元宇宙安全風險的法律規制路徑

元宇宙概念的提出徹底改變了資訊科技的未來圖景，虛擬世界與現實世界的交融勢必會對現有的權利義務關係提出新的問題。但是，技術創新並不當然意味著專門立法或特別監管，“法律應當專門規制元宇宙安全風險”的制度建構性主張正模糊了法律基本功能的範疇。從早期的大資料、雲計算安全監管，到當下的演算法規制和資料安全保護，再到未來元宇宙的治理體系，法律對技術創新的迴應方式不應當是建立在純粹假想風險的基礎上，而是應當以權利義務內容是否發生真正變化為出發點。依據元宇宙現階段的發展特徵，可能存在的安全風險並沒有超過現有的社會風險型別，故而元宇宙安全風險的規制思路依然遵循法律迴應技術的一般立場，即以過程風險預防為核心，重新解釋現有法律條款的基本概念和適用方式。

產業界對於元宇宙安全風險的理解多為社會活動或社交方式的異化：一是元宇宙會引發新一輪的資料安全和隱私洩露問題；二是算力資源緊缺，現有基礎設施或將無法支撐全球或全國規模的元宇宙空間運作；三是壟斷危機，即網際網路巨頭為了謀取競爭優勢而各自打造相對封閉的技術生態，進而導致技術發展滯緩；四是倫理風險，過度沉迷虛擬世界而加劇社交恐懼以及虛擬身份對現實倫理的突破；五是智慧財產權體系崩塌，既包括人機互動產生的內容難以確定是否構成“作品”，也包括以nft為代表的著作權保護問題。然而，這些風險終究僅是一定程度的合理假設，並且也只是技術發展過程中需要解決的現實問題或安全漏洞，是否屬法律應當事前規避的風險型別仍然需要從法律關係和權利義務內容層面予以解釋。

一、風險預防視野下元宇宙安全風險的規制思路：階段性規制

在階段性規制理論框架下，大資料、雲計算、區塊鏈、演算法的技術發展均可大致劃分為三個階段，法律規制方式也可相對地劃分為三個階段：第一階段是技術概念創新階段，即在概念層面提出某種具有可行性的技術概念，產業界對未來可能的應用場景及其風險進行設想，技術創新主要體現在概念創新這一層面。此時，法律對技術的迴應方式主要是以理論層面的風險判斷與現行立法、法律概念能否繼續沿用為限，由於技術本身的諸多不確定性，相關風險的預防機制遠未觸及專門立法。第二階段是技術初步應用階段，即在實踐中已經開始出現了部分單一應用或應用試點，新興技術如何商業化應用已經形成了相對確定的共識。在這一階段，技術發展方向和應用場景業已具體化，未來技術風險的發生方式和損害型別同樣得到確認，法律對技術的迴應方式則轉向了行政監管制度構建和模式選擇，提出有關技術應用方式和應用場景的禁止性規範。第三階段是技術應用的大眾化，即在完成了特定場景下的嘗試性應用之後，技術應用商業化，甚至在特定行業已經產生了相對安全和成熟的產品或服務。相較於前兩個階段而言，該階段實現了技術安全風險的具體化，故而法律對技術的迴應方式則從自上而下的監管制度構建轉向了平等法律主體之間權利義務的確認，解釋技術開發者、使用者應當承擔何種限度的安全保障義務。

二、法律迴應元宇宙初級階段的基本思路：法律概念的重新解釋

在元宇宙發展初級階段，法律對元宇宙的迴應方式不應當也不可能是對元宇宙執行方式作出直接的限制性規範。未來元宇宙究竟會以何種方式作為最終的產品形態以及元宇宙究竟會在哪些應用場景得到廣泛應用等技術發展問題並非是法律制度所能預見的，故而法律迴應元宇宙安全風險的基本立場還是以元宇宙初級階段的技術特徵為主，維持既有民事權益保障水平，而其基本方式則是對基礎概念和權利義務內容的重新解釋。

