作者:赵精武,北京航空航天大学法学院副教授。本文来源于:《上海大学学报》2022年第5期,原标题:《“元宇宙”安全风险的法律规制路径:从假想式规制到过程风险预防》。
“元宇宙”概念的提出彻底改变了信息技术的未来图景,虚拟世界与现实世界的交融势必会对现有的权利义务关系提出新的挑战。但是,技术创新并不当然意味着专门立法或特别监管,“法律应当专门规制‘元宇宙’安全风险”的制度建构性主张正模糊了法律基本功能的范畴。从早期的大数据、云计算安全监管,到当下的算法规制和数据安全保护,再到未来“元宇宙”的治理体系,法律对技术创新的回应方式不应当是建立在纯粹假想风险的基础上,而是应当以权利义务内容是否发生真正变化为出发点。依据“元宇宙”现阶段的发展特征,可能存在的安全风险并没有超过现有的社会风险类型,故而“元宇宙”安全风险的规制思路依然应当遵循法律回应技术的一般立场,即以过程风险预防为核心,重新解释现有法律条款的基本概念和适用方式。
一、真问题,还是蹭热点:
“元宇宙”应用需要法律专门规制?
在扎克伯格宣布将脸书集团名称变更为“Meta”之后,“元宇宙”(meta-universe)开始成为新一轮信息技术创新的热点,一度被资本市场视为未来社会的开拓技术,备受资本市场热捧。“元宇宙”之所以如此备受瞩目,其原因在于该技术打破了现实社会与网络社会在物理层面的隔阂与鸿沟,网络社会中的数字化行为开始对现实社会产生直接影响,甚至在“元宇宙”应用的成熟阶段,人们有可能无法明确区分现实社会与网络社会之间的边界,传统的法律关系和权利义务结构势必会发生异化。面对这种未来的潜在安全风险,学者们也开始关注和讨论法律应当如何回应“元宇宙”世界,其研究成果和学术主张大体存在两种立场:一种是主张针对“元宇宙”技术不同发展阶段,制定不同的产业政策和专项立法,需要所有部门法对此全景式数字复刻模式的“元宇宙”应用进行规制,甚至可能出现新兴法律学科“‘元宇宙’空间监管法学”;另一种则是认为“元宇宙”技术尚处于产业发展初级阶段,客观上,从技术概念到商业应用之间发展周期难以预料,法律应当以谨慎的态度回应“元宇宙”技术的发展,避免出现在技术尚未成熟之前过多地干预技术发展方向和技术框架。前述两种立场的直接分歧在于“‘元宇宙’应用是否需要法律专门规制”这一现实问题。前种立场实际上表达了一种技术悲观主义,以大数据、云计算、区块链、人工智能等信息技术安全风险为比较对象,认为信息技术的创新始终会带来全新类型的技术风险,“元宇宙”技术也不例外。后种立场实际上属于法律有限介入主义,即法律的社会关系调整功能始终是有限的,过多或过少地施加限制性措施只会阻碍技术创新,面对“元宇宙”这一新兴概念,法律所要提供的不过是产业激励机制和发展方向指引。在判断何种立场更适合回应“元宇宙”应用安全风险之前,有必要对立场分歧本身进行反思:因为“元宇宙”终究只是网络空间和社会结构未来发展的可能性,这种可能性导致的可能性风险真的是法律所需要回应的议题吗?进一步而言,在互联网产业尚未对“元宇宙”技术形态达成共识之前,“‘元宇宙’应用是否需要法律专门规制”究竟是以过往技术创新规制经验为基础的真问题,还是法学研究为了蹭热点话题而作出的纯理论猜想?在回答这个问题之前,显然有必要对“元宇宙”的基本概念、应用场景和可能风险进行整体性评估,因为法律不可能预见技术创新的发展方向,也不可能精准判断技术误用造成的损害范围和损害类型,唯有通过整体性评估才能确认“元宇宙”的技术安全风险及其可能产生的损害结果是否需要法律进行专门规制。因此,“‘元宇宙’应用是否需要法律专门规制”这一问题也就可以划分为三个子问题:第一,如何理解“元宇宙”安全风险的法律性质;第二,“元宇宙”安全风险及其损害结果是否严重到需要法律特别介入;第三,如果需要的话,法律究竟应当以何种方式回应“元宇宙”应用的安全风险?
