“区块链”现行法律及合规概览（下）

2019-10-31 

（本文是《“区块链”现行法律及合规概览》（上）的下篇）

四、基本法律

（一）《刑法》

《刑法》的下列罪名可能适用于区块链服务提供者或使用者：

1.《刑法》第二百五十三条之一规定了“侵犯公民个人信息罪”，是指非法出售、提供公民个人信息，包括窃取或者通过履职获取个人信息并出售或向外提供，情节严重的行为；构成本罪的，法定最高刑为七年有期徒刑^[1]。

2.第286条之一规定了“拒不履行信息网络安全管理义务罪”。该罪主体为“网络服务提供者”，客观表现为拒不履行法定的维护网络安全义务，经主管机关责令仍不采取措施，导致违法信息大量传播、用户信息泄露造成严重后果、刑事案件证据灭失等严重后果的行为。该罪法定最高刑为三年有期徒刑^[2]。

3. 第287条之一规定了“非法利用信息网络罪”，是指利用信息网络，为了实施诈骗、传授犯罪方法等违法犯罪活动而设立网站、为实施诈骗而发布有关信息的行为，法定最高刑为三年有期徒刑。

4. 第287条之二规定了“帮助信息网络犯罪活动罪”，是指明知他人利用信息网络实施犯罪，仍为其提供互联网接入、网络存储等技术支持，或者提供广告推广、支付结算等帮助，情节严重的行为，法定最高刑为三年有期徒刑。

5.《最高法、最高检关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，首先明确了“公民个人信息”的定义，特别强调以“电子或者其他方式记录”的特定自然人身份或个人活动情况的信息；其次解释了““违反国家有关规定”也包括违反部门规章的规定；对“提供公民个人信息”的解释还特别强调了“通过信息网络”向特定人提供信息的情形。

（二）《民法总则》

1.第111条从民法角度设立了自然人个人信息安全保护制度，禁止非法收集、使用、加工、传输个人信息。结合《民法总则》第179条“承担民事责任的方式”及《侵权责任法》相关内容，在公民个人信息受侵害时，有权提出民事救济，要求侵权人停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损失（包括精神损失）及支付违约金。

2.第127条原则性地规定了网络财产的保护：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”

另外，《消费者权益保护法》29条规定了经营者收集、使用消费者个人信息的原则、方式及保密义务，其措辞同下文《全国人大常委会关于加强网络信息保护的决定》。
                         
五、信息产业专门法律

（一）《网络安全法》

区块链作为互联网技术的升级版，应当遵守《网络安全法》。该法与区块链相关的主要条款如下：

第10条对网络建设方或运营方维护网络安全提出总体要求^[3]。

第三章（第21条至第39条）规范“网络运营安全”，主要相关条款有：

第22条规定收集用户信息需要征得其同意，还要遵守国家其他法律、行政法规关于个人信息保护的要求。第23条是国家标准强制适用及安全监测要求，适用对象为“网络关键设备和网络安全专用产品”。第24条是关于终端用户网络实名制的要求。第37条要求境内信息向境外提供之前进行安全评估。

第四章（第40条至第50条）规范 “网络信息安全”，主要相关条款有：

第41条规定网络运营者使用个人信息的原则：首先要获得被收集者同意，其次要公示收集、使用的规则，以及明示收集、使用信息的目的、方式和范围，最后要总体上贯彻“合法、正当、必要的原则”。

第43条则规定了网络运营者应个人要求删除或更正个人信息的义务。第46条禁止任何人利用网络从事与违法犯罪相关的活动。第47条要求网络运营者及时、适当处置网络违法信息。第49条要求网络运营者建立和畅通投诉、举报途径。

（二）《电子商务法》

第9条对“电子商务经营者”进行了定义，是指通过互联网等信息网络从事销售商品或者提供服务的经营活动者；该条还定义了“电子商务平台经营者”。区块链运营者也是通过点对点信息网络提供相关信息服务，因此亦可受《电子商务法》规范。

第23条同样规定了经营者保护用户个人信息的强制性义务，而第25条则保障相关政府部门要求经营者提供用户个人信息的权力。第24条规定用户信息查询、更正、删除、注销的权利及经营者对应的义务。第41条至45条规定了平台经营者保护知识产权的义务及具体内容。

