Tcoins-《区块链信息服务监管规定》全面解读:对公链有何影响 使用者有何责任
【摘要】本文通过对《区块链信息服务管理规定》分析梳理了相关监管框架,并对去中心化应用相关问题进行了思考。
2019年1月10日,国家互联网信息办公室发布了行政规章《区块链信息服务管理规定》(以下简称《规定》),一共二十四条,将于2019年2月15日起实施。
一、《区块链信息服务管理规定》的基本监管框架
下面我们结合法律《网络安全法》、行政法规《互联网信息服务管理办法》等,从其出台目的、主要解决的问题来分析一下其主要内容或者说是监管框架(以下楷体部分为直接引自《规定》)。
(一)出台目的
《为了规范区块链信息服务活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进区块链技术及相关服务的健康发展,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。
本条规定了规定制定的目的和依据。我们可以看出,本规定制定目的是加强区块链服务的内容管理。国家互联网信息办公室的工作职责是负责互联网信息内容管理,同时还受到《网络安全法》和《互联网信息服务管理办法》的规范。
(二)主要解决的问题
根据由工业和信息化部信息化和软件服务业司指导的由中国区块链技术和产业发展论坛编写的《中国区块链技术和应用发展白皮书(2016)》的定义,区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术在互联网时代的创新应用模式,也就是说区块链技术是属于新一代的互联网应用,因此从本质上来说基于区块链提供的信息服务是属于特殊的互联网信息服务。但是不可否认,区块链技术与以往互联网应用有突出特点,如其形成的以对等网络为基础的去中心化应用模式和以不对等加密传输和共识机制基础的价值传递,以及由此建立开放型经济生态,使得传统的法律在规制基于区块链网络活动时面临一定的挑战。而《规定》则率先明确一些相关问题。
一是规定了基于区块链的信息服务属于互联网信息服务的一种。《规定》第一条和第二条的提到。
二是规定了基于区块链的信息服务及其服务提供者的含义,也就是说规定了其针对什么样的行为和什么主体。
本规定所称区块链信息服务,是指基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。
本规定所称区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织;本规定所称区块链信息服务使用者,是指使用区块链信息服务的组织或者个人。
从这里可以看出,本规定针对的是基于区块链技术或系统的服务,而一般我们通过传统网站、微信公众号和APP进行信息内容发布,则不属于本规定针对的范围,由《互联网信息服务管理条例》规范。
三是规定基于区块链的信息服务的主管部门。
国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作。
四是规定区块链行业组织将成为监管体系的一环。
鼓励区块链行业组织加强行业自律,建立健全行业自律制度和行业准则,指导区块链信息服务提供者建立健全服务规范,推动行业信用评价体系建设,督促区块链信息服务提供者依法提供服务、接受社会监督,提高区块链信息服务从业人员的职业素养,促进行业健康有序发展。因此预计,类似互联网金融协会的具有管理性的行业自律性协会很快会成立
五是规定区块链信息服务提供者所需承担的监管义务。
义务一,区块链信息服务提供者是信息内容安全管理责任人。
区块链信息服务提供者应当落实信息内容安全管理责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。
义务二,区块链信息服务提供者应当具备相关内容处置技术条
件。
区块链信息服务提供者应当具备与其服务相适应的技术条件,对于法律、行政法规禁止的信息内容,应当具备对其发布、记录、存储、传播的即时和应急处置能力,技术方案应当符合国家相关标准规范。
义务三,区块链信息服务提供者应当通过管理规则和平台公约使
区块链信息服务使用者履行相应的信息内容管理义务,承担相应法律责任。
区块链信息服务提供者应当制定并公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律规定和平台公约。
义务四,区块链信息服务提供者应当实现区块链信息服务使用实
名认证制度。
区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务。
义务五,区块链信息服务提供者应当按规定对新产品、新应用、
新功能进行安全评估申报。
区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。区块链技术在不断进化中,会有很多功能不断优化,如果每一种新产品、新应用尤其是新功能都需要进行安全评估,将可能会对项目开发进程产生一些不确定性。后续具体安全评估具体规定还有待细化。
义务六,区块链信息服务提供者和使用者的禁止性的行为。
区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容。
另外也对相关监督检查程序进行了规定。
区块链信息服务提供者提供的区块链信息服务存在信息安全隐患的,应当进行整改,符合法律、行政法规等相关规定和国家相关标准规范后方可继续提供信息服务。
区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者,依法依约采取警示、限制功能、关闭账号等处置措施,对违法信息内容及时采取相应的处理措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于六个月,并在相关执法部门依法查询时予以提供。
区块链信息服务提供者应当配合网信部门依法实施的监督检查,并提供必要的技术支持和协助。
区块链信息服务提供者应当接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。可以明确达成共识的是,这些规定对于联盟链、私有链,完全适合。
义务七,区块链信息服务提供者应当通过国家互联网信息办公
室区块链信息服务备案系统履行备案及相应变更、终止手续。
区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息,履行备案手续。
区块链信息服务提供者变更服务项目、平台网址等事项的,应当在变更之日起五个工作日内办理变更手续。
区块链信息服务提供者终止服务的,应当在终止服务三十个工作日前办理注销手续,并作出妥善安排。
另外还对相关程序性问题作了规定。
国家和省、自治区、直辖市互联网信息办公室收到备案人提交的备案材料后,材料齐全的,应当在二十个工作日内予以备案,发放备案编号,并通过国家互联网信息办公室区块链信息服务备案管理系统向社会公布备案信息;材料不齐全的,不予备案,在二十个工作日内通知备案人并说明理由。
完成备案的区块链信息服务提供者应当在其对外提供服务的互联网站、应用程序等的显著位置标明其备案编号。
国家和省、自治区、直辖市互联网信息办公室对区块链信息服务备案信息实行定期查验,区块链信息服务提供者应当在规定时间内登录区块链信息服务备案管理系统,提供相关信息。
在本规定公布前从事区块链信息服务的,应当自本规定生效之日起二十个工作日内依照本规定补办有关手续。
二、需要进一步探讨的几个问题
无疑,无论是传统互联网还是区块链网络,都不能成为违法犯罪的温床,对于预防和遏制与区块链相关的违法犯罪行为是非常必要的。尤其是对于区块链网络系统而言,如何防止其去中心化、区块内容不可篡改的特点,非法传播相关信息内容,确实是摆在我们面前的一个重要课题。我们应该充分依据区块链网络技术和应用的特点,在准确地区块链网络参与者的行为特点、权利义务及相应后果的基础上,科学合理的界定相关法律责任。
因此从这个角度来看,《规定》一方面基本建立了相关监管框架,但是其中一些问题可能还需要进一步研究。
问题一,去中心化应用的公有区块链作为一个整体是否能够成为法律责任承担者?
