OpenAI创始人的Worldcoin如何应对阿根廷的法律监管

作者：曼昆区块链法律

Worldcoin，这家由OpenAI创始人Sam Altman创办的加密项目，在不久之前宣布将在阿根廷十多个城市开设50个营业网点，包括两家体验商店。然而，实际上，一个月前，Worldcoin还因在阿根廷的运营饱受争议，当时阿根廷多方指责或控告Worldcoin的运营模式严重侵犯了用户隐私和阿根廷的数据隐私法律，这也把Worldcoin推上了风口浪尖。

*来源：Worldcoin官方社交媒体截图

与其他加密项目不同，Worldcoin项目的运营，本身就极其依赖线下网点的运营。当然，也正是因为这一点与众不同，Worldcoin在全世界的运营重重受阻。无独有偶，此前，Worldcoin的营业就在全球多个国家和地区碰壁，比如肯尼亚、法国、德国、西班牙和中国香港，全部遭遇监管挑战。

那么，短短一个月时间，Worldcoin就突然逆风翻盘，这是否标志着Worldcoin已经解决了阿根廷的监管难题？Worldcoin在阿根廷的模式能否复制到其他国家？饱受争议的Worldcoin，这次是否真的找到了自己的发展之路？首先，由曼昆律师带大家回顾Worldcoin项目在阿根廷遭遇的监管，并分析其饱受批判的原因。

Worldcoin在阿根廷被批判

Worldcoin是一家加密企业，由OpenAI首席执行官Sam Altman联合创立，公司的愿景是“建立一个全面的全球金融和身份网络”。在Web2，当我们在进行身份认证时，不外乎采用指纹或是人脸识别的方法，而Worldcoin使用虹膜作为介质，试图将数字身份认证带进Web3的世界。为了完成这一目标，Worldcoin采用了独特的Orb设备：Orb是由Worldcoin开发的专有虹膜扫描和成像设备，Worldcoin项目方利用该设备，在全球范围内设立线下扫描点，扫描用户虹膜并完成身份绑定，完成绑定的用户将获得专属于自己独一无二的WorldID，并可获得价值50美元的WLD代币。

然而，Worldcoin的运营从一开始就并非一帆风顺。以阿根廷的运营来说，Worldcoin早在去年就已经入驻阿根廷。然而随后，阿根廷一名律师对Worldcoin违反数据隐私法提出了投诉，Worldcoin项目方也因此停止了在阿根廷门多萨省的业务。一直到2024年3月，阿根廷布宜诺斯艾利斯省的官员也还在指责Worldcoin未能回答其用户条款和条件中“滥用条款”的具体问题。与此同时，Worldcoin当时可能面临高达10亿阿根廷比索（约合107.5万美元）的罚款。此外，Worldcoin在阿根廷扫描未成年人的虹膜和面部数据，也使项目方遭受许多批评与指责。

彼时Worldcoin项目方表示将“寻求机会与政府机构、监管机构和第三方互动，并回答他们可能提出的任何问题”。

Worldcoin遭遇全球监管

与在阿根廷的情况类似，其因虹膜数据收集涉及的隐私问题，Worldcoin在多个国家遭遇了不同程度的监管阻碍。即便在一些拥抱加密资产的国家，Worldcoin也未能幸免。以下是曼昆律师为大家盘点的有关Worldcoin的监管风波：

• 肯尼亚，肯尼亚曾是首批启动Worldcoin注册认证的国家之一，但后来肯尼亚政府颁布禁令，中止了Worldcoin的注册认证。肯尼亚内政部在声明中表示，“立即暂停世界币活动，直到相关政府机构证明不存在任何公众风险”。

• 法国，法国国家信息和自由委员会（CNIL）对Worldcoin的生物识别数据收集方式提出质疑，并启动了调查，以确保其活动符合法国和欧洲的数据保护法规。

• 德国，德国巴伐利亚州数据保护监督办公室对Worldcoin的大规模生物识别信息处理提出担忧，认为这些技术“在处理财务信息的特定核心目的方面既不成熟也未被充分分析”。

• 西班牙，西班牙数据保护局（AEPD）曾下令Worldcoin停止在西班牙收集和处理数据，并发布了为期三个月的临时禁令，声称在调查关于西班牙用户无法撤回同意以及Worldcoin涉嫌收集未成年人数据的投诉。

• 香港，个人资料私隐专员钟丽玲向Worldcoin发出强制执行通知，勒令立即停止在香港所有涉及使用虹膜扫描设备扫描和收集公众虹膜和面部图像的项目运营。PCPD于2024年1月开始对Worldcoin项目进行调查，以确定该身份验证方法是否对公民个人资料隐私构成严重风险并违反《个人资料保护条例》的要求。

