一、区块链概述及其对法律的影响
区块链是一个新生事物。有什么法律法规是应该适用或遵守的吗?现行的法律制度是怎样的?如何做好合规工作?要回答这些问题,我们首先需要了解区块链的本体论。
按照法理学的一般理论,法律是调整一定社会关系的行为规范体系;也可以说,法律调整的对象是人的行为[1]。作为一种信息技术,区块链当然是人类智慧和人类行为的结果。因此,区块链法是指调整人类创造和应用区块链技术的一套行为规则体系。可以看出,为了明确区块链的相关法律和合规制度,我们首先需要了解区块链技术和相关做法的来龙去脉、现状和趋势。
作为一种信息技术,区块链还很年轻,其概念最早是由中本聪(译作中本聪)在2008年发表的论文中提出的。简单来说,区块链是现有信息技术的综合应用,如数据加密、时间戳等。在没有中心服务器的情况下实现用户之间的数据和信息操作。可以看出,区块链本质上还是属于互联网范畴,不过是升级版。但与现有的互联网信息技术相比,其最大的特点是摆脱了对服务器的依赖(即所谓的“去中心化”),数据可靠性高(无篡改、无伪造)。从这个意义上说,区块链被认为是继大型机、个人电脑、互联网和移动网络之后的第五次计算技术创新[2]。
区块链最初的发展格局很小,是作为比特币等电子虚拟货币的核心支撑技术而存在的。后来人们逐渐发现,这项技术可以应用到广泛的社会领域,但很多领域的应用还在探索和发展中。目前,在中国,区块链技术已经应用于金融证券业、会计审计、社区服务、电子政务等领域,甚至应用于司法实践。例如,中国三个互联网法院的在线审判系统都采用了区块链技术。
总之,区块链是对现有互联网信息技术的发展和替代,但其技术本身和应用领域仍处于不断进化、研究和探索的过程中。
目前,中国很少有专门针对区块链的立法,但这并不意味着不能依赖区块链。由于区块链是现有计算机、互联网和其他信息技术的升级,区块链的相关法律制度不能相应地脱离现有的计算机和信息技术相关法律制度,并以此为基础,根据区块链的独特性制定一系列单独的法律规范。但由于它是一个新生事物,还在快速演变,相应的法律规范和司法实践仍需进一步补充和完善。以下是适用于区块链的现有法律合规系统和立法趋势的概述。
二。立法状况概述
法律体系是关于等级制度的。与其他行业或部门法律一样,适用于区块链的法律体系也由不同层次的法律(准法律)组成,如基本法、法律、行政法规、部委规章、司法解释和其他规范性文件。不同的是,由于区块链技术本身仍在迅速发展,许多领域还没有达到能够制定法律规范的水平。因此,目前还处于立法调研阶段(比如主管部门出台了条例征求意见稿),或者相关标准和规范只能由行业甚至各大企事业单位先行探索,或者根本无法规范(比如区块链核心技术之一的“智能合同”问题,由于其性质不明,无法定义为法律意义上的“合同”,因此还无法立法)。
就《基本法》而言,可以适用于区块链的刑法规范主要有侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪。适用于区块链的一般民事法律规范主要包括在关于个人信息安全、网络财产和民事责任的《民法总则》中。
其他相关的“法律”主要包括作为其上位法的计算机和信息技术领域的立法,如《网络安全法》、《电子商务法》、《电子签名法》以及全国人大颁布的相关《决定》。
在行政法规层面,相关立法主要有《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等。虽然前者的主要内容是规定有关主管当局的职责和权力,但它也可以作为上位法适用于区块链领域。后者主要规范互联网经营行为;由于区块链预计主要用于经营活动,因此也将采用此方法进行调整。
监管层面主要有央行的《金融消费者权益保护实施办法》和网信办的《区块链信息服务管理规定》。前者旨在维护个人金融信息安全和金融行业安全,后者是最新、最全面的直接规范区块链的规则体系。
目前司法解释主要涉及最高法《关于互联网法院审理案件若干问题的规定》,规定了区块链等电子证据的认证。
此外,在区块链的快速演变过程中,主管部门出于权宜之计,发布了一些不规范的通知和公告,如《关于防范比特币风险的通知》、《关于防范代币发行融资风险的公告》、《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》等。虽然不是规范性文件,不能满足法律法规的要求,但也可以窥探主管部门政策控制者的基本观点和立法动向,对研究相关法律制度和企业合规工作也有重要的参考作用。
