数字身份发展进程表（汉坤）

数字身份发展进程表（汉坤）二、 境内DID发行者的合规要求值得注意的是，尽管我国并未针对DID发布专门的法规，但DID技术在应用过程中仍应遵守具体业务场景的合规要求（例如实名制管理、个人信息保护等），以下请见我们的分析。一、DID业务在中国境内的监管态度：鼓励支持技术、遵守合规要求首先，DID作为一项网络技术，其在中国境内的应用需纳入我国网络空间治理的范畴。目前，我国网络空间治理工作的基本思路为：网络主体与网络内容的双层治理，一方面通过对网络主体的管理实现对网络内容的管理，另一方面通过网络内容反向识别、管理具体的主体（如下图所示）。DID作为新一代互联网生态下的用户“护照”技术，其主要应用场景是网络用户的身份识别，因此落入我国关于网络主体的治理体系。目前，DID在中国境内主要是作为一项电子身份认证技术被推广和使用，我国对电子身份认证技术总体持积极鼓励的监管态度，根据对相关法律政策的梳理亦可发现这一点：

作者：汉坤律师事务所 夏彦丨权威丨廖瞰曦丨蔡士睿

前言

顺应中国数字经济发展布局，分布式数字身份标识符（Decentralized Identifier，简称“DID”）结合加密、分布式存储等技术在国内也得到了快速发展，包括但不限于微众WeIdentity、腾讯云TDID、华为云TDIS等DID产品都成功应用于越来越多的区块链数字场景。

在上一篇文章中，我们分享了对DID业务模式、法律参与主体（DID发行者、DID拥有者、DID核验者和公信机构）、法律关系以及法律性质的初步探析，本文我们将重点从中国法角度，介绍DID业务在中国境内的主要合规要求。此外，我们观察到海外Web3.0投融资项目中也越来越多使用到DID，本文我们也将总结商业上需要关注的几个法律风险。

一、DID业务在中国境内的监管态度：鼓励支持技术、遵守合规要求

首先，DID作为一项网络技术，其在中国境内的应用需纳入我国网络空间治理的范畴。目前，我国网络空间治理工作的基本思路为：网络主体与网络内容的双层治理，一方面通过对网络主体的管理实现对网络内容的管理，另一方面通过网络内容反向识别、管理具体的主体（如下图所示）。

DID作为新一代互联网生态下的用户“护照”技术，其主要应用场景是网络用户的身份识别，因此落入我国关于网络主体的治理体系。目前，DID在中国境内主要是作为一项电子身份认证技术被推广和使用，我国对电子身份认证技术总体持积极鼓励的监管态度，根据对相关法律政策的梳理亦可发现这一点：

• 2017年6月1日，《网络安全法》第24条，“，……国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”；

• 2021年11月1日，《个人信息保护法》第62条，“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：……（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；……”；

• 2022年7月12日，《上海市数字经济发展“十四五”规划》，“超前布局新一代网络形态，前沿探索多平台OpenID（数字身份识别框架）、分布式数据存储、去中心化DNS（域名解析系统）、端到端加密通信等Web3.0（第三代万维网）关键技术”；以及

• 2022年9月26日，《工业和信息化部办公厅关于组织开展2022年工业互联网试点示范项目申报工作的通知》（工信厅信管函〔2022〕252号），“结合工业互联网、分布式数字身份等技术的开发应用，打通园区内产业链上下游，实现精准供需对接，助力园区产业生态互动和产业链协同治理”。

值得注意的是，尽管我国并未针对DID发布专门的法规，但DID技术在应用过程中仍应遵守具体业务场景的合规要求（例如实名制管理、个人信息保护等），以下请见我们的分析。

二、 境内DID发行者的合规要求

(一) 资质要求：区块链信息服务备案、ICP备案等

目前，中国境内的DID发行者可能涉及如下资质要求：

值得一提的是，就“DID业务是否涉及《电子签名法》项下的电子签名认证服务”这一问题，我们理解二者之间并无必然联系，DID作为一项新型技术，主要是为用户提供了互联网生态下的数字身份。但是DID业务的商业核心在于公信机构对用户DID进行背书（即完成用户DID与其真实身份对应关系的证明）并提供VC，否则DID只是网络世界一串没有实际意义的数据字符，如果在该环节DID发行者提供了电子签名认证服务，则DID发行者可能需要根据《电子签名法》的规定取得电子签名认证服务资质。

