查看原文
其他

张晨原:元宇宙发展对个人信息保护的挑战及应对——兼论个人生物识别信息的概念重构

张晨原 法学论坛 2023-12-27
点击上方“蓝字”关注我们吧

摘要:虽然目前学界、产业界对于元宇宙不存在统一的概念,但是用户体验的沉浸性却是所有元宇宙界定中必然包含的要素。沉浸式体验需要VR、AR等沉浸式装备来实现,沉浸式装备由四大关键技术构成,包括三维建模技术、三维显示技术、三维音频技术以及体感交互技术。上述四大技术的实现需要收集更多的人体生物信息,例如眼球位置信息、手势信息、脑电图、肌电图等,这些信息是实时的、随时变化的,可以间接识别到用户本人。同时在法律上,上述信息符合敏感个人信息的“人格尊严、人身财产安全受到侵害(侵犯)”的法定标准,但又不属于《个人信息保护法》第28条中明确对敏感个人信息的七项列举,因此只能归入一般的敏感个人信息。但是,仅仅将元宇宙收集的生物信息列为一般敏感信息会造成上述信息的监管保护力度不足,应当破除目前学界认为个人生物识别信息具有“唯一性”的固有观念,明确个人生物识别信息包括可识别与已识别两种模式,从而将元宇宙收集的生物信息纳入个人生物识别信息的范畴之中。


关键词:元宇宙;沉浸式技术;间接识别;敏感个人信息;个人生物识别信息

《法学论坛》2023年第2期(第38卷,总第206期)

目次

一、问题的提出

二、元宇宙发展对个人信息保护的挑战:更多生物信息的收集

三、元宇宙沉浸式技术收集的生物信息:法律性质与体系定位

四、元宇宙沉浸式技术收集生物信息的保护路径:个人生物识别信息的重构

结语


一、问题的提出



  习近平总书记在中国共产党第二十次全国代表大会上的报告明确指出,“加强重点领域、新兴领域、涉外领域立法”“加强个人信息保护”。作为近两年的热门新兴领域,元宇宙的发展对于个人信息保护提出了一定的挑战。元宇宙(Metaverse)最早出现在1992年尼尔·斯蒂芬森的小说《雪崩》中,但真正进入公众视野是在2021年脸书公司改名为“Meta”,随后微软、腾讯、字节跳动等各大科技企业宣布进军元宇宙领域,上海、武汉、成都等各地方政府也开始布局元宇宙,元宇宙的发展与监管问题也成为2022年两会的焦点议题。同时国内学界元宇宙相关的研究成果海量出现,涉足领域大体可以分为元宇宙概念厘定、元宇宙场景应用、元宇宙规则治理三个层面:元宇宙概念厘定维度,有直接从正面圈定元宇宙的概念内涵,也有从侧面批判元宇宙内涵概念中的资本逻辑;元宇宙场景应用方面,现有研究更多集中于元宇宙在新闻传播、智慧教育、图书情报、体育传媒等方面;元宇宙规则治理领域,主要由法学学者提出应当提早布局未来元宇宙内部的法律规则治理,包括从宏观层面讨论元宇宙将来的规则布局,也有从微观的二级部门法着手讨论。大部分人认定元宇宙所构建的3D数字虚拟空间就是下一代互联网的形态,这与扎克伯格强调元宇宙的“临场感”(present)相吻合,而不管是3D数字虚拟空间还是临场感,都需要借助VR、AR等沉浸式技术来完成。为了达成元宇宙的临场感体验,沉浸式技术需要搜集比传统技术更多的生物数据信息,例如眼球跟踪信息、瞳孔反应信息、皮肤电反应信息、脑电图、肌电图等等,此种信息的收集处理可能会揭示信息主体自身尚不知晓的生理信息,个人接近于互联网“裸奔”的状态,隐私保护更无从谈起。但学界现有成果只是在刑事、民事、知识产权等领域分析元宇宙发展将会对特定领域法律构成的挑战及对策,并未涉及元宇宙中个人信息保护问题。本文在分析元宇宙沉浸式技术收集信息样态的基础之上,结合我国现行立法有关规定,尝试提出相应的解决方案。



二、元宇宙发展对个人信息保护的挑战:更多生物信息的收集



  虽然当下产业界、学界对于元宇宙没有形成一致的看法,但是几乎所有的概念界定均指出了元宇宙的“沉浸感”特征。沉浸感的营造需要VR、AR等沉浸式设备来完成,具体运用三维建模、三维显示、三维音频以及体感交互四大技术,通过一定的软硬件结合来完成。为了营造沉浸感,沉浸式技术需要收集眼球位置信息、肌电图、脑电图、心电图等各种生物信息,这也给隐私、个人信息保护带来了新的挑战。


