区块链信息服务强心剂出台,解读《区块链信息服务管理规定(征求意见稿)》
2018年10月19日,国家互联网信息办公室发布关于《区块链信息服务管理规定(征求意见稿)》(以下称《规定》)公开征求意见的通知,拟对区块链信息服务进行管理。《规定》共23条,详细规定了区块链信息服务的定义、区块链信息服务的提供者与使用者行为准则、监管部门、监管规定与法律责任。
一、立法背景
2016年,我国的《“十三五”国家信息化规划》中,首次出现了区块链的内容,并被定为战略性前沿技术,加强区块链技术开发和前沿布局。
2016年10月18日,中国区块链技术和产业发展论坛在工业和信息化部信息化和软件服务业司的指导下,联合蚂蚁金融云、万向控股、微众银行、乐视、万达网络、平安科技等骨干企业,编撰形成并发布了《中国区块链技术和应用发展白皮书》,为求积极把握区块链发展趋势和规律,营造良好的发展环境,加速推动我国区块链技术和产业发展。
2016年12月,贵州省贵阳市人民政府利用一系列互联网相关会议所形成的便利条件,进一步研究并探讨了区块链在理论及应用方面的可能性,并对区块链进行了创新,在尊重网络主权背后的国家主权前提下,创制了主权区块链这一应用概念,继而发布了《贵阳区块链发展和应用》白皮书,为我国在尊重国家主权基础上具体研发应用区块链奠定了基调。
然而,随着区块链在金融行业的发展,严重扰乱了经济金融秩序,近一年来,国家对区块链的态度处于严厉监管阶段,陆续发文限制区块链货币领域的发展:2017年9月4日,中国七部委联合发言称,ICO(区块链项目首次发行代币)是非法集资,意在取缔数字货币交易所;2017年9月13日,中国互联网金融协会发布《关于防范比特币等所谓“虚拟货币”风险的提示》;2018年1月12日,中国互联网金融协会发布《关于防范变相ICO活动的风险提示》,提醒相关责任主体不要从事变相ICO活动; 2018年1月26日,中国互联网金融协会发出关于防范境外ICO与“虚拟货币”交易的风险提示;2018年3月28日,人民银行党委委员、副行长范一飞发表讲话称2018年扎实推进央行数字货币研发,开展对各类虚拟货币的整顿清理;2018年4月23日,央行表示,对涉嫌非法集资的“虚拟货币”相关行为进行严厉打击;2018年7月9日,中国人民银行公布虚拟货币交易平台与ICO平台退出数据;2018年8月24日,银保监会、中央网信办、公安部、人民银行、市场监管总局提示,防范以“虚拟货币”“区块链”名义进行非法集资。
在此高压背景下,涉及区块链的金融服务草木皆兵,区块链服务者人人自危。事实上,我国对区块链的整治主要在于金融货币领域,对区块链技术的应用发展并非持否定态度,《规定》的出台首次尝试在正式法律法规中规范区块链技术应用,在技术中立原则的基础上规范并促进区块链技术的发展。
二、明确监管主体
区块链最早从金融行业发展而来,2008年,中本聪在关于比特币的论文中写到首次区块链的概念——区块链技术是构建比特币数据结构与交易信息加密传输的基础技术,该技术实现了比特币的挖矿与交易。区块链技术现已推广到了社会各个行业,原有的规定就不再适合当前的发展情形。以最先应用区块链技术的金融市场为例,金融行业采取的是分业监管模式,网络信息安全方面,由人民银行、银监会、证监会、保监会、工信部、公安部、国家互联网信息办公室分别负责监管,但是此种模糊的设置可能造成各监管主体沟通不畅的情形,容易形成监管真空从而令监管套利现象频发,出现法律灰色地带。而《规定》首次明确了区块链信息服务的监管主体为互联网信息办公室。
根据《规定》第三条,国家互联网信息办公室负责全国的区块链信息服务的监督管理执法工作,具体到各省市则分别由各互联网信息办公室负责,以行政区域范围为划分依据确立监管主体,避免出现监管真空。
三、明确监管对象和范围
1.监管对象
《规定》的监管对象为境内从事区块链信息服务的提供者和使用者。
区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织。
区块链信息服务使用者,是指使用区块链信息服务的机构或者个人。
《规定》对区块链信息服务的监管对象采取的是属地原则,即只要在中国境内涉区块链信息服务的,都属于本法规制对象,不论是否注册在中国境内。该规定与《网络安全法》和《互联网信息服务管理办法》(以下称《管理办法》)的监管对象一致,都是规范在我国境内的互联网信息服务。在《网络安全法》中,虽然没有对“境内”明确适用于国外注册但在中国提供服务的情形,但参照《信息安全技术数据出境安全评估指南(征求意见稿)》中提到的对“境内”类似的表述,“未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和国境内提供产品或服务的,属于境内运营”。目前存在许多采取“境外设立实体+采购境内公司的技术开发服务”模式的区块链企业,根据《规定》,这类企业的区块链信息服务平台也不是法外之地。因此,提供服务的企业在境内,自然受本《规定》约束;境外企业向境内提供服务,使用者在境内,也同样受本《规定》约束。
