本文共字,預計閱讀時間。
網信辦近日就《個人信息出境安全評估辦法》向社會公開徵求意見。意見稿將境外機構收集境內個人信息的行為也納入了監管範圍,會對海外幣圈企業影響幾何?
為保障出境的個人信息安全,適應數字經濟時代數據跨境流動的發展大勢,在時隔約兩年後的2019年6月13日,國家網際網路信息辦公室(「網信辦」)再次發布了《關於<個人信息出境安全評估辦法(徵求意見稿)>公開徵求意見的通知》,[1]對《個人信息出境安全評估辦法(徵求意見稿)》(「辦法」)公開徵求意見(「意見稿」)。
根據辦法,個人信息(是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等)出境前,網絡運營者應當向所在地省級網信部門申報個人信息出境安全評估,由當地網信辦組織安全評估。
值得注意的是,意見稿將境外機構收集境內個人用戶信息的行為也納入了監管。根據辦法第20條,境外機構經營活動中,通過網際網路等收集境內用戶個人信息,應當在境內通過法定代表人或者機構履行本辦法中網絡運營者的責任和義務。
由於一些海外幣圈企業在經營活動中涉及通過網際網路等收集境內用戶個人信息的活動,因此,海外幣圈企業可能也會被納入辦法的監管範圍。筆者擬重點探討該徵求意見稿如果通過並施行可能會對相關海外幣圈企業的影響,供大家參考和評論。
根據意見稿,境外機構將適用辦法管轄的條件和方式如下:
境外機構在經營活動中,通過網際網路等收集境內用戶個人信息;以及
該等境外機構應當在境內通過法定代表人或者機構(「境內代表」)履行辦法中網絡運營者的責任和義務。
目前在海外的幣圈企業大體可以分為兩大類:一類是限於國內政策環境而出海的幣圈企業,未在境內註冊,實際控制人為中國人,伺服器在境外,但在境內設有提供技術支持或服務的機構、或有其他關聯實體(也可能沒有關聯的境內機構),如一些數字貨幣交易所、數字貨幣的發行人、數字貨幣對衝基金、量化基金等;另一類則是純境外企業,未在境內註冊,實際控制人為外籍人士,伺服器在境外,僅有投資人或用戶中有境內個人(如一些境外數字貨幣交易所Bitfinex等)。
為了企業業務經營目的、或為滿足合規性需要(如KYC),一些海外幣圈企業會在其經營活動中,通過網際網路站、APP等收集境內用戶的一些個人信息(常規的如姓名、身份證件號碼、電話號碼等)。按照辦法規定,由於該等境外企業在經營活動中,通過網際網路等收集了境內用戶的個人信息,看起來需要適用辦法的規管。
但是,在辦法相關規定的具體理解和適用上,可能存在一些問題:
有關個人信息出境安全責任的合同由誰籤訂?
辦法借鑑了歐盟《通用數據保護條例》(General Data Protection Regulation / GDPR)下標準合同的相關監管思路,要求網絡運營者和境外接收者兩方之間籤訂合同,就個人信息出境的目的、類型、保存時限,個人信息主體權益,網絡運營者及接收者的責任、義務等內容作出具體約定,且該合同為網絡運營者申請網信辦進行安全評估的必備文件。
按照辦法,網絡運營者是指網絡的所有者、管理者和網絡服務提供者。以境外數字貨幣交易所為例,其伺服器通常部署在境外,網絡運營和管理也在境外,因此,可以認為該數字貨幣交易所是網絡運營者。如果境內個人用戶在境內、在該數字貨幣交易所運營的境外網站上註冊帳戶,向其提供相關個人信息,則境外數字貨幣交易所同時也可認為是個人信息出境的接收者。
由於境外數字貨幣交易所既是網絡運營者,又是個人信息出境的接收者,身份重合,不能籤訂辦法要求的合同,那麼誰來籤訂合同?
根據辦法,境外企業應當通過其境內代表履行網絡運營者在辦法下的責任和義務。據此,是否即應由境外機構的境內代表(作為網絡運營者)與境外機構(作為接收者)籤訂合同?有待辦法的進一步明確。
網信辦如何有效實施監管?
與前一個問題相關的是,如果境外企業當前沒有境內機構,也沒有法定代表人(境外機構通常都不設法定代表人),並且在辦法實施後,其按照辦法應該設立而不設立境內代表的情況下,網信部門該如何實施有效監管?
此外,即使境外企業設有境內代表,境內義務的履行主體仍不明確:義務人究竟是境內子公司、關聯方還是其他機構?如存在多個境內主體的情況下,境外機構是否有選擇權?