二、技术概念未决下的风险预测与
建构理论滥觞
(一)“元宇宙”的概念未决和应用场景
“元宇宙”概念大致可以分为三类界定方式:一是物质世界数字化,即在互联网实现人类视觉、听觉数字化的基础上,“元宇宙”实现了触觉、味觉等各种感官体验的高度仿真;二是平行世界,即“元宇宙”描述了人类能够在虚拟空间进行一切与现实世界相同的活动;三是全新的社会形态,即“元宇宙”是整合多种新技术而产生的新型虚拟与现实相融的互联网应用和社会形态,虚拟世界与现实世界在经济系统、社交系统和身份系统层面相互交叉融合。
(二)“元宇宙”安全风险的基本特征
从“元宇宙”的概念界定和应用场景来看,“元宇宙”的技术构想是对基本社会结构和法律关系的重大改变和调整,主体、客体和权利义务内容均存在一定程度的异化。例如,“元宇宙”固有的匿名化特征促使数字身份成为解决“元宇宙”法律纠纷的前提条件,非面对面的交易活动需要更加安全的身份认证机制和健全的社会信用体系,此时,法律主体虚拟身份的真实性问题显然成为法律需要回应的技术风险。
不过,产业界和学界对于“元宇宙”安全风险及其可能损害结果的认知大多停留于假设阶段,目前尚未形成有关“元宇宙”风险的统一定论,故而有关“‘元宇宙’的安全风险需要专门规制”这一主张的现实依据不尽相同,归根结底在于“元宇宙”所呈现的虚拟空间具有高度的开放性和去中心化特征。这两种基本技术特征导致了“元宇宙”未来发展的不确定性,既包括商业化应用方式的不确定性,也包括风险形成原理和技术安全漏洞的不确定性。
这种不确定性在区块链技术发展路径中也同样存在:区块链技术从比特币等数字货币底层技术中独立出来时,其技术风险同样难以确定。有关区块链技术风险的早期认知大多是以公有链、私有链和联盟链的模式选择为展开,结合去中心化的运作方式,分析和论证传统的中心化监管体系如何回应这种新型技术方案。而随着区块链技术理论研究的不断深入,学界对于技术风险的探讨越发具体,有学者将技术风险总结为“算法安全隐患”“智能合约存在的安全漏洞”“区块链信息技术的滥用风险”等。主流观点则认为区块链自身防篡改、加密性的技术特征决定了该项技术最主要的应用场景是区块链存证领域,其规制重心应当是区块链证据的真实性认定、存证平台的资质认定等具体问题。
由此可以看出,有关技术安全风险的理论研究经历了整体性风险到应用场景风险的演进变化,而“元宇宙”的安全风险的理论研究显然也将经历如此的认知变化,以区块链、算法、虚拟仿真技术为支撑的“元宇宙”既存在与现有技术类似的安全风险,也存在无法具化的新型风险。
产业界对于“元宇宙”安全风险的理解多为社会活动或社交方式的异化:一是“元宇宙”会引发新一轮的数据安全和隐私泄露问题;二是算力资源紧缺,现有基础设施或将无法支撑全球或全国规模的“元宇宙”空间运作;三是垄断危机,即互联网巨头为了谋取竞争优势而各自打造相对封闭的技术生态,进而导致技术发展滞缓;四是伦理风险,过度沉迷虚拟世界而加剧社交恐惧以及虚拟身份对现实伦理的突破;五是知识产权体系崩塌,既包括人机交互产生的内容难以确定是否构成“作品”,也包括以非同质化代币(NFT)为代表的著作权保护问题。然而,这些风险终究仅是一定程度的合理假设,并且也只是技术发展过程需要解决的现实问题或安全漏洞,是否属于法律应当事前规避的风险类型仍然需要从法律关系和权利义务内容层面予以解释。
(三)“元宇宙”技术规制的建构性主张滥觞
虽然“元宇宙”应用场景及其风险类型已经对基本的法律关系产生影响,但这种影响的方式和程度很难称得上“根本性改变”。一方面,“元宇宙”安全风险的形态与现有技术的规制逻辑基本相同,例如个人信息保护、数据安全保障是网络平台的法定义务,虚拟身份的真实性问题与网络实名制、身份验证机制挂钩等;另一方面,“元宇宙”部分安全风险属于技术层面需解决的安全漏洞,并不属于法律需要解决的风险类型。
