(本文共5633字,預計閱讀時長為25分鐘)
美國東部時間2023年6月5日下午1點,蘋果在全球開發者大會推出“Vision Pro”頭顯設備。相比於已經發展得很成熟的VR眼鏡,“Vision Pro”的亮點在於其融合了AR(Augmented Reality)技術:使用者可以通過調節眼鏡上方的旋鈕進入AR模式,在這一模式中,通過將Apple Watch的操作系統邏輯應用於該產品,並引入蘋果獨有的“空間計算”技術,使用者將在眼鏡中看到現實世界的空間中出現了浮空的各種虛擬操作界面。而利用眼鏡內部裝備的多個傳感器,Vision Pro可以靈敏地捕捉使用者臉部和手部的動作,讓使用者無需通過手柄或其他交互設備,僅需通過眼神、手勢和聲音等就可以便捷地操作虛擬界面,極具科幻感。
以“Vision Pro”為代表的VR設備是我們進入元宇宙世界的重要連接工具,VR設備有很多種類,比如VR眼鏡、VR頭盔、VR數字手套和萬向跑步機等,不同設備收集的生物信息有差別,特別是高級的設備能夠收集到更多的生物信息。而在收集到相關生物信息後如果不重視數據合規,就可能導致用戶信息被洩露的風險,例如某遊戲公司通過用戶所使用的VR設備收集用戶身體指標數據,並將該數據洩露給某保險公司,保險公司根據該數據所反映的用戶健康狀況評估是否為用戶提供保險服務。
當意識到使用VR設備將會侵犯用戶隱私權等人格權乃至財產權的風險時,新興科技潛在客戶的消費熱情難免會受到影響,如何合法進行生物識別信息的收集與處理便成為產品提供者與消費者關注的重中之重。
01
當前VR設備概況
(一)主流VR設備及其主要功能
VR全稱為Virtual Reality,即通過各種仿真技術創建和體驗虛擬世界,用戶可通過使用該設備獲得置身於虛擬世界的體驗。根據模擬功能的不同,目前市面上的VR設備可大致分為三類,分別是:模擬軀幹運動類、模擬視野畫麵類以及模擬感官類,主流設備品種及其功能如下表所示:
設計用途 | 設備名稱 | 功能簡介 |
模擬軀幹運動 | Roto VR/VRGO –旋轉椅 | 包含一個可活動的基座,用戶可以通過腳踏板來控制在現實世界和虛擬世界間來回切換,座椅也會隨著遊戲佈景旋轉。 |
Black Box VR -虛擬現實訓練模擬器 | 當用戶在VR場景中伸手舉起物體或拉繩時,用戶將在現實生活中觸摸系統,並以相同的阻力舉起/拉動。 | |
Kat Walk -萬向行動平台 | 允許用戶使用自定義的低摩擦底座和基於IMU的專用鞋在整個VR場景中行走、奔跑、衝刺和掃射。 | |
模擬視野畫面 | Vision Pro – MR頭顯設備 | 在傳統VR眼鏡的基礎上增加AR功能。可通過眼睛、手勢以及聲音完成整個交互流程。通過掃描人臉信息生成數字人形象,實時反映面部、手部動作。 |
各類VR眼鏡 | 利用頭戴式顯示設備將人的對外界的視覺、聽覺封閉,引導用戶產生一種身在虛擬環境中的感覺。 | |
模擬感官 | Feel real/VAQSO –嗅覺模擬 | 可以通過氣味生成裝置,使佩戴者感受多種氣味。 |
Unlimited Hand –臂帶觸覺傳感器 | 將設備戴在用戶小臂上之後,其可根據對小臂肌肉動作的捕捉,進行弱電反應,讓手指感受到類似觸覺的反應。 | |
Impacto –觸覺和肌肉電刺激 | 設備可綁到用戶的胳膊、腿或者腳上,可以模擬出觸覺,佩戴者可以感受到虛擬世界裡的力反饋作用。 | |
Teslasuit –力反饋衣服 | 衣服手套的每個指尖配備觸覺傳感器使用戶可以自然地感知到虛擬紋理。傳感器與運動捕捉和反饋系統結合使用,可以給穿戴者提供空間衝擊,阻力和振動感受。 |
(二)主流VR設備主要收集的信息