2.监管范围
此前,区块链服务经历了从货币领域扩展到整个金融领域,再到整个互联网领域的发展。此次区块链立法也考虑到了区块链应用的广泛性,《规定》对区块链信息服务的规定是一个涵涉范围极广的概念,根据《规定》第二条对区块链信息服务的定义,区块链信息服务是指基于区块链技术或者系统通过互联网站、应用程序等形式,向社会公众提供信息服务。但是值得注意的是,基于区块链技术提供的信息服务虽然纳入《规定》监管范围,但是由于《规定》的“信息服务”内涵过广,《管理办法》的规定几乎全都可以适用于区块链信息服务中。建议区块链服务提供者持续关注区块链信息服务的立法动态,观察是否有更进一步的监管范围特殊规定,及时进行自查自纠。
三、明确法律要求和法律责任
根据《规定》的要求,区块链信息服务提供者和使用者的义务有所区别。对于区块链信息服务的使用者,《规定》只提出了与区块链信息服务提供者相同的合法的要求,即区块链信息服务的提供者和使用者都不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律法规禁止的信息内容。对区块链信息服务使用者的违法违规行为,参照其他法律法规的要求进行处罚。对于个人而言,最容易受到《治安管理处罚法》关于违法发布民族歧视、侮辱内容和淫秽信息等相关的行政处罚,更严重者可能涉及《刑法》第二百八十七条之一规定的非法利用信息网络罪。
而《规定》中更多的是对区块链信息服务提供者进行规范,具体要求如下:
1.区块链信息服务备案
根据《规定》第四条,区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统进行备案,备案信息主要包括服务提供者、服务类别、服务形式、应用领域、服务器地址等信息。以上信息由国家互联网信息办公室进行公示。区块链服务提供者变更、注销服务项目、平台网址等事项的,应当在变更、注销之日起五个工作日内办理变更、注销手续。从事新闻、出版、教育、医疗保健、药品和医疗器械等特殊行业的区块链信息服务的,应当先经过主管部门审核同意再履行备案手续。值得注意的是,信息服务备案规定与《管理办法》并不完全一致,根据《管理办法》第四条,国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。对于区块链信息服务提供者而言,并未区分经营性和非经营性的信息服务提供者。有疑问的是,若是经营性的区块链信息服务提供者,是否需要参照行业内的具体规定履行行政许可手续?这一点尚待进一步明确。
除此之外,根据《规定》第五条第二款规定了区块链信息服务备案的年度审核制度,区块链信息服务提供者应当在每年规定时间登录区块链信息服务备案管理系统,履行年度审核手续,以年检的形式对区块链服务进行动态监管。
2.信息公示
根据《规定》第六条,区块链信息服务提供者在完成备案的后,应当在其对外提供服务的互联网站、应用程序等网络平台显著位置标明其备案编号。根据《规定》第十九条,区块链信息服务提供者违反信息公示义务,未在其网络平台上标明其备案编号的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令限期改正,拒不改正的,给予警告,并处五千元以上一万元以下罚款。
3.网络安全保护
《规定》要求区块链信息服务提供者应当落实信息内容安全管理主体责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。由于此处完全可参照《网络安全法》及其配套法律法规的措施,故在此不再赘述。
4.信息管理
根据《规定》的要求,区块链信息服务提供者除了自身不得利用区块链信息服务制作、复制、发布、传播法律法规禁止的信息内容以外,还对区块链信息服务使用者有监管义务,对于区块链信息服务使用者存在发布违法违规信息内容情况时,应当对区块链信息服务使用者采取处置措施,并对违法违规信息内容采取消除等措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
