栏目导航
君临娱乐场真人游戏
财经资讯
娱乐八卦
体育资讯
BTC专栏 | 《幼我新闻珍惜法》的域外管辖与境外币圈企业的适用 | BTC
浏览:149 发布日期:2020-10-30

作者按:《幼我新闻珍惜法》草案中含有域外管辖的规则,吻合条件的境外区块链或添密货币业务相关运营者能够会落入吾国《幼我新闻珍惜法》的管辖周围。

不论是出于业务经营自己的必要,照样出于KYC/AML等业务吻合规的必要,搜集、蓄积、行使、挑供客户或用户的幼我新闻(常见的如自然人的姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱等),是一些从事区块链、添密货币业务的运营者在其经营过程中频繁所涉及的运动(典型的如中央化的数字货币交易平台、钱包、添密货币借贷平台、云算力平台等)。

近年来,随着大数据时代幼我新闻经济价值的凸显,吸引暗客的资产不再限制于添密货币自己,还有相关企业所搜集和蓄积的客户或用户幼我新闻。仅2020年以来,就有添密货币借贷平台BlockFi发生幼我数据透露,另有比特币硬件钱包Legder的100万用户数据、添密资产报税服务平台CryptoTrader.tax1000多个用户的幼我数据透露事件等,往年也有添密货币交易所Binance、QuickBit等,添密货币钱包GateHub等被爆用户数据透露。

同其他涉及幼我新闻处理运动的市场主体相通,业务运动中涉及搜集、蓄积、行使幼我新闻的区块链、添密货币相关业务运营者,也必要遵命其所在国相关幼我新闻珍惜相关的法律规定。同时,原由世界上许多国家和地区已将幼我新闻珍惜法的适用周围膨胀至域外(如欧盟、美国、德国、英国、日本、新添坡等),所以,区块链、添密货币业务相关运营者,根据其业务经营地、数据处理地、用户特征、所在地、处理走为方针等等因素,能够还需受制于其异国家或地区相关幼我新闻珍惜的法律制度。此外,随着全球都在强化对本国幼我新闻坦然的珍惜力度,涉及幼我新闻处理运动的相关实体所以能够还会受到来自更多国家、更大周围、更多维度的监管。

今年10月13日,中国《幼我新闻珍惜法》草案(“《草案》”)挑交十三届全国人大常委会第二十二次会议审议。为了更大水平地珍惜境内自然人的幼我新闻坦然,《草案》借鉴了相关国家和地区的做法(包括欧盟GDPR),拟扩展吾国幼我新闻珍惜法的适用周围——《草案》除了适用于境内主体实走的、发生在吾国境内的幼我新闻处理走为,还将有条件地适用于境外主体实走的、发生在吾国境外的幼我新闻处理运动。

根据《草案》的规定,以向境内自然人挑供产品或者服务为方针,或者为分析、评估境内自然人的走为等发生在吾国境外的幼我新闻处理运动,适用该法。据此,对于竖立在境外的从事区块链、添密货币相关业务的实体,吻合以下条件的能够会落入中国《幼我新闻珍惜法》的管辖周围:(a)处理境内自然人(包括搜集、蓄积、行使、挑供等)的幼我新闻的走为发生在境外;以及(b)其方针是向境内自然人挑供产品或服务,或分析、评估境内自然人的走为等。

  1.域外管辖的适用标准  

《草案》规定,“幼我新闻”所以电子或者其他手段记录的与已识别或者可识别的自然人相关的各栽新闻。“幼我新闻处理”,包括幼我新闻的搜集、存储、行使、添工、传输、挑供、公开等运动。

根据《草案》,如境外实体存在向境内自然人挑供产品或者服务,或为分析、评估境内自然人的走为等方针,那么即使该实体对幼我新闻的相关处理走为发生在境外,该等新闻处理走为也将适用《幼我新闻珍惜法》的管辖。

笔者理解,《草案》的上述域外管辖条款与GDPR确定其域外适用周围时所采用的“如今标指向”(Targeting)标准相契吻合。根据GDPR的规定,如竖立于欧盟境外的实体为欧盟境内的数据主体挑供商品或服务(不论数据主体是否需所以付费),或对数据主体在欧盟境内的走为进走监控,则该欧盟外实体的数据处理走为需遵命GDPR的规定。[1]

