作者:张楠、田春桃
“元宇宙”这一概念,最初来自于美国科幻作家尼尔·斯蒂芬森1992年出版的小说《雪崩》,书中将其描述为:“戴上耳机和目镜,找到连接终端,就能够以虚拟分身的方式进入由计算机模拟、与真实世界平行的虚拟空间。”在2021年这一概念突然蹿红,同时也带动了与其相关的股票、虚拟货币等价格一路飙升,因此也有人将2021年称为“元宇宙元年”。今年3月10日,第一支元宇宙概念股Roblox在纽交所上市,在其招股书中,用八大要素对元宇宙进行了重新定义,即:身份、朋友、沉浸感、低延迟、多元化、随时随地、经济系统和文明。虽然截至目前,社会各界对于元宇宙仍缺乏公认定义,但这并不妨碍我们对元宇宙的内容进行描述,并讨论其中可能存在的问题。
对于元宇宙最直观的描述,莫过于2018年美国导演史蒂文·斯皮尔伯格的电影《头号玩家》。在该电影中,玩家只要穿戴上特制的VR设备,就能进入一个名为“绿洲”的虚拟世界。在这个虚拟世界中,玩家不仅可以自定义个人的角色外观、身份,与其他来自世界各地的玩家进行交流、“肢体”接触,还能使用虚拟世界中的海量资源进行创造活动,甚至可以通过各类虚拟道具体验现实世界无法完成的动作和冒险。从带给玩家的观感而言,“绿洲”的丰富程度比起现实世界有过之而无不及,除了维持必要生理需求的活动以外,“绿洲”已经能够在一定程度上代替现实世界。因此“绿洲”不仅仅只是游戏,而是一个能带给玩家沉浸式体验的虚拟现实系统,其中不仅有依靠自身数据产生的创造物,还有玩家从现实世界带入其中的数字化复制物。
从技术层面看,元宇宙概念是建立在多渠道的信息交互上的,即不同的APP和网站内的信息可以直接和其他APP、网站相关信息进行交互,且能通过第三方信息平台同时对多家APP和网站的信息进行整合使用,用户在互联网上拥有自己的数据,并能在不同网站上使用,属于实时互动的互联网。
随着元宇宙相关技术的不断发展,可以预见到更多的问题也在接踵而来,首当其冲的便是数据和用户的个人隐私保护问题。即使仅从目前的现实世界而言,数据与个人隐私保护也是社会各界关于互联网技术发展最受关注的问题之一。现如今我们正在使用的互联网已经涉及了大量数据与隐私问题,各种争议和与之相对应的政策层出不穷,但同元宇宙相比,目前互联网的数据和信息量实在是小巫见大巫。根据上述对元宇宙的描述,元宇宙对于个人信息的收集将会是前所未有的,为了给用户带来具有沉浸感的交互式体验,元宇宙对个人生理、运动等方面信息必然会进行大量收集以用于分析,甚至脉搏、心跳、脑电波等都在上述范围之中。与此同时,用户个人在元宇宙中进行交易、社交往来,也会产生大量个人信息,这些信息一旦泄露或被滥用,将极有可能暴露用户在现实世界中的身份,后果不堪设想。
我国法律目前对于数据的产权归属尚未进行明确规定,但已经在一定范围内进行了规制。对于个人信息,由《民法典》、《网络安全法》、《个人信息安全规范》等法律法规做出保护,防止第三方未经授权非法收集、存储、转让和使用。对于部分特殊的企业数据,目前一般将其视为一种无形的财产权进行保护。如对于构成商业秘密的交易数据、企业数据等,可受到《反不正当竞争法》的保护;另外,如果数据资源是经营者投入大量人力、物力长期开发、积累而形成的,而其他经营者“搭便车”式地利用了该等企业所掌握的数据资源开展经营活动,则经营者也可以依据《反不正当竞争法》主张竞争性财产权益的保护。
用户在元宇宙中产生的信息、数据大致有以下几类,我们将对其归属及保护措施进行分类讨论:
1. 用户个人信息
《民法典》中对个人信息的定义是“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。但关于个人信息的具体规定及分类,却在不同的部门法及法规中做了规定。即将于11月1日生效的《中华人民共和国个人信息保护法》(以下简称《个保法》)第四条规定“个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,第二十八条规定“敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。其中的生物识别信息的具体内容,《个人信息安全规范》(2020.10.1)中个人生物识别信息规定包括“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”;《汽车数据安全管理若干规定(试行)》(2021.10.1)指出生物识别特征信息包括“指纹、声纹、人脸、心率等”;中国人民银行发布的《个人金融信息保护技术规范》中又规定个人生物识别信息包括但不限于“指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板”。
