为保障出境的个人信息安全,适应数字经济时代数据跨境流动的发展大势,在时隔约两年后的2019年6月13日,国家互联网信息办公室(“网信办”)再次发布了《关于<个人信息出境安全评估办法(征求意见稿)>公开征求意见的通知》,对《个人信息出境安全评估办法(征求意见稿)》(“办法”)公开征求意见(“意见稿”)。
根据办法,个人信息(是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等)出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估,由当地网信办组织安全评估。
值得注意的是,意见稿将境外机构收集境内个人用户信息的行为也纳入了监管。根据办法第20条,境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。
由于一些海外币圈企业在经营活动中涉及通过互联网等收集境内用户个人信息的活动,因此,海外币圈企业可能也会被纳入办法的监管范围。笔者拟重点探讨该征求意见稿如果通过并施行可能会对相关海外币圈企业的影响,供大家参考和评论。
1、如何理解和适用相关规定不明确
根据意见稿,境外机构将适用办法管辖的条件和方式如下:
(a)境外机构在经营活动中,通过互联网等收集境内用户个人信息;以及
(b)该等境外机构应当在境内通过法定代表人或者机构(“境内代表”)履行办法中网络运营者的责任和义务。
目前在海外的币圈企业大体可以分为两大类:一类是限于国内政策环境而出海的币圈企业,未在境内注册,实际控制人为中国人,服务器在境外,但在境内设有提供技术支持或服务的机构、或有其他关联实体(也可能没有关联的境内机构),如一些数字货币交易所、数字货币的发行人、数字货币对冲基金、量化基金等;另一类则是纯境外企业,未在境内注册,实际控制人为外籍人士,服务器在境外,仅有投资人或用户中有境内个人(如一些境外数字货币交易所Bitfinex等)。
为了企业业务经营目的、或为满足合规性需要(如KYC),一些海外币圈企业会在其经营活动中,通过互联网站、APP等收集境内用户的一些个人信息(常规的如姓名、身份证件号码、电话号码等)。按照办法规定,由于该等境外企业在经营活动中,通过互联网等收集了境内用户的个人信息,看起来需要适用办法的规管。
但是,在办法相关规定的具体理解和适用上,可能存在一些问题:
(a)关个人信息出境安全责任的合同由谁签订?
办法借鉴了欧盟《通用数据保护条例》(General Data Protection Regulation / GDPR)下标准合同的相关监管思路,要求网络运营者和境外接收者两方之间签订合同,就个人信息出境的目的、类型、保存时限,个人信息主体权益,网络运营者及接收者的责任、义务等内容作出具体约定,且该合同为网络运营者申请网信办进行安全评估的必备文件。
按照办法,网络运营者是指网络的所有者、管理者和网络服务提供者。以境外数字货币交易所为例,其服务器通常部署在境外,网络运营和管理也在境外,因此,可以认为该数字货币交易所是网络运营者。如果境内个人用户在境内、在该数字货币交易所运营的境外网站上注册账户,向其提供相关个人信息,则境外数字货币交易所同时也可认为是个人信息出境的接收者。
由于境外数字货币交易所既是网络运营者,又是个人信息出境的接收者,身份重合,不能签订办法要求的合同,那么谁来签订合同?
根据办法,境外企业应当通过其境内代表履行网络运营者在办法下的责任和义务。据此,是否即应由境外机构的境内代表(作为网络运营者)与境外机构(作为接收者)签订合同?有待办法的进一步明确。
(b)网信办如何有效实施监管?
与前一个问题相关的是,如果境外企业当前没有境内机构,也没有法定代表人(境外机构通常都不设法定代表人),并且在办法实施后,其按照办法应该设立而不设立境内代表的情况下,网信部门该如何实施有效监管?
此外,即使境外企业设有境内代表,境内义务的履行主体仍不明确:义务人究竟是境内子公司、关联方还是其他机构?如存在多个境内主体的情况下,境外机构是否有选择权?
2、想要合规而不得的问题
根据办法第6条,个人信息出境安全评估的重点内容包括是否符合国家有关法律法规和政策规定。根据办法第13条,网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件应当明确个人信息出境的目的、类型、保存时限。基于此,个人信息出境必须符合国家法律和政策,网信办将结合个人信息出境的目的等因素综合考虑决定是否放行。
而对于一些海外币圈企业而言,个人信息出境是否符合我国法律和政策是一个问题,因为部分个人信息出境的目的是即是为了参与境外数字货币的投资和交易。尽管国家没有直接禁止境内个人参与数字货币投资和交易,但是对于数字货币发行和交易服务的负面政策和评价是明确的,因此,如果境外机构为向境内个人提供数字货币发行或交易服务目的而收集境内个人信息,可能难以通过网信办的安全评估。
3、合规风险和成本加大
根据办法第12条规定,任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。据此,举报人没有任何身份或地域限制,任何个人或组织均有权对违法行为向网信办或有关部门进行举报。
对于涉及境内个人信息收集的海外币圈企业、尤其是设有境内代表的企业而言,如果其在个人信息出境方面存在合规性问题,一旦投资受损的境内投资人、竞争对手或者其他方以此为由向网信办等部门发起举报,则该等企业将不得不作出选择——要么停止对境内个人信息的收集,也就是放弃境内个人用户;要么遵守国内个人信息出境的规定,履行办法下的安全评估义务和责任,但这对于从事某些国内政策不支持的业务的海外币圈企业来说,合规可能存在本文第2条所说的难度,因此最终结果可能还是不得已放弃国内市场。
4、通过约束境内主体而规制境外机构
根据办法第20条的规定,境外机构应当在境内通过法定代表人或者机构履行办法中网络运营者的责任和义务。根据办法及《网络安全法》的规定,如网络运营者违反办法规定的,可能会被主管的网信办责令改正,给予警告,没收违法所得,处5万元至50万元的罚款,并可能被责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;并对直接负责的主管人员和其他直接责任人员处1万元至10万元的罚款等。
基于上述,如果应受办法规管的境外机构或其境内代表未遵守办法的规定,其境内代表将承担相应的法律责任。网信办通过对境内主体进行问责的方式,约束境外机构的行为,以确保法规的可执行性。基于此,对于业务经营活动中涉及收集境内个人信息的海外币圈企业而言,除非其不设有境内代表,否则可能难以逃避网信办的监管。
从网信办2019年1月发布《区块链信息服务管理规定》起,网信办的监管触角即开始触及向中国用户提供区块链信息服务的境外区块链企业,只是由于相关备案系统尚不完善,境外主体如何备案,尚不明确。此次办法征求意见稿的出台,显示网信办可能希望进一步拓宽其监管范围,从个人信息出境保护这一角度出发,将涉及到境内个人信息收集的境外机构也置于其监管之下。
尽管办法并非是针对海外币圈企业的特别规定,也不是所有的海外币圈企业都会被纳入监管(不涉及境内个人信息收集的海外币圈企业不是办法监管的对象),网信办也未必具有充分的手段监管相关海外币圈企业(如在境外企业没有设立境内代表的情况下),而且办法目前还处于征求意见稿阶段,相关条款尚未确定,文件正式落地还尚需时日,届时实务中如何理解和适用更不明确,但是,可以预期的是,对于海外币圈企业面向境内开展业务的行为,监管部门的监管角度一直在增加,监管半径也在扩大,海外币圈企业在境内的合规风险和成本将增大。