  (一)纷繁的元宇宙概念之共识为沉浸感


  虽然元宇宙的概念已经出现了30年,但是其内涵界定在产业界与学界仍较为混乱,但其中无一例外都包含了“沉浸性”或者“临场感”的特征。有学者从语义学的形而上角度入手,认为元宇宙是指人在自然宇宙之外,通过数字技术建构的一个与自然宇宙相映射但又能给人提供自由创造空间的数字虚拟宇宙,并通过对数字宇宙的探索更加充分地认知和利用自然宇宙。这种宏观的定义为元宇宙描绘了较为宏大的愿景,但是对于目前产业发展和政策预备并没有实际的效用。


  更多的学者和产业界观点则着重分析元宇宙的具体特征。美国肯塔基大学计算机科学系的学者提出,元宇宙的本质是一种网络集合,其特征是低成本、自我配置和沉浸式环境;美国洛约拉马利蒙特大学计算机系的教授梳理的元宇宙四大核心特征包括,现实性、无处不在、互操作性和可扩展性,而“现实性”则被进一步定义为“沉浸现实性”;中央党校何哲教授提出,元宇宙包括高度沉浸式的3D视觉体验、交互式的多感官模拟系统、自然系统的仿真模拟、强AI的智慧场景、大量社会主体与行为的参与和进入;北京大学胡泳教授等认为元宇宙拥有以下具象化属性:一个持久的、模拟的和沉浸的环境,计算机生成的实时互动,多个用户凭借化身进行体验和展开行动,产生一种存在于他们所处环境之外的空间感觉等。而在元宇宙产业界,被称为“元宇宙第一股”的Roblox公司在其上市招股书中表述,一个真正的元宇宙应该包括以下八种关键特征:身份、朋友、沉浸感、低延迟、多元化、随地、经济系统和文明;扎克伯格将Facebook改名为Meta的同时,也提出未来元宇宙的关键特征即为临场感,即两个身在异地的人感觉身在一处。虽然学界和产业界对于元宇宙的定义特征不甚相同,但强烈的交互色彩和沉浸特征均包含其中,甚至有学者直接将元宇宙称之为沉浸式互联网。因此沉浸感是理解元宇宙虚拟属性的关键因素。


  (二)元宇宙沉浸感的打造需要沉浸式技术


  元宇宙沉浸感的营造需要沉浸式系统的加持,目前沉浸式系统主要包括虚拟现实(VR)、增强现实(AR)、混合现实(XR)等,具体而言“沉浸式”的实现需要依托两大重要组成、四大关键技术。两大组成部分即硬件与软件,沉浸式系统的硬件经历了从外向内追踪技术到内向外追踪技术的过渡,前者主要依靠摄像头、追踪塔等外在设备进行追踪定位,后者则通过内置的传感器、深度摄像头、环境感知摄像头等头戴式设备即时拍摄外部环境,通过外部环境来判断位置数据,虽然前者是目前沉浸式系统的主流,但是由于后者更强的移动性、更简单的安装而成为了未来发展的趋势。目前市场中份额较大的沉浸式头显装备包括Facebook公司的Oculus Quest2、XR-SPACE公司的MANOVA VR一体机、字节跳动公司的Pico Neo3一体机等等。沉浸式系统的软件层面主要包括操作系统、应用程序两个层面。操作系统方面苹果公司与谷歌公司依然延续了PC端与移动端的固有强势地位,苹果公司早在2010年就开始布局包括软件、硬件和应用在内的整条AR生态链,而谷歌公司则在2017年推出了专门针对混合现实设计的操作系统“Fuchsia”。应用程序层面,2020年发布的高品质VR内容呈井喷式增长,以PC段游戏平台Steam为例,有85款VR游戏位列畅销榜;同时也因为新冠疫情的爆发,以办公、社交为目的的沉浸式系统应用程序如雨后春笋般产生,典型代表如Spatial、XPSPACE、Horizon、Glue等等。