面对种种监管挑战，Worldcoin该如何解决？曼昆律师认为，其在阿根廷积极恢复业务的策略值得借鉴。

Worldcoin的积极对策

在阿根廷独特的有利前提和背景下，Worldcoin展现了其灵活应变的能力，通过一系列策略成功地化解了危机。

有利前提：米莱的“电锯式改革”

2023年底，阿根廷迎来了以大胆闻名的新总统——哈维尔·米莱。上任短短半年，这位充满野心的领导人就通过了一系列被外界称为“电锯式改革”的法规，包括将加密货币纳入了改革的重要组成部分。

去年年底，阿根廷外交部长Diana Mondino曾指出，阿根廷政府正在准备一项法令，计划在特定条件下允许该国使用比特币和其他代币进行合法支付。这一动向在过去几年里尤为引人注目。比索的持续贬值、汇率的剧烈波动以及政府对市场的严格限制，使得加密货币逐渐成为阿根廷民众储蓄和投资的替代选择。这样的政策环境，为Worldcoin在当地开展业务提供了得天独厚的条件。

积极改革：Worldcoin项目方所作的努力

Worldcoin的运营如何在阿根廷“起死回生”？要弄清楚这个问题，首先我们要了解，Worldcoin在阿根廷受指责的争议点：

• 隐私数据保护，根据阿根廷第25326号法《个人数据保护法》（"PDPL"）和相关条款，数据处理负责人有义务将其数据库向AAIP注册，提供有关其处理政策的信息，说明他们需要敏感数据的用途和处理时间。保护相同的信息，以及详细说明用于保护个人信息的安全和保密措施；

• 一般消费者保护，布宜诺斯艾利斯省政府指控Worldcoin在用户协议中添加了不公平的条款，这可能违反了消费者权益。这些条款包括允许在未提供补偿的情况下中断服务、要求用户放弃集体诉讼权利，并将仲裁地点设在加利福尼亚州；

• 用户数据侵犯，Worldcoin还被指在未能阻止未成年人注册、在巴西处理用户的虹膜数据，以及存储涉及阿根廷用户的私人数据等方面存在问题。这些行为被视为侵犯了用户数据的使用、保护和存储的规定 。

而Worldcoin在阿根廷被推上风口浪尖之后，项目方反应迅速，积极配合阿根廷的监管政策，做出相应的整改：

• 首先，Worldcoin承诺将继续与监管机构合作，以确保其项目满足所有监管要求，并为用户提供安全、透明的服务。公司强调了其对隐私和数据保护的承诺，并表示将配合政府和监管机构提供有关其隐私和数据保护实践的更多信息。

• Worldcoin表示其一直在进行技术改进，特别是在数据处理和用户隐私保护方面。这包括改进其身份验证过程中的数据保护措施，并确保敏感的生物识别数据（如虹膜扫描数据）在使用后被删除，以避免存储此类高度敏感的个人信息。

具体技术解决方案有：

• 修改后的隐私条款，允许用户通过永久删除虹膜代码来取消对其World ID的验证；

• 在隐私保护政策中新增附则，在阿根廷设立专门机构处理阿根廷用户的投诉和索赔；

• 在条款中更新拒绝向未满18岁人士提供服务的声明，对于已经注册的未成年人，也开放了删除资料渠道，涉事本人和监护人均可通过该渠道删除Worldcoin保存的相关资料；

• 根据阿根廷监管当局的要求，在官网提供阿根廷语版本的隐私政策，并对其中部分条款做了针对性调整。

通过上述一系列改革，Worldcoin得以在阿根廷绝地翻盘，获得阿根廷政府的认可，并成功在十多个城市成立50个运营点。事实上，在加密和Web3行业这样的情况比比皆是，比如此前曼昆律师有聊过TON生态游戏之一《仓鼠快打在伊朗引发了广泛的关注和争议》。那么，对于Web3项目以及创业者来说，面对政府监管，加密项目又该如何进行合规预防以及调整？

Worldcoin绝地反击带来的启示

曼昆律师认为，Worldcoin所带来的经验，对Web3领域的许多项目方起到了极为重要的借鉴作用，尤其是DID和DePIN两个赛道的创业者。我们认为，以下两类风险是这两个领域的创业者和项目方应该共同关注的问题：

• 隐私保护问题。Worldcoin在阿根廷和其他国家面临的主要问题之一就是隐私数据保护。对于Web3领域中的去中心化身份（DID）和去中心化物联网（DePIN）项目，隐私保护同样是一个至关重要的挑战。

