黄治金：元宇宙中，你的虚拟化身“被强暴”怎么办？

lameihua

　　经历2021年有关元宇宙如火如荼的讨论之后，2022年元宇宙话题如何演绎仍是公众关注的焦点。Facebook母公司Meta、苹果、微软和谷歌等科技巨头都在酝酿发布新的硬件产品和软件服务。新事物的出现必然孕育新的发展，自然伴随新的挑战和机遇。和互联网、云计算、人工智能、区块链出现时的讨论一样，元宇宙也面临社会公众差异化的认知，主要体现在和元宇宙相关的法律、加密货币、生活体验和知识产权等方面。但讨论最多的话题则是元宇宙可能是移动互联网的未来。

　　十年前，互联网从台式机发展成了可以随时在线的移动设备。有了元宇宙，人们有机会将日常活动转化到平行数字时空，包括工作、旅行、学习、购物和社交，比如使用虚拟现实（VR）头戴式装置传送到奥运会现场，将窗外的景色转换到加勒比海滩，或者与迈克·泰森（Mike Tyson）一起观看比赛。位于加拿大多伦多、一直专注于元宇宙经济的房地产公司“元宇宙集团”（Metaverse Group）联合创始人戈登（Michael Gord）认为，元宇宙必然是未来社交网络的No.1。

　　诸多可能的背后离不开互联网时代就已经出现的最敏感的问题：用户隐私安全。根据加拿大国际治理创新中心（Centre for International Governance Innovation）和 民调公司益普索（Ipsos）最新的调查问卷，78%的全球公民对网络隐私安全“有点担忧”（somewhat concerned）。53%的全球公民“更加担忧”（more concerned）他们的网络隐私安全。这个调研采访了超过 25000 名互联网用户，遍布北美、拉美、欧洲、亚太、中东和非洲20多个国家。每个地区至少有一半的互联网用户表达他们对隐私的担忧。

　　目前，互联网主要依赖于数据收集，被一些批评人士视为针对用户的大规模监控。科技公司和研究人员已经开始思考元宇宙是否会有所不同。相比互联网平台，元宇宙追踪个人的方式更“亲密”（intimate），可以监控个人的心理反应、脸部表情、声调变化甚至脑电波变化这类生物特征数据，数据收集体量和丰富程度是前所未有的，个人隐私保护的问题只会更突出。在元宇宙庞大数据流量需求下，如何提高用户隐私安全将是企业和政府必须解决的问题。

　　美国数据隐私保护解决方案提供商WireWheel首席产品官巴克（Rick Buck）认为，元宇宙已经远远超出科幻小说，成为今天投资界热议的话题。它是一种新的渠道、新的技术、新的产业，潜力巨大。但如果人们将元宇宙视为互联网的一种延伸，那就要考虑人们在互联网所要面对的话题和问题。在新的元宇宙世界，挑战只会加剧。

　　科技绕不过的“隐私安全”问题

　　2021年10月，Facebook Inc.更名为Meta Platforms Inc.，标志着游戏、办公工具和其它一些服务背后的公司开始加大对元宇宙这一“下一代网络空间”的投资。Meta希望，其元宇宙的吸引力将融合数字世界和现实世界，通过VR或AR（Augmented Reality，增强现实）头盔，将交互式图像投射到物理环境中。微软和图形芯片公司英伟达（NVDA）等大公司也高调宣布计划涉足该领域。

　　比如，微软将为其Teams办公平台的用户推出新功能，用户可以在数字空间中使用定制的虚拟化身进行会议、与同事聊天以及开展项目合作。英伟达也正在准备一套自己的协作和仿真工具。2021年8月，Meta开始对一款名为Horizon Workrooms的办公协作应用进行公开测试。Meta首席执行官扎克伯格（Mark Zuckerberg）表示，公司每年将在与元宇宙相关的创新上投入数十亿美元。

　　这些围绕元宇宙创新技术的测试或投资引发了隐私权倡导者对Meta背后意图的质疑，因为近年来Facebook、谷歌等科技巨头因为涉嫌滥用数据、侵犯隐私而被美国和欧洲监管机构开下数十亿美元的罚单。