在如今市场中,不少竖立地在境外的区块链或添密货币业务相关运营实体,不论其实际限制人是否具有中国背景,主要以或片面以向中国境内的自然人挑供产品或者服务为方针的不在幼批(即使囿于吻合规必要,其能够会在书面声明中倾轧向中国自然人挑供服务)。该等实体清淡会在其业务运动中,议决网站、App等搜集境内用户的幼我新闻,并将该等幼我新闻存储在境外服务器上、在境外挑供、行使等。所以,该等境外区块链、添密货币相关业务的运营实体对境内幼我新闻的处理走为异日能够必要适用境内的《幼我新闻珍惜法》。

  2.走为方针的判定因素  

如何判定境外主体实走的、发生在境外的幼我新闻处理运动是否具有向境内自然人挑供商品或服务的方针,《草案》并未清晰规定。而欧洲数据珍惜委员会(EDPB)于2019年11月发布的《关于GDPR的地域适用周围指南(第三条)》(“EDPB指南”)中对相通情况如何判定列出了一些参考因素。

根据EDPB指南,判定非欧盟实体是否具有向欧盟境内数据主体挑供商品或服务的意图,需就个案的仔细情况,综吻合考虑指南中列举的相关因素(而非个别、单一因素),包括但不限于:

(i)所挑供的相关产品或服务的宣传原料中是否指明欧盟或其某一成员国的名称;

(ii)是否向搜索引擎运营商支付费用,以便欧盟境内用户访问其网站;或是否已经针对欧盟境内数据主体开展了营销和广告运动;

(iii)相关运动是否具有国际性;

(iv)是否挑供与产品或服务相关的本地电话号码或地址;

(v)是否行使涉及欧盟或一成员国的顶层域名;

(vi)是否行使欧盟成员国的说话或货币。

根据《草案》所逆映的立法精神,笔者理解,EDPB指南中所列的、评判走为方针的相关参考因素对于吾国异日《幼我新闻珍惜法》域外适用的执法实践和异日的配套规定均具有相等的参考价值。所以,境外区块链、添密货币运营实体能够对照EDPB指南中列举的相关参考因素预先评估自己走为的适用性。

  3.机构竖立或代外委任请求  

 

根据《草案》的请求,如相关境外实体的幼我新闻处理运动落入中国《幼我新闻珍惜法》管辖周围的,则该等境外实体必要在境内竖立特意机构或者指定代外,负责幼我新闻珍惜相关事务。但《草案》未对该等特意机构及代外的资格请求、其所需承担的仔细事务和责任作出规定。

对照GDPR和EDPB指南的相关规定,GDPR域外适用的“如今标指向”标准下也存在委任代外的请求。根据规定,不在欧盟境内竖立的实体,为欧盟境内的数据主体挑供商品或服务,或监控欧盟境内的数据主体的走为的,答在欧盟境内委任别名代外,该代外能够是自然人,也能够是在欧盟境内竖立的法人。

根据上述规定,该等指定代外的主要职守是保存数据处理运动的记录、实走数据限制者或数据处理者的指令(包括与数据珍惜监管机构的配吻合)。该等指定代外的职守和责任差别于数据限制者或数据处理者的职守和责任,其清淡不就数据限制者或数据处理者的作恶走为承担替代或连带责任。在如今实践中,欧盟外实体委任欧盟境内律师事务所行为其代外的情况比较多见。

鉴于吾国的《幼我新闻珍惜法》在总体上对GDPR的监管精神和制度设计多有借鉴,笔者理解,吾国《幼我新闻珍惜法》下所指的特意机构及代外的资格、结构形势等请求,该等机构及代外所需承担的职守和责任,能够也会参考EDPB指南的相关设计,仔细有待监管部分异日在《幼我新闻珍惜法》的配套规定或在执法实务中予以清晰。

  4.幼我新闻跨境挑供的坦然评估  

根据《草案》,关键新闻基础设施运营者和处理幼我新闻达到网信办规定数目的处理者,确需向境外挑供幼我新闻的,答当议决网信办结构的坦然评估。

根据2017版的《幼我新闻和主要数据出境坦然评估手段(征求偏见稿)》,草稿中规定的触发坦然评估申报职守的出境幼我新闻数目包括含有或累计含有50万人以上、数据量超过1000GB。

根据2019年版的《幼我新闻出境坦然评估手段(征求偏见稿)》,境外机构经营运动中,议决互联网等搜集境内用户幼我新闻的,必要在中国境内新设机构或任命法定代外人,并议决该等机构或代外实走网络运营者的责任和职守,申报幼我新闻出境的坦然评估。

