律师视点 | 黄斌：元宇宙法律篇（十）——LV虚拟试戴引发的数据诉讼案律师点评

美国伊利诺伊州于2008年通过《生物识别信息隐私法》（BIPA），法案要求企业必须征得同意，才能采集和存储客户的生物识别信息——涵盖从指纹到面部识别标记等所有内容。Facebook和谷歌都因提供了基于面部识别进行照片分类的功能，涉嫌违反BIPA规定而面临诉讼。2019年，世界上最大的主题公园连锁品牌六旗公司未经父母批准就对一名14岁的游客进行了指纹识别被起诉。六旗公司辩称，除非原告证明未经授权的收集行为造成了有形的伤害，否则公司不应当承担责任。伊利诺伊州最高法院认为：若生物识别特征和信息没有得到适当的保护，可能导致实质性和不可逆转的伤害。与企业可能产生的以满足法律要求的费用相比，后者可谓是微不足道。

美国《2020年国家生物识别信息隐私法案》是以伊利诺伊州的生物识别信息隐私（BIPA）为蓝本制定的，包含三个关键条款：1、要求在收集和披露个人生物识别符和信息之前，必须获得个人的同意；2、对违反该法保护的实体的私人诉讼权，使受侵害的个人有权追回，除其他外，(i)1,000美元的违约赔偿金或(ii)实际赔偿金，以较大者为准，因为他们疏忽地违反了该法所赋予的保护；3、有义务以类似于组织保护其他机密和敏感信息(如社会安全号码)的方式保护生物特征识别器或生物特征信息。并要求拥有任何个人的生物识别符或生物识别信息的任何规模的企业只有在需要向个人提供服务或有其他有效的商业理由时，才收集生物标识符或生物鉴别信息；告知个人正在收集或存储他们的生物识别符或生物识别信息，以及收集、存储或使用的目的和时间长度，并且必须收到个人的书面许可，不得与其他同意，包括就业协议相结合；在披露任何生物特征识别符或生物特征信息之前立即获得一份书面许可，其中包括要披露的数据、披露的原因和数据的接收者；以及以合理的谨慎标准保存信息。

《信息安全技术个人信息安全规范》规定个人生物识别信息属于个人敏感信息，包括个人基因、指纹、声纹、掌纹、耳郭、虹膜、面部识别特征等。《个人信息保护法》规定，生物识别信息属于敏感个人信息，是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息；处理敏感个人信息应当取得个人的单独同意，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；个人信息处理者首先应当遵循诚信原则取得个人的同意，该同意应当由个人在充分知情的前提下自愿、明确作出，不得通过误导、欺诈、胁迫等方式处理个人信息；个人信息处理者处理敏感个人信息应当事前进行个人信息保护影响评估，个人信息保护影响评估包括个人信息的处理目的、处理方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的保护措施是否合法、有效并与风险程度相适应；在处理个人信息前以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限、个人行使权利的方式和程序；只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。2021年7月，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》发布。第一条规定，人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。第二条规定，未公开处理人脸信息的规则或者未明示处理的目的、方式、范围及未征得自然人或者其监护人的单独同意属于侵害自然人人格权益的行为。

