Worldcoin,這家由 OpenAI 創始人 Sam Altman 創辦的加密項目,在不久之前宣佈將在阿根廷十多個城市開設 50 個營業網點,包括兩家體驗商店。然而,實際上,一個月前,Worldcoin 還因在阿根廷的運營飽受爭議,當時阿根廷多方指責或控告 Worldcoin 的運營模式嚴重侵犯了用戶隱私和阿根廷的數據隱私法律,這也把 Worldcoin 推上了風口浪尖。

*來源:Worldcoin 官方社交媒體截圖

與其他加密項目不同,Worldcoin 項目的運營,本身就極其依賴線下網點的運營。當然,也正是因爲這一點與衆不同,Worldcoin 在全世界的運營重重受阻。無獨有偶,此前,Worldcoin 的營業就在全球多個國家和地區碰壁,比如肯尼亞、法國、德國、西班牙和中國香港,全部遭遇監管挑戰。

那麼,短短一個月時間,Worldcoin 就突然逆風翻盤,這是否標誌着 Worldcoin 已經解決了阿根廷的監管難題?Worldcoin 在阿根廷的模式能否複製到其他國家?飽受爭議的 Worldcoin,這次是否真的找到了自己的發展之路?首先,由曼昆律師帶大家回顧 Worldcoin 項目在阿根廷遭遇的監管,並分析其飽受批判的原因。

Worldcoin 在阿根廷被批判

Worldcoin 是一家加密企業,由 OpenAI 首席執行官 Sam Altman 聯合創立,公司的願景是“建立一個全面的全球金融和身份網絡”。在Web2,當我們在進行身份認證時,不外乎採用指紋或是人臉識別的方法,而 Worldcoin 使用虹膜作爲介質,試圖將數字身份認證帶進Web3的世界。爲了完成這一目標,Worldcoin 採用了獨特的 Orb 設備:Orb 是由 Worldcoin 開發的專有虹膜掃描和成像設備,Worldcoin 項目方利用該設備,在全球範圍內設立線下掃描點,掃描用戶虹膜並完成身份綁定,完成綁定的用戶將獲得專屬於自己獨一無二的 WorldID,並可獲得價值 50 美元的 WLD 代幣。

然而,Worldcoin 的運營從一開始就並非一帆風順。以阿根廷的運營來說,Worldcoin 早在去年就已經入駐阿根廷。然而隨後,阿根廷一名律師對 Worldcoin 違反數據隱私法提出了投訴,Worldcoin 項目方也因此停止了在阿根廷門多薩省的業務。一直到 2024 年 3 月,阿根廷布宜諾斯艾利斯省的官員也還在指責 Worldcoin 未能回答其用戶條款和條件中“濫用條款”的具體問題。與此同時,Worldcoin 當時可能面臨高達 10 億阿根廷比索(約合 107.5 萬美元)的罰款。此外,Worldcoin 在阿根廷掃描未成年人的虹膜和麪部數據,也使項目方遭受許多批評與指責。

彼時 Worldcoin 項目方表示將“尋求機會與政府機構、監管機構和第三方互動,並回答他們可能提出的任何問題”。

Worldcoin 遭遇全球監管

與在阿根廷的情況類似,其因虹膜數據收集涉及的隱私問題,Worldcoin 在多個國家遭遇了不同程度的監管阻礙。即便在一些擁抱加密資產的國家,Worldcoin 也未能倖免。以下是曼昆律師爲大家盤點的有關 Worldcoin 的監管風波:

  • 肯尼亞,肯尼亞曾是首批啓動 Worldcoin 註冊認證的國家之一,但後來肯尼亞政府頒佈禁令,中止了 Worldcoin 的註冊認證。肯尼亞內政部在聲明中表示,“立即暫停世界幣活動,直到相關政府機構證明不存在任何公衆風險”。

  • 法國,法國國家信息和自由委員會(CNIL)對 Worldcoin 的生物識別數據收集方式提出質疑,並啓動了調查,以確保其活動符合法國和歐洲的數據保護法規。

  • 德國,德國巴伐利亞州數據保護監督辦公室對 Worldcoin 的大規模生物識別信息處理提出擔憂,認爲這些技術“在處理財務信息的特定核心目的方面既不成熟也未被充分分析”。

  • 西班牙,西班牙數據保護局(AEPD)曾下令 Worldcoin 停止在西班牙收集和處理數據,併發布了爲期三個月的臨時禁令,聲稱在調查關於西班牙用戶無法撤回同意以及 Worldcoin 涉嫌收集未成年人數據的投訴。

  • 香港,個人資料私隱專員鍾麗玲向 Worldcoin 發出強制執行通知,勒令立即停止在香港所有涉及使用虹膜掃描設備掃描和收集公衆虹膜和麪部圖像的項目運營。PCPD 於 2024 年 1 月開始對 Worldcoin 項目進行調查,以確定該身份驗證方法是否對公民個人資料隱私構成嚴重風險並違反《個人資料保護條例》的要求。