事实上,学界已经有学者尝试对“元宇宙”的法律规制进行论证,认为“元宇宙”对于数据的搜集、使用呈现“一揽子授权”的倾向,且互通互联的网络节点促使各个节点的数据能够更加轻易地间接识别到特定自然人,其研究视角显然并没有突破现有的风险类型,侧重的是现有个人信息保护规则如何适用于“元宇宙”场景之中。
不过,正如前文所述,在技术悲观主义者看来,“元宇宙”所带来的技术风险具有不确定性,需要立法者提前布局,尽早将“元宇宙”纳入法律的调整范畴。但这些学术观点却又“殊途同归”,大多将“元宇宙”的风险治理问题回归到行政监管和行政立法领域,提出监管机构应当建立何种制度或者针对某类风险事项进行专门监管,诸如“监管‘元宇宙’平台可能导致的不法行为风险和数据安全风险”,“有必要加强数据、算法和人工智能等技术滥用的立法”,“如何规制‘元宇宙’中的犯罪”,“如何将立法转化为代码”等。
诚然,制度建构性主张仅代表了社会治理和法律实施的一种方式,针对潜在的安全风险提出相对应的解决方案,但仔细审视,这些制度建构性主张却存在两个方面的问题没有得到真正解决:
第一,风险内容不确定。部分观点指明了“元宇宙”存在各种安全风险,但是对于这些风险的产生方式、关键环节等内容并没有展开论述,反倒陷入了“技术发展不确定导致风险内容不确定”的逻辑论证怪圈。倘若仅是对现有安全风险类型的制度回应,其观察视角显然应当是“元宇宙”对《个人信息保护法》《网络安全法》等法律法规适用方式的挑战,而不是笼统且概括地主张需要创设新的法律制度。此外,风险内容的不确定将会导致风险预防事项与制度建构方向的不匹配。在产业界未能阐明虚拟世界与现实世界以何种方式相互融合之前,法律所要真正解决的是现有立法体系和制度规则是否能够解决绝大多数的安全风险问题。否则立足于技术前景的预测,其结论始终无法解释“元宇宙”的法律行为与现实世界的法律行为究竟有何本质区别。
第二,规制方式不确定。面向“元宇宙”安全风险,制度建构性主张的结论大多也是以“建构专门规制方案”为核心,提出“技术+法律”“法律+市场”等可行的规制方向,但对于不同规制工具之间如何组合应用并未提出具体建议。造成这一现象的原因并不是作为规制对象的“元宇宙”覆盖面广,难以从单一化视角提出完整的解决方案,而是对“元宇宙”风险认知的不确定性导致其制度建构性主张仅能停留于宏观层面。
事实上,制度建构性主张的滥觞问题并不只存在于“元宇宙”理论研究,同样体现在其他信息技术风险治理的理论研究中。所谓的“滥觞”实际指向的是“法律万能主义”的认识偏差,不是每一项新型信息技术的诞生都意味着法律需要专门规制。在早年有关科技法的学术争论中,曾出现过类似的担忧,即如果承认科技法作为单独的部门法,那么法律就有可能陷入“每一项技术对应一项法律规则”的立法泥沼中。
客观而言,在法学话语体系下,“元宇宙”的安全风险本质上并没有超越现有的研究范畴。追根溯源,其规制重心仍然集中在个人信息和隐私保护、数据安全监管、虚拟财产交易安全、运营平台的法定义务等核心议题。例如,学者们最担心的“元宇宙”去中心化风险问题不过是底层技术区块链应用风险的映射。从区块链现有的应用场景来看,全世界任何人均可参与的公有链模式发展相当滞缓,完全抛开国家边界和公权力监管的去中心化模式并不存在。在立法层面彻底解决区块链去中心化程度问题之时实际上也是解决“元宇宙”去中心化安全风险之时。因此,“‘元宇宙’应用是否需要法律专门规制”这一核心问题其实也就转化为“现有法律制度如何适用于‘元宇宙’场景”。
三、建构性主张滥觞的现实成因与理念矫正
(一)建构性主张滥觞的现实成因:根本成因和三个误区
无独有偶的是,建构性主张滥觞问题绝非仅存在于“元宇宙”领域,部分理论研究过度解读了技术创新的风险严重程度,“新技术需要规制”“新技术风险需要特殊监管”成为部分理论研究的自觉范式。这种理论偏差的形成原因或可归因于大数据、云计算等信息创新对个人信息权益的严重威胁。