最后,区块链相关行业、龙头企业和机构还通过起草相关技术标准和服务标准、举办行业论坛等方式,探讨区块链领域的标准化和相关规范。例如,2016版和2018版的《中国区块链技术和应用发展白皮书》、《区块链参考构架》、《区块链数据格式规范》等文件和资料,不仅是法律工作者研究相关立法和法律实务的重要学习和参考资料,也提示了一些行为准则线索,可以作为企业合规的参考。
总之,目前我国关于区块链的立法体系已有了总体框架(如刑法总则、民法总则)和基本脉络(现有的计算机和信息产业法律规范)的基础,并尝试了行业性、专门性规范的立法实践。但是,由于区块链及其应用的快速演进和发展,以及立法的固有滞后性,现行法律体系仍缺乏针对性和全面性,仍需及时补充和完善,以跟上行业发展,促进区块链行业健康发展,提高相关合规工作的可预见性和确定性。
需要注意的是,虽然法律、行政法规层次高、效力强,但适用于区块链的条款都是原则性的,内容也侧重于个人信息和网络安全,而部委规章虽然层次低,但最具针对性、可操作性和全面性。因此,在下文中,将首先总结相关部委的规章制度,然后讨论法律、行政法规、司法解释和行业参考。
三。部委规章
(一)国家互联网信息办公室《区块链信息服务管理规定》(2019年2月15日生效) (简称《区块链规定》)。这是区块链目前最直接、最全面的法律依据。该条例可分为三部分:第一部分——一般原则,中间部分——义务,最后部分——处罚。
第一部分界定了立法依据、目的、调整对象、定义和政策取向。055-79000第四条鼓励区块链行业加强自律,加快制定行业标准。行业标准的建立,其实对相关实践很有帮助。例如,近年来,随着区块链技术的兴起,许多公司推出了区块链存证服务,为可能从事诉讼或仲裁的人提供类似的诉前电子证据保全措施,希望增加证据被接受的概率。但由于这方面没有统一的行业标准,各家根据自己对市场的理解和业务需求设计自己的平台存管流程,导致案件诉讼中需要当事人和法院熟悉和了解各家不同的存管流程和规范,进而增加了诉讼负担和证据缺陷的风险[3]。
055-79000中间是第五条至第十八条,规定了区块链服务提供者和使用者的各项法律义务,主要包括:
第五条要求区块链服务提供者建立信息审核、安全保护等管理制度;第六条要求其具备相应的专业技术条件;第七条要求其制定管理规则和平台公约,与区块链信息服务用户签订服务协议;第八条建立实名登记制度,要求对用户真实身份信息进行认证。拒绝提供真实身份的用户可以拒绝向其提供服务;第九条要求区块链服务提供者在开发新的在线产品、应用和功能前,应当向网信办申请安全评估;第十条禁止利用区块链从事危害国家安全和违法犯罪活动;第十一条第一款要求运营前在国家“区块链信息服务备案管理系统”上履行备案手续,第二款要求变更服务项目、平台网站时办理变更备案手续;第13条要求在显著位置标明区块链服务的相关互联网网站和应用程序的申请号;第十五条要求,信息安全风险必须整改合格后,方可继续提供服务;第十六条要求区块链服务提供者对非法或违约的区块链用户采取警告、限制功能、关闭账户等处置措施,并向有关主管部门报告;第十七条服务提供者应当记录用户发布的内容和日志,并至少保存6个月备查。第十八条要求服务提供者要配合网信部门的监管。
包括结尾的第19至22条,对违反上述条款规定的义务的行为处以严厉的行政处罚。如违反第八条实名登记制度或第十六条的,按《区块链规定》相关规定处理;违反第十条规定,处罚特别严厉,拒不改正的,可处二万元至三万元罚款;违反第十一条第一款备案要求的,可处以一万元至三万元罚款;违反上述其他条款和义务的,主管部门可给予警告,责令限期改正,改正前暂停相关业务;拒不改正或者情节严重的,处以5000元以上30000元以下罚款。当然作为兜底条款,构成犯罪的,依法追究刑事责任。
根据《区块链规定》(国发(2014)33号),由于互联网信息办公室是国务院直接授权的行业主管部门,法律地位等同于国务院各部委,因此《网络安全法》在立法层级上属于“部委规章”,构成了目前区块链开发者和运营商最重要、最直接的合法合规依据和规范。