面對種種監管挑戰,Worldcoin 該如何解決?曼昆律師認爲,其在阿根廷積極恢復業務的策略值得借鑑。

Worldcoin 的積極對策

在阿根廷獨特的有利前提和背景下,Worldcoin 展現了其靈活應變的能力,通過一系列策略成功地化解了危機。

有利前提:米萊的“電鋸式改革”

2023 年底,阿根廷迎來了以大膽聞名的新總統——哈維爾·米萊。上任短短半年,這位充滿野心的領導人就通過了一系列被外界稱爲“電鋸式改革”的法規,包括將加密貨幣納入了改革的重要組成部分。

去年年底,阿根廷外交部長 Diana Mondino 曾指出,阿根廷政府正在準備一項法令,計劃在特定條件下允許該國使用比特幣和其他代幣進行合法支付。這一動向在過去幾年裏尤爲引人注目。比索的持續貶值、匯率的劇烈波動以及政府對市場的嚴格限制,使得加密貨幣逐漸成爲阿根廷民衆儲蓄和投資的替代選擇。這樣的政策環境,爲 Worldcoin 在當地開展業務提供了得天獨厚的條件。

積極改革:Worldcoin 項目方所作的努力

Worldcoin 的運營如何在阿根廷“起死回生”?要弄清楚這個問題,首先我們要了解,Worldcoin 在阿根廷受指責的爭議點:

  • 隱私數據保護,根據阿根廷第 25326 號法《個人數據保護法》("PDPL")和相關條款,數據處理負責人有義務將其數據庫向 AAIP 註冊,提供有關其處理政策的信息,說明他們需要敏感數據的用途和處理時間。保護相同的信息,以及詳細說明用於保護個人信息的安全和保密措施;

  • 一般消費者保護,布宜諾斯艾利斯省政府指控 Worldcoin 在用戶協議中添加了不公平的條款,這可能違反了消費者權益。這些條款包括允許在未提供補償的情況下中斷服務、要求用戶放棄集體訴訟權利,並將仲裁地點設在加利福尼亞州;

  • 用戶數據侵犯,Worldcoin 還被指在未能阻止未成年人註冊、在巴西處理用戶的虹膜數據,以及存儲涉及阿根廷用戶的私人數據等方面存在問題。這些行爲被視爲侵犯了用戶數據的使用、保護和存儲的規定 。

而 Worldcoin 在阿根廷被推上風口浪尖之後,項目方反應迅速,積極配合阿根廷的監管政策,做出相應的整改:

  • 首先,Worldcoin 承諾將繼續與監管機構合作,以確保其項目滿足所有監管要求,併爲用戶提供安全、透明的服務。公司強調了其對隱私和數據保護的承諾,並表示將配合政府和監管機構提供有關其隱私和數據保護實踐的更多信息。

  • Worldcoin 表示其一直在進行技術改進,特別是在數據處理和用戶隱私保護方面。這包括改進其身份驗證過程中的數據保護措施,並確保敏感的生物識別數據(如虹膜掃描數據)在使用後被刪除,以避免存儲此類高度敏感的個人信息。

具體技術解決方案有:

  • 修改後的隱私條款,允許用戶通過永久刪除虹膜代碼來取消對其 World ID 的驗證;

  • 在隱私保護政策中新增附則,在阿根廷設立專門機構處理阿根廷用戶的投訴和索賠;

  • 在條款中更新拒絕向未滿 18 歲人士提供服務的聲明,對於已經註冊的未成年人,也開放了刪除資料渠道,涉事本人和監護人均可通過該渠道刪除 Worldcoin 保存的相關資料;

  • 根據阿根廷監管當局的要求,在官網提供阿根廷語版本的隱私政策,並對其中部分條款做了針對性調整。

通過上述一系列改革,Worldcoin 得以在阿根廷絕地翻盤,獲得阿根廷政府的認可,併成功在十多個城市成立 50 個運營點。事實上,在加密和Web3行業這樣的情況比比皆是,比如此前曼昆律師有聊過 TON 生態遊戲之一《倉鼠快打在伊朗引發了廣泛的關注和爭議》。那麼,對於Web3項目以及創業者來說,面對政府監管,加密項目又該如何進行合規預防以及調整?

