大卫·格鲁伯：欧盟数字治理和网络安全政策中的元宇宙_观点_言之有理

观点

大卫·格鲁伯：欧盟数字治理和网络安全政策中的元宇宙

来源：上海市法学会
2022-09-15 10:34

欧盟的数字立法正在经历许多变革。在过去两年，有多项立法改革议案提出。欧盟已经有了数字服务法、数字市场法、人工智能法。数字服务法旨在使整个互联网成为更为安全的环境，并规制监管各种在线平台。

欧盟数字治理和网络安全政策中的元宇宙

欧盟的数字立法正在经历许多变革。在过去两年，有多项立法改革议案提出。欧盟已经有了数字服务法、数字市场法、人工智能法。数字服务法旨在使整个互联网成为更为安全的环境，并规制监管各种在线平台。数字市场法旨在确保在线市场的竞争秩序。人工智能法旨在规制监管人工智能的各种高风险应用。此外，欧盟网络安全框架也在修改中，目前已经提出了两项新的有关网络信息系统和关键基础设施弹性的拟议指令。

仅仅四年以前，欧盟就有了在不同人看来或是名声显赫的，或是臭名昭著的《通用数据保护条例》（GDPR），该条例改变了全世界的数据保护政策。欧盟委员会紧随欧盟的数据政策，同时提出了有关数据治理和数据共享的补充法案。

当谈及欧盟法中的“元宇宙”问题时，我想援用欧盟委员会负责竞争和数字议程的专员兼副主席，玛格瑞特·维斯塔格的话来开始这一讨论。“元宇宙已经存在在这里了，因此，我们当然要开始分析监管者的作用是什么，我们这些立法机关的作用又是什么。”事实上，这也是没有办法的事情。

元宇宙已经或者必将发展到不可能被忽视的程度。监管具有全球性，我们必须设定并最终解决这一个或者一些与元宇宙一起出现的问题。有趣的是，时至今日，在欧盟法律制度中没有关于元宇宙的特定规则，因此，欧盟法院及其下属审级的欧盟普通法院没有任何一项判决带有元宇宙的特征，这也不足为奇。

然而，这并不意味着目前尚无任何法律制度可以适用于元宇宙。在2022年5月的一项决议中，欧洲议会表明，元宇宙事实上落入到数据保护框架和欧盟的竞争法律规则中，并且欧洲议会呼吁欧盟委员会相应地执行这些规则。欧盟非常清楚地意识到元宇宙给它带来的机遇与挑战。

在2022年年初的政策简报中，欧盟两大选举机构（欧洲理事会和欧洲议会）的研究部门确定了有关元宇宙对数字竞争、数据保护、网络安全、心理健康，特别是对青少年的影响问题。考虑到欧盟的数字立法目前修订的程度。从目前立法提案的数量来看，可以说如果立法者想要将元宇宙纳入拟议的法案中，他们有充足的机会可以做到这一点。例如，纵观旨在监管规制在线平台的欧盟数字服务法，无论是该法的拟议文本还是它的解释性备忘录中，都没有明确提及元宇宙，即使元宇宙或将成为最重要的数字平台。数字市场法》是如此，连元宇宙这个词都没有提及。在论及此事时，玛格瑞特·维斯塔格指出“现在有的80%总比完全没有要好。”当然，虽然没有明确提述，元宇宙服务提供者也受到数字服务法的规限。这就意味着他们要遵守相关的责任制度，内容审核义务和透明度报告义务等也适用于元宇宙服务提供者。

人工智能法的修正案明确将元宇宙环境纳入到该法的适用范围中。可以说，这种明确的提述如同数字服务法一样，并不那么重要。目前关于适用范围条款，也就是拟议文本第2条的措辞已经将适用范围延伸至人工智能在元宇宙中的应用，尽管如此，了解在法律上将如何定义元宇宙，以及欧盟立法者认为合适的元宇宙判断标准是什么样子，也很有趣。

元宇宙环境所必须包含的三个标准：

首先是个人代表。即在一个特定的自然人和一个虚拟身份或化身之间必须有联系。

其次是高度的互动一致性，这意味着社会经济互动在虚拟框架、虚拟世界、元宇宙中与在现实世界中的行为是具有高度一致性的。

再次是现实世界的影响。元宇宙和虚拟世界的行为必须允许现实世界中发生相应的效果，例如现实世界中的金融交易，或者对健康安全有风险的基本行动等等。

考察这个条款或者类似的条款能否进入法案的最终文本，以及未来可能颁行的欧盟元宇宙法是否继续采用类似的定义，这都是很有趣的。现在，就核心问题而言，元宇宙是增强数字世界与真实世界之间联系的不同方式中的一种，但这也加剧了网络安全的风险。

元宇宙扩大了可能的网络攻击面，并且将更多的现实世界目标拖入了虚拟攻击者的掌控之中。如在人工智能法修正案中，就可以针对每一个标准的应用，找出许多不同类型的网络安全风险，当然这也只是诸多方式中的一种。例如，个人代表可能导致身份盗失的风险。高度的互动一致性反过来又会增加数据泄露的风险，因为数据量以及可预测的非虚拟行为、非数字行为和现实世界中的行为的准确性要求都会增加。随着元宇宙经济与现实世界的经济交织，大规模的虚拟欺诈、盗窃可以更有效地转化为现实世界的损失。

现在，欧盟的网络安全框架旨在通过创设弹性、建设防范对此类事件的震慑性反应等来解决前述的这些问题和其他网络安全问题，并且加速促进欧盟层面和全球层面的合作。作为欧盟战略的一部分，欧盟委员会提出对2016年网络信息系统指令进行大修，简言之就是NIS，和近期最新的NIS-2。新的NIS-2指令不再区分基本服务运营者和数字服务提供者，转而将其区分为基本实体和重要实体。元宇宙平台供应商属于重要实体，因为这些供应商属于提供附录列表中规定服务的网络平台。

基本实体与重要实体最主要的区别在于，他们对应不同的监管机制。但在这种情况下，无论将元宇宙服务提供者视为基本实体还是重要实体，其实体性义务都是相同的。这些实体性义务包括：网络安全风险管理措施，例如风险分析、事故处理、供应链安全、加密，以及所有类似的网络安全措施。元宇宙及其提供者可以使用欧盟的网络安全认证方案，这套方案的基本框架也被囊括在2019年的网络安全法中。

NIS-2指令规定的另一项实体性义务是事故报告制度，元宇宙服务提供者不仅要通报重要事故，还要通报可能导致事故的重大网络安全威胁。如未履行这些义务，可处以高达1000万欧元或高达全球年总营业额2%的罚款（二者以较高者为准）。此外，为敦促履行这些实体义务，NIS-2指令还建立了欧盟网络危机联络组织网络（CyCLONe），该组织网络主要对大型网络安全事故和危机进行管控。

目前每个部门的政策问题都在各个单独部门的立法措施中得以解决。网络安全立法解决网络安全问题，人工智能立法解决与人工智能有关的问题等等。由于欧盟的数字立法通常采取技术中立的路径，因此要在欧盟数字立法中明确提及元宇宙，可能还需要相当长的一段时间。然而，元宇宙的日益发展和使用可能导致，对于这些新生事物，行政监管和司法判决可能还会适用非元宇宙专属的欧盟法律，并且这些监管决定和司法判决可能对未来的专门立法确定边界。