用户的个人信息一般由用户主动上传(如注册时使用的身份证、手机号码等)或由元宇宙运营方收集(如指纹采集、面部识别等),从对用户的个人保护角度出发,相关个人信息的归属权应当归用户所有,运营方仅能在用户授权的情况下进行收集、储存或使用。同时,作为信息处理者的运营方,应当采取技术措施和其他必要措施,确保其收集、存储的用户个人信息安全,防止发生信息泄露、篡改、丢失,特别是敏感个人信息,根据《个保法》的规定,只有在特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理;如发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,告知自然人并向有关主管部门报告。
2. 用户与元宇宙交互产生的数据
用户在元宇宙中可能基于自身指令,或与元宇宙的交互动作(如购买虚拟物品、服务等行为)产生新数据。同时,也有可能将部分现实世界中的信息映射到元宇宙中,如在元宇宙中虚拟体验某些物品(如服装等)后进行实物购买,此时可能会提交个人住址、联系方式等信息。对于相关数据的归属,需要进一步分类讨论。如果交互产生的新数据中包含用户个人信息,相关个人信息仍应归用户所有,运营方应当采取必要措施进行保护,如果需要使用,应当对相关数据中包含的个人信息进行匿名化或加密、去标识处理。同时还应注意即使是去标识处理后的个人信息,如果有可能与其它去标识信息重新关联导致可识别个人主体身份信息的,则需要采取进一步技术措施进行处理。如果交互产生的信息不包含用户个人信息,该数据应归运营方所有,运营方可进行存储、使用,同时该信息可能作为运营方的无形财产权而受到保护,其他第三方不得擅自爬取或使用。
3. 用户从现实世界带入元宇宙的数据
用户可能将现实世界的已有数据带入元宇宙,如将自制的音乐、文章、视频等作品上传至元宇宙。基于知识产权保护,用户在现实世界一旦完成相关作品,便已经获得相关作品的著作权,因此如将其带入元宇宙,其著作权依然受到保护,因此相关数据的所有权应归用户所有,包括运营方在内的第三方未经授权许可,不得擅自使用。
需要注意的是,上述分析是基于目前的法律以及技术对相关问题进行的分析和探讨,未来随着法律以及技术手段的不断更新,相关问题可能会有新的解决方式。如个人信息保护,目前大部分网络的结构特征还是以中心化为主,产生了诸多泄密、侵权的困扰,未来则可能基于区块链的分布式存储技术,使数据掌控权重回用户个人手中。因此,以区块链技术建设元宇宙生态,避免运营商一家独大,也是目前构建元宇宙的共识之一。另外,由于元宇宙具有的高度交互性,未来元宇宙可能并不仅仅只局限于某个或某部分国家,而是全球化的模式,这样一旦出现侵权或其它问题,很可能会变成跨国问题,并非一国单方立法便可妥善处理,但目前讨论该问题还为时尚早。最后,基于数据全球化,不可避免地会产生数据跨境转移问题。元宇宙概念的大火,让人们看到了未来的另一种实现的景象。但“数据大统”、“高效交互”作为元宇宙的基本要求必然会与先进各区域间的“数据”法规相冲突,也将会成为不久将来亟待解决的问题之一。根据我国《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”其中,个人信息如需跨境转移,应当获得个人信息主体同意,否则不得出境;可能给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益,以及其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的数据禁止出境。如若运营方违反上述规定,可能导致行政处罚(如罚款、吊销营业执照等),严重者甚至可能触犯刑法(如拒不履行信息网络安全管理义务罪、非法提供国家秘密、情报罪等罪名),遭受刑事处罚。