在郭兵诉杭州野生动物世界有限公司服务合同纠纷案中，事实部分：2019年4月27日，郭兵向杭州野生动物世界有限公司（以下简称野生动物世界）购买以指纹识别方式入园的双人年卡并支付卡费1360元。在双方服务合同履行过程中，野生动物世界将入园方式从指纹识别调整为人脸识别，并于2019年10月7日停用指纹识别闸机。野生动物世界先后于2019年7月12日和10月17日向包括郭兵在内的年卡消费者发送两条短信，告知年卡系统已升级，若不激活人脸识别系统，将无法正常入园。2019年10月26日，郭兵至野生动物世界交涉，园方表示：原指纹识别方式已无法入园，未注册人脸识别系统将无法入园。郭兵不同意接受人脸识别，要求野生动物世界退卡，双方协商未果。法院认为：生物识别信息作为敏感的个人信息，深度体现自然人的生理和行为特征，具备较强的人格属性，一旦被泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到不测危害，故更应谨慎处理和严格保护。经营者只有在消费者知情同意的前提下方能收集和使用生物识别信息，且须遵循合法、正当、必要原则。经营者违反双方约定处理信息或者因违约而停止提供某项产品或服务，消费者有权要求经营者删除与其违约情形相对应的个人信息。野生动物世界单方变更入园方式构成违约，应当赔偿郭兵合同利益损失；野生动物世界要求郭兵激活人脸识别，超出事前收集目的，且存在侵害郭兵面部特征信息之人格利益的可能与危险，故其应当删除郭兵办卡时提交的包括照片在内的面部特征信息。同时，因原约定的指纹识别入园服务方式无法实现，野生动物世界还应当删除指纹识别信息。

网络购物被誉为与高铁、共享单车、移动支付并列的新时代四大发明之一，为人们的生活带来了很大的便利，但商品与人的适配性方面线上和线下还是有一定的差别，特别是在衣帽服饰等个性化商品上。增强现实AR穿戴功能的实现，可以帮助人们找到最适合自己的个性化商品。但在使用增强现实AR穿戴功能时，可能需要通过摄像头等采集装置收集消费者身高、体重、三围、发型、肤色、面部特征等数据，然后通过算法将上述数据与商品方提供的数据进行匹配，给出穿戴建议提供增强现实AR穿戴服务。

虚拟现实是新一代信息技术的集合，融合了仿真技术与计算机图形学、人机接口技术、传感技术、人工智能等多种技术。本文所述的虚拟现实是广义的虚拟现实，包括VR、AR、MR和XR，VR是狭义的虚拟现实，呈现在用户眼里的是一个通过计算机设备模拟出来的三维动态虚拟世界，且仅有虚拟世界，完全遮断了真实的物理世界；AR是增强现实，呈现在用户眼里的是叠加了虚拟影像的真实物理世界，是将现实场景和虚拟场景相结合；MR是混合现实，呈现在用户眼里的是一种将真实的物理世界和虚拟世界融合后产生的新可视化情景，该可视化情景能够和真实的物理世界进行实时交互，这是VR、AR所不具备的；XR是扩展现实，包括VR、AR、MR，呈现在用户眼里的将是一个完全沉浸式的虚拟世界。虚拟现实具有沉浸性、交互性、临境性的特点，沉浸性是虚拟现实的最主要特点，指用户在虚拟世界中产生触觉、味觉、嗅觉、运动等感知，身体心理完全沉浸在虚拟世界中；交互性既包含头显平台、交互外设等外部设备与内容之间的交互，也包括多用户在虚拟世界中之间的交互；临境性是指沉浸性和交互性所带来的身临其境的感觉。增强现实AR穿戴设备就是将衣帽服饰等个性化商品的虚拟影像叠加到现实的物理世界，将真实的物理世界和虚拟的衣帽服饰等个性化商品相结合。

《信息安全技术个人信息安全规范》规定个人生物识别信息属于个人敏感信息，包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。《个人信息保护法》规定，生物识别信息属于敏感个人信息，是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。《生物识别信息隐私法》（BIPA）列举了生物识别信息不包括：身高、体重、头发颜色或眼睛颜色等。美国纽约市《生物识别信息隐私法案》规定，“生物识别信息”具体是指个人的生理、生物或行为特征，具有唯一性、永久性和不可替代性的特点，包括但不限于虹膜、视网膜、指纹、脸部、手掌等数据。对于帽子、眼镜、耳环、隐形眼镜、手套等商品通过AR试穿戴时，需要采集消费者掌纹、耳廓、虹膜、面部识别特征等个人敏感信息；而对于裤子、鞋子等商品在通过AR试穿戴时，采集的消费者腿型、脚型等数据，因为不具有唯一性、永久性和不可替代性的特点，可能就不属于个人敏感信息，而应当属于一般个人信息。