中央银行《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》
这个办法属于部委规定。第23条强调,金融机构有义务维护计算机处理系统和e
1.《区块链规定》第253-1条规定“侵犯公民个人信息罪”,是指非法出售、提供公民个人信息,包括通过履行职务窃取或者获取个人信息,出售或者提供给他人,情节严重的;如果构成本罪,法定最高刑为七年有期徒刑[4]。
2.第286-1条规定了“拒不履行信息网络安全管理义务罪”。本罪的主体是“网络服务提供者”,客观上表现为拒不履行维护网络安全的法定义务,经主管机关责令改正后仍不采取措施,造成信息大量非法传播,用户信息泄露造成严重后果,刑事案件证据灭失等严重后果。这种罪行的法定最高刑罚是三年监禁[5]。
3.第287-1条规定了“非法利用信息网络罪”,是指以实施诈骗、传授犯罪方法等违法犯罪活动为目的,利用信息网络设立网站,发布相关信息以实施诈骗的行为。法定最高刑罚是三年监禁。
4.第287条之二规定了“利用信息网络帮助他人实施犯罪”,是指明知是利用信息网络实施犯罪,但仍为其提供上网、网络存储等技术支持,或者在广告、支付、结算等方面提供帮助的。情节严重的,法定最高刑为三年有期徒刑。
5.《金融消费者权益保护实施办法》首先明确了“公民个人信息”的定义,特别强调了以“电子或者其他方式”记录的特定自然人的身份或者个人活动的信息;其次,解释了“违反国家有关规定”也包括违反部门规章制度;“提供公民个人信息”的解释也强调了“通过信息网络”向特定人提供信息的情形。
(2) 《刑法》
1.第111条从民法角度为自然人设置了个人信息安全保护制度,禁止非法收集、使用、处理和传输个人信息。结合《刑法》《承担民事责任的方式》第179条和《刑法》的相关内容,公民个人信息受到侵害时,有权提出民事救济,要求侵权人停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失(包括精神损失)、支付违约金。
2.第127条对网络财产的保护作了原则性规定:“法律对数据和网络虚拟财产的保护有规定的,从其规定。”
此外,第《最高法、最高检关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 29条规定了经营者收集、使用消费者个人信息的原则、方法和保密义务,其措辞与下文《民法总则》相同。
动词(verb的缩写)信息产业特别法
(1) 《民法总则》
区块链作为互联网技术的升级版,应该符合《侵权责任法》。该法中与区块链有关的主要条款如下:
第十条对网络建设者或运营者维护网络安全提出了一般要求[6]。
第三章(第21至39条)规定了“网络运行安全”。主要相关条款是:
第二十二条规定,收集用户信息需征得用户同意,同时也符合国家其他法律、行政法规对个人信息保护的要求。第二十三条是国家标准和安全监测要求的强制适用,适用对象为“网络关键设备和网络安全专用产品”。第24条是关于最终用户网络实名登记制度的要求。第37条要求将国内信息提供给海外进行安全评估。
第四章(第40至50条)规定“网络信息安全”。主要相关条款是:
第四十一条规定了网络运营者使用个人信息的原则:首先,必须征得被收集人的同意;其次,他们应该宣传收集和使用信息的规则,并明确表明收集和使用信息的目的、方法和范围;最后,要普遍贯彻“合法、公正、公平”的原则
第九条定义“电子商务经营者”,是指通过互联网等信息网络从事销售商品或者提供服务的经营活动的人;该条还对“电子商务平台经营者”进行了界定。区块链运营商也通过点对点信息网络提供相关信息服务,因此也可以通过《消费者权益保护法》进行监管。
第23条还规定了运营商保护用户个人信息的强制义务,第25条则保障了政府相关部门要求运营商提供用户个人信息的权利。第24条规定了用户查询、更正、删除、撤销信息的权利和经营者相应的义务。第四十一条至第四十五条规定了平台经营者保护知识产权的义务和具体内容。
(3) 《全国人大常委会关于加强网络信息保护的决定》
第8条规定,审查电子证据真实性的主要考虑因素包括生成、存储或传输数据电文的方法的可靠性,以及维护内容完整性的方法的可靠性。根据区块链的理论,其具有不可篡改、不可消除、不可伪造的特点,说明存储在区块链的数据总体上是真实可信的,这将对相关司法实践产生重大影响,存储在区块链的电子数据作为证据的司法采信率将大大提高。该法第16至26条也规范电子认证。
