5月27日凌晨,STEPN官方突然发布中国大陆查账通知,称为了积极响应相关监管政策,STEPN将在中国大陆查账。如果发现中国大陆的用户,根据使用条款,STEPN将于2022年7月15日24:00(UTC 8)停止向其帐户提供GPS和IP位置服务。
从一路唱衰到退出中国大陆市场,以STEPN为代表的区块链Gamefi项目是虚实结合的创新,还是庞氏骗局?STPEN为什么排斥大陆用户?收集用户的数据是否违反了我国有关“数据合规”的法律法规?自身具有金融属性的NFT,面对国内用户的展业,是否存在一定的犯罪风险?
据STEPN联合创始人Jerry Huang介绍,目前,STEPN在全球范围内拥有200万至300万月活跃用户,日交易费用净利润300万至500万美元,月收入1亿美元。
玩家需要预先投资在StepN跑步赚取GST/GMT,也就是购买虚拟鞋(NFT)。目前,Solona上一双虚拟鞋的地板价约为500美元。
从创新的角度来看,与传统的连锁游戏通过玩游戏等活动(玩赚)来获取奖励不同,STEPN在虚拟与现实结合这件事上无疑迈出了一步,即通过“穿上”虚拟跑鞋(NFT)来获取利益。这种模式直接鼓励用户参与真正的跑步锻炼。
但从游戏本质来说,作为一款GameFi游戏,STEPN的庞氏和金融游戏模式还是有争议的。简单来说,链游庞氏的特点就是游戏本身不可持续,也就是它的发展是必然的,也就是从之前的上升螺旋到下降螺旋,很难维持动态稳定的盈利局面。
以GameFi的龙头项目Axie Infinity为例,非常直观地向业界展示了一个连锁游项目的开发周期。自去年11月达到165美元的峰值以来,其象征性AXS已跌至18美元,其销售额从7.54亿美元暴跌至500万美元。
然而,与稳定的露娜不同,有人认为,虽然连锁游项目必然会遭遇螺旋式下降,但几乎不可能很快被宣布死亡。根据IOVentures的分析,死亡螺旋的结果不是死亡,更不是产品的失败,而是从X2E的疯狂(一边赚钱一边做x)回归到产品本身公允价值的过程。这个过程之前的潜伏期有长有短,发生时的下降速度有快有慢,发生后的公允价值有高有低。此外,X2E模式也是人们进入Web3的重要途径。激励机制不可避免地具有庞氏骗局的特征,但也不能轻易称之为庞氏骗局。还有人认为,一旦连锁游项目进入螺旋式下降,用户的动力就会降低,对项目失去兴趣,甚至完全放弃。大部分连锁游项目都是这么“狗带”的。
我们认为,在实践中,很难界定一个项目是庞氏骗局还是创新骗局。换句话说,更多的时候,我们是从项目的结果来判断的。其经济模式一旦贯通,就会受到热烈追捧,失败就会数据合规风险被贴上庞氏骗局的标签。与web2项目相比,前期投入大量资金奖励新用户的模式是一种非常常见的商业运作模式,而未来链游项目成功的关键在于能否提供用户需要的服务,即游戏本身是否可玩。如果用户从项目一开始的目标只是赚,当这个目标无法实现时,他就会迅速离开网站。
从项目方发布的消息来看,之所以声称要让大陆用户退休,原因在于:
第一,GPS隐私信息是国家安全问题。耐克和谷歌之前都为此调整了业务。主权控制方面,团队运营符合长远发展。
其次,各种媒体渠道恶意“做空”,迫于压力,官方采取了部分社区封禁负面情绪,发布了大陆用户退服公告。
那么,STEPN官方发文称因数据合规问题辞退中国大陆用户的理由有依据吗?中国对跨境数据有什么规定?