部分法定義務內容因為元宇宙概念的提出而有所變化。元宇宙概念對法律所提出的最大挑戰是既有權利義務體系的內容變化以及部分法律概念的解釋方式變化，其中最為突出的內容衝突主要表現在“個人資訊可識別標準與現實技術方案的脫節”“資料安全保障義務履行方式與義務性規範的衝突”“平臺主體運營資格的中心化監管與技術實現方式的去中心化之間的衝突”。

在個人資訊可識別標準層面，元宇宙的技術方案可能導致現有的“可識別”標準無法繼續沿用。根據我國個人資訊保護法第4條有關個人資訊的概念界定，滿足“已識別”或“可識別”“與自然人相關”之要件，即屬於法律所保護的“個人資訊”範疇。而元宇宙最明顯的技術特徵是實現網路節點之間的互聯互通，資料之間的關聯程度也將更為緊密。這也意味著不同場景下的資訊在流動、彙總、整合、分析過程中間接識別特定自然人的可能性會顯著提升，現有的個人資訊界定標準恐怕無法適應這種資料關聯技術特徵。另外，元宇宙中的“虛擬人”身份與現實世界中的“現實人”身份均屬於“自然人”的範疇，如果資料關聯之後的識別程度僅能夠實現識別“虛擬人”身份，這是否也屬於滿足個人資訊概念“可識別的自然人”這一法定要求？

在資料安全保障義務層面，元宇宙互聯互通的技術特徵使得資料洩露的安全風險顯著提升，並且資料安全保障義務的義務主體和履行正規化也發生變化。在義務主體上，資料處理者也有可能是元宇宙的使用者，其在處理資訊服務接收方的個人資訊或企業資料時，僅由其作為資料安全保障義務的唯一義務主體顯然與元宇宙的技術原理相悖。因為元宇宙作為一個超大規模“平臺”，資料處理者所能採取的技術安全保障措施僅能保證個體網路節點的安全，而無法有效控制其他互聯互通網路節點可能誘發的資料安全風險。在義務履行方式上，按照資料安全法、個人資訊保護法有關資料傳輸的相關要求，資料處理者需要對資料接收方的資料安全保障能力進行資料安全評估。這種義務履行方式在“一對一”“一對多”的資料傳輸語境下並沒有爭議，但在元宇宙中，作為使用者的資料處理者往往需要上傳資料至“元宇宙平臺”，實現網路節點的全部共享。此時，資料處理者面臨著具體的資料接收方範圍、資料具體流向等事項無法明確的現實難題，資料安全評估制度的實際效果或將大打折扣。

在平臺主體運營資格層面，元宇宙所要求的去中心化執行模式與中心化監管模式存在天然衝突。事實上，這類問題同樣存在於區塊鏈技術的發展過程中。區塊鏈技術所強調的“去中心化”是指網路的運營不再由某個網路節點單獨負責，而是所有網路節點共同維護和運營，這就導致在具體應用場景中無法進行責任主體的認定。不過，從現有技術方案來看，技術的嘗試多是以私有鏈或聯盟鏈的方式予以實現，完全拋開中心網路節點的公有鏈模式尚未存在。但這種技術解決方案無法繼續套用在元宇宙中，因為元宇宙的“宇宙”之稱謂強調的即是與現實世界平行或交融的虛擬世界。如果限制元宇宙的規模，則與元宇宙的基本概念直接相悖，成為了“偽元宇宙”；反之，高度自治化運營方式又將使得公權力無法接入元宇宙的監管活動。這種兩難境地僅僅依託既有的“專門監管”“特別監管”“有限度的中心化”等理論主張顯然無法真正解決問題，其解決思路或是在技術層面解決去中心化與監管科技之間的銜接，或是在法律層面提供更為健全的財產權制度。因為去中心化問題導致的直接結果是社會活動的不透明，而健全的財產權制度能夠透過“法律即程式碼”的方式實現“中心化監管”意欲達成的效果。如果交易標的屬於合法財產，則無法透過元宇宙中區塊鏈共識機制的認可，違法犯罪行為也就難以發生。

責任編輯：

孫建偉 金惠珠

上觀號作者：上海市法學會