網上投稿
2022年7月,時代雜志發布了封面文章《進入元宇宙:下一個數字時代將改變一切》。近年來元宇宙的概念逐漸進入了普通人的視野。對于貿易以及跨境電商行業,元宇宙同樣可以帶來無盡的遐想。區別于目前常見的通過靜態圖片、文字或是簡單的短視頻向消費者介紹商品特性的方式,電商行業在元宇宙中將呈現更真實、多樣化的表現方式。設想一下,在商家自行搭建的虛擬空間中,消費者通過捏臉、虛擬著裝創造自己的虛擬形象,數字虛擬人搖身一變成為帶貨主播,數字資產及數字權益憑證為貿易流程提供安全保障。此外,元宇宙中的貿易與電子商務是真正意義上的跨境貿易:元宇宙的未來形態應該會打通不同國家、不同平臺之間的信息壁壘,貿易在未來可能不再有國界的概念。
我們都知道科林格里奇困境:一項技術的社會后果不能在技術生命的早期被預料到,以至于新技術導致的隱患暴露之時我們很難控制這種不利后果。人民日報曾指出“萬物皆可元宇宙”,但該評論文章仍指出“雖然元宇宙似乎擁有廣闊的空間和無限的可能,但目前還是一個尚未成型的新興事物”。元宇宙通常被認為是向下一代互聯網(即所謂的“Web3.0”)時代的演變,技術的革新對于現有的法律監管體系也會帶來巨大的挑戰,比如數據保護以及網絡安全方面與現有法律體系的銜接。
需要說明的是,鑒于至今仍然無法為元宇宙進行一個準確的定義,并且我們理解目前元宇宙的發展階段仍然還處于萌芽狀態、最終形態還未曾可知,因此本文的探討主要結合主流輿論對于元宇宙的特征描述并基于此展開猜想。根據北京信息產業協會發布的《中國元宇宙白皮書》,元宇宙具有“沉浸式體驗”、“虛擬身份”、“虛擬經濟”以及“虛擬社會治理”幾個核心特征,這也符合很多人對于元宇宙的直觀理解。鑒于筆者不具備相關從業背景、對行業的理解也難免存在錯誤之處,本文主要是基于法律從業人員的視角對于元宇宙行業相關應用場景下可能產生的數據合規問題進行討論,也歡迎同行或業內專家對本文不成熟的論點進行斧正。
一、元宇宙對于現有數據保護法律監管體系的挑戰
1. 數據收集量暴增
本文開頭已經提到了元宇宙應用場景可能對于跨境電商行業可能帶來的積極改變,其中很重要的一點就是沉浸式的體驗對于消費者的感官刺激。事實上,很多人都認為,除了一些外在的客觀因素,目前電商消費模式中買家參與度較低、缺乏體驗感導致的買家對于商品的認可度低于實際預期,這是造成部分商品庫存積壓的重要原因之一。而這個問題在我們假象的元宇宙應用場景中就能得到很好的解決:戴上特制的VR頭盔,就會進入充滿現實感的虛擬世界,消費者可以享受身臨其境的購物體驗。
但是在這個過程中,消費者在現實中表現出的每一個動作、每一個表情甚至情緒活動都可能會被可穿戴設備完整收集、并在虛擬世界中進行呈現。這其中可能包括:生物識別信息(例如面部特征、聲紋、虹膜以及指紋等)、個人健康信息(例如心跳、血壓以及其他生命體征等)、網絡身份標識信息、個人通信信息、個人財產信息甚至瀏覽記錄信息等。可以看出,元宇宙應用場景下對于用戶個人信息的收集數量以及種類將會呈現爆炸式的增長。在這個前提之下,落實目前個人信息保護監管框架下的“告知-同意”原則的難度也必然隨之增長;尤其是,為了確保用戶獲得連續性的體驗,必然將持續、長期監控用戶的行為模式,而用戶在持續性的沉浸式交互以及全生活場景覆蓋的應用體驗的影響之下也必然會降低對于自身個人信息保護的敏感性,因此需要踐行更高的合規要求。