  沉浸式系统的四大关键技术包括三维建模技术、三维显示技术、三维音频技术以及体感交互技术,三维建模技术是对三维空间中事物的形状、色彩、材质、光照、运动等属性进行捕捉,通过某种算法进行建模和模拟,最终达到3D再现的过程;三维显示技术在现实中主要表现为3D电影、舞台全息图、全息投影等,旨在解决传统二维显示技术缺少深浅维度信息的弊端,是用户进入虚拟世界的通道;三维音频技术可使用户在空间中的任何位置中感知到音源所在,高质量的音频可以增强用户在虚拟世界中的沉浸体验;体感交互技术的典型代表是微软公司研发的“Kinect”,它通过手势与面部表情识别、动作捕捉等功能,借助三维人体动作捕捉算法,使用户更加精准的控制在虚拟世界中的角色。总结来说,三维建模技术是将现实世界的事物复刻到虚拟世界中,是沉浸式系统的基础;三维显示技术和三维音频技术使用户享受3D式的视觉、听觉,是沉浸式系统的手段;体感交互技术使用户真正置身于虚拟世界之中,是沉浸式系统的核心。由此可见,沉浸式系统需要较多全新技术加持才能营造出“沉浸感”,而这些新技术是否可能对用户的隐私和个人信息安全产生影响,有待进一步考究。


  (三)沉浸式技术的运行需要收集更多种类的生物信息


  为了营造沉浸感,AR、VR等沉浸式技术必须搜集更多的人体生物信息,包括眼球跟踪信息、手势信息、脑电图、肌电图等等。目前的沉浸式技术对于沉浸感的营造更多的是从人的感官入手,力图保持人在虚拟世界中的视觉、听觉、触觉等感官尽可能与现实世界一致。以视觉为例,研究表明出现在人眼视觉中最清晰的部分永远是双眼正前方的物体,而在两眼外侧的物体清晰度会远远不及双眼直视的中心区域,根据这一发现英伟达(NIVEA)公司研发出了注视点渲染技术(foveated rendering),将该技术装备到沉浸式设备之中可以使其营造的视觉体验更加逼真。而正是由于注视点渲染技术需要实时掌握人眼视觉的中心区域,因此眼球跟踪技术不可或缺,只有时刻获取眼球的位置信息,才可以确定人眼视觉的中心区域和边缘区域,以便进行不同程度的分辨率渲染。此外,由于用户需要实时控制虚拟世界中的角色,因此需要沉浸式设备不断的记录用户的运动轨迹、手势动作等,其中手势动作的跟踪一般通过视觉传感器完成,目前较为领先的技术已经可以通过触觉传感器翻译电子脉冲来达成手势控制某些软件的目的。总而言之,沉浸感最终要达成的目的就是将现实中的人尽可能的照搬到虚拟世界中,由此需要收集尽可能多的人的生物信息。在这个思路的指引下,美国脑机接口公司OpenBCI研发的VR/AR头戴式显示设备甚至布局了收集脑电图(EEG)、眼电图(EOG)、肌电图(EMG)、皮肤电活动(EDA)及光体积描记(PPG)等一系列传感器,用来测量来自大脑、心脏、皮肤、肌肉的数据,同时支持研发人员测量包括幸福感、焦虑、抑郁、注意力持续时间及兴趣水平在内的“人体情感与面部表情”。


  更多生物信息的收集可能会造成更加严重的隐私问题。由上可知,沉浸式设备的运行需要收集主体更多的生物信息,包括眼球位置信息、心电图、肌电图等等。以眼球跟踪技术为例,有研究已经表明该项测量眼球运动活动的技术可以反映人自身潜意识的内容。眼球跟踪技术主要通过人眼注视的位置体现人精神注意位置的变换,实质上掌握人眼球注视的位置可以推导出大量信息,包括身体、偏好和社交方面的信息:其一,身体方面,眼球注视的先后顺序可以反应身体的年龄,有研究表明人观察事物的顺序是受学到的知识、养成的偏好以及完成的任务影响的,同时眼球移动的不规律性也可成为某些疾病的先兆之一,例如精神分裂症、帕金森症、注意力不集中症等;其二,社交方面,通过了解人们关注其他人的顺序,可以了解被关注个体的相关信息,例如当受访者被给出一张人脸时,我们可以从他的眼球移动中轻易判断出他是否认识这个人,同时受访者眼睛关注的顺序会受到自身种族、性别、性取向、社会化程度等因素的影响;其三,偏好方面,不断有研究证明瞳孔放大的程度与偏好有直接关系,例如当女性看到自己伴侣或心仪的男演员时,她们的瞳孔放大程度会相应的改变。不管是身体信息、社交信息还是偏好信息,其实都在某种程度上落入到隐私的范畴之中,仅仅眼球跟踪技术尚且可以做到这种程度,更遑论肌电图、心电图、脑电图等更加直接的生物信息。一旦元宇宙沉浸式技术收集、分析用户的眼球跟踪信息等其他生物信息,可能会获知用户自身也不清楚的个人隐私状况,用户的隐私将会毫无保护的暴露在元宇宙平台面前,用户自身的私生活安宁也会受到威胁。