在早期法学研究中,个人信息、人工智能、算法等客体通常不被视为法学研究的典型对象,个人信息更是被视为个人隐私的信息形式,所谓的技术规制也被视为非法学学科的研究任务;而在2010年之后,学界开始兴起对个人信息和特定信息技术的理论研究,近5年来,学界更是围绕个人信息保护展开了各个部门法的理论研究。这种理论研究重心的变化反映的并不是信息技术创新对法学研究范式的根本性改变,而是技术创新改变了权利义务的基本内容。个人信息权利之所以在早期不被视为独立的民事权利,是因为当时的信息技术并不足以支撑海量数据的挖掘和分析,个体化的个人信息本质上还是属于个人隐私的范畴,信息不过是私密空间的表达形式。
但是,数据挖掘技术的更新迭代使得原本不具有识别个人隐私以及无法识别特定自然人的信息可以通过直接或间接关联的方式展现自然人的基本情况、生活习惯乃至个人隐私,故而法律将个人信息权益纳入保护范畴,承认数据所具有的财产属性和人格属性。概括来说,法律对技术风险的回应是以技术应用改变或增设新型权利义务的可能性为基础。倘若笼统地将风险描述为技术滥用、误用扩大实际损害范围,则会超出法律应当调整的技术风险范畴,而这也是制度建构性主张滥觞的根本成因。
具体而言,“法律应当规制所有新兴技术风险”的观念误区主要表现为三个方面:
第一,技术的不确定性无法直接推导出法律应当直接规制技术风险。在网络空间从未实现绝对安全的信息技术,“元宇宙”也必定存在各类安全风险,但这些安全风险既可以通过技术优化予以解决,也可能因为“元宇宙”发展方向的变化而不复存在。在“元宇宙”尚未达成统一概念之前,技术的不确定性指向的是“元宇宙”如何商业应用、如何与现实世界交融等技术本身发展的不确定,所谓的“技术应用可能导致特定风险”的表述如果未能建立在具体的技术场景应用之上,“特定风险”不过是技术不确定性的另一种表述。法律确实需要为产业发展指明理性的发展方向或无法踏足的禁区,但这种事前预防或是以技术风险相当明确为基础,又或是以技术滥用、误用的损害结果难以承担而需要风险转移为依据。无论是从产业界的技术风险陈述,还是学界的技术风险假设来看,“元宇宙”的安全风险并没有超越社会风险的类型范畴。
第二,法律从来都不是技术安全可信的背书。在技术层面无法彻底解决安全风险时,法律确有必要介入,以强行性规范限制技术应用的具体方式。需要注意的是,法律的调整功能是通过事前约定法律主体的义务内容和事后责任主体认定予以实现的,并没有真正触及技术的具体形态,也无法彻底根除安全风险发生的可能性。因此,希冀创设专门的法律制度彻底消除或大幅降低技术安全风险的观点无疑扩大了法律的实施效果,法律回应技术风险的目的是为了适时引导技术发展方向和解决技术中立主义的固有弊端。
第三,法律规制技术风险的方式是预防风险,而不是风险预见。归根结底,“元宇宙”的安全风险大多还是以学理层面的风险假设为主,这些假设风险的发生概率、严重程度难以量化。法律只对客观存在的权利义务关系进行调整,现阶段的“元宇宙”安全风险很难称得上是属于法律应当调整的社会风险类型。比较现行立法对大数据、区块链、人工智能乃至算法的规制方式,法律从来没有对技术或假设的技术风险进行直接调整。《互联网弹窗信息推送服务管理规定(征求意见稿)》《互联网信息服务算法推荐管理规定》等近期立法活动针对的都是具体应用场景下法律主体的权利保护和义务履行,故而法律对“元宇宙”安全风险的规制也需要以具体的应用场景和相对明确的风险事件为前提。
(二)法律回应技术的理论范式
