鉴于人们对metaverse的兴趣和参与度越来越高，出现了一个问题：当前的法律法规是否充分解决了metaverse中的处理活动。来自NautaDutilh N.V.的Danique Knibbeler、Max Mohrmann和Sarah Zadeh讨论了与《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”）相关的关键考虑因素，并评估了其他法律、法规和法律提案及其适用性，同时还探讨了元宇宙中的交互所产生的潜在安全风险。

介绍

metaverse最初主要是游戏行业的一种现象，它是一个终端用户可以在其中互动的虚拟世界，在过去几年中得到了越来越多的关注。麦肯锡公司（McKinsey&Company）报告称，科技公司、风险投资家、私募股权基金、初创企业和知名品牌正在寻求机会，通过在今年前五个月进行超过1200亿美元的metaverse投资，1利用metaverse。

有几个原因可以解释利息的增加和这些重大投资。例如，越来越多的消费者开始对探索metaverse感兴趣，这主要是由游戏驱动的。此外，metaverse通过新的应用程序、与不同智能设备的互操作性和改进的基础设施，在技术上越来越先进。

这些发展也存在风险。由于metaverse是数据驱动的，metaverse的开发和进一步使用意味着收集大量个人数据（GDPR第4（1）条），如生理反应、面部动作、手势、脑电波模式和行为模式。在metaverse中，可穿戴设备和其他智能设备和平台需要连接，这会带来安全风险，但也会带来个人数据处理方面的风险，特别是终端用户的独特配置文件。这就提出了一个问题：当前的法律法规是否充分解决了metaverse中的处理活动，是否应提供额外的指导，或者是否应更新现有的法律。本文阐述了与GDPR相关的关键问题；其他法律法规和法律提案的适用性，如关于数字服务单一市场的法规提案（《数字服务法》）和修订指令2000/31/EC（“DSA草案”）2以及关于公平获取和使用数据的统一规则的法规提案（“数据法草案”）3；以及潜在的安全风险。

什么是元宇宙？

“元宇宙”一词是希腊语“元”和“宇宙”的组合，最初由科幻作家尼尔·斯蒂芬森（Neal Stephenson）在其小说《雪崩》（1992）中创造，指的是一个虚拟的平行世界。

欧盟理事会（“理事会”）将其描述为“一个身临其境、持续不断的虚拟3D世界，人们通过化身进行互动，享受娱乐、购买和使用加密资产进行交易，或在不离开座位的情况下工作”。4.尽管metaverse指的是“虚拟3D世界”，虚拟世界并非必须使用3D设备才能被视为“元宇宙”。这取决于metaverse提供商和设备如何访问和体验metaverse。根据平台的不同，可以通过技术上更先进的设备（如VR护目镜）或更传统的设备（例如2D游戏控制台或桌面）访问metaverse。

因此，本文区分了两种元对立：

• 基于集中式区块链的元宇宙（如Earth2）或基于分散式区块链（如Decentraland，沙盒）的元宇宙，我们选择将其打造为“高级元宇宙”；和
• 一个更集中的元宇宙（如第二人生、侠盗猎车手在线），我们选择将其作为“传统元宇宙”。

与GDPR相关的关键问题

由于个人数据将由各种技术应用程序和设备处理，因此有必要对个人数据进行监管，以保障个人隐私和个人数据的完整性。问题在于，当前的数据保护框架（如GDPR制定的框架）是否足以规范metaverse中的个人数据处理。例如，可能难以确定GDPR的领土适用。GDPR的应用取决于最终用户在处理其个人数据时的位置，而不是其居住地或公民身份（《GDPR》第3条）。但最终用户在metaverse中的位置是什么？这是控制化身的最终用户的物理位置，还是化身本身，还是相关服务器的位置？此外，GDPR限制了向第三国的数据传输（GDPR第五章），但metaverse由不存在边界的互联数字世界组成。

