联盟分析-​政策法规 | “滴滴APP”下架给区块链行业合规建设敲响的警钟

|合规联盟原创出品 |

作为中国知名出行APP，“滴滴出行”（以下简称“滴滴”）刚于今年6月完成了在美国纽约交易所上市，但是坏消息随之接踵而至。

2021年7月4日，国家互联网信息办公室通报，经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题，已通知应用商店下架该APP，要求滴滴出行认真整改。除滴滴外，“运满满”、“货车帮”、“BOSS直聘”等APP也被实施了网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间要求整改的APP都将被停止新用户注册。

美国方面，Labaton Sucharow律师事务所也正式对滴滴发起集体诉讼，主要诉讼内容也是涉及消费者网络安全和数据隐私。

“滴滴”事件对包括区块链行业在内的其他想要在全球开展融资及跨国业务的行业都敲响了警钟。世界上唯一的超级大国美国1947年通过的国安法，911后通过的《国土安全法》以及世界上最大的发展中国家中国最新公布的《数据安全法》及《个人信息保护法》草案无疑是之后企业之后合规化方面的巨大挑战。

除上述规定外，世界第二大货币体系所在的欧盟2018年通过的《General Data Protection Regulation》（以下简称“GDPR”）也是之后区块链合规建设的重中之重。

一、中国监管篇

中国对数据及隐私的监管主要规定在《数据安全法》和《个人信息保护法》。虽然当前《数据安全法》尚未生效，《个人信息保护法（草案）》仍待审议通过，但由于相关制度的基础框架在《网络安全法》即相关配套规则中已经有所规定，且《个人信息保护法（草案）》通过应该是大概率的事件，因此，这两部法律也是极具参考性的。从“滴滴事件”中，区块链行业更应吸取经验和教训，注意以下问题：

数据安全方面

（1）做好数据的采集工作

区块链行业相关企业在采集用户数据要经过合法授权，即除非法定或约定的事由，不得未经用户允许采集信息，不得过度采集用户信息。合法采集后，还要注意相关数据识别，筛查不合规数据及重点保护数据。

（2）做好数据的使用工作

在数据安全法颁布后，区块链行业应当在法律、行政法规规定的目的和范围内收集、使用数据，不得超过必要的限度。在使用数据过程中，区块链行业要加强制度规范和权限管控等技术手段加强风险监测，建立数据使用者的安全责任制度，并设立相关岗位负责数据使用的管理、评估和风险控制；发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施；发生数据安全事件时，应当按照规定及时告知用户。

（3）做好数据的保护工作

数据安全法明确了开展数据活动的数据安全保护义务，区块链相关行业可以通过技术、管理手段完善数据安全保护工作，包括建立健全全流程数据安全管理制度、组织开展数据安全教育培训、采取相应的技术措施和其他必要措施保障数据安全。

个人信息保护方面

（1）建立个人信息保护机制，对未成年人个人信息予以特殊保护

（2）运用行业特性，保护个人信息安全。

首先是使用具有隐私保护机制的区块链应用。如果一些区块链技术在隐私保护方面存在明显缺陷，攻击者可以通过多种方法获得身份隐私和数据隐私。在这种背景下, 行业可选择其他隐私性相对好的技术。其次是使用具有隐私保护机制的区块链程序。不同的区块链程序在隐私保护方面具有不同的特点, 需要采用针对性的保护方法。

（3）做好个人信息出境评估

虽然当前《个人信息保护法（草案）》以及《个人信息出境安全评估办法（征求意见稿）》均未正式通过，但为了应对将来的评估，区块链行业应当未雨绸缪，提前对于数据出境及利用情况可以进行必要的预先评估，在新法颁布时才可以快速应对。

二、美国监管篇

911事件后，美国对与国家安全相关议题的敏感度提升，并修订了《外国投资与国家安全法》（以下简称“FINSA”），进一步扩大了美国外国投资委员会（以下简称“CFIUS”）的权限，扩大了国家安全概念，并加强了国会的监督职能。

在美国现行安全审查制度下，无论业务发生在美国境内或境外，也无论交易的规模和金额大小，只要是可能导致美国企业被外国人控制的交易，甚至是本来由外国人掌握的企业控制权在不同的外国人之间发生转移的交易，都属于受管辖交易的范围。