针对跨境数据流管理问题,我国《网络安全法》第37条规定,关键信息基础设施运营者在境内收集的个人信息或者重要数据应当存储在境内,确需在境外提供的,应当经过安全评估。第六十六条规定,违反规定在境外存储或者提供数据的,责令改正,并处罚款、警告、没收违法所得、停业整顿、关闭网站、吊销许可证或者营业执照。《数据安全法》规定了退出管理要求。例如,第31条规定,《网络安全法》的要求仍然适用于关键信息基础设施运营者在国内运营中收集、生成的重要数据的出境安全管理;其他数据授权由网信办会同有关部门制定。
可见,《数据安全法》要求各部门制定“重要数据”目录,出境时与《网络安全法》做好衔接,并授权相关部门完善制度。《个人信息保护法》设立了跨境传播专节,明确了该法的域外适用效力,对CII个人信息、具有一定数据的个人信息和普通个人信息的出境进行了分类规范,还规定将境外实体纳入限制或禁止提供个人信息的名单制。此外,《国家网络安全检查操作指南》、《关键信息基础设施安全保护条例》、《数据安全管理规定(草案)》、《数据退出安全评估办法(征求意见稿)》、《信息安全技术数据退出安全评估指南(征求意见稿)》等相关国家标准也是对跨境数据标准的详细补充。
从上述法律法规可以看出,我国对数据出境的控制主要包括两类数据:一是重要数据,即涉嫌国家安全、国家机密等的重要数据,如高铁数据、金融数据等;第二,个人信息。虽然目前在数据安全法下,各部门并没有出台详细的“重要数据”目录,但是从整个业务运作模式来看,很难将STPEN收集的数据视为重要数据。有业内人士认为,STPEN收集个人信息违反了国内法律,即GPS信息属于《个人信息保护法》第28条定义的“轨迹”,属于敏感个人信息。但是,STPEN收集的信息真的能算个人信息吗?根据《个人信息保护法》第四条规定,“个人信息是指以电子方式或者其他方式记录的与已识别或者可以识别的自然人有关的各种信息,不包括匿名信息。”
STP的用户都知道,不同于用户实名注册制,从下载软件到用链接钱包按“开始”到“赚”,STPEN在商业模式上并没有对用户进行所谓的“KYC认证”,似乎也没有收集用户的实名信息甚至是财务账户等敏感隐私数据。那么理论上,STPEN收集的GPS数据是否属于匿名数据,随机数据,可以随意出境?如果排除STPEN非法收集用户信息的可能性,就目前的法律法规而言,匿名数据的出境仍是合法的空,相关行业标准仍在制定中,但已不在《个人信息保护法》的规制范围内,因此因个人信息出境而被控制的风险较低。相反,如果在类似的海外连锁游项目中收集个人信息,出境at将很可能因个人数据非法而带来合规风险。
根据STPEN项目的介绍,中国大陆用户必须退休,以满足现行数据合规性监管要求。我们认为,让大陆用户退休可能也包括迎合中国大陆在代币发行和NFT去金融化方面更严格的监管政策。
目前国内虽然没有针对NFT行业监管的实质性法律文件,但2022年4月三会联合发布的《关于防范NFT相关金融风险的建议》仅属于行业自律公约。一方面,它不可避免地代表了NFT行业去金融化和防范投机的国内监管形势。另一方面,NFT和FT都有自己的金融Token属性,FT领域的大部分监管政策也适用于NFT。事实上,三个协会的举措实质上的确是将《金融时报》的相关监管规则适用于NFT。
对于NFT来说,它是被认定为金融产品还是虚拟商品,对于实践中民事刑事司法的判断至关重要。
就民事纠纷而言,无论是NFT还是FT,目前法律都没有明确界定其财产权、债权甚至知识产权的法律属性。但在司法实践中,能否认定其为具有一定财产属性的虚拟商品的意义远大于法律属性的认定,因为这直接关系到当事人合法持有的NFT/FT是否会受到法律保护。但确定是否是金融产品,目前对民事合同纠纷影响不大。当法官认为合同当事人之间的经营活动会影响金融市场的稳定,因而应充分发挥司法的“社会功能”,引用“公序良俗”来认定合同无效时,无论是否为金融产品,至少FT对金融市场的溢出效应得到了肯定。
从刑法的角度,我们认为在目前的司法背景下,还无法将与NFT有关的发行活动纳入非法经营罪、擅自发行股票、公司债券等罪名。一方面,我国作为一个法定国家,在我国《证券法》对证券的定义为“列举”的背景下,并没有法律规定NFT或FT相关活动可以直接定义为证券发行活动。即使在越来越强调穿透式监管的逻辑下,司法实践中也不太可能将具有实质金融属性的NFT/FT直接归类为证券或票据。甚至将ICO发行融资活动界定为非法经营罪的司法实例也很少,如罗某波、裴某豪非法经营罪(湖南省邵阳市双清区法院(2020)湘0502刑初75号刑判决书)。
另一方面,从我们以往的办案经验来看,链游等项目方在面对国内用户展业时,更容易被界定为组织、领导传销活动罪、集资*罪或者非法吸收公众存款罪等。毕竟对于大部分公检法部门来说,这些犯罪都是常见的经济犯罪,收集证据证明有罪更“好”。而且,根据2022年2月发布的《最高人民法院关于修改〈最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释〉的决定》,将点对点借贷、虚拟货币交易、融资租赁等新型非法集资行为纳入非法集资犯罪的刑法规制范围,也为司法部门提供了更加完善的法律依据。
2