目录01数字藏品交易涉及数据场景和数据类型1数字交易的参与方

数据合规性和数字馆藏

内容

01

数字馆藏交易涉及数据场景和数据类型

02

数字收集平台收集和处理个人信息的合规义务

03

我们的建议

❖

随着“数字馆藏”这一概念在国内外的流行，数字馆藏突然从国外的小众新事物变成了国内外流行的新概念。同时，随着“web3.0”概念的推出，数字馆藏似乎成为了广大民众拥抱新数字时代最便捷的渠道。从最初的流行亚文化到文博类非遗艺术品，从简单的艺术品到虚拟门票、景区地图数字藏品，再到线上线下的虚实联动、场景和数字馆藏覆盖区域的营销推广。 expand1，逐渐从国外的“万物皆可NFT”演变为更加本土化的“万物皆可数字化收藏”。数字馆藏领域使用的区块链等新兴技术在监管层面仍然是新的。同时，随着参与者数量和影响范围的不断扩大，数字馆藏的交易过程往往会涉及到大量的数据和个人信息。平台和其他收集领域参与者的合规要求也在逐渐提高。在本文中，我将与您讨论与数字馆藏的数据合规性相关的问题。

01

数字馆藏交易涉及数据场景

和数据类型

1

数字馆藏交易的参与者

纵观数字馆藏交易涉及的各个环节，数字​​馆藏交易全过程的参与者可分为IP方、发行方、区块链等相关技术提供方、销售方和消费者。著作权人或已获得相关授权的IP方提供相应的著作权及其他知识产权授权后，数字作品的发行者自行或委托其他技术提供者对数字馆藏进行铸造和分发，即使用区块链转换数字馆藏的技术。相关信息记录在某个区块链上。数字馆藏生成后，将在数字馆藏平台或其他流通商店进行销售。消费者通过平台、论坛、网页等数字馆藏交易渠道购买数字馆藏，并按照与发行人的约定享受、使用、处置。此类数字馆藏的权利。当然，在整个交易过程中，也会涉及到其他为数字馆藏交易提供服务的第三方，比如提供数据存储的服务器服务商，为交易和结算提供技术支持的第三方交易软件或平台，以及提供用户信息验证的公司。技术服务商、其他通过SDK接入的第三方等

数字馆藏交易的参与者看似众多，但实际上，目前市场上的大多数数字馆藏平台都服务于发行者、技术提供者和销售者的多重角色。在这些参与者中，交易双方的知识产权方和用户更多时候只是数据或个人信息的提供者。因此，数字馆藏交易中的主要数据合规问题是数字馆藏平台的数据合规问题。数字化采集平台的合规义务和责任，以及监管部门对数字化采集平台数据合规性的重视程度远远超过其他参与者。 .

2

数字馆藏交易中的场景和数据类型

►

注册阶段

常见的数字收藏平台要求用户在登录平台时注册为平台用户，未注册用户一般只能浏览APP。平台经常要求用户提供昵称、手机号、微信ID（例如平台是微信小程序的形式）、邮箱地址等个人信息，才能使用平台的基本功能。平台。用户注册后，可以获得自己唯一的区块链地址（即钱包地址）。

►

数字收藏铸造阶段

数字馆藏的铸造阶段主要涉及数字馆藏的元数据和链上数据信息。一般来说，数字馆藏的铸造数据记录在区块链上，而作品的元数据通常存储在中心化服务器上​​（分布式存储很少使用）。此类数字馆藏的基础数据是数字馆藏的基础资产，用于指向和区分特定的数字馆藏，包括但不限于名称、大小、原权利人、所有者和数字馆藏原创作品的其他基本信息，以及当事人与发行人约定的授权范围等IP授权数据信息2。

►

购买交易阶段

在法律允许的购买、转让或二次交易过程中，除消费者在用户注册过程中提供的手机号码、邮箱、账号等信息外，通用平台要求交易者提供姓名、身份证号等信息进行实名认证。在支付环节，交易者还需要进一步提供银行账号等信息以执行交易。根据第三方支付平台的要求，用户在某些情况下还可以自由选择提供人脸信息进行人脸识别。在实体馆藏与数字馆藏相结合的商业模式下，购买者还将向发行者提供收货人名称、地址、收货人电话等个人信息，供发行人发送相关实物权利。