学界关于法律如何回应“元宇宙”乃至信息技术创新的理论学说并不鲜见,不少学者已经开始尝试援引其他学科的理论范式解决法律对一般信息技术的回应方式与治理逻辑。论证新兴技术的风险治理问题或立法规制问题难免会陷入先验性法律研究无法与技术场景更新同步的尴尬境地。信息技术的创新并不会停止,理论研究的基本逻辑不应当是针对每一项新兴技术进行全面的风险假设与应对机制分析,而是应当基于过往技术规制的制度经验形成有关法律规制技术的一般性理论范式。“元宇宙”作为现代信息技术的集大成者,倘若继续沿用“一对一”的治理逻辑,显然无法真正解决不同技术组合所产生的潜在安全风险。我国近年来的网络安全和数据安全立法经验已经表明,将技术作为独立规制对象的立法思路很难从根本上解决问题,技术之间的交叉组合需要更为体系化的方法论来解释技术与法律之间的逻辑关系。总结学界现有的研究成果,有关法律回应技术的理论范式包括敏捷治理理论、元规制理论、生产性的法律理论等。
敏捷治理理论最早是在管理学领域提出的概念,此处的敏捷主要用于表述“对意想不到的变化作出反应的能力”。此后,敏捷治理逐渐演变成为涵盖快捷、灵敏和协调三个层次的管理学理论范式,公共管理学则将敏捷治理界定为“一套具有柔韧性、流动性、适应性的行动或方法”,诸如“一体化政务服务”“一网通办”即是敏捷治理的最佳体现。敏捷治理理论所强调的治理方式和治理工具的灵活性与多变性恰好与“元宇宙”自身的复杂架构相契合,故而也有学者主张敏捷治理理论适用于“元宇宙”领域。在敏捷治理理论中,治理包括法律、科技、教育等多个方面。其中,法律的介入方式应当是以分行业审查为起点,明确虚拟空间法律行为的正当性基础,填补可能存在的立法空白。尤其在调整虚拟空间的“化身”(即虚拟身份)与现实世界的真实身份时,有必要对社会信用机制和责任承担方式予以细化,“公众参与和公开披露正是有效治理元宇宙的关键”。
元规制理论原本主要用于德国食品药物安全领域的社会规制问题,是介于国家规制和自我规制之间的规制类型,其核心思想是对自我规制实施规制。具体而言,在元规制理论下,规制对象得到法律规范的授权,通过内部的管理机制或标准体系达成行政监管的基本目标。而技术黑箱、平台自治等产业发展特征让部分学者开始在技术规制领域援引元规制理论:如网约车模式下,除了强调政府监管部门主导网约车平台的安全保障义务之外,同时在规制策略层面强调对平台内部管理机制的建构;在算法规制场景下,引入元规制理论,通过数据控制者采用“数据保护影响评估”“经设计的数据保护”等制度工具建构算法审查机制。
生产性的法律理论认为,“法律需要对新型生产方式进行回应,并确保生产资料与新生产关系之间的合法性”。国内有学者以脑机接口的风险规制为例,基于生产性的法律理论,认为法律对技术回应的方式主要表现为“确认新兴技术合法性”和“协调新旧生产组织利益冲突”。一旦技术发生系统性创新,法律往往难以及时回应新兴技术风险,其原因除了立法不可能先于技术的客观因素之外,还包括技术创新改变既有的生产关系。因此,法律规制新兴技术的基本思路是以“新型技术的发展”“单一功能和通用功能的技术模式”“平台化的技术模式”和“技术应用场景固化”四个阶段确认法律系统对技术系统的回应方式。
(三)法律回应“元宇宙”的一般立场:阶段性风险预防
“元宇宙”作为三维化的互联网,算法、人工智能、区块链、数字孪生等技术是“元宇宙”的基本架构,那么现阶段算法治理、区块链技术治理等法律议题的解决是否意味着“元宇宙”基础问题的解决呢?现在作出结论未免为时过早,在“元宇宙”出现真正意义上的场景应用之前,法律需要解决的核心问题依然是“元宇宙”概念是否会对既有立法体系和法律概念产生直接影响。虽然“元宇宙”最大的技术特征是实现了现实世界与虚拟世界的融合,但是如何融合、通过何种方式融合以及能否真正实现两个世界不分彼此等问题并不是法律所能回答的。关注这些尚存疑问的技术方案只会让法学理论研究走上“科幻式论证”的歧路。进一步而言,法律真正关注的是“元宇宙”在具体应用场景中所形成的法律关系。在人工智能法学研究领域,早已有学者注意到法学理论研究出现了问题意识的偏离,技术创新并不当然意味着现有立法体系的失效,认为人工智能对法律主体资格认定构成挑战之主张实与现代法要义相悖。类似的问题同样出现在“元宇宙”治理领域,法律回应技术的直接目的是为了确保民事权利不会因为技术的创新而遭受损害,而不是建立在没有确切依据的风险假设基础上,讨论解决“元宇宙”安全风险的立法举措或监管模式。
