为确保个人信息出境安全，适应数字经济时代数据跨境流动的发展趋势，大约两年后的2019年6月13日，国家互联网信息办公室(简称“网信办”)再次发布《关于公开征求意见的通知》，[1]就《个人信息出境安全评估办法(征求意见稿)》(简称《办法》)公开征求意见。根据办法，个人信息(指以电子或者其他方式记录的能够单独或者结合其他信息识别自然人个人身份的各类信息，包括但不限于自然人的姓名、出生日期、身份证号、个人生物特征信息、住址、电话号码等。).出境前，网络运营者应当向所pivx官网（pivx官网哪里下app）在地省级网信部门申报个人信息出境安全评估，由所在地网信办组织安全评估。值得注意的是，意见稿还将境外机构收集境内个人用户信息纳入监管。根据《办法》第二十条规定，境外机构在经营活动中通过互联网收集境内用户个人信息的，应当通过其在境内的法定代表人或者机构履行本办法中网络经营者的责任和义务。由于部分境外币公司在经营活动中涉及通过互联网收集境内用户个人信息，境外币公司也可能被纳入《办法》的监管范围。笔者拟就此草案如果通过并实施可能对海外币公司产生的影响进行重点阐述，供大家参考和评论。根据意见稿，境外机构适用《办法》的条件和方式为:(一)境外机构在业务活动中通过互联网收集境内用户个人信息的；(二)这些境外机构应通过其在中国的法定代表人或机构(“境内代表”)履行《办法》中网络运营者的责任和义务。目前海外币圈企业大致可以分为两类:一类是受限于国内政策环境而出海的币圈企业。没有在中国注册，实际控制人为中国人。他们的服务器在海外，但在国内有提供技术支持或服务的机构，或者其他相关实体(可能和国内机构没有关系)，比如一些数字货币证券交易所、数字货币发行商、数字货币对冲基金、量化基金等。另一类是纯境外企业，没有在中国注册，实际控制人为外国人。服务器在海外，只有投资人或者用户有国内个人(比如Bitfinex，一些海外数字货币交易所等。).出于商业运作的目的，或者为了符合合规性的要求(如KYC)，一些境外货币公司会收集一些个人信息(如姓名、身份证号、电话号码等。)通过互联网网站和应用程序进行商业活动。根据规定，由于这些境外企业在经营活动中通过互联网收集了国内用户的个人信息，因此似乎需要受到适用法规的规制。但在《办法》相关条款的具体理解和适用上可能会出现一些问题:(一)涉及个人信息出境安全责任的合同由谁来签订？该方法借鉴了欧盟通用数据保护条例/GDPR下标准合同的相关监管思想。它要求网络运营者与境外接收方签订合同，对个人信息出境的目的、类型、保留时间、个人信息主体的权益、网络运营者与接收方的责任和义务等做出具体约定。，本合同是网络运营商向网信办申请安全评估的必备文件。根据该办法，网络运营者是指网络的所有者、管理者和网络服务提供者。以海外数字货币交易所为例。它的服务器通常部署在海外，网络运营和管理也在海外。因此，可以认为数字货币交易所是网络运营商。境内个人用户在境内注册账户，并在数字货币交易所运营的境外网站上提供相关个人信息的，境外数字货币交易所也可视为出境个人信息的接收方。由于境外数字货币交易所既是网络运营商，又是个人信息出境的接收方，身份重合，无法签订《办法》要求的合同。那么谁来签合同呢？根据《办法》，境外企业应当通过其境内代表履行《办法》规定的网络运营者的责任和义务。因此，境外机构国内代表(作为网络运营方)是否应该与境外机构(作为接收方)签订合同？方法需要进一步明确。(二)网信办如何有效实施监管？与上一个问题相关，如果境外企业目前没有境内机构，也没有法定代表人(境外机构通常没有法定代表人)，在《办法》实施后，按照《办法》设立，没有设立境内代表人，电子邮件部门应如何实施有效监管？此外，即使境外企业有境内代表，境内义务由谁履行仍不明确:义务人是境内子公司、关联方还是其他机构？如果有多个境内主体，境外机构是否有选择权？根据《办法》第六条，个人信息出境安全评估的重点内容包括是否符合国家相关法律法规和政策规定。根据《办法》第十三条，网络运营者与个人信息接收方签订的合同或者其他具有法律约束力的文件，应当载明个人信息出境的目的、类型和保存期限。基于此，个人信息的出境必须符合国家法律政策，网信办将综合考虑个人信息出境目的等因素决定是否发布。对于一些境外币公司来说，个人信息的出境是否符合我国的法律和政策是一个问题，因为一些个人信息的目的是参与境外投资和数字货币的交易。虽然国家没有直接禁止国内个人参与数字货币的投资和交易，但对数字货币发行和交易服务的负面政策和评价是明确的。因此，如果境外机构以向境内个人提供数字货币的发行和交易服务为目的收集境内个人信息，可能很难通过网信办的安全评估。对于参与境内个人信息收集的境外币公司，尤其是有境内代表的境外币公司，如果在个人信息出境方面存在合规问题，一旦境内投资者、竞争对手或其他投资受损方以此为由向网信办等部门举报，这些公司将不得不做出选择——要么停止境内个人信息收集，即放弃境内个人用户；要么遵守国内个人信息出境规定，履行《办法》规定的安全评估义务和责任。而对于从事一些国内政策不支持的业务的境外币公司，合规可能如本文第二条所述比较困难，所以最终结果可能是不得不放弃国内市场。基于上述情况，受《办法》约束的境外机构或其境内代表未能遵守《办法》规定的，其境内代表将承担相应的法律责任。网信办通过追究境内主体责任来约束境外机构的行为，确保法律法规的可执行性。基于此，对于在经营活动中涉及收集境内个人信息的境外币公司，除非没有境内代表，否则可能难以逃避网信办的监管。从2019年1月网信办发布《区块链信息服务管理规定》开始，网信办的监管触角开始触及为中国用户提供区块链信息服务的境外区块链企业。但由于相关备案制度尚不完善，境外主体如何备案尚不明确。《办法》征求意见稿的出台，表明网信办不妨进一步拓宽监管范围，从个人信息出境保护的角度，也将参与收集我国个人信息的境外机构置于其监管之下。虽然《办法》不是针对境外货币公司的特别规定，也不会对所有境外货币公司进行监管(不涉及境内个人信息收集的境外货币公司不是监管对象)，但互联网信息办公室可能没有足够的手段对相关境外货币公司进行监管(比如境外公司没有境内代表)，而且《办法》还处于征求意见阶段，相关规定尚未确定。文件正式落地还需要一段时间，实践中如何理解和运用就更加不明朗了。但可以预期的是，监管部门的监管角度一直在加大，监管半径也在扩大，境外货币公司在中国的合规风险和成本会增加。