根據辦法第6條,個人信息出境安全評估的重點內容包括是否符合國家有關法律法規和政策規定。根據辦法第13條,網絡運營者與個人信息接收者籤訂的合同或者其他有法律效力的文件應當明確個人信息出境的目的、類型、保存時限。基於此,個人信息出境必須符合國家法律和政策,網信辦將結合個人信息出境的目的等因素綜合考慮決定是否放行。
而對於一些海外幣圈企業而言,個人信息出境是否符合我國法律和政策是一個問題,因為部分個人信息出境的目的是即是為了參與境外數字貨幣的投資和交易。儘管國家沒有直接禁止境內個人參與數字貨幣投資和交易,但是對於數字貨幣發行和交易服務的負面政策和評價是明確的,因此,如果境外機構為向境內個人提供數字貨幣發行或交易服務目的而收集境內個人信息,可能難以通過網信辦的安全評估。
根據辦法第12條規定,任何個人和組織有權對違反本辦法規定向境外提供個人信息的行為,向省級以上網信部門或者相關部門舉報。據此,舉報人沒有任何身份或地域限制,任何個人或組織均有權對違法行為向網信辦或有關部門進行舉報。
對於涉及境內個人信息收集的海外幣圈企業、尤其是設有境內代表的企業而言,如果其在個人信息出境方面存在合規性問題,一旦投資受損的境內投資人、競爭對手或者其他方以此為由向網信辦等部門發起舉報,則該等企業將不得不作出選擇——要麼停止對境內個人信息的收集,也就是放棄境內個人用戶;要麼遵守國內個人信息出境的規定,履行辦法下的安全評估義務和責任,但這對於從事某些國內政策不支持的業務的海外幣圈企業來說,合規可能存在本文第2條所說的難度,因此最終結果可能還是不得已放棄國內市場。
根據辦法第20條的規定,境外機構應當在境內通過法定代表人或者機構履行辦法中網絡運營者的責任和義務。根據辦法及《網絡安全法》的規定,如網絡運營者違反辦法規定的,可能會被主管的網信辦責令改正,給予警告,沒收違法所得,處5萬元至50萬元的罰款,並可能被責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;並對直接負責的主管人員和其他直接責任人員處1萬元至10萬元的罰款等。
基於上述,如果應受辦法規管的境外機構或其境內代表未遵守辦法的規定,其境內代表將承擔相應的法律責任。網信辦通過對境內主體進行問責的方式,約束境外機構的行為,以確保法規的可執行性。基於此,對於業務經營活動中涉及收集境內個人信息的海外幣圈企業而言,除非其不設有境內代表,否則可能難以逃避網信辦的監管。
從網信辦2019年1月發布《區塊鏈信息服務管理規定》起,網信辦的監管觸角即開始觸及向中國用戶提供區塊鏈信息服務的境外區塊鏈企業,只是由於相關備案系統尚不完善,境外主體如何備案,尚不明確。此次辦法徵求意見稿的出臺,顯示網信辦可能希望進一步拓寬其監管範圍,從個人信息出境保護這一角度出發,將涉及到境內個人信息收集的境外機構也置於其監管之下。
儘管辦法並非是針對海外幣圈企業的特別規定,也不是所有的海外幣圈企業都會被納入監管(不涉及境內個人信息收集的海外幣圈企業不是辦法監管的對象),網信辦也未必具有充分的手段監管相關海外幣圈企業(如在境外企業沒有設立境內代表的情況下),而且辦法目前還處於徵求意見稿階段,相關條款尚未確定,文件正式落地還尚需時日,屆時實務中如何理解和適用更不明確,但是,可以預期的是,對於海外幣圈企業面向境內開展業務的行為,監管部門的監管角度一直在增加,監管半徑也在擴大,海外幣圈企業在境內的合規風險和成本將增大。
[1] http://www.cac.gov.cn/2019-06/13/c_1124613618.htm
作者:張凌,瀚一律師事務所合伙人
聲明:本文僅代表作者個人觀點,不代表所在機構意見。文中內容不構成法律意見和投資建議。如需轉載或引用本文的任何內容,請列明作者姓名。
非常感謝您的報名,請您掃描下方二維碼進入沙龍分享群。
[Source]
本文系未央網專欄作者發表,屬作者個人觀點,不代表網站觀點,未經許可嚴禁轉載,違者必究!首圖來自圖蟲創意。
本文為作者授權未央網發表,屬作者個人觀點,不代表網站觀點,未經許可嚴禁轉載,違者必究!首圖來自圖蟲創意。
本文版權歸原作者所有,如有侵權,請聯繫刪除。首圖來自圖蟲創意。