从《个人信息保护法》谈NFT平台应如何履行告知义务_DAO:区块链

包括NFT技术应用在内的数字技术进一步加深了人的物理存在与数字存在、过去现在与未来存在的联系,拓展了人类认识自身意义的能力。公认的NFT技术应用发端于2017年,当年12月火爆的NFT游戏Cryptokitties一度占了以太坊网络流量的25%。自此以后,境内外涌现了很多颇具影响力的NFT平台,如境外的Opensea、SuperRare,境内的CrptoArt、WaveGallery等。

那么我国《个人信息保护法》出台后,NFT平台作为信息处理者应如何有效合规地履行告知义务?这是很多从业者非常关注的问题。《个人信息保护法》第十七条比较集中的明确了个人信息处理者的告知义务,规定个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

个人信息处理者的名称或者姓名和联系方式;

个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

个人行使本法规定权利的方式和程序;

法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

这是对于告知的一般性要求,其意义主要在于向个人告知与之相关的个人信息处理具体情况。下面我们结合NFT平台相关具体业务模式来稍加展开说明。

现场丨Bandot核心开发者陈枫:用“中心化+去中心化”的方式思考项目治理:金色财经现场报道,10月11日,由金色财经、Candaq和哼哈互动联合发起的金色沙龙第55期“Polkadot-波卡万物生长与跨界破圈对话”在北京正式举行。在本次沙龙上, Bandot核心开发者陈枫表示,关于Dao,他一直坚持中心化+去中心化两种角色去思考项目治理方式,因为目前一个项目完全去中心化是不太可能的,由中心化的机构作为主导,建设去中心化社区,是比较合理的方式。而波卡的治理方式也是半中心化的。

此外,他表示,牛市对于项目生态会有更大的激励,会给项目更大的动力。[2020/10/11]

一、告知个人信息处理者的名称或联系方式

这里问题的关键是,谁是个人信息处理者,是平台还是平台的运营公司?《个人信息保护法》第七十三条规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

在实际运营中,各NFT平台对处理方式各有不同。有的成立专门团队来处理平台事务,但平台运营商的法律主体是运营公司;但有的平台并无专门团队,都由公司架构下团队来组织开展相关业务,只是以平台名义操作。

但无论是哪种情况下,NFT平台团队与运营公司的联系是非常紧密的。我们建议是,告知平台的具体运营公司,同时也结合相应具体事务告知运营公司、运营团队的联系方式。

二、告知个人信息的处理目的、处理方式,处理的个人信息的种类、保存期限

一般来说,NFT平台是一个应用市场,用户基于该平台提供的应用市场创建、购买、转让或交易独特的NFT物品。围绕着这个核心,平台要向用户告知上述事项,同时这也是平台对于个人信息的处理目的。

ChainUP Capital?Joy:交易所突围要从运营、流量、品牌等层面思考:据官方消息,7月7日,ChainUP Capital合伙人Joy受邀参加由BiBull主办的《2020牛来啦,数字资产领域的“牛”在哪儿》沙龙活动。

对于交易所如何突出重围,Joy表示,交易所这个赛道竞争激烈,但是机会依然存在,2019年就有人形容交易所市场是“百所争鸣”的状态,去年和今年仍然有新的交易所“脱颖而出”。Joy认为,交易所突围的点应该多从运营、流量、品牌等层面多思考,现在开交易所技术门槛低,交易所能够突围的点已经不在技术层面,因为很多交易所都会把技术交给专注于技术解决方案的第三方服务商,为其提供稳定且安全的技术支撑,这样交易所团队能够把更多时间、精力、资源投入到市场和运营层面。

交易所赛道每年都有突围者,虽然方式各有不同,但是相同的是对技术的把握,对用户的友好,对合作伙伴的诚信。[2020/7/7]

处理方式和处理种类是紧密结合的,因此告知时很难截然分开。根据《个人信息保护法》规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。也就是说,要具体向用户告知如何收集、存储、使用、加工、传输、提供、公开和删除个人信息。

在收集信息方面,一般而言,NFT平台会在创建用户账户时收集姓名、以太坊地址、实名制移动电话号码、用户名和电子邮件地址、邮寄地址和账户密码等,同时当用户使用平台服务时平台可能会通过一些技术工具来收集有关访问数据等。

在使用加工信息方面,一般而言,平台会将个人信息用于创建帐户以及认别用户的交易身份,并将其展示给相应用户以方便交易;同时为用户提供平台的相关信息,如系统更新、以及提供一些商业性的新闻和信息;个性化并改善用户的体验;分析和完善平台服务;响应用户参与及请求等。