(二) 主要合规要求：实名制管理义务、行为审核管控义务与个人信息保护义务

整体而言，中国境内的DID发行者通过互联网提供DID服务，属于《网络安全法》第76条所述的“网络运营者”，且基于区块链技术提供信息服务，应当被认定为《区块链信息服务管理规定》第2条定义的“区块链信息服务提供者”。目前，相关法律法规中为承担前述角色的主体设定了合规义务，DID发行者亦应落实相关要求，我们将其中与DID业务关联度较高的合规义务进行了总结，其他通用性义务在此不再赘述（例如，网络安全等级保护制度建设，网络产品、服务等安全性要求，网络安全应急事件预案制定义务等）。

01 实名制管理义务

根据《区块链信息服务管理规定》第8条，区块链信息服务提供者应当按照《网络安全法》的规定，对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证；如不进行真实身份信息认证的，不得为其提供相关服务。因此，如DID发行者应为使用DID服务的用户(包括自然人与机构)进行实名制认证，否则不得提供相关服务。

02 行为审核管控义务

根据《区块链信息服务管理规定》第7条，区块链信息服务提供者应当与区块链信息服务使用者签订服务协议，明确双方权利义务，要求其承诺遵守法律规定和平台公约；同时第16条要求，区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者，依法依约采取处置措施，对违法信息内容及时采取相应的处理措施。因此，DID发行者在为用户提供服务的过程中，至少应当(i)通过签署协议的形式，要求用户对其使用DID服务的合法性及合规性进行承诺；(ii)在发现用户存在违反法律法规的行为时，及时采取处置措施。

03 个人信息保护义务

根据《个人信息保护法》第4条，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。中国境内的DID发行者在向用户提供服务的过程中可能收集用户的个人信息(例如，为实名制管理之目的收集用户的身份证号码或电话号码)，故应履行相关的个人信息保护义务。值得注意的是，目前国内区块链业务考虑到合规性，基本是部署在私链和联盟链，如果未来开放公链业务，还可能涉及数据出境活动，DID发行者需要遵守数据出境的相关合规要求。

(三) 外资准入要求

目前，中国境内的法律法规并未就DID业务明确设置任何外商投资准入限制，DID业务涉及的区块链信息服务业务也不在外商投资准入负面清单。但是，如前所述，DID业务形态目前处于不断发展之中，如果未来DID业务涉及增值电信业务许可等可能存在外商投资准入限制的资质许可，则需要遵守相关的外资准入要求。

三、境内DID核验者的合规要求

(一) 资质要求：视具体业务而定

如上一篇文章所述，DID拥有者与DID核验者之间使用DID往往是为了建立法律关系，二者之间的法律关系视DID核验者向DID拥有者提供的具体服务而定，因此，境内DID核验者的合规要求需要根据其实际业务情况确定，如提供金融服务，应取得金融相关的资质许可；如提供增值电信服务，应取得相关的增值电信业务许可。

(二) 重点关注实名制管理义务的履行

尽管每一DID核验者的具体合规要求需根据其实际业务情况确定，但是，由于网络实名制是我国网络空间治理工作的基石，相关法律法规对于网络服务提供者（包括境内DID核验者）均赋予了一定的实名制管理义务。因此，境内DID核验者应当注意：使用DID核验与履行实名制管理义务并无必然关系，二者相互独立，核验者仍应根据自身的业务合规要求履行相应的实名制管理义务。

目前，我国的实名制管理总体遵循“前台自愿、后台实名”的思路，根据相关法律法规主要包括三种方式：

(三) KYC（Know Your Customer，“了解你的客户”）常见关注事项

除上述中国法层面的合规要求外，根据我们的观察，境内外各类Web 3.0项目可能基于项目需要或其他国家/地区的法律要求在用户准入环节施加其他KYC要求，我们在此总结。