关于GDPR的适用性，需要解决以下关键问题：

对合格的（联合）控制器或（子）处理器缺乏明确性

metaverse是一个不同组织和关系的网络，具有可互换的角色、责任和责任。在这方面，可能难以确定谁是（联合）控制器（GDPR第4（7）条）和/或（子）处理器（GDPR的第4（8）条）。可能会出现问题，例如谁需要评估处理数据的有效理由（《全球数据保护条例》第6条），谁有义务报告数据违规行为（《全球数据安全条例》第33条和第34条）。只要这些角色没有明确定义，不正确履行合规义务的风险就会增加。

metaverse中的数据共享

鉴于metaverse的性质，即不同设备、平台和环境之间的互操作性，各方之间共享大量个人数据。在共享此类个人数据之前，相关各方应签订适当的数据共享协议，该协议应符合GDPR中规定的要求。处理器和控制器之间签订的任何数据处理协议必须符合GDPR第28（3）条规定的要求，而联合控制器之间的安排必须符合GDPR第26条的要求。尽管GDPR未提及就控制人之间的个人数据共享签订（书面）协议的任何义务，但此类（书面）协定是可取的5。关于（联合）控制人间的数据共享安排，应特别注意确定与行使数据主体权利有关的责任（《全球数据保护条例》第15至22条）和向个人用户提供信息的责任（全球数据保护公约》第12和13条）。由于涉及的各方不同，且处理的个人数据量巨大，我们预计，适当地告知最终用户其数据主体权利，并确定与行使数据主体权利相关的责任可能会带来进一步的挑战。

此外，终端用户与metaverse链接和切换的可能性要求平台提供商实现其他metaverse之间的数据可移植性和互操作性，以避免“供应商锁定”，这意味着终端用户依赖于特定的metaverse环境，无法轻松地重复使用其个人数据。GDPR（第20条）下的数据可移植性权利仅适用于基于同意（第4（11）条和第6（1）（a）条）或合同（第6（2）（b）条）的处理理由的个人数据处理，且仅适用于其向控制者提供的数据。然而，我们建议组织在每个metaverse中默认启用此权限，而不考虑处理基础。我们相信，数据可移植性的使用增强了metaverse内部的互操作性，并将进一步增强最终用户的自主性。

处理理由：同意？

作为处理依据的同意必须是知情的、自由的、具体的和明确的（GDPR第4（11）条和第6（1）条）。在处理特殊类别的数据时，需要明确同意（GDPR第9（1）（a）条）。“自由”意味着个人必须有真正的选择和控制。如果个人感到被迫给予同意，如果他们不给予同意，或者如果他们实际上没有其他选择，他们将遭受负面后果，则不会自由给予同意。据报道，在20分钟内，在虚拟现实中，处理了200万个独特的肢体语言记录（如眼睛运动、面部表情和皮肤温度）。在短时间内收集如此大量的个人数据引起了正在处理的个人数据的透明度问题，结果是最终用户没有得到适当的通知，这使得获得知情、明确和具体的同意变得复杂。

此外，如果合并了不同的处理目的，并且个人不能单独同意每个目的，但只能同意一组目的，则缺乏自由，因此，假定同意不是自由给予的。由于数据量大，要求单独同意预计会很困难，并影响其用户友好性。

此外，明确的同意可能会挫败metaverse的目标，即提供一个互联的数字世界网络，其中平台、设备和人员无缝连接。在短时间内多次征求明确同意的要求会阻碍这一目标。公司应提供数据收集的透明度，并允许最终用户同意特定的数据收集，而不是同意一组数据集。

化身及其独特的配置文件：分析和自动决策

另一个关键问题是将在metaverse中收集的大量个人数据；例如，通过新技术对终端用户进行实时跟踪，这些新技术收集眼睛跟踪、情感反应、语音交互、社交互动、触摸和听觉。这些数据类别的组合揭示了特定的个人特征和交互，这些特征和交互可以通过化身创建终端用户的更独特的简档。此外，这些独特的简档还可用于自动决策（GDPR第22条）和/或简档（GDPR的第4（4）条），这可创建并延续现有的刻板印象和社会隔离，例如，基于化身的社交和情感互动，或结合例如社交和情感交互，限制化身进入元宇宙内的某些空间，他们的宗教信仰、性取向和种族或族裔出身，这些都符合《全球数据保护条例》的特殊类别数据（第9（1）条和第22（4）条）。剖析还可能导致将一个人排除在特定类别之外，或将一个人限制在特定类别，从而限制他们的偏好，从而可能损害他们的选择自由。它甚至可能导致身体、物质或非物质伤害，特别是在使用某些社会群体的独特特征时，如少数群体、弱势成年人和儿童。