（三）《电子签名法》

第8条规定，审查电子证据真实性的主要考量因素包括生成、储存或者传递数据电文方法的可靠性，以及保持内容完整性方法的可靠性。根据区块链理论，其具有不可篡改、不可消除和伪造的特点，说明一般情况下区块链存贮的数据具有真实性，这对于相关司法实践将产生重大影响，以区块链存贮的电子数据作为证据的司法采信率必将大为提升。该法第16条至26条还规范了电子认证行为。

（四）2000年12月28日《全国人大常委会关于维护互联网安全的决定》

该决定首先将侵入国防、敏感领域计算机系统、编制传播计算机病毒、利用网络造谣、诽谤或危害国家安全、利用互联网销售伪劣产品、侵害知识产权，以及非法截获、篡改、删除他人电子信息侵害个人权益和隐私等行为入罪。除刑法制裁外，还规定了治安管理处罚措施。

（五）2012年12月28日《全国人大常委会关于加强网络信息保护的决定》

该决定明确了国家保护个人身份信息及隐私的原则，确立了网络服务提供者收集、使用个人信息的原则、方式及保密义务，明确了对违法信息处置的原则，规定了网络实名制、个人请求更正、删除个人信息的权利及举报、控诉权。该决定是诸多其他相关法律相关条款的立法渊源，例如上文提到的《网络安全法》第41条、2013年修订的《消费者权益保护法》第29条等。

六、行政法规、部委通告

（一）《计算机信息系统安全保护条例》（1994年国务院颁布，2011年修订）根据第5条，任何联网的计算机及其使用者、运营者将受该条例规范。该条例确立了公安部主管、国家安全部、国家保密局和国务院其他有关部门共同负责计算机信息系统安全的行政监管体制，也是目前网络安全领域所形成的多部门（中央网信办、工信部、公安部、央行、银保监会等）共同监管体制的法律渊源。区块链属于信息技术，未来对其监管体系预期将与目前的信息行业监管体制一致。

（二）《互联网信息服务管理办法》（2000年9月国务院第292号令颁布，2011年修订）。区块链是无需中心服务器的点对点信息服务，严格来讲与互联网有明显区别。但二者均具有信息网路服务的共性，因此区块链应当可以比照或参照适用该办法的规定。

该办法规定了许可、备案管理体制，前者适用于有偿的经营性服务，后者适用于无偿的非经营性服务。经营性服务提供者应取得“互联网信息服务增值电信业务经营许可证”，并且主管部门应公布取得该许可证或备案证的经营者名录。第19条规定违反许可证制度可处以违法所得3倍以上5倍以下的罚款，并没收违法所得；未备案而擅自运营非经营性信息服务的，可责令关闭网站。

第14条要求经营者保留用户使用其信息服务的记录备份至少60日，第16条要求经营者发现违法信息时进行报告；第17条要求境内经营者在境内、境外上市或者同外商合资、合作之前，必须进行审批。

（三）2016年国务院发布《“十三五”国家信息化规划》（国发〔2016〕73号），要求强化战略性前沿技术超前布局，加强区块链在内的新技术基础研发和前沿布局，构筑新赛场先发主导优势。

（四）《关于防范比特币风险的通知》（银发(2013)289号）^[4]。第1条即明确了比特币的法律属性，认为其不属于“货币”。相应地，第2条全面禁止境内为比特币交易提供各种服务，不得以其作为销售定价或进行汇兑，不得买卖，不得为其提供保险，不得提供登记、交易、清算、结算、储存、托管、抵押等服务。第3条规定了配套行政措施，对违法比特币互联网站予以关闭。第4条要求防范和报告利用比特币进行诈骗、赌博、洗钱等涉嫌犯罪活动。

（五）2017年9月4日央行等七部委联合发布《关于防范代币发行融资风险的公告》，否定了代币发行融资行为的合法性，指出比特币、以太币等代币发行融资，是一种未经批准非法公开融资的行为，涉嫌非法发售代币票券、非法发行证券以及非法集资、金融诈骗、传销等违法犯罪活动；公告责令停止各种代币发行融资活动，包括代币与法定货币之间的兑换。

该公告发布后，国内各大交易所紧急撤下各种代币交易，不久即宣布关闭交易所，至2017年10月31日各大交易所基本关闭。

（六）2018年8月24日银保监会等五部委^[5]发布《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》，指出不法分子打着“金融创新”“区块链”的旗号，通过发行 “虚拟货币”“虚拟资产”“数字资产”等方式吸收资金，并非真正基于区块链技术，而是炒作区块链概念行非法集资、传销、诈骗之实，实质是“借新还旧”的庞氏骗局。

