巴比特专栏 | 《个人信息保护法》的域外管辖与境外币圈企业的适用
作者按:《个人信息保护法》草案中含有域外管辖的规则,符合条件的境外区块链或加密货币业务相关运营者可能会落入我国《个人信息保护法》的管辖范围。
无论是出于业务经营本身的需要,还是出于KYC/AML等业务合规的需要,收集、储存、使用、提供客户或用户的个人信息(常见的如自然人的姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱等),是一些从事区块链、加密货币业务的运营者在其经营过程中经常所涉及的活动(典型的如中心化的数字货币交易平台、钱包、加密货币借贷平台、云算力平台等)。
近年来,随着大数据时代个人信息经济价值的凸显,吸引黑客的资产不再局限于加密货币本身,还有相关企业所收集和储存的客户或用户个人信息。仅2020年以来,就有加密货币借贷平台BlockFi发生个人数据泄露,另有比特币硬件钱包Legder的100万用户数据、加密资产报税服务平台CryptoTrader.tax1000多个用户的个人数据泄露事件等,去年也有加密货币交易所Binance、QuickBit等,加密货币钱包GateHub等被爆用户数据泄露。
同其他涉及个人信息处理活动的市场主体一样,业务活动中涉及收集、储存、使用个人信息的区块链、加密货币相关业务运营者,也需要遵守其所在国有关个人信息保护相关的法律规定。同时,由于世界上很多国家和地区已将个人信息保护法的适用范围扩张至域外(如欧盟、美国、德国、英国、日本、新加坡等),因此,区块链、加密货币业务相关运营者,根据其业务经营地、数据处理地、用户特征、所在地、处理行为目的等等因素,可能还需受制于其他国家或地区有关个人信息保护的法律制度。此外,随着全球都在加强对本国个人信息安全的保护力度,涉及个人信息处理活动的相关实体因此可能还会受到来自更多国家、更大范围、更多维度的监管。
今年10月13日,中国《个人信息保护法》草案(“《草案》”)提交十三届全国人大常委会第二十二次会议审议。为了更大程度地保护境内自然人的个人信息安全,《草案》借鉴了相关国家和地区的做法(包括欧盟GDPR),拟扩展我国个人信息保护法的适用范围——《草案》除了适用于境内主体实施的、发生在我国境内的个人信息处理行为,还将 有条件地适用于境外主体实施的、发生在我国境外的个人信息处理活动 。
根据《草案》的规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,适用该法。据此,对于设立在境外的从事区块链、加密货币相关业务的实体,符合以下条件的可能会落入中国《个人信息保护法》的管辖范围:(a) 处理境内自然人 (包括收集、储存、使用、提供等) 的个人信息的行为发生在境外 ;以及(b)其 目的是向境内自然人提供产品或服务,或分析、评估境内自然人的行为等 。
1. 域外管辖的适用标准
《草案》规定,“个人信息”是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。“个人信息处理”,包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
根据《草案》,如境外实体存在向境内自然人提供产品或者服务,或为分析、评估境内自然人的行为等目的,那么即使该实体对个人信息的相关处理行为发生在境外,该等信息处理行为也将适用《个人信息保护法》的管辖。
笔者理解,《草案》的上述域外管辖条款与GDPR确定其域外适用范围时所采用的“ 目标指向”( Targeting )标准 相契合。根据GDPR的规定,如设立于欧盟境外的实体为欧盟境内的数据主体提供商品或服务(无论数据主体是否需因此付费),或对数据主体在欧盟境内的行为进行监控,则该欧盟外实体的数据处理行为需遵守GDPR的规定。[1]