除了对信息进行日常的监督管理外,《规定》采取了和《网络安全法》一样的标准,同样要求对区块链信息服务提供者提出了网络日志等的6个月信息留存要求。
5.实名认证
根据《规定》第十条,作为基于区块链技术的信息服务将会被纳入互联网网络安全的一部分,《规定》要求区块链信息服务提供者对服务使用者实行“真实身份信息认证”。这与《网络安全法》的要求相一致,根据《网络安全法》第二十四条,网络运营者提供服务应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。如果网络运营者要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,可能受到最高50万元的行政处罚。随着《网络安全法》的施行,各个网络通讯、媒体平台都陆续进行了“实名制”整改,即使没有《规定》的出台,区块链信息服务提供者仍需按照《网络安全法》的规定履行实名认证义务。
6.产品安全评估
根据《规定》第十六条,区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。虽然《规定》并未对如何进行安全评估、是否比照《网络安全法》安全评估方案落实给出具体的参考标准,由于《规定》是根据《网络安全法》等法律法规制定,因而很有可能参照《网络安全法》中的安全评估的相关制度。《网络安全法》中直接涉及到安全评估的是第三十七条的规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”但是这涉及的是数据出境安全评估,对《规定》中的产品或服务上线安全评估可能并不适用。
我们可以看到,针对产品和服务,《网络安全法》中规定了安全审查制度,该规定与区块链信息服务上线新产品、新应用、新功能的规范目的更相近。参照《网络安全法》的产品和服务安全审查制度来看,《规定》对区块链信息服务提供者提出了比一般网络运营者更高的要求,根据《网络安全法》和《网络产品和服务安全审查办法(试行)》(以下称《审查办法》)的规定,一般网络运营者只需要遵守基本的产品安全要求,并不需要进行安全认证或检测,但《规定》对区块链信息服务提供者提出了上线安全评估前置的要求。根据《审查办法》的规定,安全审查的重点审查网络产品和服务的安全性、可控性,包括产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险以及其他可能危害国家安全的风险。因此,建议区块链信息服务提供者先按照此标准进行产品和服务安全管理。
结语
区块链技术具有去中心化、数据可信度高、去信用化的特点,区块链发展是社会大数据发展大势所趋。部分业内人士认为此项规定过于严厉,给区块链行业一记重拳,在很大程度上束缚了企业创新创业的手脚,或将对整个行业带来一次“大洗牌”。实际上当前区块链行业不缺动力,缺的是规范管理。《规定》的出台从法律上确定区块链服务的合法性,而规定的备案制在一定程度上能够给区块链信息服务设置门槛,对良莠不齐的区块链信息服务提供者也是一次大洗牌。这意味着国家对区块链加强监管的同时,亦在大力推进区块链的发展,对于区块链市场来说无疑是一剂强心针。
法律要求 | 法律依据 | 法律责任 |
区块链信息服务备案 | 第四条 区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报《区块链信息服务备案登记表》(以下简称:《备案登记表》),主要包括服务提供者、服务类别、服务形式、应用领域、服务器地址等信息,履行备案手续。国家互联网信息办公室根据实际情况对《备案登记表》进行调整,并按规定进行公示。 区块链信息服务提供者变更、注销服务项目、平台网址等事项的,应当在变更、注销之日起五个工作日内办理变更、注销手续。 第七条 基于区块链从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的,在履行备案手续前,应当依法经有关主管部门审核同意。 | 第十七条 违反本规定第四条的规定,填报虚假备案信息的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令暂停服务,限期整改;拒不改正的,注销备案。 第二十条 区块链信息服务提供者违反本规定第四条第一款的规定,未按本规定履行备案手续的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令限期改正,拒不改正或者情节严重的,给予警告,并处一万元以上三万元以下罚款。 |