个人信息包括一般个人信息和敏感个人信息，敏感个人信息与自然人的人格尊严关系紧密。在收集处理一般个人信息时，应当遵循合法、正当、必要、诚信原则，事前遵照“告知同意”规则取得个人的同意，以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限、个人行使权利的方式和程序，在处理目的范围内采取对个人权益影响最小的方式，坚持最少够用原则，不得过度收集个人信息，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。而在处理敏感个人信息时，除遵守上述规则外，个人信息处理者应当事前进行个人信息保护影响评估，个人信息保护影响评估包括个人信息的处理目的、处理方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的保护措施是否合法、有效并与风险程度相适应；还应当取得个人的单独同意，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

在黄晋琋、赵心怡排除妨害纠纷案中，法院认为：本案被告赵心怡在自家房门上安装摄像头对邻居或其他通行人员的生物识别信息以及出入公共通道、进出电梯等行踪信息、私密活动进行监控，在被告摄像头长时间有计划、有目的地注视的状态下，原告所愿意展露的部分已难以完全受其控制，其所暴露的信息也很可能远远大于其愿意暴露的，这使得原告因此而丧失对自身信息的选择暴露权和控制权，并对其心理自由感造成一定的束缚。被告通过上述监控摄像头所采集的信息系为个人所用，而非出于重大社会公共安全或者公共利益的考虑，其实施摄像监视所能达到的自身利益无法高于被摄像监视之原告的人格尊严。因此可以认定被告自行安装摄像头的行为超出了合理限度内，构成了对原告隐私权的侵犯。

AR穿戴设备带来的沉浸式体验，将对用户的精神和心理状态产生沖击，可能使用户在现实世界的行为习惯发生改变，因而具有一定潜在的伦理风险。2022年3月中共中央办公厅、国务院办公厅印发了《关于加强科技伦理治理的意见》，明确指出：科技伦理是开展科学研究、技术开发等科技活动需要遵循的价值理念和行为规范，是促进科技事业健康发展的重要保障；要提升科技伦理治理能力，有效防控科技伦理风险，不断推动科技向善、造福人类，实现高水平科技自立自强。

（1）增进人类福祉

增进人民福祉是发展的根本目的，是立党为公、执政为民的本质要求。科技活动应坚持以人民为中心的发展思想，有利于促进经济发展、社会进步、民生改善和生态环境保护，不断增强人民获得感、幸福感、安全感，促进人类社会和平发展和可持续发展。增进人民福祉，应当以最广大人民的根本利益作为最高标准，多谋民生之利、多解民生之忧，符合社会公德和伦理。

在原告北京微播视界科技有限公司诉被告上海六界信息技术有限公司、厦门市扒块腹肌网络科技有限公司、浙江淘宝网络有限公司不正当竞争纠纷案中，法院认为：

第一，经营者利益方面。经营者选择何种数据公开、何种数据不公开，通常是基于数据安全、用户隐私 以及平台经营者商业策略的实现等考量。本案中，普通用户观看“抖音”直播间主播直播时，无法查看全站排名靠前的主播的直播收益信息及用户对其的打赏信息；只能查看最多200名打赏靠前的实时在线观众打赏的虚拟“音浪值”，但无法知晓其具体打赏金额，亦无法查看其对他人的打赏数据；直播间用户打赏系以飘屏方式展示，且停留时间较短，亦未显示打赏礼物价值；可查看主播收礼任务完成进度，但不显示礼物价值。可见，微播公司对“抖音”用户打赏和主播收益的真实数额均未公开展示，以此保护用户、主播数据安全。该种数据展示规则，系微播公司为维持用户隐私与用户粘性之间的平衡所采取的设置，从而保持其竞争优势；而六界公司将“抖音”平台上非公开的数据通过自行整理计算后予以公开展示，使得本来无法通过自然人为方式获得的数据能够通过公开途径获取，破坏了“抖音”产品的数据展示规则及其运营逻辑和秩序，进而破坏该种平衡，容易引发主播与普通用户的不满，破坏用户粘性，进而损害微播公司该种竞争优势；

