汇业评论 | 金融区块链项目的主要法律合规问题

Original 黄春林冯莉网络与数据法律实务 2022-09-24

近段时间以来，数字货币、跨境结算、供应链融资、保险业务、征信管理等金融场景使用广泛应用区块链技术，受到社会广泛关注。政策层面，《推进普惠金融发展规划（2016-2020年）》、《中国金融业信息技术“十三五”发展规划》、《金融科技(FinTech)发展规划2019-2021》等宏观产业政策中，一方面鼓励金融场景应用区块链技术，另一方面也明确了区块链技术的监管方向。

本文中，汇业律师事务所黄春林律师团队结合中国立法与监管实践，以及金融区块链项目法律服务经验，就其主要法律合规问题提示如下：

一、业务实质穿透合规

《金融科技(FinTech)发展规划2019-2021》中明确规定，“综合全流程监管信息建立监测分析模型，把资金来源、中间环节与最终投向穿透联接起来，透过金融创新表象全方位、自动化分析金融业务本质和法律关系，精准识别、防范和化解金融风险，强化监管渗透的深度和广度。”此外，北京银保监局在《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》中也明确强调，金融机构“严禁与以金融科技之名从事非法金融活动的企业开展合作。”

区块链普遍应用于金融科技场景中。根据上述规定，非持牌金融机构（包括金融科技公司），不得以区块链名义实质从事持牌金融业务；或者，持牌类金融机构利用区块链技术，超范围经营金融业务。

如何判断区块链应用实质是否为金融业务，实践中的主要判断标准，包括但不限于：

（1）业务实质标准：区块链技术实质是否为金融业务。例如，利用区块链技术发行法定货币、虚拟货币、股权众筹、网络支付等。此前，《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》、《关于防范代币发行融资风险的公告》等明确禁止利用区块链技术非法发行虚拟货币、非法发行证券以及非法集资等。

（2）资金轨迹标准：区块链技术公司是否过手、归集资金。例如，在网络借贷、网络保险、供应链融资等金融场景中，区块链技术公司从事资金沉淀、代收付、结算等。

（3）交易环节标准：区块链技术公司是否实质参与应由持牌金融机构开展的核心金融环节，例如保险业务中的投保、签约、理赔，借贷业务中风控、增信、签约、开户及放还款等，支付业务中的商户签约，证券业务中的投顾，等等。

除此之外，监管个案中还会参考数据流、信息流、合同流、感知流等多维度，穿透判断区块链技术是否实质从事持牌金融及类金融业务。

二、资质及备案合规

除第一部分中穿透认定下的金融业务分业监管的持牌要求之外，金融区块链项目根据具体的落地业务模式，还会涉及区块链技术、互联网金融、网络安全等有关的具体资质与备案合规要求，包括但不限于：

区块链信息服务备案

Law

根据《区块链信息服务管理规定》的规定，向社会公众提供基于区块链的金融信息服务的主体或者节点、提供技术支持的机构，均为区块链信息服务提供者，应当在提供服务之日起十个工作日内，通过CAC区块链信息服务备案管理系统(bcbeian.ifcert.cn)履行备案手续。根据黄春林律师团队有限检索，在已经成功备案的两批名单中，近半数的区块链项目与金融有关。

利用区块链技术从事金融类互联网新闻信息服务的，还应当依据《互联网新闻信息服务管理规定》、《互联网新闻信息服务许可管理实施细则》等规定，取得《互联网新闻信息服务许可证》。

金融信息服务许可

Law

根据《金融信息服务管理规定》、《外国机构在中国境内提供金融信息服务管理规定》等规定，外国机构利用区块链技术向从事金融分析、金融交易、金融决策或者其他金融活动的用户，提供可能影响金融市场的信息和／或者金融数据服务的，应当经国家网信办批准后开展相关经营活动。

金融APP备案

Law

根据《移动金融客户端应用软件备案管理办法（试行）》等规定，金融机构利用区块链技术开发、运维的移动客户端应用软件（DAPP），应当在首次发布或者发生重大变更需要更新发布前，通过互金协会的移动金融客户端备案管理系统(finapp.nifa.org.cn) 履行备案手续（一般变更或其他备案信息发生变化的，在发布后10个工作日内更新备案信息）。

此外，金融机构利用区块链技术通过网络渠道销售基金、保险等金融产品的，还应当根据《证券基金经营机构信息技术管理办法》、《互联网保险业务监管暂行办法》等规定办理相应的行业备案。

ICP备案及电信业务许可

Law

除了上述针对区块链技术和互联网金融的相关的特殊许可及备案之外，区块链技术应用方还需要根据《电信条例》、《互联网信息服务管理办法》、《电信业务经营许可管理办法》及《非经营性互联网信息服务备案管理办法》等的规定，及时履行ICP备案义务，相关服务涉及增值电信业务的，还需要办理电信业务经营许可。