01 年龄或国籍限制

以某Gamefi（即Game Finance）项目为例，其服务条款中要求用户至少年满18周岁或达到法定年龄，且非美国、中国大陆、古巴等国家和地区居民。因此，如所在国家或地区法律对游戏等特殊行业存在年龄限制、或直接禁止游戏包含赌博、博彩内容，开展相关业务的DID核验者在用户KYC环节还需关注用户是否满足相关的年龄或国籍限制。

02 合格投资者要求

以某Defi（即Decentralized Financing）项目为例，其服务条款要求用户交易的数字资产应为合法取得的自有数字资产，且部分国家或地区的法律对金融业务用户提出了一定的合格投资者要求。因此，开展相关业务（特别是金融业务）的DID核验者在用户KYC环节还需关注用户是否满足相关的合格投资者要求，包括资金来源、资质适格性等。

03 反洗钱、反恐怖融资与制裁

反洗钱、反恐怖融资与制裁属于较为常见的KYC审核要求，各个国家或地区的法律一般均会设置此类义务。因此，DID核验者需结合自身业务情况判断审查尺度，至少应当通过签署协议的形式，要求用户承诺不存在此类情形。

四、 境内DID拥有者如何合法使用DID

从中国法的角度而言，境内DID拥有者对DID的使用与一般的互联网平台账号并无明显区别，即在创建和使用DID的过程中应遵守法律法规，遵循公序良俗，诚实信用，不得损害国家安全、社会公共利益或者他人合法权益，在创建DID时不得假冒、仿冒、捏造其他主体，在使用DID时不得从事洗钱、散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪等法律法规禁止的内容。特别地，由于DID一般需要在DID核验者的具体业务场景下使用，DID拥有者还需关注DID核验者制定的相关规则要求。

五、海外Web 3.0投融资项目中使用DID的法律风险

如上一篇文章分析，海外DID项目根据是否连通链下法律身份分为两类：通过链下法律身份实现DID核验，可以定位法律义务和责任的承担主体，此类项目涉及的投融资交易与链下投融资交易中存在的法律风险可能差异不大；而在仅仅聚合链上数字身份但并不与链下法律身份连通的情况下，法律义务和责任的承担主体难以定位，由此可能带来额外的法律风险。本部分重点对持有仅聚合链上身份的DID参加Web 3.0投融资项目的法律风险展开分析。

（一）股权投融资中使用聚合链上身份的DID

01 投资人的现实难题：难以取得法定股东/合伙人地位

股权投资的对象仍然是公司、合伙企业等链下的传统法律实体，目前包括中国在内的大部分国家和地区的公司法、合伙企业法规制的对象也都是链下的法律主体，如果投资人使用聚合链上身份的DID，不能关联到链下的法律主体，则其难以取得公司法、合伙企业法等法律体系下的法定股东/合伙人地位。

从商事主体登记角度，目前包括中国在内的大部分国家和地区在登记股东信息时均要求提供真实身份，包括但不限于身份证号、住所等，并需要提供相应法律文件予以证明。但由于DID项目主要依托“零知识证明”运行，仅聚合链上身份的DID项目无法提供该等信息，仅凭DID无法实现股东身份和股权的登记。

由于存在以上股东/合伙人身份确立的难题，实践中存在使用聚合链上身份的DID的投资人委托公司创始人或其他股东代持的情况。但在这种情况下，由于该投资人链下法律身份未能绑定，投资人未来能否主张代持关系的成立和有效性存在较大不确定性，并且项目方也难以对投资人设置惯常的合格投资者、反洗钱等义务和责任。