第二，消费者利益方面。《中华人民共和国民法典》第一千零三十四条规定，自然人的个人信息受法律保护。个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。本案中，虽然六界公司公开的数据并未展示用户真实姓名，但由于主播直播时往往系真人出镜，即便仅展示主播昵称和头像，也能够结合其直播形象与其本人相对应，从而识别特定的主播自然人个人。通过六界公司公布的数据，能够获悉某个特定主播的收入状况等敏感信息，用户打赏数据则体现了该用户的兴趣、消费偏好、经济能力等个人消费类敏感数据，该些数据往往系主播和用户不愿对外公开的数据。六界公司获取相应基础数据并未征得打赏用户及主播同意，其行为本就丧失合法性基础，其对该些数据进行分析、对外展示的行为，侵犯了包括打赏用户和主播在内的抖音用户的个人信息权利，进而影响用户对微播公司数据安全保护的期待和信任，最终造成微播公司用户流失，损害微播公司利益；

第三，社会公共利益方面。六界公司的基础数据直接来源于“抖音”，并经简单计算得出，对数据的使用行为没有任何创新，涉案数据展示的透明化一定程度上反而会带来平台之间的恶性竞争、家庭与社会不稳定等，使得社会福祉总体降低。

（2）非歧视原则

“技术中立”是指在技术的使用过程中要排除技术人员的利益和偏见，排除对公民权利、社会秩序、政治权力体系等可能造成的一定冲击。技术的实现受技术参数设置、决策规则等因素影响，而上述因素均是由技术设计者和技术使用者控制和决定的。在虚拟现实技术的使用上，应当回归“技术中立”的本质属性，排除歧视性原则。2018年3月1日，北京市人民检察院第一分院在庭审中通过“出庭示证可视化系统”以VR手段当庭演示了被告人张某某与被害人发生争执后持刀刺扎被害人的全过程，有助于公诉人当庭直观、全面、生动的出示证据。但在上述VR演示过程中，很多细节均为VR技术工作人员凭自己的主观认知甚至是臆断加进去的，而非证人亲眼所见。

在吴铭等制作、复制、出版、贩卖、传播淫秽物品牟利罪案中，法院认为：对于吴铭的辩护人所提快播公司只是提供了一种技术模式，法院审判的不应是技术，而应是行为的辩护意见，经查，刑法意义上的危害行为表现为两种形式，即作为与不作为。一方面，快播公司以P2P技术为基础搭建了提供视频信息服务的网络平台。技术虽是快播公司提供服务的基础，但如何使用相关技术，如何设定技术服务规则则是快播公司可自主选择的积极作为方式。快播公司向所有用户免费提供QVOD资源服务器程序及快播播放器程序，在被深圳网监处罚前对上传视频资源的用户及视频内容均不做任何限制，同时，在设置缓存服务器并设计其存储视频条件时仅以点播率为限，造成大量淫秽视频存储于快播缓存服务器中并通过其更快速地在网络上传播。另一方面，P2P技术本身即存在着易被用于传播淫秽视频、盗版作品的风险。快播公司作为一家以P2P技术为依托的网络视频服务企业，不仅应当承担法定的网络安全管理义务，而且应当自觉承担起与其技术特点所造成的法益侵害风险程度相当的更高的注意义务。

在使用增强现实AR穿戴功能时，需要通过算法将采集到的消费者数据与商品方提供的数据进行匹配，因此算法在增强现实AR穿戴服务中至关重要。算法，源自计算机科学的一个概念，是执行预定良好计算过程的计算机代码或指令，基于原始数据的输入通过自动化决策产生结果数据的输出。算法的出现和使用，是为了执行大规模重复的任务和计算，是为了实现商业上高效快速的交易。算法，应当遵循人类共同价值观，遵守国家或地区伦理道德；算法应当尊重人类主体地位，给用户选择权和决策权；算法应当抑制人类社会无处不在的歧视和偏见；算法应当保障用户的人身权和财产权。