等保备案及公安联网备案等

Law

此外，根据《网络安全法》、《计算机信息网络国际联网安全保护管理办法》等规定，金融区块链技术相关的网络系统应当履行网络安全等级保护定级、备案及测评义务，利用区块链技术对外开展服务相关的网站及APP，应履行公安联网备案义务；等等。

三、个人信息保护合规

金融区块链项目的个人信息保护合规要求，不但需要满足个人信息保护的普遍性规定，同样需要满足金融领域、区块链技术有关的特别规定，具体包括但不限于：

个人信息保护一般合规要求

Law

金融类区块链项目往往会涉及大量个人信息，应当遵从我国个人信息保护有关的一般合规要求。汇业黄春林律师介绍，机构上链收集、处理、存储、使用及对外提供用户个人信息的，应当根据《网络安全法》、《个人信息安全规范》(GB/T 35273-2020)、《App违法违规收集使用个人信息自评估指南》、《互联网个人信息安全保护指南》、《App违法违规收集使用个人信息行为认定方法》、《个人信息告知同意指南（征）》、《移动互联网应用（App）收集个人信息基本规范（征）》、《移动互联网应用程序（App）收集使用个人信息自评估指南（征）》等规定及标准，履行个人信息全生命周期的合规义务，包括告知及同意合规、隐私政策合规、人员与制度合规等。

个人金融信息保护的特殊合规要求

Law

除上述一般合规要求外，金融类区块链应用具有收集、处理个人金融信息功能的，还应根据《金融消费者权益保护实施办法(征)》、《个人金融信息（数据）保护试行办法（征）》、《关于增强个人信息保护意识依法开展业务的通知》及《个人金融信息保护技术规范》等规定，对个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别进行分类保护，严格限制对外提供及委托处理的场景和技术路径，具体合规要点详见黄春林律师的《<个人金融信息保护技术规范>解读：全生命周期的技术与管理二元合规控制》一文。

金融区块链个人信息保护的特殊合规要求

Law

在数字货币等金融区块链项目中，如何平衡分布式信任、隐私保护及监管审计（例如反洗钱及打击犯罪等），一直是类似项目的重要合规难题，这也是数字货币项目在很多国家难产的一个重要原因之一。

2020年2月5日，金标委正式发布《金融分布式账本技术安全规范》，这是等保2.0在金融区块链应用中的落地及细化要求，详细规定了金融区块链的基本硬件、软件环境应遵循等保2.0的三级及以上要求。

在金融区块链个人信息保护合规方面，《金融分布式账本技术安全规范》力求实现隐私保护、分布式信任及监管审计之间的平衡，具体的要求包括但不限于：

（1）基于分布式信赖考虑，交易相关信息隐私应当相应克减，必须公开交易内容信息及交易方信息，并确保该等信息的有效性和可验证；

（2）基于区块链安全考虑，公开时不可克减相关交易的安全性，必须采取加密措施，确保交易方无法被冒用；

（3）基于节点安全及担保考虑，加密不得克减相关方的验证机制，应确保交易验证节点拥有对加密信息解密验证的权限和技术路径；

（4）基于金融监管考虑，加密不得克减监管方的审计机制，应确保审计方拥有解密验证权限和接口；

（5）分布式场景下，应当完整记录用户数据的使用者、使用内容、使用时间及频率等；

（6）基于用户控制权利的实现，应当充分告知用户节点情况及数据分布存储情况，且提供有效的删除、注销不可见手段；

（7）为了满足用户的数据可携诉求，应当为用户提供解密手段；

（8）必要时，可在区块链系统设置超级账户，由其执行隐私策略和技术手段；等等。

四、其他合规红线

内容合规

Law

《区块链信息服务管理规定》及《国家互联网信息办公室关于<区块链信息服务管理规定>涉安全评估条款说明的公告》等规定，区块链信息服务提供者应对链上内容承担安全管理责任，包括履行用户注册、信息审核、安全防护等义务，确保对使用区块链发布、记录、存储、传播的信息具有即时和应急处置能力。

身份识别合规

Law

《反洗钱法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等规定中，明确金融机构应当履行KYC义务，对客户身份进行识别。但区块链应用与身份识别及交易轨迹跟踪存在天然的价值冲突，如何平衡这一矛盾也是实践中的另一个合规难题，这是数字货币项目在很多国家难产的另一个重要原因之一。

黄春林

汇业律师事务所高级合伙人

Ramon.huang@huiyelaw.com

黄春林律师，现为上海市律协互联网与信息技术专业委员会副主任，主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务，常年为数十家境内外企业提供前瞻性法律服务解决方案，2019年在人民法院出版社出版专著《网络与数据法律实务：法律适用及合规落地》，多次被LegalBand、知产力等评为中国顶级律师之一。

作者往期文章推荐：

我国个人金融信息保护的法律与标准体系概览

金融场景使用人脸识别技术的主要合规问题（十问十答）