Worldcoin 絕地反擊帶來的啓示

曼昆律師認爲,Worldcoin 所帶來的經驗,對Web3領域的許多項目方起到了極爲重要的借鑑作用,尤其是 DID 和 DePIN 兩個賽道的創業者。我們認爲,以下兩類風險是這兩個領域的創業者和項目方應該共同關注的問題:

  • 隱私保護問題。Worldcoin 在阿根廷和其他國家面臨的主要問題之一就是隱私數據保護。對於Web3領域中的去中心化身份(DID)和去中心化物聯網(DePIN)項目,隱私保護同樣是一個至關重要的挑戰。

  • 數據跨境問題。對於Web3項目,尤其 DID 和 DePIN 領域,數據跨境傳輸的問題尤爲突出。不同國家對數據跨境傳輸有不同的法規要求,項目方需要充分了解並遵守相關法律。

對於上述兩問題,曼昆律師建議項目方應當在事前和事後兩方面做好充分的合規準備和應急措施,以保護業務開展:

敏感數據的處理與存儲

DID 項目涉及數字身份認證領域的法律問題,項目方會不可避免地接觸用戶的高度敏感信息,如個人身份、住址、銀行賬戶、甚至指紋、虹膜等身份數據。這些數據的收集、存儲和處理需要極高的安全性和透明度。項目方必須確保數據在收集和使用過程中不會被濫用,並且要明確用戶的知情權和同意權。同樣,在 DePIN 項目中,有些 DePIN 設備可能收集較爲敏感的處理傳感器數據或用戶行爲數據等,存在上述情況時,也需要遵循嚴格的隱私保護標準。對敏感數據的處理與存儲問題,曼昆律師認爲可以通過如下業務安排,降低合規風險:

  • 數據收集透明度。項目方需要向用戶明確說明數據的用途、存儲時間和處理方式。這不僅有助於提升用戶信任度,也符合各國數據保護法規的要求。

  • 數據最小化原則。只收集完成服務所需的最少數據,避免過度收集用戶信息。DePIN 項目需要特別注意,只收集與物聯網服務直接相關的數據。

  • 安全措施。採用最新的加密技術和數據保護措施,確保敏感數據在傳輸和存儲過程中的安全性。對於 DePIN 項目,這包括確保傳感器數據在收集和傳輸過程中不被竊取或篡改。

  • 用戶同意機制。在數據收集之前明確告知用戶數據用途,並獲得用戶的明確同意。對於 DID 與 DePIN 項目,這意味着在收集使用用戶數據之前,必須確保用戶完全瞭解其數據的用途。

  • 數據訪問與刪除。提供用戶訪問其數據的途徑,並允許用戶在需要時刪除其數據,確保用戶能夠控制其設備收集的數據。

跨境數據傳輸合規性

項目方需要確保數據在跨境傳輸過程中符合各國的法律法規。例如,歐盟的《通用數據保護條例》(GDPR)對數據出境有嚴格的要求。我國也頒佈《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《數據出境安全評估辦法》及相關法律法規來構成數據跨境傳輸的法律框架。對於 DID 與 DePIN 項目,涉及到高度敏感的身份數據,傳感器數據,跨境傳輸更需謹慎,需要嚴格遵守各地法規。曼昆律師提出以下建議:

  • 本地化數據存儲。在可能的情況下,考慮在用戶所在國設立本地化數據存儲設施,以減少跨境數據傳輸的複雜性和風險。對於 DID 項目,這可以有效降低數據跨境傳輸帶來的合規風險。

  • 透明的用戶協議。在用戶協議中明確跨境數據傳輸的相關條款,確保用戶瞭解並同意其數據可能會被傳輸到其他國家。DePIN 項目可以在協議中詳細說明數據的跨境傳輸和處理流程。

持續性合規與事後應對

Web3作爲新興行業,在過去十餘年吸引許多有理想、有想法、有熱情的創業者做了大量的創新和大膽的嘗試,然而,由於行業發展迅猛,法律和監管往往滯後,導致不少衝突。許多項目方在開始運營時,相關領域的法律可能尚未完善,甚至是空白,常常在運營一段時間後才面臨監管難題。那麼在這種情況下,項目方應當如何應對呢?曼昆律師建議:

  • 積極地保持與當地監管部門溝通。Worldcoin 在阿根廷出現監管風險後,項目方多次與監管機構溝通,努力保持對話,對隱私政策以及用戶協議作出調整,並在運營點禁止未成年人進行虹膜掃描,加之阿根廷政府對加密世界較爲積極的態度,項目方纔得以重新展開運營。值得注意的是,在本文截稿前,肯尼亞政府也放開了對 Worldcoin 的監管。

  • 定期進行合規審查。在業務運營過程中,定期進行合規審查,以確保持續符合最新的法律要求。面對變化多端的監管環境,保持靈活性和前瞻性,及時調整運營策略,是Web3項目方的重要策略。

  • 迅速應對監管要求與準備補救措施。當面臨新的監管要求或突發的合規問題時,項目方應迅速採取行動進行調整。例如,修改用戶協議條款、增強數據保護措施或暫停某些業務以符合新的法規。當因合規問題導致用戶權益受損時,項目方應及時採取補救措施,並提供適當的補償,以維護用戶的信任和公司的聲譽。

  • 尋求專業法律建議與合規指導。專業律師給出的法律意見可以幫助項目方在法律和監管方面作出正確的決策,減少風險。曼昆律師在此提醒,Web3創業團隊在運營過程中遇到合規問題時,應及時諮詢專業律師,尋求法律建議與合規指導。