系。
本年10月13日,中国《个人信息庇护法》草案(“《草案》”)提交十三届全国人大常委会第二十二次集会审议。为了更大水平地庇护境内自然人的个人信息平安,《草案》自创了相干国度和区域的做法(包含欧盟GDPR),拟扩大我国个人信息庇护法的实用局限——《草案》除了实用于境内主体实行的、发作在我国境内的个人信息处置惩罚行动,还将有前提地实用于境外主体实行的、发作在我国境外的个人信息处置惩罚运动。
依据《草案》的划定,以向境内自然人供应产物或许效劳为目的,或许为剖析、评价境内自然人的行动等发作在我国境外的个人信息处置惩罚运动,实用该法。据此,关于设立在境外的处置区块链、加密钱银相干业务的实体,相符以下前提的大概会落入中国《个人信息庇护法》的统领局限:(a)处置惩罚境内自然人(包含收集、贮存、运用、供应等)的个人信息的行动发作在境外;以及(b)其目的是向境内自然人供应产物或效劳,或剖析、评价境内自然人的行动等。
1.域外统领的实用规范
《草案》划定,“个人信息”是以电子或许其他体式格局纪录的与已辨认或允许辨认的自然人有关的种种信息。“个人信息处置惩罚”,包含个人信息的收集、存储、运用、加工、传输、供应、公然等运动。
依据《草案》,如境外实体存在向境内自然人供应产物或许效劳,或为剖析、评价境内自然人的行动等目的,那末纵然该实体对个人信息的相干处置惩罚行动发作在境外,该等信息处置惩罚行动也将实用《个人信息庇护法》的统领。
笔者明白,《草案》的上述域外统领条目与GDPR肯定其域外实用局限时所采纳的“目的指向”(Targeting)规范相符合。依据GDPR的划定,如设立于欧盟境外的实体为欧盟境内的数据主体供应商品或效劳(不管数据主体是不是需因而付费),或对数据主体在欧盟境内的行动举行监控,则该欧盟外实体的数据处置惩罚行动需恪守GDPR的划定。[1]
在当前市场中,不少设登时在境外的区块链或加密钱银业务相干运营实体,不管其现实掌握人是不是具有中国背景,主要以或部份以向中国境内的自然人供应产物或许效劳为目的的不在少数(纵然囿于合规须要,其大概会在书面声明中消除向中国自然人供应效劳)。该等实体一般会在其业务运动中,经由过程网站、App等收集境内用户的个人信息,并将该等个人信息存储在境外效劳器上、在境外供应、运用等。因而,该等境外区块链、加密钱银相干业务的运营实体对境内个人信息的处置惩罚行动将来大概须要实用境内的《个人信息庇护法》。
2.行动目的的推断要素
如何推断境外主体实行的、发作在境外的个人信息处置惩罚运动是不是具有向境内自然人供应商品或效劳的目的,《草案》并未明白划定。而欧洲数据庇护委员会(EDPB)于2019年11月宣布的《关于GDPR的地区实用局限指南(第三条)》(“EDPB指南”)中对相似状况如何推断列出了一些参考要素。
依据EDPB指南,推断非欧盟实体是不是具有向欧盟境内数据主体供应商品或效劳的企图,需就个案的详细状况,综合斟酌指南中枚举的相干要素(而非一般、单一要素),包含但不限于:
(i)所供应的有关产物或效劳的宣扬资估中是不是指明欧盟或其某一成员国的称号;
(ii)是不是向搜索引擎运营商付出用度,以便欧盟境内用户接见其网站;或是不是已针对欧盟境内数据主体展开了营销和广告运动;
(iii)有关运动是不是具有国际性;
(iv)是不是供应与产物或效劳相干的当地电话号码或地点;
(v)是不是运用触及欧盟或一成员国的顶层域名;
(vi)是不是运用欧盟成员国的言语或钱银。
依据《草案》所反应的立法精力,笔者明白,EDPB指南中所列的、评判行动目的的相干参考要素关于我国将来《个人信息庇护法》域外实用的执法实践和将来的配套划定均具有相称的参考价值。因而,境外区块链、加密钱银运营实体可以对比EDPB指南中枚举的相干参考要素预先评价本身行动的实用性。
3.机构设立或代表委任请求
依据《草案》的请求,如相干境外实体的个人信息处置惩罚运动落入中国《个人信息庇护法》统领局限的,则该等境外实体须要在境内设立专门机构或许指定代表,担任个人信息庇护相干事件。但《草案》未对该等专门机构及代表的资历请求、其所需负担的详细事件和义务作出划定。
对比GDPR和EDPB指南的相干划定,GDPR域外实用的“目的指向”规范下也存在委任代表的请求。依据划定,不在欧盟境内设立的实体,为欧盟境内的数据主体供应商品或效劳,或监控欧盟境内的数据主体的行动的,应在欧盟境内委任一位代表,该代表可以是自然人,也可以是在欧盟境内设立的法人。
依据上述划定,该等指定代表的主要义务是保存数据处置惩罚运动的纪录、实行数据掌握者或数据处置惩罚者的指令(包含与数据庇护羁系机构的协作)。该等指定代表的义务和义务不同于数据掌握者或数据处置惩罚者的义务和义务,其一般不就数据掌握者或数据处置惩罚者的违法行动负担替换或连带义务。在当前实践中,欧盟外实体委任欧盟境内律师事件所作为其代表的状况比较多见。
鉴于我国的《个人信息庇护法》在总体上对GDPR的羁系精力和轨制设想多有自创,笔者明白,我国《个人信息庇护法》下所指的专门机构及代表的资历、构造形式等请求,该等机构及代表所需负担的义务和义务,大概也会参考EDPB指南的相干设想,详细有待羁系部门将来在《个人信息庇护法》的配套划定或在执法实务中予以明白。