七、司法解释

与区块链相关的是2018年最高人民法院颁布的《关于互联网法院审理案件若干问题的规定》（法释〔2018〕16号）。第5条通过肯认当事人在互联网诉讼平台上的诉讼行为的效力，间接认可了互联网平台所使用的区块链技术的价值；该条款还允许网络经营者及国家机关的网络接入诉讼平台，进一步确认了区块链技术的可靠性。第9条则允许当事人运用已经导入诉讼平台的电子数据证明自己的主张，确认了诉讼平台以电子方式存贮证据的原始性与可靠性。第11条规定了法院审查电子数据证据真实性的规则，并提出通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证，法院一般应当确认。该规定还对电子化文书送达规则、电子签章确认文书、笔录及在线调解等内容进行了规范。

总之，该解释的相关条款实际上是对区块链技术可靠性及其产生的电子证据效力的一般性司法确认。

八、立法草案、行业研究文献

工信部于2017年公布《个人信息和重要数据出境安全评估办法》征求意见稿，至今尚未正式成为法规。

该草案第2条规定，境内收集的个人信息及其他重要数据，确需向境外提供的，必须事先进行安全风险评估。如果届时某区块链上存贮的境内信息需要出境，同样会适用此条款要求。根据其第7条，正式评估前，网络运营者还应当自行组织评估。第8条规定了安全评估的主要内容，包括个人信息或重要信息的敏感程度、个人同意与否，接收方的安全保护措施水平，以及出境后被泄露或篡改的风险大小等。由于区块链固有的优势，可以想见，当未来境内区块链机构需要对出境数据进行评估风险时，至少对于出境后数据不被篡改这个评估项目还是有优势的。第12条要求一定情形下重新进行出境风险评估。

以上可见，如果该办法成为法规，届时将适用于区块链数据的出境，区块链服务商需要做好这方面的合规工作。

另外，2016年、2018年工信部信息化和软件服务业司指导发布了《中国区块链技术和应用发展白皮书》。2016年的白皮书比较全面地阐释了区块链这一新生事物的来龙去脉、核心内容、技术特征、功能效果、应用范围等相关事项，描述了6个典型应用场景。具体分析了数据存贮、加密算法、共识机制、智能合约、网络协议、隐私保护这六个区块链核心技术，提出区块链标准化建议。另外，提出我国区块链技术发展方向及路径的建议。该白皮书还提出了区块链治理构架，认为包括两方面治理。一是技术层面的治理，二是监管合规治理。显然，后者属于典型的法制范畴，但白皮书并未提出合规治理方面的具体建议，这也是需要立法部门未来进一步着力和研究的领域。

在目前关于区块链的立法体系尚不成熟的情况下，上述白皮书之类的行业性研究报告及文献，对于做好法律及合规工作同样具有参考价值。例如，其中包含的标准化建议及技术层面治理结构，虽然不是法律规范，但是在工信部主管司的指导下发布的，未来有可能成为行业规范。在相关行业规范尚未出台之前，这些内容是值得借鉴和参考的。

总之，区块链作为一项年轻的信息技术，其发展速度快，应用前景广阔，对于相关立法及法律合规工作带来巨大挑战。目前的法律体系虽然具备了适用于区块链的总体框架和基本脉络，但直接规范还很缺乏，已有的直接规范也不够全面，并且面临区块链未来发展变化的不确定性所造成的挑战。总揽现有法规体系及区块链本身特点，区块链相关法律合规、司法实践等工作，应当基于现有的各个层级的相关法律法规及规范性文件，在法律出现空白时辅之以法律原则、理论的合理适用，必要时还可参考行业性文献。同时，立法机构及政策制定者需要密切跟踪行业发展，及时推动相关立法。

（本文仅为学术探讨，不构成任何意义上的法律实务性建议或意见）

文中引用：

[1]《刑法》第253条之一：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

[2]网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

(一)致使违法信息大量传播的;

(二)致使用户信息泄露，造成严重后果的;

(三)致使刑事案件证据灭失，情节严重的;

(四)有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

[3]《网络安全法》第十条：建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

[4]联合发布单位为中国人民银行、工业和信息化部、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会。

[5]中国银行保险监督管理委员会 , 中央网络安全和信息化委员会办公室 , 公安部 , 中国人民银行 , 国家市场监督管理总局。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。