在当前市场中,不少设立地在境外的区块链或加密货币业务相关运营实体,无论其实际控制人是否具有中国背景,主要以或部分以向中国境内的自然人提供产品或者服务为目的的不在少数(即使囿于合规需要,其可能会在书面声明中排除向中国自然人提供服务)。该等实体通常会在其业务活动中,通过网站、App等收集境内用户的个人信息,并将该等个人信息存储在境外服务器上、在境外提供、使用等。因此,该等境外区块链、加密货币相关业务的运营实体对境内个人信息的处理行为未来可能需要适用境内的《个人信息保护法》。
2. 行为目的的判断因素
如何判断境外主体实施的、发生在境外的个人信息处理活动是否具有向境内自然人提供商品或服务的目的,《草案》并未明确规定。而欧洲数据保护委员会(EDPB)于2019年11月发布的《关于GDPR的地域适用范围指南(第三条)》(“EDPB指南”)中对类似情况如何判断列出了一些参考因素。
根据EDPB指南,判断非欧盟实体是否具有向欧盟境内数据主体提供商品或服务的意图,需就个案的具体情况, 综合考虑指南中列举的相关因素(而非个别、单一因素) ,包括但不限于:
(i)所提供的有关产品或服务的宣传资料中是否指明欧盟或其某一成员国的名称;
(ii)是否向搜索引擎运营商支付费用,以便欧盟境内用户访问其网站;或是否已经针对欧盟境内数据主体开展了营销和广告活动;
(iii)有关活动是否具有国际性;
(iv)是否提供与产品或服务相关的本地电话号码或地址;
(v)是否使用涉及欧盟或一成员国的顶层域名;
(vi)是否使用欧盟成员国的语言或货币。
根据《草案》所反映的立法精神,笔者理解,EDPB指南中所列的、评判行为目的的相关参考因素对于我国未来《个人信息保护法》域外适用的执法实践和未来的配套规定均具有相当的参考价值。因此,境外区块链、加密货币运营实体可以 对照 EDPB 指南中列举的相关参考因素预先评估自身行为的适用性。
3. 机构设立或代表委任要求
根据《草案》的要求,如相关境外实体的个人信息处理活动落入中国《个人信息保护法》管辖范围的,则该等境外实体需要在境内设立 专门机构 或者 指定代表 , 负责个人信息保护相关事务 。但《草案》未对该等专门机构及代表的资格要求、其所需承担的具体事务和责任作出规定。
对照GDPR和EDPB指南的相关规定,GDPR域外适用的“目标指向”标准下也存在委任代表的要求。根据规定,不在欧盟境内设立的实体,为欧盟境内的数据主体提供商品或服务,或监控欧盟境内的数据主体的行为的,应在欧盟境内委任一名代表,该代表可以是自然人,也可以是在欧盟境内设立的法人。
根据上述规定,该等指定代表的主要义务是保存数据处理活动的记录、执行数据控制者或数据处理者的指令(包括与数据保护监管机构的合作)。该等指定代表的义务和责任不同于数据控制者或数据处理者的义务和责任,其通常不就数据控制者或数据处理者的违法行为承担替代或连带责任。在当前实践中,欧盟外实体委任欧盟境内律师事务所作为其代表的情况比较多见。
鉴于我国的《个人信息保护法》在总体上对GDPR的监管精神和制度设计多有借鉴,笔者理解,我国《个人信息保护法》下所指的专门机构及代表的资格、组织形式等要求,该等机构及代表所需承担的义务和责任,可能也会参考EDPB指南的相关设计,具体有待监管部门未来在《个人信息保护法》的配套规定或在执法实务中予以明确。
4. 个人信息跨境提供的安全评估
根据《草案》,关键信息基础设施运营者和处理个人信息达到网信办规定数量的处理者,确需向境外提供个人信息的,应当通过网信办组织的安全评估。
根据2017版的《个人信息和重要数据出境安全评估办法(征求意见稿)》,草稿中规定的触发安全评估申报义务的出境个人信息数量包括含有或累计含有50万人以上、数据量超过1000GB。
根据2019年版的《个人信息出境安全评估办法(征求意见稿)》,境外机构经营活动中,通过互联网等收集境内用户个人信息的,需要在中国境内新设机构或任命法定代表人,并通过该等机构或代表履行网络运营者的责任和义务,申报个人信息出境的安全评估。