• 数据跨境问题。对于Web3项目，尤其DID和DePIN领域，数据跨境传输的问题尤为突出。不同国家对数据跨境传输有不同的法规要求，项目方需要充分了解并遵守相关法律。

对于上述两问题，曼昆律师建议项目方应当在事前和事后两方面做好充分的合规准备和应急措施，以保护业务开展：

敏感数据的处理与存储

DID项目涉及数字身份认证领域的法律问题，项目方会不可避免地接触用户的高度敏感信息，如个人身份、住址、银行账户、甚至指纹、虹膜等身份数据。这些数据的收集、存储和处理需要极高的安全性和透明度。项目方必须确保数据在收集和使用过程中不会被滥用，并且要明确用户的知情权和同意权。同样，在DePIN项目中，有些DePIN设备可能收集较为敏感的处理传感器数据或用户行为数据等，存在上述情况时，也需要遵循严格的隐私保护标准。对敏感数据的处理与存储问题，曼昆律师认为可以通过如下业务安排，降低合规风险：

• 数据收集透明度。项目方需要向用户明确说明数据的用途、存储时间和处理方式。这不仅有助于提升用户信任度，也符合各国数据保护法规的要求。

• 数据最小化原则。只收集完成服务所需的最少数据，避免过度收集用户信息。DePIN项目需要特别注意，只收集与物联网服务直接相关的数据。

• 安全措施。采用最新的加密技术和数据保护措施，确保敏感数据在传输和存储过程中的安全性。对于DePIN项目，这包括确保传感器数据在收集和传输过程中不被窃取或篡改。

• 用户同意机制。在数据收集之前明确告知用户数据用途，并获得用户的明确同意。对于DID与DePIN项目，这意味着在收集使用用户数据之前，必须确保用户完全了解其数据的用途。

• 数据访问与删除。提供用户访问其数据的途径，并允许用户在需要时删除其数据，确保用户能够控制其设备收集的数据。

跨境数据传输合规性

项目方需要确保数据在跨境传输过程中符合各国的法律法规。例如，欧盟的《通用数据保护条例》（GDPR）对数据出境有严格的要求。我国也颁布《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据出境安全评估办法》及相关法律法规来构成数据跨境传输的法律框架。对于DID与DePIN项目，涉及到高度敏感的身份数据，传感器数据，跨境传输更需谨慎，需要严格遵守各地法规。曼昆律师提出以下建议：

• 本地化数据存储。在可能的情况下，考虑在用户所在国设立本地化数据存储设施，以减少跨境数据传输的复杂性和风险。对于DID项目，这可以有效降低数据跨境传输带来的合规风险。

• 透明的用户协议。在用户协议中明确跨境数据传输的相关条款，确保用户了解并同意其数据可能会被传输到其他国家。DePIN项目可以在协议中详细说明数据的跨境传输和处理流程。

持续性合规与事后应对

Web3作为新兴行业，在过去十余年吸引许多有理想、有想法、有热情的创业者做了大量的创新和大胆的尝试，然而，由于行业发展迅猛，法律和监管往往滞后，导致不少冲突。许多项目方在开始运营时，相关领域的法律可能尚未完善，甚至是空白，常常在运营一段时间后才面临监管难题。那么在这种情况下，项目方应当如何应对呢？曼昆律师建议：

• 积极地保持与当地监管部门沟通。Worldcoin在阿根廷出现监管风险后，项目方多次与监管机构沟通，努力保持对话，对隐私政策以及用户协议作出调整，并在运营点禁止未成年人进行虹膜扫描，加之阿根廷政府对加密世界较为积极的态度，项目方才得以重新展开运营。值得注意的是，在本文截稿前，肯尼亚政府也放开了对Worldcoin的监管。

• 定期进行合规审查。在业务运营过程中，定期进行合规审查，以确保持续符合最新的法律要求。面对变化多端的监管环境，保持灵活性和前瞻性，及时调整运营策略，是Web3项目方的重要策略。

• 迅速应对监管要求与准备补救措施。当面临新的监管要求或突发的合规问题时，项目方应迅速采取行动进行调整。例如，修改用户协议条款、增强数据保护措施或暂停某些业务以符合新的法规。当因合规问题导致用户权益受损时，项目方应及时采取补救措施，并提供适当的补偿，以维护用户的信任和公司的声誉。

• 寻求专业法律建议与合规指导。专业律师给出的法律意见可以帮助项目方在法律和监管方面作出正确的决策，减少风险。曼昆律师在此提醒，Web3创业团队在运营过程中遇到合规问题时，应及时咨询专业律师，寻求法律建议与合规指导。