在全国首例算法推荐案北京爱奇艺科技有限公司（以下简称“爱奇艺公司”）诉北京字节跳动科技有限公司（以下简称“字节公司”）侵害《延禧攻略》信息网络传播权一案中，法院认为：对基于协同过滤算法的涉案信息流推荐技术的应用，仅仅是实现短视频在今日头条App中从上传到最终推送至用户进行浏览的这一过程中的部分环节。在“初审一冷启动一正常推荐一复审”的全部流程中，算法推荐尽管是实现服务不可或缺的重要部分，但绝不是全部。因此，即使通过算法推荐识别短视频具体内容不具有技术可行性，但对于允许哪些短视频进入被算法推荐的范围，如何设置和优化算法推荐的具体应用方式，以及如何将已经进入推荐范围的侵权短视频纳入复审环节以避免其被大范围、长时间地传播等方面，字节公司仍可以通过在其服务和运营的相应环节中施以必要的注意、采取必要的措施加以完善。至于具体应当采取哪些措施，法院不宜、也无法直接作出要求，应交由字节公司根据其服务和用户等实际情况制定相应策略，自主进行决定，并在个案中验证其实际效果，即是否能够实现及时、有效制止和预防明显的侵权行为和后果。正如字节公司自已在《3分钟了解今日头条算法原理(科普版)》视频中所言：算法分发并非把所有决策都交给机器，我们会不断纠偏、设计、监督并管理算法模型，希望能让更多的人理解算法，并共同参与到算法模型的制定中来，让算法为社会创造更大的价值。字节公司不仅仅是信息存储空间服务，而是同时提供了信息流推荐服务，理应对用户的侵权行为负有更高的注意义务。最终，字节跳动公司的涉案行为构成帮助侵权，并判定赔偿原告经济损失150万元及诉讼合理开支50万元，共计200万。

中小股东权益保护篇一——从程序和内容双维度撤销公司决议

中小股东权益保护篇二——章程可另有规定事项之制定

中小股东权益保护篇三——从事实和合法合章要件判定公司决议不成立

中小股东权益保护篇四——表决权受限与公司章程之合理运用

中小股东权益保护篇五——董事会职权之法定与章定

中小股东权益保护篇六——股东会职权法定与章定之认定

中小股东权益保护篇七——董事提名及委派权之行使

中小股东权益保护篇八——监事会职权行使之边界

中小股东权益保护篇九——隐名股东的实质与形式

中小股东权益保护篇十——公司法修订草案后的经理职权

侵犯商业秘密罪中反向工程的限制

开源许可的热点与难点

反不正当竞争法保护篇一——商业标识在反不正当竞争法语境下的混淆误认

侵犯商业秘密罪重大修改评述——降门槛加罪名列手段明标准提刑罚

侵犯商业秘密罪中司法鉴定的采信——非公知性、同一性和重大损失鉴定

元宇宙法律篇（一）——开启元宇宙的虚拟人法律问题探析

元宇宙法律篇（二）——建立元宇宙经济系统的NFT法律问题探析

元宇宙法律篇（三）——映射元宇宙之数字孪生法律问题探析

元宇宙法律篇（四）——赋予元宇宙灵魂之DAO法律问题探析

元宇宙法律篇（五）——提供元宇宙流动性之加密货币法律问题探析

元宇宙法律篇（六）——数字藏品或NFT平台的七大合规要点

元宇宙法律篇（七）——中国式元宇宙钱包之数字人民币法律问题探析

元宇宙法律篇（八）——构建元宇宙虚拟世界之虚拟现实法律问题探析

元宇宙法律篇（九）——构建元宇宙血液之数据法律问题探析