Parallax Digital创始人:用美元来思考是基于自由市场情报的计算机病 而比特币是防病软件:6月8日,Parallax Digital创始人兼首席执行官Robert Breedlove发推称,您认为今天的美元是因为它们曾经可以兑换为真金白银。 各国政府突然取消了美元的黄金可赎回性,这是一个长期的术。 用美元来思考是一种基于自由市场情报的计算机病。而比特币是防病软件。[2020/6/8]

存储方面,包括存储地点,存储期限。

删除方面。告知用户有关删除信息的规则。删除个人信息往往与存储期限紧密联系在一起,要求当符合有关情形时,应当删除个人信息。

传输、提供方面,一般用于向第三方服务商、运营平台的相关联公司,以及依据法律要求进行的披露等。

转让方面,一般只在两种情况,公司合并、分立、破产等,需要告知用户。在用户取得同意时,也可以转让给第三人。

公开方面,除了用户同意情况下,如果用户有违法违规行为,可能会公开用户个人信息。

根据《个人信息保护法》第七条的规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。平台也要告知用户其将如何保护个人信息,包括技术措施、安全管理制度以及个人信息安全事件的响应等。

三、个人行使相关权利的方式和程序

《个人信息保护法》规定了用户享有知情权、同意权;查阅权、复制权;补充、更正权;撤回同意权;删除权;要求解释说明权;投诉举报权。

因此在告知中,要清晰、明确地告知用户如何管理自己的账户信息,包括如何查询、补充、更正、删除等;如何撤回同意,也就是调整信息收集使用的范围;以及如何注销账户等。另外,还要告知用户如果其希望知道平台信息处理规则的具体含义,需要获得解释说明时,应如何与信息处理者取得联系。

声音 | 微软李国平:应用区块链技术应多思考如何赋能、少谈颠覆:据经济观察网12月6日消息,微软中国金融行业总监李国平表示,第一,今天应用区块链技术,应该多思考如何赋能,少谈颠覆。他认为其实在从传统业态向数字生活,数字经济迈进的过程中,有很多行业场景存在痛点和短板,在整个信息化进程中如何补足现有实体经济中的这些问题,赋能现有业务,提高效率,降低成本,是区块链应用最应该思考的问题;第二,科技向善。今天的区块链技术、人工智能技术等,公众是存在认知差的。出现了认知差,就存在炒作的空间,就可能有泡沫,还包括新技术滥用数据等问题。因此在应用新的技术时,要在态度上端正,敬畏监管,敬畏客户,敬畏可持续发展,这样才能走的更远,更稳;第三,从网络效应原理来看,网络是越大价值越大。从最早的局域网到以太网到现在整个互联的世界,网络的效应是需要扩大的。因此今天谈公有链,链与链之间有没有标准?全球有没有标准?中国有没有标准?很多企业资产能不能链互链?思考和解决这些问题,有助于区块链的应用范围和价值的扩大。[2019/12/7]

四、法律、行政法规规定应当告知的其他事项

实际上除了《个人信息保护法》第十七条规定的告知内容,该法还分别围绕着不同情况规定了不同内容不同形式的告知要求。

信息处理活动特别情况时的告知

关于共同处理的告知。《个人信息保护法》虽然没有明确要求在这种情况下需要告知,但是规定了个人有权向任何一方行使相关权利,因此个人信息共同处理需要将共同处理的情况告知个人并依法取得处理权限。如果NFT平台与其他有关平台,与NFT服务机构共同处理,则需要向个人告知相关情况。

关于委托处理的告知。《个人信息保护法》也没明确规定这种情况下需要告知,但是由于这涉及个人信息处理的方式以及个人信息的传输,因此应当在依法取得处理权限的基础上将此种委托处理的情况告知个人。有些平台将一部分事务委托给其他机构或其他应用,比如一些NFT平台会委托其他机构进行数据分析,假如提供分析的数据并未匿名化,那么此时应当将此种情况告知个人。

声音 | 新加坡社会科学大学教授:区块链引发让人们思考法律的本质:金色财经11月30日现场报道,在新加坡社会科学大学举办的通证经济未来大会上David Lee Kuo Chuen教授指出,监管实际上监管人的行为,激发出好的方面,促进效率与协同。监管同时是为了保护弱者。区块链的好处之一是让我们意识到并开始思考法律和监管的本质是什么。[2018/11/30]

对外提供时的告知。该法第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。NFT平台一般是向业务合作方提供相关个人信息。

关于信息处理者合并、分立、解散、破产时的告知。该法第二十二条明确规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。此种情况一般通过隐私政策中有体现,但在NFT平台的运营方实际出现相关情况时需要另行及时告知个人相应情况。