四、“元宇宙”安全风险的法治路径矫正:
阶段性规制理论与法律概念重述
(一)风险预防视野下“元宇宙”安全风险的规制思路:阶段性规制
如果阶段性规制理论的内容仅仅停留于法律应当根据技术的阶段性特征确定相应的回应方式,那么该理论的范式价值显然并不足以单独论证。审视我国技术治理的立法脉络,立法围绕“促进技术创新”和“技术风险预防”两项内容予以展开,前者诸如《深圳经济特区人工智能产业促进条例(草案)》《山东省大数据发展促进条例》《天津市促进大数据发展应用条例》等地方条例,立法思路基本是以人才、市场、资金、政策等要素来创设具体条文;后者则包括《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《区块链信息服务管理规定》《互联网信息服务算法推荐管理规定》等规范性文件,其立法思路则是以各方法律主体的权利义务为主线,强调网络平台、信息服务提供者等法律主体在具体应用场景中的安全保障义务及其具体的义务履行方式。立法者并没有按照制度建构性主张那般创设全新的法律制度或规制模式,均是以现有的技术风险特征为依据,这恰恰也是技术创新发展所真正需要的回应方式。
在阶段性规制理论框架下,大数据、云计算、区块链、算法的技术发展均可大致划分为三个阶段,法律规制方式也可相对地划分为三个阶段:第一阶段是技术概念创新阶段,即在概念层面提出某种具有可行性的技术概念,产业界对未来可能的应用场景及其风险进行设想,技术创新主要体现在概念创新这一层面。此时,法律对技术的回应方式主要是以理论层面的风险判断与现行立法、法律概念能否继续沿用为限,由于技术本身的诸多不确定性,相关风险的预防机制远未触及专门立法。第二阶段是技术初步应用阶段,即在实践中已经开始出现了部分单一应用或应用试点,新兴技术如何商业化应用已经形成了相对确定的共识。在这一阶段,技术发展方向和应用场景业已具体化,未来技术风险的发生方式和损害类型同样得到确认,法律对技术的回应方式则转向了行政监管制度构建和模式选择,提出有关技术应用方式和应用场景的禁止性规范。第三阶段是技术应用的大众化,即在完成了特定场景下的尝试性应用之后,技术应用商业化,甚至在特定行业已经产生了相对安全和成熟的产品或服务。相较于前两个阶段而言,该阶段实现了技术安全风险的具体化,故而法律对技术的回应方式则从自上而下的监管制度构建转向了平等法律主体之间权利义务的确认,解释技术开发者、使用者应当承担何种限度的安全保障义务。
客观上,“元宇宙”仍然仅停留于技术概念阶段,虚拟世界与现实解释如何交融?在“元宇宙”中究竟如何实现虚拟财产与有体物采用相同的交易方式等技术问题仍然难以得到一个权威答案。所以,在理论研究层面,过早地评估技术风险并制定具体的规制路径无益于理论研究的成果积累,更契合“元宇宙”发展需要的是判断“元宇宙”概念本身是否会对现行立法体系产生直接影响。具体来说,这需要解决两个核心问题:一是判断概念层面的“元宇宙”突破法律治理体系所能调整的风险类型和风险水平;二是判断在具体场景中,“元宇宙”概念是否会改变原有的法律概念或者创设全新的权利义务内容。
(二)法律回应“元宇宙”初级阶段的基本思路:法律概念的重新解释
在“元宇宙”发展初级阶段,法律对“元宇宙”的回应方式不应当也不可能是对“元宇宙”运行方式作出直接的限制性规范。未来“元宇宙”究竟会以何种方式作为最终的产品形态以及“元宇宙”究竟会在哪些应用场景得到广泛应用等技术发展问题并非是法律制度所能预见的,故而法律回应“元宇宙”安全风险的基本立场还是以“元宇宙”初级阶段的技术特征为主,维持既有民事权益保障水平,而其基本方式则是对基础概念和权利义务内容的重新解释。