　　2021年9月，由于隐私问题，Facebook旗下即时聊天软件WhatsApp被爱尔兰数据保护监管机构处以创纪录的2.25亿欧元（约合2.66亿美元）罚款。2022年1月6日，法国数据监管机构国家信息自由委员会（CNIL）宣布分别对谷歌、Facebook罚款1.5亿欧元（约合1.7亿美元）、6000万欧元（约合6800万美元），原因是这两家公司违反了欧盟隐私规定及《法国数据保护法》（the French Data Protection Act），未允许法国用户便捷地拒绝cookie（网页缓存数据）跟踪。

　　为了缓解或消除用户隐私方面的担忧，Meta已承诺向重点研究元宇宙空间隐私和安全问题的外部研究机构提供5,000万美元，包括与新加坡国立大学（National University of Singapore）合作检查数据使用情况。Meta旗下负责开发AR和VR产品的Reality Labs部门也获得单独投资，研究如何在新设备和服务中验证用户身份并检测新形式的网络攻击等课题。

　　美国公司并不是唯一想要进入元宇宙的公司。2021年，中国企业腾讯、字节跳动、网易和百度等也在进行元宇宙的早期布局。日本社交网站巨头GREE将以子公司REALIYY为中心，计划到2024年投资100亿日元，在世界范围内发展一亿以上用户。该公司认为，并不是只有3D画面才能叫虚拟世界，让用户感受到社会性的机制更为重要。

　　三星等400多家韩国企业组成了“元宇宙联盟”（K-Metaverse），尝试通过政府和企业的合作，在民间主导下构建元宇宙生态系统，在现实和虚拟的多个领域实现开放型元宇宙平台。

　　美国私营互联网公司“林登实验室”（Linden Lab）执行董事长Bradford Oberwager表示，人们可能会进入元宇宙来分享经验或者获得在现实世界无法获得的身份，这让技术背后的公司有一个了解用户心理的独特窗口。尽管Meta承诺元宇宙将是一个开放和多样化的空间，但是还不清楚互联网巨头们将如何合作实现这一目标。有人担心，元宇宙可能会使那些无法上网的人被排除在双层系统外，而元宇宙的沉浸式体验意味着它可能比2D移动应用更令人上瘾。

　　但是，在这种沉浸式虚拟世界中，新技术的运用将使得企业能够收集个人的步态、眼球运动、情绪等越来越细微层面的数据，这种信息深度使得企业能够对用户行为有更深刻的理解，进而给现有的用户隐私保护措施带来更大压力。

　　元宇宙中的隐私和道德难题

　　XRSI（XR Safety Initiative，XR安全倡议组织）是一个倡导沉浸式技术道德发展的非营利组织。该组织创始人Kavya Pearlman表示，元宇宙依赖的基础设施，包括虚拟现实（VR）眼镜和增强现实（AR）软件，将依靠大量数据来显示用户如何在虚构世界中工作、预约医生等。人们的运动方式、步态、如何凝视和瞳孔放大，时刻都在向开发者泄漏信息。所有这些细节都能让公司更有能力推断出用户的特征，这违背了当前关于隐私和安全的观念。例如，保险公司可能会在用户注意到身体变化或在看医生之前，获取用户健康问题的信息。

　　位于美国马萨诸塞州波士顿的研究型大学“东北大学”（Northeastern University）传播研究院副教授布鲁克·福科·威尔斯（Brooke Foucault Welles）在2021年12月22日的文章中这样表达自己的顾虑：如果在元宇宙中，你的虚拟化身“强暴”我的虚拟化身，该怎么办？这些问题目前为止还没有解决方案，但毫无疑问会发生。如果在开发元宇宙前没有对这类问题进行思考将是非常鲁莽的。

　　她提到，在元宇宙诸多可能性当中，可以有一个包容、多样的安全空间。在这一空间当中，人们可以探索不同类型或性格的“人”（bodies），毫无畏惧地赞美所有“身份认同”，比如年轻的同性恋者可以尝试不同的出柜方式。但缺点是，可以想象，该空间也有可能成为各种骚扰、性剥削和针对性霸凌的场所。

　　东北大学“混合现实研究组”（the Mixed Reality Research Group）主任Caglar Yildirim认为，随着元宇宙提供更多沉浸式的探索体验，用户也必须为自己的选择承担责任。他说：“这里存在一个隐私悖论，即人们愿意在社交平台分享所有信息，但是，当有爆料说这些平台企业如何使用用户数据时，他们就会愤怒。我不是说人们无权愤怒，而是他们之前自愿分享信息，这就是悖论。所以，人们还是要警觉自己在社交平台的所作所为，做好预先准备”。