VR產品多為佩戴式設備,其在使用過程中與用戶身體密切接觸,具有強互動性。根據目前的技術水平,VR產品既可收集用戶虹膜、指紋、身高、體型、聲紋等外部生物特徵,也可通過監聽用戶心跳頻率、跟踪肌肉反應等獲取用戶生理信息。由於每個人具有獨特的生物特徵,上述信息難以匿名化處理,屬我國《個人信息保護法》所保護的信息之列。
值得注意的是,VR產品可直接收集的數據並非僅單獨存在,如若對其進行組合處理,可能獲得更有信息價值的間接數據。正如本文首段所舉之例,VR產品收集的身體數據經過專業分析,可生成關於用戶健康狀況的報告;再如,通過瞳孔放大程度可判斷對某人或某物的偏好程度;此外,眼球跟踪技術還可通過眼球移動判斷用戶是否認識某人。諸如此類數據一旦被非法轉移與交易,可能被應用於諸多領域,不僅侵犯用戶隱私權,也可能會帶來用工歧視等社會問題,陷入科技倫理的衝突困境。
02
三、生物信息安全的立法現狀
(一)國內立法情況
現階段,我國關於生物信息安全的立法規制主要分為公法和私法兩個領域。其中,私法領域以民事侵權保護為主;而公法領域主要表現為刑法與行政法的規制;此外,多部標準性文件在生物信息安全領域發揮著重要補充作用。
在民事立法上,我國對個人生物信息安全的保護主要以《中華人民共和國民法典》(以下簡稱《民法典》)、《消費者權益保護法》以及《個人信息保護法》為主。 《個人信息保護法》規定了個人就其生物信息享有的知情同意權、撤銷權等權利;《民法典》在人格權編明確將生物識別信息涵蓋至個人信息範圍內,將其與隱私權一並保護,賦予了民事主體侵權救濟路徑。
在刑事立法上,與生物信息安全有關的罪名主要有:侵犯公民個人信息罪、拒不履行信息安全管理義務罪、非法侵入和破壞計算機系統罪、故意或過失洩露國家秘密罪等。刑法雖在社會生活的各維度較完備地規定了侵犯生物信息可能涉及的罪名,但具體至各條文表述,不難發現含有大量空白罪狀,即需參考其它法律法規內容才可確定罪名。因此,在罪刑法定原則貫徹下,相關機構應進一步完善行政立法以及相關行業標準,以便刑法發揮其規製作用。
在行政立法上,我國關於生物信息安全的立法規制散見於法律法規、部門規章、規範性文件等。例如,2019年發布的《信息安全技術個人信息安全規範(徵求意見稿)》第4條規定了個人信息安全基本原則,包括選擇同意原則、最小必要原則、公開透明原則、主體參與原則等,為生物信息收集與處理提供原則性要求;再如,2019年發布的《信息技術-安全技術-生物特徵識別信息的保護要求》(徵求意見稿)》第5條規定了生物特徵識別系統安全要求,第6條規定了生物特徵識別信息管理要求,該文件在個人信息的基礎上,進一步對生物信息的管理提出了技術性規範要求。
此外,標準性文件在尚未成熟的生物信息安全領域發揮重要作用。由於近年來互聯網技術發展迅速,相關領域新興問題層出不窮,須經嚴格程序的立法具有明顯滯後性,故實踐中多采用各標準對具體問題進行規範統一。目前,我國政府與市場主體已製定了多種涵蓋個人生物信息收集與保護的標準。例如,2020年電信終端產業協會發布了《APP收集使用個人信息最小必要評估規範-人臉信息》團體標準。根據《中華人民共和國標準化法》,團體標準為依法成立的社會團體為滿足市場和創新需求,協調相關市場主體共同製定的標準,由本團體成員約定採用或者按照本團體的規定供社會自願採用,其制定參與者主要為在相關行業領域內具有一定影響力的主體。
總之,我國生物信息立法起步較晚,對公民生物信息的保護仍散見於各部門法。 《個人信息保護法》的出台雖然一定程度上彌補了特定專業領域立法的空白,但其內容仍以對個人信息的收集、使用、處理等原則性規定為主;而為響應實踐需求制定的諸多標準雖較為詳細,但缺乏強制力和體系化,其短期內有利於解決行業爭議,但從長期發展的角度考量,絕不應停滯於此。
