|罗Sir说原创出品?|
2021年11月1日,中华人民共和国《个人信息保护法》生效,虽然中国全面禁止虚拟货币运营,但《个人信息保护法》的核心理念内容与制度框架设计与欧盟的GDPR高度一致,都含有域外管辖的规则,符合条件的境外区块链或加密货币业务相关运营者也属于个保法的管辖范畴。因此,对于区块链行业而言,知悉新的个保法是非常有必要的。
一、处理原则:“告知—同意”原则
个保法规定的处理个人信息的原则主要包括正当、合法、目的明确等原则,仅处理为实现目的所需要的最少信息,应当保障信息的准确性和及时更新等。GDPR也专门集中规定了个人信息处理原则,包括合法、公平与透明、目的限制、数据处理最小化与准确性、存储期限限制和数据完整性与保密性。
外媒:美SEC意外泄露加密矿工个人信息,涉嫌违反《隐私法》:1月18日消息,一份截图显示,美国证券交易委员会(SEC)于在调查去中心化电网区块链项目Green时无意泄露了加密矿工的个人信息,调查的部分内容包括该项目接触的消费者,询问他们购买Green产品的情况,并询问他们的体验。虽然Green的成员已经与SEC合作回答了所有相关问题,但该机构未能在1月6日将所有650名用户的电子邮件以密件方式发送,因此泄露了这些人的姓名和电子邮件。
据收到电子邮件的人士称,此次泄密事件对加密爱好者社区产生了不利影响。他们声称这些信息足以让他们被识别并破解他们用来通过“挖采”生产Green加密货币的“节点”。截至周二,还没有黑客入侵的报道。Green社区还非常强调维护消费者隐私,因为区块链允许用户匿名交易和挖币,并表示它认为发布个人身份信息不利于这一目的。
报道称,此次调查意外泄露个人信息违反了美国1974年的《隐私法》,该法案禁止在未经适当同意的情况下分享联邦机构收集的信息。SEC对此回应称:“保护各方的隐私至关重要,美国证券交易委员会正在调查此事。”(华盛顿观察家报)[2023/1/18 11:17:50]
基于以上原则,《个人信息保护法》规定仅在特定情况下才可以处理个人信息,包括取得个人同意、根据合同或者法律规定、应对紧急情况和以公共利益为目的在特定范围内处理个人信息,对同意规则还进行了细化规定,例如应当确保个人在充分知情的前提下自愿、明确地做出同意等。这与GDPR高度一致,GDPR也是围绕“告知-同意”设计处理规则,要求在被充分告知的前提下自由地对特定处理行为作出明确的同意。
全国政协委员迟日大:利用云计算、区块链等手段保护个人信息:全国政协委员、全国律师协会副会长迟日大表示,在《个人信息保护法》制度设计中应该注意以下几个问题:
一是在个人信息收集上,坚持最小化收集原则。可借助大数据、云计算、区块链等技术手段探索建立统一的公民个人信息平台,并由一个确定的主体负责收集、提供和保护。
二是强化行政机关、事业单位等公共部门的自我规制义务。公共部门对于公民个人信息的收集往往具有强制性,且收集的范围更广、内容更为具体,故理应赋予其更为严格个人信息保护义务。
三是探索完善个人信息非损害类,如骚扰电话、垃圾短信等侵权行为的救济途径。可尝试设置统一的个人信息保护执法机关,在《个人信息保护法》中完善个人信息侵权者的行政责任,赋予公民个人对非公共部门收集的个人信息具有自主删除权利等。
此外,检察机关可考虑将此纳入公益诉讼范畴,解决好老百姓的痛点难点,比如骚扰电话、垃圾短信等问题,展现司法为民的基本宗旨。(科技日报)[2020/5/23]
二、个人处理权利
动态 | 区块链追踪公司Elliptic否认为Coinbase收集用户个人信息:区块链分析与追踪公司Elliptic发表声明,否认其为了经济利益分发用户个人信息。Elliptic无法访问最终用户的个人身份信息,其服务的交易所客户(包括Coinbase)也从未向其提供用户个人信息。Elliptic是Coinbase的合作伙伴。此前有报道称,Coinbase利用Elliptic等区块链分析服务供应商收集用户的个人信息,引发加密货币社区对Coinbase的抗议。[2019/3/5]
《个人信息保护法》赋予个人撤回同意和限制、拒绝处理信息的权利,个人有权查阅、复制个人信息,有权更正和补充个人信息,有权请求删除个人信息。GDPR的规定大致相同,但还包括数据可携带权的规定,可携带权与复制或者访问个人信息权利不同之处在于,可携带权要求数据控制者将数据整理为机器可读的结构化形式,自动传输给个人指定的其他数据接收方。
动态 | OK集团创始人徐明星个人信息在Dark Web上被以1美元的价格出售:据cryptoglobe消息,OK集团创始人徐明星的个人信息在暗网上以0.00029比特币出售,总价值约合为1美元,此数据出现在名为“darrenchen”的供应商制作的广告中。虽然目前还不清楚是否有人支付了0.00029 BTC来查看徐明星的个人信息,但有人指出这些信息包含的内容非常少。[2019/2/2]
同时,个保法还规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,个人信息中包含种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感信息。经过匿名化处理后的信息不是个人信息。GDPR与此规定大致相同,例如均规定已识别或者可识别个人的才为个人信息,但也有不同,例如GDPR强调主要涉及自动化方式处理的信息才适用其规定,GDPR原则上禁止处理敏感信息,将匿名化信息区分为假名化和匿名化等。
综上,虽然个保法借鉴了GDPR,但相较之下更为宽松。
三、域外管辖
GDPR规定只要在欧洲经济区内设立机构,或者向欧洲经济区内个人提供产品或者服务或者监控其行为,均适用GDPR的规定。个保法同样新增了域外管辖,达到扩展个人信息保护法的适用范围的目的。
概括来说,除了适用于中国境内主体实施的、发生在中国境内的个人信息处理行为,还将有条件地适用于境外主体实施的、发生在我国境外的个人信息处理活动。从条文来看,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在中国境外的个人信息处理活动,均适用于个保法。联系到加密货币行业本身,对于设立在境外的从事区块链、加密货币相关业务的实体,符合以下条件的均属中国《个人信息保护法》的管辖范围:
(1)处理境内自然人的个人信息的行为发生在境外;以及
(2)其目的是向境内自然人提供产品或服务,或分析、评估境内自然人的行为等。
四、违反后果
违反个保法首先需要承担行政责任。若境外实体违反《个人信息保护法》,情节严重的,罚款金额为5000万元以下或者上一年度营业额5%以下,监管部门还有权责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款。
其次是民事责任。如境外实体违规处理相关境内自然人的个人信息,侵害相关个人权益的,受侵害的个人有权提起民事赔偿,赔偿数额按照该个人所受损失或者个人信息处理者所获利益确定;如数额无法确定的,由人民法院根据实际情况确定赔偿数额。
对于区块链行业而言,无论是出于业务经营本身的需要,还是出于KYC或AML等业务合规的需要,都可能涉及收集、储存、使用、提供客户或用户的个人信息,虽然个保法刚刚生效,那从中国对加密货币及网络安全的监管力度来看,可以预见侵犯个人信息会被纳入强力监管之中,行业需警醒。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。