在交易过程中，数字收藏平台还可能获取交易各方的账户信息、区块链地址、交易价格、数量明细、收藏哈希值、流通哈希值等信息，并将这些个人信息或个人敏感信息存储在区块链或服务器上。

►

个性化推荐和安全保护需求

近年来，大数据算法的广泛使用使得平台热衷于收集用户数据以进行个性化推荐。同时，为保护账号安全，提升访问安全体验，部分数字采集平台还在其用户协议或隐私政策中明确表示将使用cookies、Beacon、Proxy等技术收集用户的浏览信息、设备IP地址、硬件ID等信息3.

02

数字采集平台收集和处理个人信息

合规义务

作为用户数据和个人信息的处理者，以及相关区块链技术服务的提供者，数字采集平台类似于一般的电子商务平台，需要遵守《网络安全法》和《数据安全法》。 、个人信息保护法及相关配套法律法规对网络运营者、数据处理者、个人信息处理者的相关合规要求。

1

数据和个人信息的收集和使用

在数字采集交易过程中，会收集到大量的用户个人信息甚至个人敏感信息。因此，数字采集平台需要遵循《网络安全法》和《个人信息保护法》中个人信息采集的基本原则，即 a) 在最小范围内采集个人信息，以达到处理目的； b) 收集、使用个人信息时，应当遵循合法、正当、必要的原则； c) 告知用户个人信息的收集和使用规则，明确收集和使用个人信息的目的、范围和方式，并征得用户同意； d) 具有明确、合理且直接相关的处理目的，并采用对用户个人权益影响最小的方式4。此外，用户的银行卡号、身份证号等敏感的个人信息也应征得用户的个人同意。

2

数据和个人信息的存储

收集交易数据和用户个人信息后，数字采集平台作为数据和个人信息的处理者，还应当履行相应的数据存储合规义务。由于区块链的半中心化特性，许多数字采集平台使用集中存储数据。因此，数字采集平台应谨慎履行与数据和个人信息存储相关的安全责任5。

根据《网络安全法》和《个人信息保护法》的相关规定，存储数据的范围应为达到目的的最小范围，同时数字采集平台需要采取相应的安全保护措施，防止网络数据泄露或被盗、被篡改。

根据《网络安全法》《网络安全等级保护制度》的相关要求，数字采集平台作为网络运营者，应当制定内部安全管理制度和操作规程，确定参与人负责网络安全工作，落实网络安全保护责任；采取技术措施防范计算机病毒，避免网络攻击、网络入侵等危害网络安全的行为；采取技术措施，监测、记录网络运行状态和网络安全事件，并按照规定保存相关网络日志不少于六个月；对数据进行分类，备份重要数据并采取加密措施，防止未经授权的访问和个人信息泄露、篡改和丢失6。此外，《个人信息保护法》和GB/T35273-2020《信息安全技术个人信息安全规范》均规定个人信息的存储期限为达到处理目的所需的最短时间7。

《数据安全法》要求建立数据安全管理制度。数字化采集平台还应在开展业务活动时建立完善的流程数据安全管理制度，组织数据安全教育培训，并采取相应的技术措施和其他必要措施，确保数据安全。根据《网络安全法》的要求，数字采集平台需要按照相关要求制定网络安全事件应急预案，及时应对系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险；立即启动应急预案，采取相应补救措施，并按规定向有关主管部门报告9。

3

关于委托处理的说明

如前文《数字馆藏交易》中“场景与数据类型”所述，数字馆藏的交易过程也可能涉及数据委托处理。平台作为受托处理方，也需要履行相应的合规义务。

根据《个人信息保护法》的要求，在委托处理个人信息时，数字采集平台作为个人信息处理者，需要进行个人信息保护影响评估，并将委托处理的情况记录在提前，并与受托人就委托处理达成一致。目的、期限、处理方式、个人信息类型、保护措施以及双方的权利和义务。 GB/T35273-2020《信息安全技术个人信息安全规范》进一步明确了委托方在委托处理活动中需要遵守的相关规定，包括对委托行为的个人信息安全影响评估；责任和义务，或通过对受托人进行审计来监督受托人。发现受托人未按照委托要求处理个人信息，或者未切实履行个人信息安全保护责任的，还应当立即要求受托人停止该行为，采取有效补救措施数字藏品，或者终止与其合作关系，并删除相关个人信息等10.