三、元宇宙沉浸式技术收集的生物信息:法律性质与体系定位



  为了实现元宇宙的“沉浸感”,必须借助沉浸式技术,而沉浸式技术则需要收集以眼球位置为代表的较多人体生物信息,通过对上述信息的挖掘分析,可以获取用户自身都不知晓的生理信息,对用户的私生活安宁造成了严重威胁。因此,元宇宙沉浸式技术收集的生物信息需要法律的介入规制,而法律的介入需要首先理清该种信息的特征性质,再将其进行体系定位。


  (一)元宇宙沉浸式四大技术收集生物信息的具体分析


  元宇宙沉浸式四大技术中三维建模、三维显示与体感交互技术需要收集人体实时的生物信息。由上可知,元宇宙沉浸式系统由三维建模技术、三维显示技术、三维音频技术、体感交互技术构成,其中三维音频技术不需要收集人体生物信息。三维音频技术主要模拟的是人耳听音辨位的能力,人耳听音辨位主要通过空间中某个声源到达双耳的时间差(ITD, interaural time difference)和强度差(ILD, interaural level difference)来完成,前者的产生是由于双耳在头部的位置不同,后者的产生是由于声波在人身体上的反射折射。三维音频技术通过函数计算模拟空间某点声源在两耳产生的时间差和强度差,使听者感觉模拟声源来自于空间某个位置。由此,三维音频技术需要收集或模拟的更多是声源的相关信息,用户只是被动的接受处理好之后的声音,三维音频技术并不需要收集用户的生物信息。


  而其他三种核心技术均需要收集人体实时的生物信息。其一,大多数三维建模技术一般不需要收集个体生物信息,只有针对个性化设计对需要收集用户实时的生物信息。三维建模技术的主要功能在于构建虚拟环境,某些虚拟环境需要尽可能的还原现实中的场景。以城市虚拟仿真系统为例,它通过运用三维建模技术,对城市地形地貌、建筑、道路等各方面完成虚拟世界中的再呈现,这一过程仅需要收集宏观的环境数据,微观的个人数据并无收集必要。这也是大多数三维建模技术运用的场景。但在某些针对用户个性化设计的元宇宙之中,的确需要收集用户自身的生物数据,例如在牙科医疗的元宇宙沉浸式系统之中,为了还原患者口腔内部的具体形态,需要对特定用户当时的口腔内部结构有清晰的掌握,自然需要收集该用户当时的口腔牙床信息。而正因为是针对用户个性化设计的,此时的三维建模技术收集的必然是某个特定时间点上用户的个人信息,在将来会随着用户身体状态的变化而变化。其二,三维显示与体感交互技术需要收集用户生物信息,且此种信息多是实时的,随着时间变化而变化的。针对三维显示技术,前文已述该技术需要实时跟踪眼球的位置,因此需要收集实时的眼球位置信息,当然实时也就意味着该信息会随着时间改变而改变。就体感交互技术而言,由于元宇宙的本质是用户肉身的数字化,用户需要数字化身(Avatar)在元宇宙的既定环境中进行特定形式的行动,以此使用户可以控制自身的数字化身,体感交互技术需要实时的收集人体的手势动作等信息,此种手势动作信息当然也就是随时间不断变化的。


  (二)元宇宙沉浸式技术收集生物信息的法律性质:以间接识别为主


  元宇宙沉浸式技术收集的实时人体生物信息属于个人信息,但不能直接识别到个人。我国《个人信息保护法》第四条对个人信息的界定中采用了“已识别”与“可识别”两个概念,本质上与GDPR “识别+关联”的个人信息界定路径相同,识别路径是由信息本身的特殊性直接识别到个人,关联路径则在已知特定个人的基础之上知晓关于该个人的更多信息,从而间接识别到个人。识别路径对应学界之前提出的直接识别,关联路径对应间接识别。而元宇宙沉浸式技术收集的生物信息可以反应人体在某个时刻的特定信息,这些信息是特定个体所独有的,符合个人信息的可识别性特征。然而,元宇宙沉浸式技术收集的生物信息不能直接识别到个人,理由有二:其一,仅凭元宇宙沉浸式技术收集生物信息不能识别个人,正如前文所述,眼球位置信息、手势动作信息、肌电图、心电图等具体的生物信息仅仅能反映人体在某个时刻的状态,如果没有其他识别性更高的信息辅助,上述信息自身不足以识别到个人,不符合直接识别类个人信息的内涵。其二,元宇宙沉浸式技术收集的生物信息不符合直接识别信息的唯一性。由于仅凭直接识别的个人信息就可以精准识别到个人,这一信息本身须具有唯一性和稳定性,例如人脸、虹膜、指纹等。然而,元宇宙沉浸式技术收集的生物信息多是实时变化的,显然此种不断变化的信息不符合直接识别的识别模式。