基于上述,设立在境外的、从事区块链或加密货币相关业务的实体,如其通过网站、App等收集境内用户个人信息的,且 收集的个人信息含有或累计含有 50 万人以上 ,或 数据量超过 1000GB ,可能会触发个人信息出境的安全评估申报义务。有关个人信息出境所需履行的安全评估义务、所涉及的相关问题及风险,请见笔者于2019年6月该版征求意见稿出台时所做的简要评析 《个人信息出境需安全评估,对海外币圈企业影响几何?》 。
5.违法后果
(1) 行政责任
根据《草案》,境外实体违反《个人信息保护法》,情节严重的,罚款金额为 5000 万元以下或者上一年度营业额 5% 以下 ,监管部门还有权责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款。
《草案》未明确“情节严重”的具体认定情形或判断标准,且未说明罚款在5000万元及上一年度营业额5%两者中是否以高者为准,因此,执法机关对于个人信息处理者的违法行为 是否构成情节严重、罚款金额的上限确定具有一定的裁量权 。
(2) 民事责任
如境外实体违规处理相关境内自然人的个人信息,侵害相关个人权益的,受侵害的个人有权提起民事赔偿,赔偿数额按照该个人所受损失或者个人信息处理者所获利益确定;如数额无法确定的,由人民法院根据实际情况确定赔偿数额。
6. 适用和执行问题
目前,《个人信息保护法》尚处于《草案》阶段,草拟的相关规定是否能够保留并落地还存在不确定性;并且,《草案》的相关规定和概念也都比较原则性,实务中如何理解和适用尚不明确(如境内自然人的“境内”如何理解、怎样的信息处理行为会被视为“发生在境外”、境外实体处理境内自然人个人信息的行为“目的”如何判断、在境内设立的“专门机构和指定代表”需承担什么义务和责任等);此外,与个人信息保护有关的其他规则也还在征求意见的阶段(如《个人信息出境安全评估办法》),相关标准的适用尚未确定(如触发安全评估申报义务的出境的个人信息数量等)。但是,加强对境内自然人的个人信息的保护, 将保护范围适度扩展至域外已经是全球普遍共识,因此也将是我国立法的必然趋势 。
对于已在境外设立或拟在境外设立、从事区块链或加密货币相关业务,并且业务活动中涉及收集、储存、使用、提供境内自然人个人信息的实体而言, 了解该法的出台背景、监管目的、适用范围、可能需履行的义务和责任、违法后果等,提前做好应对准备是必要的 。考虑到《草稿》在域外管辖规则方面对GDPR的原则和规定多有借鉴, 参考 EDPB 指南中所列的各个评判因素 ,有助于其初步了解和评估其是否可能会构成中国《个人信息保护法》下所指的“以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为”,从而评估其对境内客户或用户的个人信息收集、储存、使用、提供等处理行为是否可能会落入该法的管辖范围。
但是,对于境外实体所从事的、我国法律不予认可的相关加密货币业务活动,如该等实体涉及处理境内客户或用户的个人信息的,未来实践中如何适用《个人信息保护法》是一个问题。与网信办2019年1月出台《区块链信息服务管理规定》后,向境内公众提供区块链信息服务的境外实体在实践中难以办理区块链信息服务备案的情况类似,在一段时间内可能也会存在境外实体 即使希望按照合规、也难以合规 的尴尬局面。
作者:张凌,瀚一律师事务所合伙人
声明:本文仅代表作者个人观点,不代表所在机构意见。文中内容不构成法律意见和投资建议。如需转载或引用本文的任何内容,请列明作者姓名。
[1] GDPR第3条第2款规定,GDPR适用于任何在欧盟境内没有营业地的数据控制者或者数据处理者与如下情形有关的个人数据处理行为:(a)如果该数据处理行为与向欧盟的数据主体提供商品或者服务有关(无论数据主体是否被要求付费);或(b)对在欧盟的数据主体在欧盟境内发生的行为进行监控。