metaverse中其他即将发布的数据法规

由于metaverse内外的数据处理类型不同，除GDPR外，其他（即将发布的）数据法规也将适用。为了应对此类新技术的增长，欧盟委员会最近提出了新的举措，以加强现有的数据监管框架。其中包括数字助理协议草案、关于数字部门可竞争和公平市场的条例草案（“数字市场法草案”）6、数字治理法（“DGA”）7、数据法草案，以及关于制定人工智能统一规则的条例草案（《人工智能法》）和修订某些工会立法法案（“人工智能法草案”）8。虽然尚不确定这些条款在多大程度上适用于metaverse，但委员会已经声明，DSA草案和DMA草案将提供他们认为管理metaverse9的必要工具。

首先，DSA草案旨在提供一种更全面的保护形式，要求限制数据的使用，但也将对目标广告施加限制，例如针对未成年人的行为广告，以及基于特殊数据类别的目标广告，允许针对因性别、种族或族裔出身而易受伤害的接收者，或残疾。DSA草案还禁止所谓的“暗模式”，即迫使或欺骗消费者做出对他们有负面影响的决定的设计技术。

第二，DMA草案将重点放在核心平台服务上，这些服务充当弥补竞争方面的“守门人”。该提案有效地禁止将在使用某项服务期间收集的个人数据合并和重新使用，并将其用于网守提供的另一项服务。然而，DMA草案同时补充了GDPR的（个人）数据可移植性权利，这刺激了metaverse中终端用户的必要实时访问和控制。

除DSA草案和DMA草案外，《人工智能法案》草案还将在管理元宇宙中的终端用户独特配置文件和化身等方面发挥关键作用，因为他们的大部分体验将由数据驱动的人工智能（“AI”）功能提供。为了实现这些功能，如面部识别和口语文本的直接翻译，组织必须记住，metaverse中的人工智能在大规模使用和生成高质量数据。

同样，DGA和数据法案草案也致力于促进组织间的数据共享，这将直接转化为metaverse内的业务运营，并有助于促进无缝互操作性。

由于这些新的法律和法规，拼凑起来的法律正在慢慢形成，这些不同法律和法规之间的差距正在被发现，导致法律不一致和监管不确定性。例如，欧洲数据保护委员会（“EDPB”）和欧洲数据保护监管机构（“EDPS”）注意到，当前的《数据法》草案在定义数据访问和处理权利的范围时没有区分个人数据和非个人数据，此外，《数据法》草案没有提及与个人数据处理相关的控制者和处理者角色，也没有进一步澄清与数据共享相关的DMA草案某些关键条款的相互作用（第6（1）（h）条和第6（2）（i）条）。此外，《人工智能法》草案并未明确说明GDPR和其他数据保护法律，如《隐私和电子通信指令》（2002/58/EC）（经修订）（“电子隐私指令”）也将适用于任何个人数据的处理12。这种不一致和模棱两可的情况阻碍了建立适当的法律框架，在此基础上可以进一步发展元宇宙。

安全风险

一般来说，metaverse的安全风险将取决于平台、处理活动的类型以及将使用的互连设备。然而，即使是“新兴”环境，如metaverse和metaverse中使用的技术先进设备，也可能成为“传统”网络攻击的对象，如黑客、恶意软件、拒绝服务攻击，以及欺诈和钓鱼欺诈。

安全风险也可能发生在数字资产的所有权和交易方面，如不可替代代币和加密货币，例如终端用户的数字钱包未得到适当保护或在发生欺诈的情况下。此类漏洞构成严重威胁，因为维护最终用户身份对于防止数字世界中的身份盗窃至关重要，特别是考虑到在用户对用户通信期间模仿最终用户化身的可能性。