  元宇宙沉浸式技术收集的生物信息属于间接识别,可以和其他信息(特别是人脸等直接识别类个人信息)结合关联到个人,从而发掘个人更多深层次的偏好信息。试想用户在元宇宙购物平台中“逛街”,该用户从内心想去购买某件物品从而导致他的目光较长时间的停留,但是他不愿自己的这种想法被他人知晓,由于元宇宙沉浸式技术需要收集用户的眼球位置信息,该用户不愿被他人知晓的购物偏好就会被购物元宇宙平台了解,为了促销该平台必然会向用户推送此类商品的广告,从结果上会给用户造成一定的隐私困扰。此类事例中,用户的眼球位置信息并不能让元宇宙平台知晓该用户到底是现实中的何人,但是却可以让平台了解他内心的喜好,属于典型的个人信息界定中的“关联”路径,当然也就属于个人信息之中的间接识别。同理,诸如手势信息等元宇宙沉浸式技术收集的其他信息也属于间接识别类的个人信息。通过眼球位置、手势动作、肌电图、心电图等实时生物信息的收集,元宇宙平台可以掌握用户在特定时间的偏好需求,这些需求或许正好就是用户不愿被他人知晓的私密信息,从而可能会侵犯用户的隐私。


  (三)元宇宙沉浸式技术收集生物信息的体系定位:一般敏感个人信息


  元宇宙平台收集的生物信息符合敏感个人信息的概念性要件。在我国法的语境下,敏感个人信息的界定以“法定标准”兼采“场景理论”为判断标准,“法定标准”主要依据《个人信息保护法》第28条第1款的规定,采“人格尊严、人身财产安全受到侵害(危害)”的标准,上述法条列举的生物识别、宗教信仰等七种具体个人信息即因符合法定标准而直接认定为敏感个人信息;“场景理论”是欧盟和美国个人信息保护实践所采用的通行做法,它跳出对个人信息的公开/非公开、敏感/非敏感的刻板二分法,认为信息敏感与否需充分考虑所处情景才能做出判断。之所以对敏感个人信息的界定采“法定标准+场景理论”的判断标准,是因为一方面信息敏感与非敏感的标准会因人、因事而异,不可能对敏感个人信息做完全的列举,只能依靠场景理论对具体信息是否敏感进行个案判断;另一方面,正是由于诸如生物识别等信息在绝大多数场景下都具有较高的权益侵害风险,不管何种场景始终符合敏感个人信息的法定标准,因此此类信息可以从具体的场景中抽离处理,得到立法的明确肯认。元宇宙沉浸式技术所收集的生物信息符合敏感个人信息的“法定标准”,一旦泄露或被非法使用就会给用户造成人身安全较大的风险。具体而言,元宇宙沉浸式技术必需收集诸如眼球位置信息、手势动作信息、脑电图、肌电图等生物信息,这些信息与用户的身体联系极为紧密,通过对上述生物信息可以分析用户的身体健康状况、社交偏好情况等内容,这些内容信息一旦被非法使用,很有可能构成对用户隐私权、名誉权的侵犯。因此元宇宙沉浸式技术收集的生物信息应当属于敏感个人信息的范畴。


  元宇宙沉浸式技术收集的生物信息应当属于《个人信息保护法》第28条第1款明确列举之外的一般敏感个人信息。《个人信息保护法》第28条第1款对敏感个人信息采取了“概括+列举”的模式,生物识别、宗教信仰等明确列举的可以称之为特别敏感个人信息,而未列举但是符合法定标准的则可称之为一般敏感个人信息。在现有的敏感个人信息列举之中,与元宇宙沉浸式技术收集生物信息联系最为密切的包括生物识别信息与医疗健康信息,但细化分析之后均不能完全用上述两者囊括元宇宙沉浸式技术收集的生物信息。具体而言,第一,元宇宙沉浸式技术收集的生物信息不符合目前学界对个人生物识别信息“唯一性”“不变性”的特征界定。虽然当下学界对于个人生物识别信息的概念界定存在争议,但是对于其特征却有一定共识,即“唯一性”“不变性”。个人生物识别信息的唯一性与不变性是相辅相成的,正因为诸如人脸、指纹等个人生物识别信息具有不变性(要么难以改变,要么不能改变),才造成人脸识别信息是唯一的。然而具体到元宇宙沉浸式技术所收集的生物信息而言,前文已述元宇宙沉浸式技术收集的生物信息均是实时的,这也就与个人生物识别信息的不变性相矛盾,因此也就不能归入个人生物识别信息的范畴。第二,医疗健康信息不能完全涵盖元宇宙沉浸式技术收集的生物信息,原因有二:其一,从文义解释出发,医疗健康信息应当包括医疗信息与健康信息,作为元宇宙沉浸式技术收集生物信息代表的眼球位置信息就不能被归入医疗或是健康信息之中,医疗健康信息与元宇宙沉浸式技术收集的生物信息是交叉关系;其二,从立法沿革来看,《个人信息保护法》第28条中的医疗健康信息发源于国家强制性标准《信息安全技术个人信息安全规范》(GB/T 35273—2020)中的“个人健康生理信息”,其更多是指个人因生病医治等产生的相关记录,而元宇宙沉浸式技术收集的生物信息当然不是用于生病医治的,因此也就不符合医疗健康信息背后的性质目的。由上可知,元宇宙沉浸式技术收集的生物信息确实不能纳入个人生物识别信息与医疗健康信息之中,加之其敏感个人信息的性质,因此只能是一般敏感个人信息。