4

品牌营销中的数据安全

越来越多的传统行业知名品牌开始推出自己的数字系列，为实体产品的营销和推广赋能。然而，这些传统行业品牌通常不具备开发自己的数字馆藏的能力。因此，体育、电商、奢侈品、快消品等行业的品牌数字化收藏常见的营销活动，采用类似于联合营销的模式，即品牌将自己的员工或消费者数据提供给数字化。收藏平台，或委托数字收藏平台为其开通专属活动页面。消费者或员工自行提供相关个人信息，并在注册成为数字收藏平台用户后接收相关数字收藏。 有时品牌也会通过向消费者发送短信的方式进行营销推广，以吸引消费者参与活动。

在前述品牌营销活动中，如果品牌方将品牌收集的员工和消费者的个人信息提供给第三方数字采集平台，则持有该等信息的品牌方需要获取消费者的个人信息和员工提前。同意并告知员工或消费者姓名、联系方式、处理目的、处理方法以及提供给接收其信息的数字收集平台的个人信息类型。根据品牌方与数字采集平台签订的协议，数字采集平台将在协议约定的处理目的、处理方式和个人信息类型的范围内处理此类个人信息。如果数字采集平台改变处理目的和处理方式，也需要重新获得消费者和员工的同意11。通常，相对强势的品牌方会明确要求数字收藏平台严格遵守相关法律法规、双方的隐私政策以及与数字收藏平台签订的协议中的协议要求。对于数字采集平台，还需要进一步确认品牌方提供的数据和个人信息来源的合法性，避免超出范围使用带来的法律风险。

03

我们的建议

大部分数字馆藏平台仍处于业务发展的初级阶段。与少数大型互联网公司孵化的传统数字采集平台不同，它们的数据合规体系还不成熟和完善。为此，我们在实践中结合了我们的经验和见解。 ，与您共同探讨数字化采集平台的数据合规性要点。

1

梳理平台业务运营中不同业务场景所涉及的数据和个人信息类型

首先，为确保数字采集平台所收集和处理的数据和个人信息符合《数据安全法》和《个人信息保护法》要求的“最低限度和必要”原则，数字采集平台应梳理全生命周期的不同业务形态下，平台需要采集和使用的数据和个人信息的类型、使用目的，从而过滤掉必要的数据和信息需要在不同的业务场景中获取，以及使用相关数据和信息的目的。这种初步的信息整理不仅可以帮助平台更好地了解其业务涉及的各种数据和个人信息，还可以帮助平台在用户协议、隐私政策等合规文件中进一步告知用户。说明收集和使用各种数据和信息的目的，以满足相应的合规要求；也可以帮助平台方关注共享、委托加工等与第三方合作的需求，从而安排整合相应的义务模型，更好地开展业务。

2

指定用户端合规性文本，例如用户协议、隐私政策等。

用户协议、隐私政策和用户使用过程中的弹窗提示是数字采集平台实现相关法律法规“告知+同意”要求的主要方式。因此，相关用户的合规文本内容也需要数字采集平台方重视。

数字采集平台需要根据梳理出来的实际业务场景以及各个场景下需要采集和使用的信息，尽可能详细地向用户披露所采集的个人信息的类型和使用方式；对应需要收集的个人信息，告知用户拒绝提供相关信息可能产生的影响，以便用户选择是否提供信息；同时，如涉及敏感个人信息，需以粗体、下划线等方式突出显示，以提醒用户特别注意：涉及委托处理、共享的情况，还需逐项列出目的和方式委托第三方处理或共享的内容、所涉及的个人信息类型以及该等接收方采取的委托处理或共享行为的安全措施。对于需要用户单独同意的场景，更需要在产品设计中添加相关弹窗或点击窗口，并通过必要的文字提示起到通知义务。