年度审核 | 第五条 …国家和省、自治区、直辖市互联网信息办公室依法对区块链信息服务备案实行年度审核,区块链信息服务提供者应当在每年规定时间登录区块链信息服务备案管理系统,履行年度审核手续。 | / |
信息公示 | 第六条 完成备案的区块链信息服务提供者应当在其对外提供服务的互联网站、应用程序等网络平台显著位置标明其备案编号。 第十二条 区块链信息服务提供者应当制定和公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律法规和平台公约。 | 第十九条 区块链信息服务提供者违反本规定第六条的规定,未在其网络平台上标明其备案编号的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令限期改正,拒不改正的,给予警告,并处五千元以上一万元以下罚款。 第二十一条 …区块链信息服务提供者违反本规定…第十二条…的规定的,由国家和地方互联网信息办公室依据职责给予警告、责令限期改正;情节严重或者拒不改正的,责令暂停服务,处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任… |
网络安全管理 | 第八条 区块链信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。 | 第二十一条 …区块链信息服务提供者违反本规定…第八条…的规定的,由国家和地方互联网信息办公室依据职责给予警告、责令限期改正;情节严重或者拒不改正的,责令暂停服务,处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任… |
信息内容管理 | 第九条 区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律法规禁止的信息内容。 第十三条 区块链信息服务提供者应当对违反法律法规和服务协议的区块链信息服务使用者,视情采取警示、限制功能、关闭账号等处置措施,及时消除违法违规信息内容,防止信息扩散,保存有关记录,并向有关主管部门报告。 | 第二十一条 区块链信息服务提供者提供的区块链信息服务存在信息安全隐患的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令限期整改、暂停服务,直至整改后符合法律法规等相关规定和国家强制性标准相关要求方可继续提供信息服务。 第十八条 区块链信息服务提供者违反本规定第九条的规定,制作、复制、发布、传播法律法规和国家有关规定禁止的信息内容的,由国家和省、自治区、直辖市互联网信息办公室依法给予警告、责令限期改正;情节严重或者拒不改正的,责令暂停服务,处五千元以上三万元以下罚款,直至转由相关部门依法关闭服务。构成犯罪的,依法追究刑事责任。 区块链信息服务使用者违反本规定第九条的规定,制作、复制、发布、传播法律法规和国家有关规定禁止的信息内容的,由国家和省、自治区、直辖市互联网信息办公室依照有关法律、行政法规的规定予以处置。 |
身份认证 | 第十条 区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务。 | 第二十一条 …区块链信息服务提供者违反本规定第十条、第十三条、第十四条的规定的,由国家和省、自治区、直辖市互联网信息办公室依据《中华人民共和国网络安全法》的规定予以处理。
|
信息留存 | 第十四条 区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存六个月,并在相关执法部门依法查询时予以提供。 | 第二十一条 …区块链信息服务提供者违反本规定第十条、第十三条、第十四条的规定的,由国家和省、自治区、直辖市互联网信息办公室依据《中华人民共和国网络安全法》的规定予以处理。
|
安全评估 | 第十六条 区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。 | 第二十一条 …区块链信息服务提供者违反本规定第四条第二款、第八条、第十一条、第十二条、第十五条、第十六条的规定的,由国家和地方互联网信息办公室依据职责给予警告、责令限期改正;情节严重或者拒不改正的,责令暂停服务,处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任… |
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