  元宇宙沉浸式系统四种核心技术中的三种都需要实时的收集人体生物信息,实时则意味着不停的变化,加之其与人体本身的密切关联性,此种信息应当属于间接识别类的个人信息。在我国现行法中,敏感个人信息采“人格尊严、人身财产安全受到侵害(危害)”的法定标准,元宇宙沉浸式技术收集的生物信息符合上述标准,应当属于《个人信息保护法》第28条第1款的敏感个人信息。然而一方面,实时收集的特性导致信息内容不断变化,这与个人生物识别信息的唯一不变性相冲突,不能纳入个人生物识别信息的范畴;另一方面,元宇宙沉浸式平台收集的生物信息不符合医疗健康信息的文义与立法沿革,也无法归入医疗健康信息。因此元宇宙沉浸式技术收集的生物信息应当属于一般敏感个人信息。



四、元宇宙沉浸式技术收集生物信息的保护路径:个人生物识别信息的重构



  元宇宙沉浸式技术收集的生物信息属于一般敏感个人信息,一般敏感个人信息需要在个案中对个人信息的敏感度进行具体判断,极有可能会导致元宇宙沉浸式技术收集生物信息适用法律的不稳定,也为元宇宙平台逃避敏感个人信息的监管提供了通路,因此元宇宙沉浸式技术收集生物信息的法律保护路径选择成为了亟待解决的问题。


  (一)一般敏感个人信息场景化个案判断存在较大弊端


  如果仅仅将元宇宙平台收集的生物信息认定为一般敏感个人信息,将会使上述信息在实践中始终处于悬而未决的状态,不能达成敏感个人信息事前规制的效果。在实践中如果某项个人信息并不属于《个人信息保护法》第28条规定的七种敏感个人信息之一,此时就需要依据“人格尊严、人身财产安全受到侵害(危害)”的法定标准进行判断,但由于上述标准在实践中欠缺确定性,无论是元宇宙平台还是执法、司法部门都需要对收集的生物信息进行敏感与否的再判断,容易导致法律适用上的混乱。针对以上问题,学界目前较为通行的做法是引入场景理论,通过对场景的变量进行特定化来尽量减少概念不确定性导致的法律适用混乱。但归根结底场景理论就是“具体情形具体分析”,不论场景变量的设置如何科学,仍然无法避免某些元宇宙平台收集的生物信息被认定为不敏感的情况出现,而一旦有上述结论作出,此类生物信息将会适用一般个人信息的处理规则,个人信息主体被侵害的风险将显著提高。更为重要的是,如果元宇宙平台收集的生物信息仅仅被界定在一般敏感个人信息之内,平台将有更大的动力对其做不敏感的判断。原因在于,一方面此类信息敏感与否需要平台在每个个案中逐一分析,分析审查的过程无疑会增加元宇宙平台的成本,难免不会出现为了节省成本而不去做个案审查的情况;另一方面,敏感个人信息的处理需要单独同意、严格保护措施、事前评估等额外的要求,以逐利为目的的商业平台完全更有动力将其收集的生物信息认定为不敏感,既减少了运营维护的成本,又使自身从敏感个人信息严格监管中抽离出来,显然对企业本身的发展利大于弊。综上,如果将元宇宙平台收集的生物信息仅仅认定为一般敏感个人信息,其个案审查的判断方式极有可能会使生物信息的敏感性被平台人为的剥夺,从而沦落为一般个人信息,此时适用一般个人信息的规则进行处理将会给信息主体造成更大的侵害风险,实不足取。