由于其互操作性和互连性，存储在metaverse使能设备中的（个人）数据可以实时交换。然而，因此，当（个人）数据被传输到另一个启用设备时，单个设备的安全完整性不能保证数据保护。

重要的是，提供支持服务或metaverse支持设备的平台提供商和第三方必须评估应采取哪些技术和组织措施来评估和缓解潜在风险。如果没有适当的技术和组织措施来为这些设备提供充分的保护，则发生安全漏洞的风险会越来越大，这可能导致metaverse最终用户的个人数据意外或非法丢失或访问。

欧洲议会研究局强调，基于区块链的身份识别在这方面至关重要，因为与集中式系统相比，它更能抵御网络攻击，并建议保护与metaverse相关的设备的完整性，以在平台之间建立新的网络安全协议13。此类协议应与修订后的《网络和信息系统安全指令》（“NIS2”）具有可比性，并作为其补充，该指令提高了欧盟国家网络安全能力14，或拟议的《网络安全弹性法案》，该法案侧重于数字产品的网络安全规则15。为了确保一定的安全标准，欧洲议会研究局提议实施标准安全协议。然而，上述许多漏洞还将取决于最终用户识别此类威胁并进行相应调整以遵守平台和设备提供商实施的技术和组织措施的能力，以确保其自身的数据保护。

结论和一般性建议

在本文中，我们讨论了GDPR的主要问题，即GDPR的地域适用性、角色资格、metaverse内的数据共享、作为处理基础的同意、分析和自动决策等问题。此外，我们还讨论了适用于metaverse的即将出台的数据法规，以及可能的安全风险。

根据当前的数据立法和提案，我们看到了改进的空间，即在适用于metaverse的不同法律框架之间的相互作用方面提供清晰性。此外，由于平台和设备的使用以及它们之间的互操作性，metaverse容易出现安全风险和个人数据处理方面的风险，特别是在终端用户的独特配置文件方面。关于互操作性，我们建议相关各方签订适当的数据共享协议，评估潜在的安全风险，并实施适当的技术和组织安全措施，以保障个人数据的处理。

最后，关于透明度，我们建议相关方，无论其作为（联合）控制方或处理方的角色如何，以清晰一致的方式告知最终用户在metaverse中处理个人数据的情况，同时避免最终用户通过隐私声明获得过多的不可理解的信息。由于涉及的各方不同以及将要处理的个人数据量不同，metaverse的功能和影响的透明度仍然是关键。

引用

• 1. McKinsey & Company: Value Creation in the Metaverse, June 2022, available at: https://www.mckinsey.com/~/media/mckinsey/business%20functions/marketing%20and%20sales/our%20insights/value%20creation%20in%20the%20metaverse/Value-creation-in-the-metaverse.pdf
• 2. Available at: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=COM%3A2020%3A825%3AFIN
• 3. Available at: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A68%3AFIN
• 4. See at: https://www.consilium.europa.eu/media/54987/metaverse-paper-9-march-2022.pdf
• 5. European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 1.0, adopted on 02 September 2020, available at: https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf
• 6. Available at: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=COM%3A2020%3A842%3AFIN
• 7. Available at: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0767
• 8. Available at: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0206
• 9. See at: https://www.europarl.europa.eu/doceo/document/E-9-2022-000656-ASW_EN.pdf
• 10. EDPB-EDPS Joint Opinion 2/2022 on the Proposal of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act), available at: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22022-proposal-european_en
• 12. EDPB-EDPS Joint Opinion 5/2021on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), available at: https://edpb.europa.eu/system/files/2021-06/edpb-edps_joint_opinion_ai_regulation_en.pdf
• 13. See at:: https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/733557/EPRS_BRI(2022)733557_EN.pdf
• 14. See at: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
• 15. See at: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13410-Cyber-resilience-act-new-cybersecurity-rules-for-digital-products-and-ancillary-services_en

本文：https://cioctocdo.com/eu-privacy-and-security-concerns-metaverse