如何確保每一項收集的個人信息均取得合法性基礎?如何設計簡單、易懂的告知方式以便完整履行法定告知義務?新技術可能每天都在不斷更迭、數據收集目的可能也在不斷發生變化,同意機制該如何設計(尤其是大量的敏感個人信息需要獲得單獨同意)?如何確保遵循個人信息/數據收集最小必要原則,每一項數據的收集均與處理目的直接相關?目前主管部門在判斷所收集的個人信息類型是否符合最小必要原則時會區分基本業務功能與非基本業務功能,這還是典型的對于單個應用、單個平臺的監管思路;而元宇宙應用場景下,一個平臺可能實現購物、醫療、娛樂、社交等全場景覆蓋,在這種情況下該如何區分基本與非基本業務功能?上述的問題在“Web2.0”時代已經存在,到了元宇宙應用場景下必然會更加突出。
2. 人工智能的監管
人工智能技術的發展即便在目前這個網絡時代就已經改變了我們的很多習慣。未來,人工智能技術會得到更加廣泛的應用,元宇宙會通過機器學習、人工智能技術大量收集個人信息后進行AI學習,為我們提供更具沉浸感的交互體驗;但與此同時,由于這些技術都是行為學習技術,它們會收集大量的個人信息,威脅到用戶隱私。在元宇宙應用場景下,與真實人類無異的數字虛擬人將與普通用戶進行大量交互,甚至如本文開頭所言,由數字虛擬人作為帶貨主播與普通消費者進行“面對面”互動。在這個過程中很有可能產生大量用戶并沒有意識到、由人工智能完成的個人信息收集處理活動。
舉個最簡單的例子,用戶在元宇宙中與數字虛擬人進行語音溝通,如同現實中兩個面對面相遇的人進行交流的場景,然而在這個過程中該用戶的聲紋信息就有可能被人工智能進行了無意識的收集。這方面的監管可以參照目前歐盟數據保護委員會(EDPB)對于虛擬語音助手(例如Siri)的監管指南。EDPB認為虛擬語音助手處理的個人數據本質上可能是高度敏感的語音數據、本質上是生物識別個人數據,因此需要遵循GDPR的監管要求。
生物信息識別是人工智能應用的一個重要方面。包括人臉識別在內,絕大多數人工智能技術均離不開對于個人數據以及個人信息的采集,因為人工智能技術一般都是建立在數據分析以及算法之上的。對個人數據的收集與處理進行相對嚴格的法律規制,實際上就是從源頭上控制了人工智能的應用場景,這是目前中國對于人工智能的相關立法思路,在元宇宙相關應用場景下這樣的監管思路也可以繼續強化。
3. 個人信息處理者的界定及數據跨境流轉
上文我們始終在以現行數據合規監管體系的思路討論相關應用場景下的數據合規問題,即重點分析各個場景下個人信息處理者/數據處理者的法律合規義務。這也是目前中國數據合規的監管思路:首先確認責任主體(個人信息處理者/數據處理者),要求其落實數據合規義務,并進而確保個人信息主體的相關權益不會被侵犯。這是“Web2.0”時代監管思路的延續,監管部門可以將監管注意力集中在大型互聯網平臺的運營主體或是龍頭企業上,要求這些主體對平臺上發生的個人信息以及數據合規問題負責。
然而理想狀態下的“Web3.0”時代的元宇宙具有去中心化的特征,區塊鏈技術與智能合約將為元宇宙提供基礎設施及技術保障;而在去中心化的前提下,基于現有的網絡生態構建的監管體系將不再適用,服務器以及數據都不再集中在一個中心化的平臺運營者手中、難以界定個人信息/數據的處理者,元宇宙中存在的大量實體可能共同完成了數據處理,在這種情況下對某幾個大型互聯網平臺運營主體進行集中監管就失去了意義。