  (二)解决之道:创设新概念或重构旧概念


  前文已述,应当在敏感个人信息中明确列举元宇宙平台收集的个人生物识别信息的类别,具体操作层面要么是创设新概念,要么是重构老概念。如果创设新概念,则应直接在《个人信息保护法》第28条明确列举的七项敏感个人信息的基础之上增加第八种类别,将元宇宙平台收集的个人生物信息囊括其中。如果重构旧概念,则应在已经明确的敏感个人信息的种类之中进行概念重构,将元宇宙收集的个人生物信息纳入某一项现有概念之中,最为接近的就是个人生物识别信息。按照“如无必要,勿增实体”的奥卡姆剃刀原则,对现有概念进行重构是更为效率的解决途径,创设新概念弊大于利。理由有二:其一,创设新概念需要付出较大的时间成本。以个人信息这个概念为例,我国最早对个人信息进行规范的法律是2005年通过的《刑法修正案(五)》,但其中也只用的是“窃取、收买、非法提供信用卡信息罪”,并未使用个人信息的表述;而后在2009年,《刑法修正案(七)》将上述罪名中的“信息”改为了“个人信息”;之后的2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》又使用了“个人电子信息”的表述;直到2017年颁布的《网络安全法》,才对个人信息的概念有了明确的界定。从以上个人信息在法律中的表达可以看出,法律概念的表述需要付出大量的时间成本,经过反复的论证才可确定,创设新概念效率不高。其二,新概念的表述可能会与现有概念造成混淆。按照前文的讨论,元宇宙平台收集的个人生物信息具有即时性,应当属于个人信息中的间接识别或者可识别的范畴,概念的名称大概率会是“个人生物可识别信息”。由于敏感个人信息中已经存在“个人生物识别信息”这一明确概念,如果建构“个人生物可识别信息”的新概念,这两者在表述上过于相似,不仅可能会导致法律适用上的混淆,也因需要对它们的区别做进一步解释而增加法律适用的成本。因此建构“个人生物可识别信息”的新概念既无意义也无必要,应当着重对旧概念进行重构。前文已述,在《个人信息保护法》明确列举的敏感个人信息之中,与元宇宙沉浸式技术收集的生物信息关联度最高的包括个人生物识别信息与医疗健康信息。由于医疗健康信息这一表述过于侧重信息的用途,显然与元宇宙的用途不符,因此应当考虑对“个人生物识别信息”进行概念重构。


  (三)个人生物识别信息的概念重构


  应当重新厘定个人生物识别信息的内涵,对应个人信息的概念将“识别”解释为“可识别”与“已识别”。前文已述,大部分学者均认为个人生物识别信息应当具有唯一性,即个人生物识别信息中的“识别”在我国学界的语境下仅仅指的是“已识别”。然而,我国现行立法中并没有对个人生物识别信息的内涵有明确界定,反倒是域外相关立法中的个人生物识别信息不仅包含“已识别”,也包含“可识别”。目前个人信息保护域外法中提及较多的主要包括欧盟GDPR与美国加州《消费者隐私权法案》(以下简称CCPA),它们对个人生物识别信息的概念界定均包含“可识别”的含义。GDPR第4条第(14)专门对生物识别数据(biometric data)进行了界定,其在圈定个人生物识别信息应当属于自然人的身体、生理、行为特征方面之后,进一步指出个人生物识别信息应当能够识别(allow)或确认识别(confirm)到自然人。虽然“能够识别/确认识别”与“可识别/已识别”在表面上不同,但实质上确认识别与已识别相对应,能够识别也可与可识别相对应,即GDPR对个人生物识别信息的界定依旧遵循了个人信息中可识别与已识别的基本分类,并未将可识别排除在个人生物识别信息之外。同样地,CCPA中1798.149(c)条中也对个人生物识别信息(Biometric information)下了定义,定义的前半句与GDPR第4条第(14)基本相同,不同在于其明确表明个人生物识别信息的识别模式包括单独识别(singly)、多项信息结合识别(in combination with each other)、与已识别信息结合识别(in combination with other identifying data)三种模式,后两种模式均可以归入个人信息的“可识别”模式,特别是“与已识别信息结合识别”这一识别模式正是元宇宙平台收集生物信息的目的。设想在购物类元宇宙中,由于网络实名制等要求,平台对于用户的身份是精准识别的,通过收集眼球位置等生物信息,结合用户本身可供识别的信息,可以精准分析出特定用户对于特定商品的喜好程度,从而更有针对性的推送广告。相信上述场景在将来元宇宙平台铺开之后会广泛存在,如果对眼球位置信息等生物信息不加以特别保护,平台对用户偏好的了解甚至可能比用户自身更清楚,用户在元宇宙中的隐私更加无从谈起。


