经营NFT数字藏品,注意用户实名认证丨曼昆区块链法律实务
区块链没有国界,但从业人员却有自己的国家。加密算法可以让你匿名,但法律却要求你实名。
创新需要边界,跑马圈地也需要有自己的铁丝网。对于NFT数字藏品网站来说,用户实名是合规的边界,也是商业版图需要的铁丝网。
一、实名认证是什么?
实名认证是对互联网用户资料真实性进行的验证,让虚拟世界的用户能够对应上现实世界中的组织或个人。
二、为什么要做实名认证?
不是所有的互联网都需要进行实名认证。如果只是在互联网上单纯的浏览信息是没有必要进行实名认证的,但当用户在网站发布内容、与其他用户互动、购买商品等行为,则需要完成基本的实名认证。
作为数字藏品服务平台,重视网站用户的实名认证,不仅仅是法律上的合规需求,同时也是更好进行商业化、降低侵权发生时所要承担责任的需求。
(1)产品商业化需求
此前我跟一个互联网产品经理吐槽,为啥用户明明已经通过微信快捷登录产品了,还要让用户再绑定手机号?产品经理一句话就怼过来了,说不搞到用户的手机号我们咋搞钱?
话糙理不糙。你能看到,虽然现在通过支付宝、微信等第三方登录变得十分便捷,但网络平台在用户进行第三方快捷登录后,还会强制或者激励性地让用户绑定自己的手机号。原因是,拥有用户的手机号后更有利于向用户推送短信消息,或者让公司的商务人员电话跟进客户进行产品销售或运营。
(2)法律合规要求
目前国内关于用户实名认证的法律法规、政策通知有很多,对于区块链、NFT数字藏品行业比较相关的有如下重点规定:
《区块链信息服务管理规定》第八条 区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务。
《互联网用户账号管理规定》第五条 互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。
《网络安全法》第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
《电子商务法》 第二十七条 电子商务平台经营者应当要求申请进入平台销售商品或者提供服务的经营者提交其身份、地址、联系方式、行政许可等真实信息,进行核验、登记,建立登记档案,并定期核验更新。电子商务平台经营者为进入平台销售商品或者提供服务的非经营用户提供服务,应当遵守本节有关规定。
《移动互联网应用程序信息服务管理规定》第七条 移动互联网应用程序提供者按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。
《互联网用户公众账号信息服务管理规定》第八条 公众账号信息服务平台应当采取复合验证等措施,对申请注册公众账号的互联网用户进行基于移动电话号码、居民身份证号码或者统一社会信用代码等方式的真实身份信息认证,提高认证准确率。用户不提供真实身份信息的,或者冒用组织机构、他人真实身份信息进行虚假注册的,不得为其提供相关服务。
《互联网论坛社区服务管理规定》第八条 互联网论坛社区服务提供者应当按照“后台实名、前台自愿”的原则,要求用户通过真实身份信息认证后注册账号,并对版块发起者和管理者实施真实身份信息备案、定期核验等。用户不提供真实身份信息的,互联网论坛社区服务提供者不得为其提供信息发布服务。互联网论坛社区服务提供者应当加强对注册用户虚拟身份信息、版块名称简介等的审核管理,不得出现法律法规和国家有关规定禁止的内容。互联网论坛社区服务提供者应当保护用户身份信息,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。
(3)降低自身法律责任要求
有生意的地方必然也有争议,国内目前的数字藏品平台以藏品售卖为主,既有自营,也有商家或者个人用户之间的交易。如果没有做到基础的实名认证,发生争议,可能都不知道要去找谁理论去。
《消费者权益保护法》第四十四条规定,消费者通过网络交易平台购买商品或者接受服务,其合法权益受到损害的,可以向销售者或者服务者要求赔偿。网络交易平台提供者不能提供销售者或者服务者的真实名称、地址和有效联系方式的,消费者也可以向网络交易平台提供者要求赔偿;网络交易平台提供者作出更有利于消费者的承诺的,应当履行承诺。网络交易平台提供者赔偿后,有权向销售者或者服务者追偿。网络交易平台提供者明知或者应知销售者或者服务者利用其平台侵害消费者合法权益,未采取必要措施的,依法与该销售者或者服务者承担连带责任。
追责的前提是能够找到真实的人,如果没有进行实名认证,一旦侵权事情发生,损失、责任便只能由平台来承担。
三、实名认证怎么做?