4.个人信息跨境供应的平安评价
依据《草案》,症结信息基础设施运营者和处置惩罚个人信息到达网信办划定数目的处置惩罚者,确需向境外供应个人信息的,应该经由过程网信办构造的平安评价。
依据2017版的《个人信息和主要数据出境平安评价方法(征求看法稿)》,草稿中划定的触发平安评价申报义务的出境个人信息数目包含含有或累计含有50万人以上、数据量凌驾1000GB。
依据2019年版的《个人信息出境平安评价方法(征求看法稿)》,境外机构运营运动中,经由过程互联网等收集境内用户个人信息的,须要在中国境内新设机构或录用法定代表人,并经由过程该等机构或代表推行收集运营者的义务和义务,申报个人信息出境的平安评价。
基于上述,设立在境外的、处置区块链或加密钱银相干业务的实体,如其经由过程网站、App等收集境内用户个人信息的,且收集的个人信息含有或累计含有50万人以上,或数据量凌驾1000GB,大概会触发个人信息出境的平安评价申报义务。有关个人信息出境所需推行的平安评价义务、所触及的相干问题及风险,请见笔者于2019年6月该版征求看法稿出台时所做的扼要评析《个人信息出境需平安评价,对海外币圈企业影响多少?》。
5.违法效果
(1) 行政义务
依据《草案》,境外实体违背《个人信息庇护法》,情节严重的,罚款金额为5000万元以下或许上一年度业务额5%以下,羁系部门尚有权责令停息相干业务、停业整顿、转达有关主管部门撤消相干业务允许或许撤消业务执照;对直接担任的主管人员和其他义务人员处10万元以上100万元以下罚款。
《草案》未明白“情节严重”的详细认定情况或推断规范,且未说明罚款在5000万元及上一年度业务额5%二者中是不是以高者为准,因而,执法机关关于个人信息处置惩罚者的违法行动是不是组成情节严重、罚款金额的上限肯定具有肯定的裁量权。
(2) 民事义务
如境外实体违规处置惩罚相干境内自然人的个人信息,损害相干个人权益的,受损害的个人有权提起民事补偿,补偿数额根据该个人所受丧失或许个人信息处置惩罚者所获好处肯定;如数额没法肯定的,由人民法院依据现实状况肯定补偿数额。
6.实用和实行问题
现在,《个人信息庇护法》尚处于《草案》阶段,起草的相干划定是不是可以保存并落地还存在不肯定性;而且,《草案》的相干划定和观点也都比较准绳性,实务中如何明白和实用尚不明白(如境内自然人的“境内”如何明白、如何的信息处置惩罚行动会被视为“发作在境外”、境外实体处置惩罚境内自然人个人信息的行动“目的”如何推断、在境内设立的“专门机构和指定代表”需负担什么义务和义务等);另外,与个人信息庇护有关的其他划定规矩也还在征求看法的阶段(如《个人信息出境平安评价方法》),相干规范的实用还没有肯定(如触发平安评价申报义务的出境的个人信息数目等)。然则,加强对境内自然人的个人信息的庇护,将庇护局限适度扩大至域外已是环球广泛共鸣,因而也将是我国立法的必然趋势。
关于已在境外设立或拟在境外设立、处置区块链或加密钱银相干业务,而且业务运动中触及收集、贮存、运用、供应境内自然人个人信息的实体而言,相识该法的出台背景、羁系目的、实用局限、大概需推行的义务和义务、违法效果等,提早做好应对预备是必要的。斟酌到《草稿》在域外统领划定规矩方面临GDPR的准绳和划定多有自创,参考EDPB指南中所列的各个评判要素,有助于其开端相识和评价其是不是大概会组成中国《个人信息庇护法》下所指的“以向境内自然人供应产物或许效劳为目的,或许为剖析、评价境内自然人的行动”,从而评价其对境内客户或用户的个人信息收集、贮存、运用、供应等处置惩罚行动是不是大概会落入该法的统领局限。
然则,关于境外实体所处置的、我国执法不予承认的相干加密钱银业务运动,如该等实体触及处置惩罚境内客户或用户的个人信息的,将来实践中如何实用《个人信息庇护法》是一个问题。与网信办2019年1月出台《区块链信息效劳治理划定》后,向境内民众供应区块链信息效劳的境外实体在实践中难以解决区块链信息效劳备案的状况相似,在一段时间内大概也会存在境外实体纵然愿望根据合规、也难以合规的为难局势。
作者:张凌,瀚一律师事件所合伙人
声明:本文仅代表作者个人观点,不代表地点机构看法。文中内容不组成执法看法和投资发起。如需转载或援用本文的任何内容,请列明作者姓名。
[1] GDPR第3条第2款划定,GDPR实用于任安在欧盟境内没有业务地的数据掌握者或许数据处置惩罚者与以下情况有关的个人数据处置惩罚行动:(a)假如该数据处置惩罚行动与向欧盟的数据主体供应商品或许效劳有关(不管数据主体是不是被请求付费);或(b)对在欧盟的数据主体在欧盟境内发作的行动举行监控。
加入新手交流群:每天早盘分析、币种行情分析
添加助理微信,一对一专业指导:chengqing930520
上一篇:Horizon Finance 完成 133.5 万美元种子轮融资,Framework Ventures 参投
加入新手交流群:每天早盘分析、币种行情分析,添加助理微信
一对一专业指导:chengqing930520
最新资讯