假如整个区块链网络已经足够去中心化(当然这个如何具体界定可能需要从技术和法律两个角度相结合进一步明确,具体可借鉴传统上市公司中实际控制人的确定)去中心化网络作为一个整体,其本身由于不能表达独立的意志和控制自己的行为,因此不能承担法律责任。
此时我们可以把去中心化应用看成是一个信息网络基础设施,与目前的遍布于全世界的互联网本质上是一样的,即你不能也无法让互联网作为一个整体来承担法律责任。
也就是说,作为DAPP等公有链来说,如果其已经足够中心化,从技术上没有任何一方能够单方面终止服务,另外提供服务、变更服务项目等,也不一定能单方面决定;但对于联盟链、私有链,则应办理相关手续。
问题二,作为去中心化应用区块链网络中的各参与者各自应承担何种法律责任?
一般而言,从公有区块链技术应用角度来看,其参与者主要有以下几个方面,一是应用程序开发者和维护者,二是重要节点如区块生产者,三是一般节点即区块链网络使用者。
其一,关于程序开发者和维护者。正如《这七个法律问题须在2019年得到答案》中所提到的,“开发者是否需要为其产品出现的违法行为负责?”
美国商品期货交易委员会(CFTC)委员Brian Quintenz建议,如果智能合约代码很明显可以预见会被美国人用于违反CFTC规定,智能合约时代码开发人员可能被起诉;其次,SEC指控Zachary Coburn (EtherDelta创始人、EtherDelta 智能合约的作者/部署者)经营一家未注册的国家证券交易所。
在一个不断创新的时代,什么是合理可预见的,什么是不可预见的?如果有的话,法院和监管者将如何区分码农、代码部署者和平台经营者的角色?在刑事或民事案件中,“技术面纱”会被进一步戳破吗?如果是这样,执法会受到去中心化的网络、不可阻挡的智能合约和匿名代码开发者的影响吗?
我们认为,从合理的角度来说,如果程序开发者主观上就有将其程序用于违法犯罪目的,那么无疑其应当被追究相应的法律责任。而在实际的司法程序中要调查清楚这一点可能有难度,但是我们相信大多数的时候还是可以做到的。而这一点在《规定》中尚没有体现。
其二,关于区块链系统维护者如区块生产者。假如一个区块链系统应用其本身并非为违法犯罪目的而开发,那么对于一个区块链公用链如比特币区块链来说,假如其节点属于本规定所称的区块链信息服务提供者,那么一方面由于其打包主要是交易信息,另外该交易信息来自于根据系统软件所设定的合法交易,要求交易者进行用户注册可能有困难,而且由于比特币区块链打包节点无法删除合法区块链中的信息内容,那么要求其承担系统管理者的法律责任是否合理?
其三,关于区块链系统的使用者。对于区块链公有链的使用者来说,由于其有可能将信息写入区块链中,因此如果其将非法信息通过区块链非法传播,那么显然理应承担相应的法律责任。
那么当区块链系统在使用中被写入了非法信息,应当如何处置?当然首先应当是写入该信息的主体承担首要责任。再根据该信息造成危害大小,是否决定由区块链系统维护者共同决定是否进行回滚操作,而为了避免这种有对系统发展非常不利的操作,对上链数据进行加密可能是必要的。
从目前《规定》的内容来看,其对基于区块链系统的信息内容控制,主要是通过节点维护方来进行处置和管理,要求一是对自身服务提供者进行备案制,二是要求使用者实名制,由于公有链跨国界特点,可能一方面将会成为今后国内业者参与公有链的法律障碍,并使得中国团队的公链难以在国外发展,另一方面由于区块链身份一定程度上的去中心化特点,区块链系统维护中在掌握使用者身份方面在实际操作上可能也有一定难度。