　　WireWheel是美国华盛顿一家数据隐私保护解决方案提供商，成立于2016年，致力于降低数据隐私保护合规能力建设的难度，帮助企业应对复杂、严厉的法案、条例规定。在2021年11月WireWheel主办的年度“隐私技术会议”（Privacy Technology Conference）上，一个由技术专家组成的小组从隐私视角讨论了元宇宙。

　　华盛顿特区智囊“隐私未来论坛”（Future of Privacy Forum）政策顾问格林伯格（Jeremy Greenberg）在会上表示，很多有关隐私的关切大多和数据的规模和敏感性有关。他说：“根据研究，20分钟的VR技术可以产生200万个独特的个人数据元素，这仅仅是VR。而元宇宙是综合了VR、AR和混合现实（MR），所有这些传感器都可以收集大量的关于人体的敏感数据。”

　　“隐私未来论坛”专注于数据隐私问题，支持者包括比尔及梅琳达·盖茨基金会（Bill & Melinda Gates Foundation）、罗伯特·伍德·约翰逊基金会（RWJF）和美国国家科学基金会（NSF），成员包括Meta、谷歌及微软等企业。

　　格林伯格预测，如今没有听说过元宇宙技术的人将是十年后元宇宙的参与者，在物理世界和数字世界之间无缝穿梭。但他警告，很多技术将被公开使用，就会有各种透明度和信息收集控制权的问题。因为，在2D网络，用于建立个人文档的信息决定了用户可以接收到哪些内容，享受哪些体验，这就导致了“过滤泡沫”（filter bubble）的产生，从而引发在政治上和文化上的各种分裂。但在3D环境中，信息收集的指令不仅仅体现在线上或移动设备，而是更多发生在人们周围的真实世界。

　　立法保护元宇宙“隐私”

　　2022年1月31日，全球律师事务所Goodwin律师、国际隐私专业人员协会（IAPP）副总裁Omer Tene在WireWheel组织的讨论会上预测，2022年元宇宙最受欢迎的发力点就是一种“沉浸式隐私政策”，借此将元宇宙和隐私政策、标准合同以及数据处理协议（DPA）连接。但就美国个别州可能会通过的数据处理保护法律，他认为不会偏离当前已有的法律框架。

　　华盛顿智库“未来隐私论坛”负责政策的高级副总裁John Verdi表示，近年来，许多企业隐私问题都与第三方共享数据环节有关。目前的相关条例或立法大多针对手机和电脑，可能无法直接适用于AR。一旦元宇宙“数据经济”成为焦点，各国政府可能需要通过新的法律，或更新现有的法令，如欧盟2018年5月25日生效的《通用数据保护条例》（General Data Protection Regulation）。

　　格林伯格认为，现在立法犹如上坡作战，难度大。但在元宇宙领域，牵涉各种各样的技术，但究竟哪些技术会被运用其中，尚不得而知。现在大家讨论的都是VR，或者什么是VR，多少都有些共识，但尚无标准化的定义。重新思考一些定义，仅仅是第一步。比如，今天我们对生物特征数据（Biometric Data）的定义往往是基于辨识用户的能力。而我们对元宇宙“隐私风险”，也主要和企业从收集到的生物特征数据中得到的推论有关，比如基于视线追踪数据推断个人的心理。

　　美国东北大学教授威尔斯提到，令人乐观的一条理由是，现在人们的隐私保护意识远比上世纪90年代互联网商业化时代强。她建议构建一个“隐私第一”（privacy-first）的元宇宙，希望能够出台相关规定，让用户承担和维护在个人数据方面的责任，促使他们能够分享或隐藏和删除个人历史记录。但这需要一套完整的线上法律来支持，这是美国国会目前无法提供的。

　　该大学传播研究院助理教授Meryl Alper表示，现在公众围绕元宇宙的讨论大多聚焦于企业或个人如何在未来“另一个世界”发展和盈利。她认为，如果这是元宇宙的“终极目标”的话，毫无疑问会出现对用户数据的提取、收集和监控。自20世纪80年代放松管制（deregulation）时代以来，用户隐私优先于媒体权力。比如，英国最近出台了儿童线上隐私法（Age Appropriate Design Code），已经迫使类似Meta的公司更好地调整它们的产品，以适应儿童的发展需求和数字权利。