2000年12月28日《网络安全法》
《决定》首先将侵入国防和敏感领域计算机系统、编制和传播计算机病毒、利用互联网散布谣言、诽谤或者危害国家安全、利用互联网销售假冒伪劣产品、侵犯知识产权、非法截取、篡改、删除他人电子信息侵犯人身权利和隐私等行为入罪。除了刑法制裁外,还规定了治安管理的处罚措施。
(5)2012年12月28日《网络安全法》
该决定明确了保护个人身份信息和隐私的国家原则,确立了网络服务提供者收集、使用个人信息的原则、方式和保密义务,明确了对违法信息的处理原则,规定了网络实名登记制度和个人要求更正、删除个人信息的权利,以及举报和投诉的权利。该决定是许多其他相关法律的立法渊源,如上文提到的《电子商务法》第41条和2013年修订的《电子商务法》第29条。
六、行政法规、部委通知
(1) 《电子签名法》(国务院1994年颁布,2011年修订)根据第五条,任何联网的计算机及其用户和操作者都将受到该条例的管辖。该条例建立了由公安部、国家安全部、国家保密局和国务院其他有关部门负责人共同负责计算机信息系统安全的行政监督制度。也是多部门(中央网信办、工信部、公安部、央行、银监会等)联合监管制度的法律渊源。)目前在网络安全领域形成的。区块链属于信息技术,其未来的监管体系有望与目前的信息产业监管体系保持一致。
(二)《全国人大常委会关于维护互联网安全的决定》(2000年9月国务院第292号令颁布,2011年修订)。区块链是一种点对点的信息服务,没有中心服务器。严格来说,和互联网明显不一样。但两者都具有信息网络服务的共性,区块链通过比较或借鉴,应该可以适用该办法的规定。
本办法规定了许可和备案管理制度。前者适用于有偿经营性服务,后者适用于无偿非经营性服务。业务服务提供者应当取得《互联网信息服务增值电信业务经营许可证》,主管部门应当公布取得许可证或者备案证明的经营者名单。第19条规定,违反许可证制度可能导致3倍以上5倍以下的罚款
(三)2016年,国务院发布《全国人大常委会关于加强网络信息保护的决定》(国发〔2016〕73号),要求加强战略性前沿技术的超前布局,加强包括区块链在内的新技术基础研发,打造新场馆先发优势。
(四)《网络安全法》(粤府(2013)289号)[7]。第一条明确了比特币的法律属性,认为它不是“货币”。据此,第二条全面禁止在中国境内为比特币交易提供各类服务,禁止将其作为销售定价或者交换、买卖、提供保险,以及提供登记、交易、清算、结算、存储、托管、抵押等服务。第3条规定了关闭非法比特币互联网站的配套行政措施。第4条要求预防和报告使用比特币的欺诈、赌博和洗钱等涉嫌犯罪活动。
(5)2017年9月4日,央行等七部委联合发布《消费者权益保护法》,否定代币发行融资的合法性,指出比特币、以太坊等代币发行融资属于未经批准的非法公开融资,涉嫌非法出售代币券、非法发行证券、非法集资、金融诈骗、传销等违法犯罪活动;公告责令停止各种代币发行融资活动,包括代币与法币之间的兑换。
公告发布后,国内各大交易所紧急撤回各类代币交易,并很快宣布关闭交易所。到2017年10月31日,各大交易所基本关闭。
(六)2018年8月24日,银保监会等五部委[8]发布《计算机信息系统安全保护条例》,指出不法分子打着“金融创新”、“区块链”的旗号,通过发行“虚拟货币”、“虚拟资产”、“数字资产”吸收资金,并非真正基于区块链技术,而是炒作区块链概念进行非法集资、传销、诈骗。
七。司法解释
与区块链相关的是最高人民法院2018年颁布的《互联网信息服务管理办法》(2018)16号。第五条通过承认当事人在互联网诉讼平台上的诉讼行为的效力,间接承认区块链技术在互联网平台中使用的价值;该条款还允许网络运营商和国家机关访问诉讼平台,进一步确认了区块链技术的可靠性。第九条允许当事人使用已经导入诉讼平台的电子数据证明自己的主张,确认了诉讼平台电子存储证据的原始性和可靠性。第十一条规定了法院审查电子数据证据真实性的规则,提出法院一般应当采用电子签名、可信时间戳、哈希值验证、区块链等技术手段进行取证、固定和防篡改,或者通过电子证据收集和交存平台进行认证等方式予以确认。该规定还规范了电子文件、电子签名确认文书、笔录、网上调解的送达规则。