(1)常见的认证方式
实名认证并不存在完美达标的标准范式,而是要随着不同的商业模式、不同的产品形态而实行,实名认证有强度上的大小之分,虽然做了实名认证,但太浅了可能不达标,没用;但太强了用户可能会不爽同时成本支付的验证成本也高。所以实名认证的原则是:高风险强认证,低风险弱认证。
目前国内主流的实名认证方式有如下几种:
方式1:手机号+验证码
但这个的前提是用户使用的手机号是已经完成了实名认证。
方式2:身份证+银行卡
根据要求不同,一般可以分为二要素认证(姓名+证件号码)、三要素认证(姓名+证件号码+银行卡)、四要素认证(姓名+证件号码+银行卡+手机号码)
方式3:视频采集活体认证
通过摄像头采集人脸活体信息,用户根据语音或问题提示完成指定动作的方式。
方式4:第三方应用接口
如使用支付宝、微信、小米、华为等第三方账号登录。
像知乎、微博等内容的网站,通过手机号+验证码的方式就可以完成基础的实名认证,但像直播打赏、网络购物这种涉及到资金往来、收益提现的产品,则需要完成身份证+视频活体检测的严格认证。
对于NFT平台来说,因涉及到交易支付,NFT平台需核验用户的身份信息、财产状况等敏感个人信息较多,所以建议使用高强度的身份证+视频活体检测实名认证。
(2)多阶段多入口认证
但这并不意味着我们需要一次性的让用户完成强认证,毕竟要考虑到用户的产品使用体验,如果让用户注册时就填写过多的资料,可能会把用户给吓走。
在产品设计上,采取「分阶段、多入口」的渐进式实名认证,是一个比较推荐的方式,既能满足我们网站实名认证的需求,同时又能尽可能降低用户实名认证的负担。
以腾讯的幻核为例,在注册阶段,个人通过手机验证码的方式即可注册成用户,使用App,查看相关的藏品信息;而要购买数字藏品时,再提醒用户进行更进一步认证。
此外,通过集成具有认证服务能力和资质的第三方SDK引入认证系统,而将更多的研发资源放在产品上,或许是件事半功倍的解决方案,毕竟提供SDK的互联网大厂在合规方面会更有优势。
(3)注意用户告知和数据保护
首先,信息的采集一定要取得用户的同意。《个人信息保护法》系统规范了个人信息主体的权利以及个人信息处理者的义务,包括收集时的单独同意规则、必要性说明等义务。网站告知的内容包括:相关法律法规的具体条文,实名认证的必要性说明,对用户个人信息的保障措施、网站的免责情形等。告知方式上,可以采取在启动实名认证时,让用户主动勾选同意实名认证服务的方式进行。
其次,务必重视对用户数据的保护。实名认证不可避免的会收集用户个人信息,就这些信息平台方应进行有效保护,尤其是对人脸视频识别信息的合规要求(如不存储原始图像、仅存储摘要信息、加密分开存储等),最大限度规避因实名认证而带来的法律风险。
实名认证是一项集合了法律要求、商业变现、用户体验三个维度的重要事情,希望通过这篇文章能够为数字藏品行业的朋友们有所帮助,也欢迎添加红林律师的微信,交流更多关于数字藏品、区块链的有趣话题。
关于作者
刘红林律师
上海曼昆律师事务所创始人、主任
专注区块链数字资产合规、争议解决
5年以上区块链行业经验
担任区块链行业知名智库首席风控
主导发布《法律行业区块链2020年度报告》
编写书籍《区块链思维与数字化激励》
担任全球区块链创新50强项目评选法律顾问
为多个知名区块链项目提供法律服务
在数字资产合规及争议解决方面有丰富经验
刘红林律师
NFT专题文章
如果你对区块链/数字资产/NFT感兴趣
加入曼昆区块链法律实务
👇🏻