隨之而產生的還有數據跨境流轉的問題。元宇宙理念的實現首先是基于多個平臺內信息的互相交互、互相整合,打通此前不同互聯網平臺之間的信息壁壘;元宇宙平臺不可能永遠限制在一國之內發展,不同國家、不同平臺之間的信息壁壘也不應當存在,無論平臺服務器是否會分布在不同國家,用戶可以自由攜帶數據在不同平臺之間遷移,真正實現“數據可攜”。但這樣的理念很顯然與現有的跨境數據流動監管不符。以中國個人信息保護法的要求為例,除了需要履行告知義務并取得個人信息主體的單獨同意之外,要向境外提供個人信息還需要通過網信部門組織的安全評估、通過個人信息保護認證或與接收方簽署標準合同,并且部分個人信息類別有明確的本地存儲、不得出境的要求。而在去中心化的元宇宙應用場景,考慮到個人信息處理者難以界定的問題,隨之而來的就是由誰負責向主管部門申報安全評估?標準合同文本又應當由誰來簽署?誰是元宇宙應用場景下的關鍵信息基礎設施運營者?這還未考慮該等監管模式實質上無形之中大幅降低數據跨境流轉效率,與元宇宙無邊界的理念相悖。
即便暫不考慮以上數據處理者如何界定的問題,元宇宙無國界、數據全球流動的理念還會導致監管的管轄權難以確定的問題。中國個人信息保護法適用于中國境內處理個人信息、或是以向境內自然人提供產品服務/分析評估境內自然人為目的的處理活動。如何在元宇宙應用場景下界定“境內自然人”,是以用戶在現實世界中的物理位置?還是以用戶虛擬身份(Avatar)所處服務器位置來判斷?此外,考慮到各個國家數據監管法規規定不一致(可能立法思路存在注重個人權利和隱私保護或更注重國家安全的根本性矛盾)、各個國家數據保護法律都規定了域外效力以及各個國家監管部門存在管轄推諉或是對同一法律規定解讀不一致的問題。
二、元宇宙數據安全及數據合規實踐路徑猜想
1. 隱私計算
隱私計算和元宇宙可能是天作之合:元宇宙為用戶提供極具沉浸感的交互體驗的基礎在于高速的通信網絡傳輸速度以及對于數據的計算和處理能力,可以說基礎設施層面的計算能力直接決定了元宇宙應用場景能夠給用戶帶來什么程度的沉浸體驗、甚至決定了元宇宙的發展高度;而隱私計算技術則為最大限度釋放算力提供了可能,能夠幫助數據流通建立有序可控的共享狀態。隱私計算解決問題的方向就是讓數據保持加密的狀態、以不泄露給其他合作方為前提進行計算合作,在保障數據安全的情況下實現數據流轉,利用算力最大限度實現用戶的數據價值。
中國國務院辦公廳在《要素市場化配置綜合改革試點總體方案》中提出:“建立健全數據流通交易規則,探索‘原始數據不出域、數據可用不可見’的交易范式”,這與隱私計算所追求的理念是一致的;此外,《上海市數字經濟發展“十四五”規劃》也特別提到了“突破數字安全技術,深化多方安全計算、聯邦計算、差分隱私等隱私計算技術研發應用”。以下內容參考中國移動發布的《隱私計算應用白皮書》為大家簡單介紹一下目前隱私計算技術的幾類應用。
(1) 多方安全計算。所謂的多方安全計算即在不泄露隱私的條件下各參與方利用隱私數據參與保密計算、共同完成計算任務。多方安全計算有多種實現方式,例如同態加密技術可以實現在數據加密的情況下直接進行計算(區別于正常計算場景下必須首先解密之后才能完成計算)從而實現多方安全計算的目的。多方安全計算意在實現保護數據隱私的前提下確保平臺能夠合規、安全的實現數據處理目的,協助在元宇宙中實現大量的數據收集、數據流轉的應用場景。
(2) 聯邦學習。聯邦學習的核心思想在于多個數據源共同參與、但僅通過交互模型中間參數進行聯合訓練,原始數據不出本地、各個參與方交換的僅僅是中間運算結果。聯邦學習在元宇宙場景下的重要應用是人工智能的AI學習,我們之前已經討論過人工智能對于脫離人工腳本限制、保障元宇宙沉浸式體驗的重要性,以及AI學習所需要大量收集個人信息的隱患,而聯邦學習技術可以實現數據保護以及數據分析的平衡。
