从《个人信息保护法》谈NFT平台应如何履行告知义务
张烽包括NFT技术应用在内的数字技术进一步加深了人的物理存在与数字存在、过去现在与未来存在的联系,拓展了人类认识自身意义的能力。公认的NFT技术应用发端于 2017 年,当年12月火爆的NFT游戏Cryptokitties一度占了以太坊网络流量的 25%。自此以后,境内外涌现了很多颇具影响力的NFT平台,如境外的Opensea、SuperRare,境内的CrptoArt、Wave Gallery等。
那么我国《个人信息保护法》出台后,NFT平台作为信息处理者应如何有效合规地履行告知义务?这是很多从业者非常关注的问题。《个人信息保护法》第十七条比较集中的明确了个人信息处理者的告知义务,规定个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
这是对于告知的一般性要求,其意义主要在于向个人告知与之相关的个人信息处理具体情况。下面我们结合NFT平台相关具体业务模式来稍加展开说明。
一、告知个人信息处理者的名称或联系方式
这里问题的关键是,谁是个人信息处理者,是平台还是平台的运营公司?《个人信息保护法》第七十三条规定,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
在实际运营中,各NFT平台对处理方式各有不同。有的成立专门团队来处理平台事务,但平台运营商的法律主体是运营公司;但有的平台并无专门团队,都由公司架构下团队来组织开展相关业务,只是以平台名义操作。
但无论是哪种情况下,NFT平台团队与运营公司的联系是非常紧密的。我们建议是,告知平台的具体运营公司,同时也结合相应具体事务告知运营公司、运营团队的联系方式。
二、告知个人信息的处理目的、处理方式,处理的个人信息的种类、保存期限
一般来说,NFT平台是一个应用市场,用户基于该平台提供的应用市场创建、购买、转让或交易独特的NFT物品。围绕着这个核心,平台要向用户告知上述事项,同时这也是平台对于个人信息的处理目的。
处理方式和处理种类是紧密结合的,因此告知时很难截然分开。根据《个人信息保护法》规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。也就是说,要具体向用户告知如何收集、存储、使用、加工、传输、提供、公开和删除个人信息。
在收集信息方面,一般而言,NFT平台会在创建用户账户时收集姓名、以太坊(或其他区块链)地址、实名制移动电话号码、用户名和电子邮件地址、邮寄地址和账户密码等,同时当用户使用平台服务时平台可能会通过一些技术工具来收集有关访问数据等。
在使用加工信息方面,一般而言,平台会将个人信息用于创建帐户以及认别用户的交易身份,并将其展示给相应用户以方便交易;同时为用户提供平台的相关信息,如系统更新、以及提供一些商业性的新闻和信息;个性化并改善用户的体验;分析和完善平台服务;响应用户参与及请求等。
存储方面,包括存储地点,存储期限。
删除方面。告知用户有关删除信息的规则。删除个人信息往往与存储期限紧密联系在一起,要求当符合有关情形时,应当删除个人信息。
传输、提供方面,一般用于向第三方服务商、运营平台的相关联公司,以及依据法律要求进行的披露等。
转让方面,一般只在两种情况,公司合并、分立、破产等,需要告知用户。在用户取得同意时,也可以转让给第三人。
公开方面,除了用户同意情况下,如果用户有违法违规行为,可能会公开用户个人信息。
根据《个人信息保护法》第七条的规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。平台也要告知用户其将如何保护个人信息,包括技术措施、安全管理制度以及个人信息安全事件的响应等。
三、个人行使相关权利的方式和程序
《个人信息保护法》规定了用户享有知情权、同意权;查阅权、复制权;补充、更正权;撤回同意权;删除权;要求解释说明权;投诉举报权。
因此在告知中,要清晰、明确地告知用户如何管理自己的账户信息,包括如何查询、补充、更正、删除等;如何撤回同意,也就是调整信息收集使用的范围;以及如何注销账户等。另外,还要告知用户如果其希望知道平台信息处理规则的具体含义,需要获得解释说明时,应如何与信息处理者取得联系。
四、法律、行政法规规定应当告知的其他事项
实际上除了《个人信息保护法》第十七条规定的告知内容,该法还分别围绕着不同情况规定了不同内容不同形式的告知要求。
(一)信息处理活动特别情况时的告知
关于共同处理的告知。《个人信息保护法》虽然没有明确要求在这种情况下需要告知,但是规定了个人有权向任何一方行使相关权利,因此个人信息共同处理需要将共同处理的情况告知个人并依法取得处理权限。如果NFT平台与其他有关平台,与NFT服务机构共同处理,则需要向个人告知相关情况。
关于委托处理的告知。《个人信息保护法》也没明确规定这种情况下需要告知,但是由于这涉及个人信息处理的方式以及个人信息的传输,因此应当在依法取得处理权限的基础上将此种委托处理的情况告知个人。有些平台将一部分事务委托给其他机构或其他应用,比如一些NFT平台会委托其他机构进行数据分析,假如提供分析的数据并未匿名化,那么此时应当将此种情况告知个人。
对外提供时的告知。该法第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。NFT平台一般是向业务合作方提供相关个人信息。