(二)國際立法情況
國際社會上,在生物識別信息保護領域起步較早、相關規定較為完善的為歐盟。 1981年《個人數據自動處理中的個人保護公約》規定了對數據自動處理過程中個人數據的保護;1995年的《個人數據保護指令》規定了一系列保護基因信息的措施,強調收集和處理的過程必須合法、準確、保密,必須獲得信息主體的同意,同時規定了基因收集的禁止和例外情況以及信息主體享有的各種權利和救濟;2012年的《歐洲數據保護法案》對個人數據的處理及自由流動的個人數據進行了保護立法;2016年的《一般數據保護條例》(GDPR)規定了生物識別數據在公私領域的應用,並對生物識別數據作出明確定義,即“與自然人的身體、生理或行為特徵相關、經特定技術處理而產生的個人數據,這些個人數據可用於確認該自然人的獨特身份,如面部圖像或皮膚(指紋)數據”。
此外,日本新修訂的《個人信息保護法》於2022年生效,本次修訂的重點是人臉識別時代的個人信息保護問題,強調收集面容信息應堅持公開透明與最小必要原則;另外,日本《個人信息保護法》對於數據處理者提出了更高水平義務,其建立了強制性數據洩露報告製度,即規定四種情形下,數據處理者應當向日本個人信息保護委員會(PPC)報告,包括:涉及敏感個人信息時、具有財產損失風險時、出於不正當目的而導致時以及被洩露者超過千人時。
儘管國際社會早已關註生物信息安全問題,國際組織和各國圍繞於此設立各類法規條例,但實踐中仍存在諸多爭議。例如,GDPR並非完全禁止“以唯一識別為目的進行生物特徵數據處理”,而是同時規定了諸如“數據明顯公開”、“出於重大公共利益目的”等例外,但如何認定該條款下的例外狀況並未達成共識,可見目前生物信息安全領域的立法仍以框架性約定居多,具體落地實施的細節問題還需各主體進一步作明確約定。
03
四、意見建議
(一)VR設備生產商
VR設備生產商以科技公司為主,其通過技術更新研發各代VR產品,在科技加快升級的今日,未來VR設備將發展出更多維度的功能。但由於VR設備與生物信息安全息息相關,VR設備生產者在著眼於推動產業升級的同時,也應承擔相應社會責任,避免科技倫理風險。
在製度上,生產商在進行開發時應建立審查制度,保障所生產設備所收集信息的合規乃至倫理合規。例如,可設立科技倫理領導組織,負責確定及實施倫理相關原則、戰略及政策,審查科技發展的實踐操作與工作計劃並提供倫理建議。
在技術上,生產商作為VR設備硬件的生產者和操作系統、應用程序等的開發者,應在開發過程中符合相應的合規要求。從具體實現上講,生產商可以考慮從“借鑒”和“創新”兩個層面進行數據的合規。前者是指參考傳統電子設備如電腦、智能手機、手錶等的信息保護手段,如對用戶敏感信息進行加密、增添對應用程序及其開發者的可信審核機制、通過設立訪問控制和身份驗證技術限制數據收集、使用加密通訊手段保證客戶端設備與企業服務器之間的信息傳輸安全等;後者則指基於VR設備的獨有特點進行信息保護,如針對VR設備蒐集到數據的多模態特點設計更安全的文件類型和格式,針對VR設備的用戶交互涉及多方面生物信息的特點為設備硬件增添專有數據收集模塊、採取生物特徵、虛擬身份等多重信息認證方式降低VR設備被侵入和篡改的概率等。
(二)通過VR設備收集信息的運營商
運營商指的是依賴VR設備為用戶進行服務的主體,其涵蓋了遊戲開發、文娛產業等諸多領域,並可能需要基於VR設備開發特有應用程序。隨著越來越多產業逐漸踏入虛擬世界,可通過VR設備獲取並處理信息的主體日益增多,為監管帶來較大難度。