(3) 差分隱私。差分隱私技術主要原理是通過在統計結果中加入隨機噪聲來避免數據變化導致的結果差異而泄露數據中的個人信息(可以簡單理解為不再傳輸確定的結果,而是輸出概率),該技術可以在保留群體統計特征的前提下去除個體特征以保護用戶隱私。差分隱私在機器學習以及智能算法等領域也有著廣泛的應用,很好的契合了元宇宙的應用場景。
需要說明的是,在現有的數據合規法律框架下,我們理解僅僅布局隱私計算技術并不能實現完全合規,因為部分技術實現方式即便存在“原始數據不出本地”的特性(即個人信息/數據處理者并未進行個人信息/數據收集),但后續的計算過程仍然無法徹底跳出法律對于“處理”的定義。我們認為,隱私計算技術在現行數據合規監管框架下的重要意義在于最大程度實現數據處理的最小必要原則,以及數據處理活動的安全保障措施,這對于元宇宙應用場景下的數據合規意義重大。
2. 分布式治理
隱私計算的目的是將對于數據的控制權從傳統的互聯網平臺手中轉移至個人信息權利主體、即每一位用戶手中,這實際上與“Web3.0”所倡導的理念是一致的:用戶不僅是互聯網內容的接收者,更是內容的生產者(創作者經濟)、共同擁有平臺(元宇宙)的經濟利益甚至所有權,通過虛擬身份來實現對平臺的管理。大家可以回顧一下本文前言部分提及的除了“沉浸式體驗”之外元宇宙幾大核心特征:“虛擬身份”、“虛擬經濟”以及“虛擬社會治理”,每一位用戶通過“虛擬身份”在去中心化的前提下自主參與對于平臺(元宇宙)的管理,以這種方式實現“虛擬社會治理”,就被行業內稱之為分布式治理模式。2021年3月11日全國人大通過的《關于國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要的決議》中已經提出了“推動……分布式系統等區塊鏈技術創新,以聯盟鏈為重點發展區塊鏈服務平臺”。盡管聯盟鏈被普遍認為只能實現部分去中心化,因中國政策及法律限制,要實現分布式治理模式在中國還有很長的路要走,但我們還是可以在此設想一下該模式相對于目前數據保護監管模式的突破。
從用戶個人信息權益以及數據保護的角度來看,分布式治理模式的優勢主要在于,其在數據權益方面擁有對自身個人信息數據的絕對控制權,并且每一位用戶都有機會和權利來共同協商平臺(元宇宙)數據保護的規則,以便更好的保護自身的數據權益。這與此前傳統的平臺中心化的治理思路是大相徑庭的,可以很好的解決平臺過度收集數據、數據處理目的與方式不透明、數據主體缺乏選擇權等需要通過立法方式對數據處理者進行強制管控才能解決或緩解的問題。
除了上述原因之外,“虛擬身份”在數據合規方面還具備的一大潛在優勢是身份信息隔離。元宇宙針對用戶的虛擬身份(Avatar)所收集的個人信息數據可以與該用戶在現實世界中的身份完全無關,從而最大程度保障了該用戶的隱私。元宇宙世界中成年人的虛擬身份形象,在現實中可能是一個不滿14周歲的未成年人。在數據合規方面,這可能會帶來其他難題(比如未成年人身份驗證),這可能就是中國主管部門一直以來始終堅決推行網絡實名制的原因之一。
這個話題可以引出我們始終未涉及的最后一個核心特征“虛擬經濟”,以及這幾年與元宇宙共同火出圈的NFT。上文已經提到了元宇宙通過創作者經濟模式、即通過用戶對元宇宙的貢獻大小來確認該用戶對于元宇宙所享有的經濟利益,這種經濟利益以權益憑證/數字資產的方式給到用戶,而NFT可以粗略理解為鏈上的一種數據單位、證明該數字權益是獨一無二的一種憑證。NFT在用戶數據以及隱私保護方面也能起到積極作用。與上文所述的身份信息隔離類似,NFT同樣可以通過數字錢包實現真是身份與虛擬身份的隔離:在購買NFT之后,NFT會存儲在數字錢包中,該數字錢包的實質就是鏈上的某個地址坐標,通過追查該地址無法追溯到現實世界的消費者;然而該功能需要在對于公鏈政策比較友好國家才能實現,考慮到國內NFT平臺因法律及政策限制原因主要是基于聯盟鏈、并且每個中心節點均需實名認證方可滿足監管要求的情況,NFT無法實現上述數據隔離的功能,并且也被限制了金融屬性,主要保留了其證名功能。