02 项目方的现实难题：需要法律身份承担股权投融资项目中惯常的义务和责任

股权投资融资项目中，除了标的公司以外，投资人还会关心创始人、核心团队以及项目用户/服务商的情况，而Web3.0项目中的这些主体可能经常使用聚合链上身份的DID。

（1）创始人使用聚合链上身份的DID的法律风险

首先，和上述投资人部分的分析一样，创始人使用聚合链上身份的DID存在难以取得法定股东/合伙人地位。其次，创始人作为项目中的核心，其需要承担的义务同时涉及链上和链下，包括但不限于促使标的公司合规运营、对标的公司特定义务承担连带责任、股权兑现、股权转让限制、对投资人优先权实现的保障、不竞争等。由于无法定位链下身份，投资人将无法监督创始人是否履行链下义务，如出现需创始人履行义务或承担违约责任的情形，投资人也难以通过聚合链上身份的DID进行维权。

（2）核心团队使用DID的法律风险

核心团队往往需要承担全职工作、不竞争、保密等义务，但该等义务也是同时涉及链上和链下，无法定位链下身份也难以监督该等义务的履行。以竞业限制义务为例，核心人员的链上行为固然可以被追踪、追溯，但目前无法单纯通过聚合链上身份的DID得知核心人员在链下是否服务于竞争对手。

（3）社区成员使用DID的法律风险

Web 3.0项目中有一类重要的参与主体——Web 3.0社区成员。Web 3.0社区成员可能是项目的贡献者，有着项目服务商的属性，也可能是项目的用户，会使用项目服务或购买项目数字资产。Web 3.0社区成员一般不会作为项目公司股东，因此不存在股东登记的问题；考虑到Web 3.0社区成员的属性，其不会承担和创始人一样严格的义务，也一般不会承担和核心团队一样全职工作、不竞争、保密的义务；此外，从社区发展和Web 3.0项目的特性而言，项目方需要保证社区成员享受一定的匿名性。因此，社区成员使用DID更符合现实需求，对于投资人而言风险也相对可控。

（二）海外Web 3.0项目中的同质化通证融资

01 投资人使用聚合链上身份的DID：项目方无法进行合格投资者审查

Web 3.0项目的融资方式除了股权融资外，常见的还有同质化通证融资，考虑到合规性的要求，同质化通证融资只能在海外进行，并且投资人只能面对非中国籍自然人或非中资机构。相比于股权融资，同质化通证融资形式会更加灵活，由于同质化通证融资完全在链上完成，无需依赖于商事登记等链下公信机构，因此除了传统风险投资机构外，大量的链上用户或者Web 3.0社区成员也参与其中，聚合链上身份的DID使用更加常见。

但是，对于管辖法域内的个人或机构投资同质化通证/代币，不同的国家和地区有不同的法律实践和合规要求，总体而言目前有以下几种情况：

为满足上述合规要求，项目方在进行同质化通证融资时，需要审查投资人的管辖法域及其对于同质化通证投资的政策要求。但是如果投资人使用聚合链上身份的DID，则项目方难以进行前述操作，从而存在违反投资人所属国家或地区政策规定的潜在风险，项目方需要通过技术方法或其他手段降低该等风险。

02 项目方使用聚合链上身份的DID：投资人难以链下维权

同质化通证融资完全在链上进行，因此进行同质化通证融资技术上可以不依赖于任何法律实体。目前比较热门的是通过不注册成任何法律实体的DAO来进行同质化通证融资。如果项目方在创建、管理或运营DAO时，使用聚合链上身份的DID，投资人可能无法定位到链下项目方的真实法律身份。如果未来发现该同质化通证融资项目存在欺诈、虚假宣传等情况，则投资人在链下维权存在无法识别起诉当事人、举证难等诸多问题。

六、结语

作为区块链技术发展的成果，DID项目可以更好实现DID拥有者对自身身份信息的拥有和个人隐私保护，具有良好的应用前景和价值。但是，DID业务目前仍处于不断探索、发展和演进的过程中，技术创新和应对监管合规将会是DID项目需要面对的一个重要挑战，如何在现行的法律框架下合规运营，以及现行法律规则如何调整去适应、匹配和兼容DID等链上业务，都是未来需要关注和思考的话题，我们也期待监管部门及行业参与者在相关问题上继续进行良性互动，以找到技术探索与监管合规的最佳平衡点。