关于信息处理者合并、分立、解散、破产时的告知。该法第二十二条明确规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。此种情况一般通过隐私政策中有体现,但在NFT平台的运营方实际出现相关情况时需要另行及时告知个人相应情况。
(二)对个人权益影响比较大的情况下的告知
关于自动化决策时的告知。对于这种情况,不仅仅是告知,而且还规定需要提供不针对其个性化的选项或提供便捷的拒绝方式,个人还有权要求信息处理者解释说明并拒绝该自动化决策。NFT平台对个性化的需求非常普遍,因此自动化决策是一个提供用户体验不可或缺的工具,平台可通过隐私政策或在相关应用场景中及时配合以进行有针对性的告知。
关于敏感个人信息处理的告知。《个人信息保护法》第三十条规定,个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。对NFT平台来说,钱包地址属于金融账户,属于敏感个人信息的范围,当然,一般平台在告知时都会详细告知收集钱包地址信息的必要性以及相关影响。
关于使用人脸识别的告知。该法规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。如果NFT平台在用户账户创建和用户身份认别、双方交易时提供类似人脸识别的工具加以验证,那么尤其需要注意告知相关情况,并且还应注意保存且不被滥用。
跨境提供时告知。该法第三十九条规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。由于NFT平台通常都会有很多跨境用户,而向交易双方提供必要的个人信息是服务目的所需要的,因此需要事先告知平台可能将收集的用户信息提供给境外相关用户。对于我国NFT平台而言,还要告知境外用户,对收集的个人信息将可能在(对境外用户而言)境外进行处理,而且由于各国对于个人信息保护特色不同,还需要告知各国对于个人信息保护可能存在差异这一情况。
(三)紧急情况下的告知
关于紧急情况下的告知。《个人信息保护法》第十八条第二款规定,紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。对NFT平台而言最典型的可能是发生安全事件时可能会涉及处理相关个人信息,如当时来不及告知,需要在紧急情况消除后及时告知。
关于发生个人信息安全事件时的通知。通知与告知似乎有点类似,但有明显区别。通知的目的是为了让个人采取相应措施,避免损失进一步扩大,同时为方便日后采取相应救济措施。该法第五十七条规定,在发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。NFT平台涉及不同的区块链底层和不同的智能合约应用,其中可能涉及的技术安全风险还是比较高的,因此NFT平台需要先制订应急预案,并在安全事件出现时及时告知相情况。
(四)重要信息处理者的告知
达到一定数量的个人信息处理者的公开性“告知”。该法第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
重要互联网平台的“告知”。该法第五十八条规定重要互联网平台应当定期发布个人信息保护社会责任报告,接受社会监督。本质上是告知社会公众履行个人信息保护义务的情况。
随着NFT平台的不断发展,其产品和服务会日趋完善,其应用范围会日趋扩大,与个人日常生产生活也会结合地越来越紧密,其处理的个人信息会也越来越多。据媒体报道,目前公认为最大的NFT平台Opensea至2021年8月,至少交易过一次的账户已经达21万个。可以预计,随着这一领域业务快速增长,平台用户数量如果达到上述相关要求时,需要做好相应的告知和报告。
(五)无需告知的情况
《个人信息保护法》第十八条第一款规定,个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。实际上《个人信息保护法》第十七条已经规定了有关不需要告知的情况,《网络安全法》和《数据安全法》也都规定对涉及保密或有关机关追究相关违法犯罪行为时不需要告知等。
一般NFT平台都会在隐私政策中,告知用户无需要告知用户情况,包括与平台履行法律法规规定的义务时;涉及国家安全、国防安全相关情况时;涉及公共安全、公共卫生、重大公共利益时;涉及犯罪侦查、起诉、审判和判决执行等司法或行政执法相关案件时;用户自行向社会公众公开的个人信息;从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
另外,一般平台还需要告知有关内容,如个人信息处理活动方式的更新,因此需要及时更新,并告知用户如何获得这些更新;另外用户如何联系到平台。如何确定用户获得了这些告知?一般而言,需要向用户明确,在该访问和使用网站之前,需要了解本告知,如果继续使用,则视为已经了解了本告知。
五、告知的形式
《个人信息保护法》和其他有关法律法规并没有对告知的具体形式做硬性规定。实践中,由于信息数据处理活动丰富多样,应用场景差异甚大,告知内容和对用户权益的影响各不相同,告知形式是多种多样的,确实也很难做到整齐划一。正如上所述,很多告知内容是以隐私政策的形式体现;在隐私政策有更新时可能会有公告形式进行告知,或告知隐私政策新版本更新。另外在具体收集信息时,一般会针对具体用户进行提示告知;在收集敏感个人信息时,还会单独进行告知。如果法律法规要求,可能还需要另行书面告知。另外重要互联网企业向社会发布社会责任报告,也是一种“告知”,因此需要根据具体情况确定。