3. 立法與監管模式的改革
我們在上文多次提及了元宇宙應用場景可能對現有數據保護監管體系的沖擊。事實上,任何成文法均具有滯后性,因為技術的快速更迭以及新商業模式的不斷探索,這種滯后性在網絡法以及數據合規領域表現的更為明顯。在本文所涉及的場景中,小到某些新的數據類型是否需要被納入個人信息以及數據的定義、數據控制權與數據所有權的區分、某個具體硬件設備或是技術類型的監管規則是否需要收緊,大到目前對于數據合規的監管理念以及國際協作的模式在元宇宙應用場景下是否需要推倒重建,這些都是元宇宙應用場景下目前的法律法規在適用過程中可能遇到的問題。
然而這并不意味著本文呼吁立即對現行的數據監管法律以及監管體系進行大刀闊斧的革新。上文很多應用場景是基于元宇宙未來形態暢想的基礎上提出的猜想與探討、而非嚴謹的學術觀點。元宇宙行業在以自己的節奏逐步發展,法律與監管也更宜于逐步匹配商業模式的更迭,通過司法解釋、部門規章逐步修補漏洞,以行政執法以及司法裁判的方式為商業模式的發展把握方向,或者通過發布國家標準、行業標準幫助整個行業健康成長。
回到元宇宙行業監管路徑這個問題上來,事實上自從各大電子商務平臺的興起,互聯網監管相關立法性文件就一定程度上表現出了對于新興商業模式的不匹配,結果是除了法律法規強制性規定之外,互聯網平臺都會通過自身的服務規則、注冊協議等維系自身的商業模式以及平臺生態,行業內稱之為“軟法”,指區別于國家強制性法律法規、依靠平臺成員的接受同意以及利益驅動機制確保實施的規則體系。到了元宇宙應用場景之下,這類軟法可能會發揮更大的作用,因為這類規則的特點就是與平臺自身的商業模式完全契合,并且不存在硬法制定流程復雜、不能及時回應現實需求的問題。業內有同行將這種軟法模式稱之為“元規則”。區別在于,在此前這類軟法制定的話語權與規則起草的權限都是由平臺經營者所壟斷,而在去中心化治理、分布式治理的場景下,每一位用戶都會參與自身所處的元宇宙社會的治理規則制定,最大限度發揮自身主觀能動性,所有這些規則都可以通過技術的方式(例如智能合約)被寫入并自動執行。
三、結語
如前所述,本文僅僅是基于對于元宇宙未來發展的粗淺設想,可能大部分不會成為現實,但不可否認的是,未來幾年,元宇宙將為電子商務行業、尤其是跨境電商提供比以往更個性化的接觸消費者的方式,來自傳統電商行業的競爭將繼續存在,但元宇宙可能會培育新型商業模式、開辟出另外一條全新賽道,成為消費、社區、電子商務、娛樂的新模式。就比如剛剛過去的雙十一,淘寶也上線了屬于自己的元宇宙“未來城”,或許與本文設想的元宇宙還存在區別,但足夠讓我們看到各個電商平臺的下一步努力方向,即打破空間間隔以及改善消費者的使用體驗。
讓我們回到本文開頭那篇時代雜志的封面文章。該文章的作者在開篇就提出:“元宇宙將重塑我們的生活,讓我們確保它變得更好”。在如何“確保它變得更好”這個問題上,如何在適用法律框架之下合規經營、以及與行業共同適配成長的監管體系和游戲規則,同樣是確保我們每個人能夠共享行業發展為我們帶來紅利的前提。讓我們共同期待這個行業發展成熟、“重塑我們生活”這一天的到來。
滬公網安備 31010402007129號