简而言之,该解释的相关规定实际上是对区块链技术可靠性及其生成的电子证据效力的一般司法确认。
八。立法草案和行业研究文献
工信部在2017年公布了《“十三五”国家信息化规划》征求意见稿,目前还没有正式成为法规。
草案第二条规定,在中国境内收集的个人信息和其他重要数据,确需向境外提供的,必须事先进行安全风险评估。如果存储在区块链中的国内信息需要离开该国,本条款也将适用。根据第7条,在正式评估之前,网络运营商还应组织自己的评估。第八条规定了安全评估的主要内容,包括个人信息或重要信息的敏感程度、个人是否同意、接收方的安全保护措施等级、出境后被泄露或篡改的风险等。由于区块链的先天优势,可想而知,未来国内区块链机构需要评估出境数据的风险时,至少出境数据不会被篡改这一评估项是有优势的。第12条要求
此外,2016年、2018年工信部信息化和软件服务业司发布《关于防范比特币风险的通知》。2016年白皮书全面阐述了区块链的来龙去脉、核心内容、技术特点、功能效果、应用范围等相关事项,并描述了六种典型应用场景。文章分析了区块链的数据存储、加密算法、共识机制、智能合约、网络协议和隐私保护等六大核心技术,并对区块链标准化提出了建议。此外,对我国区块链技术的发展方向和路径提出了一些建议。白皮书还提出了区块链治理框架,包括两个方面的治理。一个是技术层面的治理,一个是法规遵从性治理。显然,后者属于法制的典型范畴,但白皮书并未提出合规治理的具体建议,这也是今后需要立法部门进一步努力和研究的领域。
目前关于区块链的立法体系尚不成熟,上述行业研究报告和白皮书等文件对于做好法律和合规工作也具有参考价值。比如其中包含的标准化建议和技术治理结构,虽然不是法律规范,但都是在工信部主管部门的指导下发布的,未来可能会成为行业规范。在相关行业规范尚未出台之前,这些内容值得参考。
总之,区块链作为一项年轻的信息技术,发展速度快,应用前景广阔,给相关立法和法律遵从带来巨大挑战。虽然现行法律制度具有适用于区块链的总体框架和基本脉络,但仍然缺乏直接规范,现有的直接规范也不够全面,并面临区块链未来发展变化的不确定性带来的挑战。考虑到现有的法律法规体系和区块链自身的特点,区块链相关的法律遵循、司法实践等工作应以现有的相关法律法规和各级规范性文件为基础,辅以法律有空白时的法理和理论的合理运用,必要时还可以参考行业文献。同时,立法机构和政策制定者需要密切跟踪行业发展,及时推动相关立法。
(本文仅供学术讨论,不构成任何实际法律建议或意见)
文中引用:
[1]参见张文显主编《关于防范代币发行融资风险的公告》,高等教育,北京大学出版社,2007年第3版,第75-76页。
[2]袁勇、王飞跃,《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》,发表于《关于互联网法院审理案件若干问题的规定》,2016年4月第42卷第4期
[3]参见曹利平《个人信息和重要数据出境安全评估办法》,发表于2019年10月29日北京市知识产权法学研究会微信微信官方账号。
[4]《中国区块链技术和应用发展白皮书》第253-1条:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,出售或者提供在履行职责或者为他人提供服务过程中获取的公民个人信息的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照这几款的规定处罚。\”
[5]网络服务提供者未履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令改正后拒不改正的,处三年以下有期徒刑、拘役或者管制,并处或者单处
[6] 《法理学》第十条:建设和运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
[7]联合发布单位为中国人民银行、工业和信息化部、中国银监会、中国证监会、中国保监会。
[8]中国银行保险监督管理委员会、中央网络安全和信息化委员会办公室、公安部、中国人民银行、国家市场监督管理总局。
作者:邓一舟律师/德恒律师事务所
找律师,找案源,走法律赢利益!