确实，乍一看，各种数字采集平台的用户端协议在内容和表达上都具有高度的相似性，并且与不同类型软件的其他相关协议也有相似之处，但平台端不得直接跟随脚本。而是需要结合自身实际情况，结合业务场景和自身能力，制定适合自身数字化馆藏平台的用户端合规文本。

3

与合作第三方签署合规文件以监控第三方行为

在数字化采集平台运行过程中，可能会出现接入第三方SDK、委托其他技术提供商进行多环节数据处理等情况。第三方产品和服务或受委托处理者的行为应当承担相应的数据安全管理和监督责任，并有义务对软件源、代码和行为的安全性进行相应的评估和监控。为了控制与第三方合作过程中的风险，数字化采集平台需要建立一定的供应商选择标准和机制，对第三方采取相对严格的审查和约束标准，避免第三方违约当事人自有平台造成的违约。损失和不利影响。

同时，数字采集平台需要明确第三方采集和使用的个人信息类型、申请的敏感权限、采集个人信息的目的、保存期限、逾期方式等第三方应采取的措施、应承担的责任和义务，要求建立相应的数据安全能力，实施必要的管理和技术措施，尽最大努力保护消费者的个人信息不被泄露，滥用。 、篡改、泄漏、丢失和被盗。

4

提升平台的数据存储和数据保护能力

考虑到国内大部分数字采集平台在现有合规模式下使用联盟链，链上数据的真实性和安全性高度依赖于联盟方的权威性和公信力。如果平台是联盟链的持有人，则应严格按照《数据安全法》的要求，保护自身平台数字资产权证的数据安全。同时，在与其他联盟链互联时，也要注意数据共享的数据安全。保护和合规要求 12.

因此，数字采集平台应按照相关法律法规要求，切实履行数据安全和数据质量管理职责，制定内部安全管理制度、操作规程和个人信息安全事件应急预案，确定网络安全负责人，对个人信息进行分类管理，做好用户信息访问权限的管控；采取技术措施防范计算机病毒、网络攻击、网络入侵等危害网络安全的行为，制定网络安全事件应急预案，防范系统漏洞、计算机病毒、网络攻击和网络入侵等安全风险。

5

关注监管趋势并跟踪合规要求的变化

数字馆藏是近年来新兴的热门领域。目前没有对数字馆藏数据合规性的详细要求。然而，数字馆藏行业的混乱增长却引起了监管部门的关注。需要注意的是，近年来，与数据安全和个人信息保护相关的监管合规要求不断出台。在各行业出台更有针对性的实施细则。这也意味着监管部门的合规执法口径会越来越完善和细致，对被监管企业的合规要求也会越来越高。平台方应密切关注数据安全领域的立法动态，根据监管合规需求的变化调整企业合规策略和合规措施。

参考资料：

[1]。 《数字馆藏应用参考》数字馆藏概述部分“（三）数字馆藏范围”。

[2]。重点：数字收藏（NFT）交易平台的数据合规性，老猪，上次访问时间为 2022 年 8 月 23 日。

[3]。 WhaleTalk 隐私政策 [版本 20220701]，上次访问时间为 2022 年 8 月 23 日。

[4]。网络安全法第四十一条，个人信息保护法第七条六、。

[5]。重点：数字收藏（NFT）交易平台的数据合规性，老猪，上次访问时间为 2022 年 8 月 23 日。

[6]。网络安全法第21条。

[7]。 《个人信息保护法》第十九条，GB/T35273-2020《信息安全技术个人信息安全规范》第6.1a)条。

[8]。 《数据安全法》第二十七条。

[9]。 《网络安全法》第二十五条。

[10]。 GB/T35273-2020《信息安全技术个人信息安全规范》第9.1条。

[11]。个人信息保护法第23条。

[12]。黄斌：元界法律篇（二）——NFT建立元界经济体系中的法律问题分析，2022年8月23日最后访问。

作者

朱黎明

zhuliming@grandwaylaw.com

本站所有活动均为互联网收集所得，如有侵权请联系本站处理。薅羊毛活动可能随时更改规则，建议仅免费参与，如需投资必须谨慎。


    点击加入【薅羊毛捡漏活动线报QQ群】774834311

标签：个人信息保护法网络安全法数据安全