基于上述,竖立在境外的、从事区块链或添密货币相关业务的实体,如其议决网站、App等搜集境内用户幼我新闻的,且搜集的幼我新闻含有或累计含有50万人以上,或数据量超过1000GB,能够会触发幼我新闻出境的坦然评估申报职守。相关幼我新闻出境所需实走的坦然评估职守、所涉及的相关题目及风险,请见笔者于2019年6月该版征求偏见稿出台时所做的简要评析《幼我新闻出境需坦然评估,对海外币圈企业影响几何?》。

  5.作恶效果  

(1)    走政责任

根据《草案》,境外实体忤逆《幼我新闻珍惜法》,情节主要的,罚款金额为5000万元以下或者上一年度买卖额5%以下,监管部分还有权责令停歇相关业务、休业整理、通报相关主管部分吊销相关业务应允或者吊销买卖执照;对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款。

《草案》未清晰“情节主要”的仔细认定情形或判定标准,且未表明罚款在5000万元及上一年度买卖额5%两者中是否以高者为准,所以,执法机关对于幼我新闻处理者的作恶走为是否组成情节主要、罚款金额的上限确定具有必定的裁量权。

(2)    民事责任

如境外实体违规处理相关境内自然人的幼我新闻,侵扰进犯相关幼我权好的,受侵扰进犯的幼我有权拿首民事补偿,补偿数额遵命该幼我所受亏损或者幼我新闻处理者所获益处确定;如数额无法确定的,由人民法院根据实际情况确定补偿数额。

  6.适用和实走题目  

如今,《幼我新闻珍惜法》尚处于《草案》阶段,草拟的相关规定是否能够保留并落地还存在不确定性;并且,《草案》的相关规定和概念也都比较原则性,实务中如何理解和适用尚不清晰(如境内自然人的“境内”如何理解、怎样的新闻处理走为会被视为“发生在境外”、境外实体处理境内自然人幼我新闻的走为“方针”如何判定、在境内竖立的“特意机议和指定代外”需承担什么职守和责任等);此外,与幼我新闻珍惜相关的其他规则也还在征求偏见的阶段(如《幼我新闻出境坦然评估手段》),相关标准的适用尚未确定(如触发坦然评估申报职守的出境的幼我新闻数目等)。但是,强化对境内自然人的幼我新闻的珍惜,将珍惜周围适度扩展至域外已经是全球普及共识,所以也将是吾国立法的必然趋势。

对于已在境外竖立或拟在境外竖立、从事区块链或添密货币相关业务,并且业务运动中涉及搜集、蓄积、行使、挑供境内自然人幼我新闻的实体而言,晓畅该法的出台背景、监管方针、适用周围、能够需实走的职守和责任、作恶效果等,挑前做好答对准备是必要的。考虑到《草稿》在域外管辖规则方面对GDPR的原则和规定多有借鉴,参考EDPB指南中所列的各个评判因素,有助于其初步晓畅和评估其是否能够会组成中国《幼我新闻珍惜法》下所指的“以向境内自然人挑供产品或者服务为方针,或者为分析、评估境内自然人的走为”,从而评估其对境内客户或用户的幼我新闻搜集、蓄积、行使、挑供等处理走为是否能够会落入该法的管辖周围。

但是,对于境外实体所从事的、吾国法律不予认可的相关添密货币业务运动,如该等实体涉及处理境内客户或用户的幼我新闻的,异日实践中如何适用《幼我新闻珍惜法》是一个题目。与网信办2019年1月出台《区块链新闻服务管理规定》后,向境内公多挑供区块链新闻服务的境外实体在实践中难以办理区块链新闻服务备案的情况相通,在一段时间内能够也会存在境外实体即使企盼遵命吻合规、也难以吻合规的难堪局面。

作者:张凌,瀚整齐师事务所吻合伙人

声明:本文仅代外作者幼我不悦目点,不代外所在机构偏见。文中内容不组成法律偏见和投资提出。如需转载或引用本文的任何内容,请列明作者姓名。

[1] GDPR第3条第2款规定,GDPR适用于任何在欧盟境内异国买卖地的数据限制者或者数据处理者与如下情形相关的幼我数据处理走为:(a)倘若该数据处理走为与向欧盟的数据主体挑供商品或者服务相关(不论数据主体是否被请求付费);或(b)对在欧盟的数据主体在欧盟境内发生的走为进走监控。