二、元宇宙中用户数据隐私保护需厘清的几个问题
(一)数据所有权归属问题
对于数据隐私的保护而言,首先需要确定数据的所有权归属,而这个问题因涉及用户、企业、社会等诸方利益,始终是最具争议的。其中一种具有代表性的观点认为:数据天然具有附身性,用户作为数据的源头赋予了数据隐私价值。而数据处理者通过对用户信息的采集、存储、计算、分析而产生的再生价值的最终指向对象仍为数据本身,据此,在法理上,数据处理者对用户的数据进行加工要素的投入并不能认为是对该数据的“原始取得”,因为该数据并非“从无到有”而是“从散到整”。
因此,根据《个人信息保护法》等相关规定,元宇宙中,用户个人信息和交互中产生的个人信息数据归属权应当归用户所有,处理者仅能在用户授权的情况下进行收集、储存或使用等;但如果交互产生的信息不包含用户个人信息,该数据应归处理者所有,处理者方可进行存储、使用;对于用户从现实世界带入元宇宙的数据,则需要视数据来源情况进行不同的确权。
(二)数据的依法收集问题
《个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应当以显著的方式、清晰易懂的语言,以真实、准确、完整地方式向个人履行告知义务,即任何单位在收集用户数据前需向用户充分说明收集信息的内容、范围、用途等并征得用户的同意。
但基于个人使用需求与数据自我保护的矛盾1,用户作为弱势方往往只能接受“一揽子协议”,同意格式条款规定的不可预见的数据处理行为。同时,随着前端技术的不断发展,获取用户信息的方式也更加的多样化和深入化,在这个过程中,难免会出现信息收集方在未获得用户“实质性”同意的基础上过度地、不合规的收集用户信息及诸如此类的风险。
(三)数据隐私保护的依法突破问题
《个人信息保护法》虽引入了用户数据所有权以及“知情+同意+最小”必要原则,但规定了例外情况,即基于公共管理以及行业发展的实际需求,为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,为履行法定职责或者法定义务所必需等等,可以在一定程度上突破上述原则。
基于知情同意原则的突破,立法通过限定数据隐私保护的边界,为公权机关等数据监管者和数据处理者从事用户数据交易提供了法律依据。但不得不考虑的是,元宇宙基于web3.0互联网技术需求,对于用户的数据在种类、体量及深度等方面的客观需求远超web2.0互联网,例如用户的虹膜辨识、心跳、心率、肢体习惯等更为细致、私密的个人信息,即便通过去标识化或匿名化处理,仍无法排除用户数据隐私泄露的风险。
(四)智能合约的用户隐私条款设计问题
智能合约作为区块链底层技术可以为用户数据隐私保护起到关键性作用,能够有效提升数据处理者提供服务的安全性以及用户隐私合规竞争优势。通过智能合约的约定,可以实现用户数据隐私保护机制、触发机制、赔偿机制、保险机制等,从这个角度而言,智能合约可谓是元宇宙数据隐私保护的基石。关于智能合约的用户隐私条款设计的主要考虑因素如下:
1、要建立完善的、可靠的区块链。
2、要进行详细的智能合约条款约定。数据处理者与用户双方应当就以下事项进行约定:
(1)双方应就数据的收集以及存储程序进行约定,保证收集数据的必要性和最小化原则,确保数据能够得到有效地保护;
(2)当数据泄露、滥用或灭失等风险事件并达到某个事先约定参数时,即触发应急程序,通过必要的技术手段以及法律手段收回、删除数据,并消除前述情况所导致的影响,并及时通知用户处理进程;
(3)在应急程序完成后,在保证数据风险事件对用户造成的不良影响消除后,根据用户的实际损失启动补偿程序。
3、要发挥预言机作用。区块链本身无法完成链下信息的交互工作,即区块链本身无法直接连通智能合约并根据条件触发智能合约,因此预言机就成为了区块链与智能合约之间的必要媒介。
简言之,预言机可视为区块链与链下信息的传输通道,亦为区块链与智能合约实现信息交互、传递的窗口,能够确保当链下违约或风险事件发生时,链上智能合约可以得到有效执行。