同时，所谓的“国家安全”赋予了美政府极大的自由裁量权，相关规定也赋予了美国有关部门巨大的审查弹性和进行裁量的主观任意性。一旦上升到国家安全层次，被确认为“受管辖交易”，则将接受CFIUS 的审查甚或由国家总统最终决定其是否构成对美国国家安全的威胁。

如果区块链企业想要进军美国市场，一定要做到企业制度相关透明合规，具体包括：

（1）做好相关备案工作及牌照申请工作，以防止事先违规。

（2）避开敏感领域，防止涉及高科技、能源和核电等行业。

基于美国安全审查之严格覆盖范围之广，除非该区块链公司能保证自己的合规化，否则不建议在美国开展业务。

三、欧盟监管篇

2018年，欧洲议会、欧盟理事会和欧委会为加强和统一欧盟内部的个人信息保护而通过的GDPR，这也是欧盟目前主要的数据保护法律框架。GDPR制定了保护自然人与处理个人数据有关的规则和有关个人数据自由流通的规则，可以说说目前最严格的数据保护条例。根据GDPR，无论是作为数据控制者还是数据处理者，企业的核心义务之一就要确保在GDPR生效前完成合规更新工作，以保护个人数据安全。而且GDPR同样具有域外效力。

根据GDPR的规定，只要符合下列情形就将收到GDPR约束：

（1）如果企业在欧盟设立，那么无论对个人信息的处理行为是否发生在欧盟；

（2）如果企业不在欧盟设立，但其向位于欧盟内数据主体提供商品和服务的过程中处理了欧盟内数据主体的个人数据，或对数据主体在欧盟内的活动进行监测；

（3） 如果企业不在欧盟设立，但根据国际公法，其所在地应适用欧盟成员国的法律。

综上，GDPR不仅适用于位于欧盟内部的组织机构，也适用于位于欧盟以外的组织机构，无论其所在地在哪里，只要其向欧盟数据主体提供产品、服务或监控相关行为，或处理和持有居住在欧盟的数据主体的个人数据。

一旦违反GDPR规定，企业将面临重罚。如果某公司未按要求做好相关记录，或者将其违规行为未通知监管当局和数据主体，或者未进行影响评估，则可能被处以其全球年营业额的2％的罚款。如果发生了最为严重的侵犯个人信息安全的行为，那么就可能面临高达其全球年营业额的4％或2000万欧元的巨额行政罚款。

因此，相关行业一定要予以重视以下建议：

（1）收集处理个人信息必须征得用户明确同意

GDPR要求对于征求个人信息的请求必须以清晰易懂的语言且以易理解、易于阅读的形式提供，并说明处理其个人数据的目的。同意必须清晰明确，并与其他事项区分开来。撤回同意应该和表示同意一样容易操作。区块链企业切记不得再使用冗长无法辨认且全部是法言法语的条款和条件表示征求请求。

（2）企业要设立设立数据保护专员(以下简称“DPO”)

如果某一区块链公司属于（a）公共机构或团体，或（b）从事大规模系统监测的组织，或（c）从事大规模处理敏感个人数据的组织，那么就必须指定DPO。DPO负责确保企业遵从个人数据保护条例的规定，并在企业发生个人数据操作违规时承担相应的法律责任。DPO必须直接向最高级别的管理层报告，并不得执行可能导致利益冲突的任何其他任务。如果相关组织不属于上述列举情况，则无需指定DPO。

（3）儿童个人信息区分保护

处理16岁以下的儿童的个人数据，必须获得该儿童父母或监护人的同意或授权。

（4）不收集处理特别数据

根据GDPR要求，禁止收集处理反映个人种族或民族起源、政治观点、宗教哲学信仰、是否是工会组织成员、个人基因识别、生物数据，或涉及健康、性生活或性取向的数据。可以收集加工以上数据的例外情况包括：已获得个人的明示同意，或数据控制者因处理劳动关系、社会保险之需要，并在法律允许的范围内，且已采取了适当的保护手段等。

全球区块链合规联盟

“设立区块链行业标准，加强行业自律，共同维护良好的市场秩序和行业环境，为行业健康发展提供理论指导，推动行业健康可持续发展”。

全球区块链合规联盟提供相关企业业务合规资质服务，欢迎通过邮箱[email protected]或公众号BC_ComplianceUnion与我们进行更详细的业务沟通。