  国内的立法也有将个人生物识别信息概念扩大的趋势,倾向于将可识别纳入个人生物识别信息的内涵之中。国家标准化委员司于2021年10月发布了《信息安全技术生物特征识别信息保护基本要求》(GB/T 40660—2021),其中对生物特征识别信息的定义为“对自然人的物理、生物或行为特征进行技术处理得到的,能够单独或者与其他信息结合识别该自然人的个人信息”,由此可见生物特征识别信息包括单独识别与结合其他信息识别两种模式,当然也就可以对应到已识别与可识别的模式。可能会有“生物特征识别信息”与“个人生物识别信息”不同的质疑,但两者只是出现的语境不同,前者更多适用于技术语境,后者更多适用于法律语境,实质上两者的内涵与外延基本相同。因此我国国家标准对生物特征识别信息的界定可以套用到个人生物识别信息,即我国官方对个人生物识别信息的界定中包含可识别的识别模式。


  元宇宙平台收集的生物信息属于一般敏感个人信息的范畴,但如果不在法律法规中明确列举,将会在实践中造成其敏感性被“剥夺”的情况,这一方面是由于个案认定信息敏感需要增加企业运营成本,另一方面是认定敏感性会给企业后续处理信息带来更多不便。因此为了维持元宇宙平台收集生物信息的敏感性,需要在法律法规中予以明确,具体实施途径有二:一是新创概念,二是重构已有概念。基于“如无必要,勿增实体”的奥卡姆剃刀原则,应当采用第二种路径,对个人生物识别信息的概念进行重构,祛除其“唯一性”的特征,新增“可识别”的识别模式,这样可以在成本最小的前提下将元宇宙平台收集生物信息纳入敏感个人信息的实际规制之中。



结语



  随着元宇宙沉浸式技术的发展落地,其运行必需收集眼球位置、手势动作等更多种类的生物信息。在我国现行法框架下,上述生物信息符合敏感个人信息“人格尊严、人身财产安全受到侵害(危害)”的法定标准,同时又不能归入个人生物识别信息、医疗健康信息的范畴,从而其只能成为一般的敏感个人信息。一般敏感个人信息在实践中的保护有赖于根据具体的场景个案判断,但企业极有可能基于成本控制的目的省略信息敏感性的判断过程,从而在实践中剥夺元宇宙沉浸式技术收集生物信息的敏感性。按照“如无必要,勿增实体”的奥卡姆剃刀原则,应当对个人生物识别信息的概念进行重构,剔除其“唯一性”特征,将“可识别”的识别模式纳入个人生物识别信息之中。只有这样,才能真正在实践中将元宇宙沉浸式技术收集的生物信息纳入敏感个人信息的保护之中。诚然,上述场景的发生是元宇宙产业界不希望看到的,因为一旦落实敏感个人信息的属性,企业必将支付额外高昂的成本来完成个人信息保护的合规工作,这有悖于元宇宙产业发展初期的“非法兴起”。鉴于以上考虑,可以考虑以下两种处理模式:一是推迟监管开始的时间,元宇宙在目前还带有较多的概念炒作意味,可以密切关注元宇宙企业的发展,当其发展到达一定时间节点后,再出手将其纳入完备的监管之中;二是在个人生物识别信息概念之中再做类型化区分,个人生物识别信息应当包括“可识别”与“已识别”两种,一般而言人脸识别等已识别信息的敏感性程度将高于眼球位置等可识别信息,因此可以根据敏感性程度高低设定不同的信息保护模式,降低可识别的个人生物识别信息的保护强度,尽可能降低元宇宙企业发展的成本问题。至于上述两种路径的具体操作问题,留待将来进一步研究。

END


作者:张晨原(1992-),男,河南漯河人,法学博士,重庆邮电大学网络空间安全与信息法学院讲师,主要研究方向:民法、信息法。
来源:《法学论坛》2023年第2期“法治前沿”栏目

《法学论坛》2023年第2期目录与内容摘要

陈瑞华:合规关联性理论——对企业责任人员合规从宽处理的正当性问题

郭华:刑事合规的立法争议及范式选择

褚福民:法院参与企业合规改革的基本路径

李伟:涉案企业合规第三方监管的中国方案

左卫民:迈向新型的检察官司法?反思公诉权变迁

曹相见:农村集体经济组织特别法人的特别效果

吴训祥:论无因管理受益人追认之效力——以《民法典》第984条的解释论为中心


分享本文:
点击界面右上角按钮,在弹出框中选择“发送给朋友”或者“分享到朋友圈”本刊微信号:FXLT2019本刊微信二维码:点击「在看」,就是鼓励
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存