目前,對於VR設備運營過程中收集的帶有強個人特徵的生物信息如何有效監管和處理並未形成明確規定,但生物識別信息作為個人敏感信息的一類情形,可參照適用現行法律對個人敏感信息的相關約束。根據我國《個人信息保護法》第二十八條第二款,處理個人敏感信息需要具備三個要件,即具有特定目的、具有充分必要性以及嚴格採取保護措施。
上述三要件中,前兩個要件實際上相輔相成,即信息處理者收集處理信息的目的更明確,更有利於展現處理信息的充分必要性。 VR設備信息處理者應明確其收集的生物識別信息種類和範圍,並表明其特定目的。我國立法並未正面明確列舉收集生物識別信息的特定目的範疇,這要求運營商應在單獨授權請求中採用用戶易懂的通俗化語言說明收集每一項生物識別信息的具體用途。例如,運營商僅說明某項信息用於遊戲運行並不滿足“特定目的”的要求,而應將表述具體至用於支持遊戲某環節的某特定功能。
在第三要件上,VR設備信息處理者應對生物識別信息的轉移採取較之一般個人信息更嚴格的保護措施。例如,在知情同意方面,我國《個人信息保護法》第三十條規定,個人信息處理者處理敏感個人信息的,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響,而一般個人信息不作此要求;再如,在信息轉移方面,當信息處理者自身因商業原因面臨合併、分立、破產收購時而存在信息轉移時,一般個人信息在無變更使用目的、方式時,運營者僅需履行告知義務,而對於屬於個人敏感信息的生物識別信息,我國《個人信息保護法》第三十條規定,其處理應獲得用戶單獨同意,且2018年斯坦福大學隱私峰會也提出,如果一家公司被另一家公司收購,用戶生物識別技術和數據應該獲取用戶重新同意。
(三)普通用戶
目前,VR產品廣泛應用於遊戲、視頻、社交等大眾領域,且在未來一段時間內,隨著VR技術發展日趨成熟、產業規模更加擴大,VR產品將以更易為普通民眾所接受的價格“飛入尋常百姓家”。大數據時代,普通用戶在使用該類設備時也要重視保護自己的個人生物識別信息。
從法理上分析,相較於網絡服務運營商,用戶作為生物識別信息提供者,其並不屬於將信息賦予價值的一方,在信息收集與處理的全流程中處於被動地位。而信息處理者作為風險製造者、低成本的風險控制者以及信息處理的受益者,理應承擔更高的信息保護義務。但在相關監管法規尚待完善之時,用戶個人應樹立較高權利意識,在使用VR產品時要注意不同應用軟件中《用戶協議》《個人信息收集協議》以及《隱私保護協議》等文件的具體條款,對於其中約定不明確、不合理的事項向消費者協會等監管機構舉報,以群眾的眼睛監督與促進VR等信息產業合法健康發展。
04
結論
VR設備作為信息化時代前沿科技、以及元宇宙構建的基礎技術之一,在多個領域具有廣闊的發展與應用前景。與當前用戶端常見的互聯網應用軟件不同,VR設備的佩戴性、互動性特徵意味著其信息收集和處理集中於生物識別信息,不恰當處理該類信息將導致隱私侵害乃至社會問題。 2022年中共中央辦公廳、國務院辦公廳印發《關於加強科技倫理治理的意見》指出,科技活動應尊重人格尊嚴和個人隱私,保障科技活動參與者的知情權和選擇權。
在立法規制上,由於民法、刑法、行政法等基礎部門法的相關條文並不足以適應信息領域諸多實踐問題,我國正緊跟國際個人信息保護趨勢,逐步建立起以網絡安全法、生物安全法、個人信息保護法、數據安全法等為內容的、具有針對性的綜合性法律框架,但針對生物識別信息的收集與處理規則暫無具體規定,亟需完善。
由於個人信息規制領域的相關文件更新迅速、數量較多,數據合規問題是通過VR設備收集與處理信息的運營商面臨的重要挑戰,各市場主體也應一道推動VR設備對生物識別信息收集與處理的合規工作。技術開發者與運營商作為環節關鍵方,應設置專業合規人員,承擔社會責任,避免利用所獲取的生物信息進行不正當競爭,促進行業長遠健康發展。