区块链信息服务机构备案必须了解的实务要点
自《区块链信息服务管理规定》(“《规定》”)出台以来,引起各界的关注和热议,如何判断自身是否属于备案主体、提交材料类型、格式及内容、备案不通过如何处理等等均亟待监管机构给出详尽指引,特别是10天的备案期限尤为紧迫。1月28日,区块链信息服务备案管理系统正式上线,相关从业机构通过备案系统(网址:https://bcbeian.ifcert.cn/)即可按照操作说明准备并提交相应材料完成备案。在备案过程中,有以下要点值得从业人员注意。
1、判定业务类型
根据《规定》,凡是基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务的,均应当进行备案。故备案主体要符合以下两个条件:
应用区块链技术。对于区块链技术较为“官方”的解释,区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术在互联网时代的创新应用模式,即应用此类技术的企业则满足备案所需的技术条件。
向公众提供服务。通过从上述规定及备案系统的要求,未应用区块链技术的企业,如区块链相关课程培训、区块链媒体、数字货币交易所等均不属于备案对象。《规定》要求的备案主体范围主要包括:基础设施提供方、应用运营方和技术提供方三类。
对于上述三类业务,特定的从业机构应当按照以下业务类型进行备案:
基础设施提供方。主要包括矿池、云挖矿,以及节点在内的业务类型。
应用运营方。主要包括钱包、区块浏览器以及其他类型应用。
技术提供方。主要包括Baas信息和其他信息。在此处特别注意,技术提供方仍应当区分是否实际应用区块链技术,据相关负责人答复,应用区块链技术开发链的技术研发机构需要备案,而仅作为钱包的技术输出方暂时不需备案。
2、判定主体类型
境内外主体
根据备案系统的备案操作说明来看,网站中申请信息备案主要针对大陆主体,但是对于在中国境内从事上述服务的境外主体,即面向中国用户提供相应服务的境外主体如何备案,相关负责人答复称近期会在系统中完善境外主体的备案具体要求。
因此,对于境内机构涉及上述业务类型的,毫无疑问应当进行备案;境外主体从事上述业务类型,且面向中国主体提供服务的,也应当按照未来备案系统的要求进行备案。
关联主体
对于备案主体的关联方(股东、直接或间接参股企业等)、团队人员(高管、技术人员等)的情况,据相关负责人称暂时按照备案系统要求的信息进行备案即可,如其关联主体的业务涉及上述备案业务类型的,则同样按照文件要求单独备案。
3、提交材料类型、内容
根据备案系统的填报要求,对于基础设施提供方、应用运营方、技术提供方三类业务主体,除应取得相应的前置审批(如互联网信息服务许可)外,应当提交的材料主要包括:
基础设施提供方。主要包括所支持的主链类型。
应用运营方。钱包信息包括支持主链名称、服务器部署位置、用户数量、近三月日均交易笔数等;区块交易查询浏览信息包括URL、年累计访问量、近三月日均访问量、服务器IP地址以及服务器部署位置。
技术提供方。其中Baas信息包括服务对象数量、服务对象列举、是否软硬件分离、是否具备云服务资质、机房位置等;其他信息包括白皮书以及其他如服务对象数量及列举,是否开源,源代码地址等。
另外,对于境外主体提供的运营数据,相关负责人特别提到本次监管审查主要针对的是国内用户,因此从业机构提供的用户数据的信息最好区分国内用户和国外用户类型。
4、业务要求
除上述备案提交的信息外,《规定》要求备案主体应当制定或持有以下文件,并按照相关法律法规的要求完成合规:
从事的新产品、新应用或新功能安全评估。《规定》要求备案主体应对新产品、新应用、新功能报网信办进行安全评估,根据《网络产品和服务安全审查办法(试行)》及相关法律法规要求,网信办等部门将会通过企业承诺与社会监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其供应链进行网络安全审查,重点审查网络产品和服务的安全性、可控性。
内部管理制度,包括用户管理制度、审核制度、应急处理机制、安全保障制度、信息保存制度等。其中对于用户信息的保护,应当按照我国《信息安全技术-个人信息安全规范》,以及其他对于个人信息和重要数据出境的监管要求执行,防止出现滥用个人信息、数据泄露或有类似重大风险事件发生;对于应急处理机制,应按照《公共互联网网络安全突发事件应急预案》规定的紧急事件类型建立相应的预案。
与业务相关的协议,包括用户协议、隐私政策、及其他与用户权利和义务相关的公告或声明等文件。
技术或系统认证情况,包括信息安全技术评级情况、软件测评情况等。其中,对于信息安全评级情况,根据目前在网络安全和数据保护领域已生效的法律法规及国家标准,备案主体应当按照《中华人民共和国网络安全法》、《信息安全技术-网络安全等级保护定级指南》等文件要求进行技术等级保护认定。
其他资质要求。备案主体应当按照所从事的业务类型取得必要的许可,如根据相关电信法规持有互联网资源协作业务的牌照或内容分发网络(CDN)业务经营许可证。
因此,对于备案主体来说,应当确保运营过程中所控制的数据权属清晰、合法,满足网络安全法规定的合规义务,遵守网络安全等级保护制度规定的报告、备案、评估等义务,如数据跨境传输的,还应具备相应的数据出境评估制度。
5、备案结果
对于备案结果对企业后续运营的影响,根据相关负责人答复,本次备案主要是对于运营情况真实性和准确性的审核,具体的运营数据的真实性、准确性将由企业作出真实性声明。如备案通过,则一般20个工作日会公布结果;如果未通过审核,备案主体可通过相应的要求,整改完成之后再次提交。
本次备案要求相关从业机构在业务情况、运营情况、信息审核方面作出详细披露要求,并且随着区块链、数字资产领域的监管逐步落地,对于企业来说,如实披露,合规经营才是正道。