对个人权益影响比较大的情况下的告知

关于自动化决策时的告知。对于这种情况,不仅仅是告知,而且还规定需要提供不针对其个性化的选项或提供便捷的拒绝方式,个人还有权要求信息处理者解释说明并拒绝该自动化决策。NFT平台对个性化的需求非常普遍,因此自动化决策是一个提供用户体验不可或缺的工具,平台可通过隐私政策或在相关应用场景中及时配合以进行有针对性的告知。

关于敏感个人信息处理的告知。《个人信息保护法》第三十条规定,个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。对NFT平台来说,钱包地址属于金融账户,属于敏感个人信息的范围,当然,一般平台在告知时都会详细告知收集钱包地址信息的必要性以及相关影响。

关于使用人脸识别的告知。该法规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。如果NFT平台在用户账户创建和用户身份认别、双方交易时提供类似人脸识别的工具加以验证,那么尤其需要注意告知相关情况,并且还应注意保存且不被滥用。

跨境提供时告知。该法第三十九条规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。由于NFT平台通常都会有很多跨境用户,而向交易双方提供必要的个人信息是服务目的所需要的,因此需要事先告知平台可能将收集的用户信息提供给境外相关用户。对于我国NFT平台而言,还要告知境外用户,对收集的个人信息将可能在境外进行处理,而且由于各国对于个人信息保护特色不同,还需要告知各国对于个人信息保护可能存在差异这一情况。

紧急情况下的告知

关于紧急情况下的告知。《个人信息保护法》第十八条第二款规定,紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。对NFT平台而言最典型的可能是发生安全事件时可能会涉及处理相关个人信息,如当时来不及告知,需要在紧急情况消除后及时告知。

关于发生个人信息安全事件时的通知。通知与告知似乎有点类似,但有明显区别。通知的目的是为了让个人采取相应措施,避免损失进一步扩大,同时为方便日后采取相应救济措施。该法第五十七条规定,在发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。NFT平台涉及不同的区块链底层和不同的智能合约应用,其中可能涉及的技术安全风险还是比较高的,因此NFT平台需要先制订应急预案,并在安全事件出现时及时告知相情况。

重要信息处理者的告知

达到一定数量的个人信息处理者的公开性“告知”。该法第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

重要互联网平台的“告知”。该法第五十八条规定重要互联网平台应当定期发布个人信息保护社会责任报告,接受社会监督。本质上是告知社会公众履行个人信息保护义务的情况。

随着NFT平台的不断发展,其产品和服务会日趋完善,其应用范围会日趋扩大,与个人日常生产生活也会结合地越来越紧密,其处理的个人信息会也越来越多。据媒体报道,目前公认为最大的NFT平台Opensea至2021年8月,至少交易过一次的账户已经达21万个。可以预计,随着这一领域业务快速增长,平台用户数量如果达到上述相关要求时,需要做好相应的告知和报告。

无需告知的情况

《个人信息保护法》第十八条第一款规定,个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。实际上《个人信息保护法》第十七条已经规定了有关不需要告知的情况,《网络安全法》和《数据安全法》也都规定对涉及保密或有关机关追究相关违法犯罪行为时不需要告知等。

一般NFT平台都会在隐私政策中,告知用户无需要告知用户情况,包括与平台履行法律法规规定的义务时;涉及国家安全、国防安全相关情况时;涉及公共安全、公共卫生、重大公共利益时;涉及犯罪侦查、起诉、审判和判决执行等司法或行政执法相关案件时;用户自行向社会公众公开的个人信息;从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。

另外,一般平台还需要告知有关内容,如个人信息处理活动方式的更新,因此需要及时更新,并告知用户如何获得这些更新;另外用户如何联系到平台。如何确定用户获得了这些告知?一般而言,需要向用户明确,在该访问和使用网站之前,需要了解本告知,如果继续使用,则视为已经了解了本告知。

五、告知的形式

《个人信息保护法》和其他有关法律法规并没有对告知的具体形式做硬性规定。实践中,由于信息数据处理活动丰富多样,应用场景差异甚大,告知内容和对用户权益的影响各不相同,告知形式是多种多样的,确实也很难做到整齐划一。正如上所述,很多告知内容是以隐私政策的形式体现;在隐私政策有更新时可能会有公告形式进行告知,或告知隐私政策新版本更新。另外在具体收集信息时,一般会针对具体用户进行提示告知;在收集敏感个人信息时,还会单独进行告知。如果法律法规要求,可能还需要另行书面告知。另外重要互联网企业向社会发布社会责任报告,也是一种“告知”,因此需要根据具体情况确定。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-6:443ms