因此,预言机作为区块链上及链下的交互技术机制,在一定程度上为区块链的透明化以及用户数据隐私矛盾的解决提供了可行性。
据此,数据处理者可以设计一份基于智能合约的用户数据隐私保护参数。当发生智能合约中所约定的数据隐私泄露风险事件时,预言机将通过多个数据源获得风险参数,并向区块链上的智能合约进行输出。如果预言机所输入的参数满足智能合约的触发条件,则智能合约自动执行,用户将根据合约约定获得相应的赔偿。
三、关于元宇宙用户隐私保护机制建立的建议
基于元宇宙中用户数据隐私保护所面临的挑战及需厘清的几个问题等,从可持续发展的角度出发,元宇宙的发展更需要可靠的用户隐私保护机制。而元宇宙用户隐私保护主要涉及三个主体,即监管者(政府)、处理者(企业)以及使用者(用户)。因此,完善的用户隐私保护机制应当从这三个视角展开思考。
(一)监管者进一步完善监管思路
我国现行法律针对网络信息立法存在网络安全监管以及个人信息保护,两种立法框架思路。
鉴于元宇宙用户隐私数据的个人信息保护法律框架的逐步建立,建议立法机关及监管者持续关注元宇宙平台企业收集、分析、使用用户数据的活动,根据实际发展情况积极完善现有监管框架,引导建立自律监管机制。
因此,为有效应对元宇宙中用户的数据相关风险,一种可能的监管思路为:从结果导向的监管思路转变为数据处理过程的程序性监管。如针对数据处理者对于用户数据的采集、存储、加工和转让等过程制定具体的程序性规定以及处理标准。虽然基于元宇宙概念发展现状以及互联网技术,监管者现阶段出台具体的程序性管理规制可能还缺乏足够的客观参考依据,但是用户隐私协议在现在及未来一段时间内仍是元宇宙科技企业取得用户数据处理授权的主要方式。
据此,监管者可以从隐私协议作为出发点尝试程序性规制,并通过完善技术手段要求相关企业经由特定网络接口端备案用户数据隐私协议等方式作为开端,试点开展程序性监管。
另外,基于元宇宙经济的发展特性,要求监管者的监管机制应做到张弛有度、激励共行,以避免“一揽子政策”打击元宇宙经济发展的积极性。
因此,另外一种可能的监管思路为:通过国家立法以及监管引导,促进处理者建立、完善自律的内部管理机制,并出台明确的处罚措施。
同时,鉴于管理者对于平台和数据的封闭及垄断是互联网环境下影响用户情感的重要因素,因此在相关产业发展的过程中,立法机关以及监管者可以应当更加注重依靠市场经济,鼓励更多的市场主体参与,并让提供的服务更具多样性,以保证用户的选择权。
(二)处理者应加快建立、完善的自律机制
面对元宇宙数据隐私保护问题,作为处理者的企业,不应当将合规性仅限于遵守相应的法律法规的隐私政策层面,也不应当将自律规范仅局限于用户知情权以及授权层面,而应当将用户数据隐私保护事宜作为企业未来发展的战略要求,建立完善的内部用户数据隐私保护自律机制具体如下:
一是建立专门的用户数据隐私保护部门,并将其作为企业与社会、监管者交流的窗口;
二是设立对应的高层管理人员,保证其在主管用户数据隐私保护业务的同时,能够成为企业战略决定的参与方,并能够直接与企业其他高级管理人员直接沟通;
三是将用户数据隐私保护纳入企业的核心价值观,并据此作出战略决策;
四是建立一套完整的分布式网络等,便于用户数据隐私保护部门参与其他部门的业务开展工作,以求在项目初期以及实施过程中有效地对用户数据隐私问题进行识别与处理。
(三)使用者需提升数据隐私保护意识
对于元宇宙使用者及用户来说,其既是信息数据的参与方,也是基础信息的提供方,更是原始数据的所有权人。基于此,我们建议:用户应当了解个人数据隐私保护的重要性,了解个人信息保护相关的法律法规,提升数据保护意识,并积极参与到个人数据隐私保护活动中。在面对损害个人数据权利的行为时,也应该积极寻求监管者的帮助,并依法维护自身权益。
1.《个人使用需求与数据自我保护的矛盾》,请见:http://m.sanhaostreet.com/guonei/202203/2117342.html