　　她强调，在媒体和传播学领域，数十年来的研究发现，当人们在线上建立虚拟化身时并不会留下自己的身份信息，这便导致一种可能性的存在：这种虚拟空间反而赋予了人们骚扰和在心理上伤害他人的权利。政府通过新的法律，就是要确保人们不会吃亏上当，尤其要确保儿童这样的弱势群体不被利用。

　　美国第二大律师事务所诺顿罗氏 （Norton Rose Fulbright）今年1月25日发布了一份数据保护报告，探讨了元宇宙的个人隐私问题。报告中，多伦多Miller Thomson律师事务所信息安全律师Imran Ahmad和该律师事务所研究科技、隐私和数据保护的专员Tiana Corovic认为，

　　人工智能（AI）在生物特征技术中非常常见，这就牵涉到使用AI的法律问题。

　　比如，就敏感生物特征数据和平台间虚拟支付而言，也会存在恶意攻击和数据泄露的可能性。这就意味着要对现在的一些“产业标准”进行修改和进行更为明确的定义，以确保它们在元宇宙环境中的适用性和连贯性。随着社交媒体的体验向浸入式体验转变，围绕数据收集和适用的关切必将加大立法改革压力。

　　近年来，加拿大政府对使用AI技术的企业开启审查，打击它们的非法大众监视和生物特征数据的收集。目前，魁北克是加拿大唯一对这类数据收集开展具体监管的地方。

　　加拿大《个人信息保护和电子文件法》（PIPEDA）对个人数据和社交媒体用户信息的收集、使用和披露进行了法制化的管理。PIPEDA要求企业获得用户同意并告知获取此类信息的目的。

　　虽然PIPEDA没有区分成人和青年（youth），但加拿大个人隐私资料专员公署（OPCC）将青年和儿童个人信息视为“特别敏感信息”，建议设置限制，或者尽可能地杜绝此类信息的收集。如果儿童接触到元宇宙，相关隐私保护机构可能进一步提供指引，确保信息获取的“许可”能够到位。

　　但是，和欧盟出台的法律相比，加拿大PIPEDA还不够规范。比如，对于向第三方转移数据，PIPEDA所要求的“同等水平的保护”并不明确，而欧盟于 2018 年 5 月 25 日生效的《通用数据保护条例（GDPR）》则要求公司体制中隐私保护措施更加细化，数据保护协议更加细致，公司隐私和数据保护实践相关披露对用户更加友好且更加详尽和明晰，尤其要求公司在数据转移方面出台有法律约束力的规则。

　　在中国，元宇宙的讨论也存在一些法律层面的思考，但主要集中在经济领域，比如如何让元宇宙平台中虚拟财产交易、虚拟货币交易、税收和知识产权保护受制于现实世界的法律规则。不过，围绕数据安全和个人信息安全，中国近年来层层递进、彼此互补地出台了相应的法律法规，都是元宇宙公司开展数据处理活动严格遵守的法律义务。

　　比如，2015年7月1日颁布实施的《国家安全法》中便已对“数据的安全可控”作出原则性规定。2017年6月1日实施的《网络安全法》也是为了强化个人信息保护。2021年9月1日施行的《数据安全法》是中国数据安全领域的一部重要基础性法律，系统性地聚焦于数据安全领域的风险隐患，确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度。2021年11月1日施行的《个人信息保护法》是中国个人信息保护领域的基础性立法，明确了互联网企业责任义务，打击个人信息过度收集、泄露的乱象。

　　就在元宇宙讨论如火如荼之际，2021年12月10日，以《数据安全法》为基础，工业和信息化部办公厅发布《关于组织开展工业领域数据安全管理试点工作的通知》，致力于通过试点工作探索构建工业领域数据安全管理体系，有效保障数据安全，推动数字经济高质量发展。

　　总之，围绕元宇宙的讨论还会继续，竞争也会更激烈，前路亦有诸多未知，但也充满各种可能。但无论如何，在元宇宙世界的建设当中，各国政府和企业都应该从立法角度严格考虑个人信息安全和隐私安全的问题，不断完善机制，防止数据泄露，共同打造一个安全、多元、包容和健康的元宇宙环境。