第一,法律主体概念并没有因为“元宇宙”概念的提出而发生实质性变化。在“元宇宙”概念所设想的应用场景中,自然人在“元宇宙”中均有与自己对应的虚拟人身份,需要遵守不同于现实世界的全新制度体系。然而,在这些场景中,产业界所描述的虚拟人的真实性似乎仅仅只是感官层面的真实性,现实人与虚拟人在法律主体资格层面并没有实质差异。产业界担忧高度自由化的“元宇宙”可能会诱发一系列刑事犯罪问题,如借由虚拟人身份对其他虚拟人实施性骚扰行为。因为感官的真实性可能会放大这类行为的实际危害结果,没有真实身体接触的虚拟人行为并非仅是单纯的“游戏行为”。事实上,这类担忧和质疑早已得到解决,“元宇宙”本身属于互联网的特殊形态,“网络并非法外之地”早已成为公理,“元宇宙”中虚拟人行为从来不会因为主体身份的虚拟性而不属于法律的调整范畴。进一步而言,在“元宇宙”技术实现有体物创造这种科幻式功能之前,“元宇宙”用户行为依然需要遵守现行立法体系。民法中的法律行为从来不因行为的发生地是“元宇宙”而发生变化,同样地,同一法律主体实施的法律行为也不会因为虚拟人身份而不受法律调整。因此,处于技术概念创新阶段的“元宇宙”并没有实现真正意义上的法律主体变革,并不存在专门立法所需要的“制度供给不足”。
第二,“元宇宙”的安全风险与现存社会风险属于同质性风险。从产业界所设想的“元宇宙”应用场景来看,“元宇宙”安全风险治理需求仍然集中于数据安全、服务提供者的法定义务、虚拟财产交易制度、个人信息保护制度等领域。尽管“元宇宙”安全风险的表现形式可能与主流技术存在的风险事件有所差异,但其损害结果和侵害的民事权益基本相同。准确地说,结合“元宇宙”概念创新阶段所提出的设想,虚拟世界的用户身份、用户行为的虚拟性、匿名化以及高度自由化并不会因为虚拟世界与现实世界的隔阂而不再属于法律主体。换言之,除非“元宇宙”技术能够真正抹除虚拟人与现实人的身份关联,否则“元宇宙”中用户行为所导致的法律责任仍可追溯至特定法律主体,“主体—客体—内容”的法律关系结构也没有因此发生实质性变更。除此之外,“元宇宙”可能导致的侵权风险同样属于行政监管和民法所调整的基本范畴。产业界普遍认为“元宇宙”的出现可能会威胁到个人隐私、个人信息权益以及数据安全保护。但这些制度难题并非仅仅存在于“元宇宙”之中,在区块链技术治理相关议题中,同样存在法律性质难以认定、持有人权利内容模糊等理论难题。
第三,部分法定义务内容因为“元宇宙”概念的提出而有所变化。“元宇宙”概念对法律所提出的最大挑战是既有权利义务体系的内容变化,又有部分法律概念的解释方式变化,其中最为突出的内容冲突主要表现在“个人信息可识别标准与现实技术方案的脱节”“数据安全保障义务履行方式与义务性规范的冲突”“平台主体运营资格的中心化监管与技术实现方式的去中心化之间的冲突”。
在个人信息可识别标准层面,“元宇宙”的技术方案可能导致现有的可识别标准无法继续沿用。根据我国《个人信息保护法》第四条有关个人信息的概念界定,满足“已识别”或“可识别”“与自然人相关”的要件,即属于法律所保护的个人信息范畴,而“元宇宙”最明显的技术特征是实现网络节点之间的互联互通,数据之间的关联程度也将更为紧密。这也意味着不同场景下的信息在流动、汇总、整合、分析过程中间接识别特定自然人的可能性会显著提升,现有的个人信息界定标准恐怕无法适应这种数据关联技术特征。另外,“元宇宙”中的虚拟人身份与现实世界中的现实人身份均属于自然人的范畴,如果数据关联之后的识别程度仅能够实现识别虚拟人身份,这是否也属于满足个人信息概念“可识别的自然人”这一法定要求?
在数据安全保障义务层面,“元宇宙”互联互通的技术特征致使数据泄露的安全风险显著提升,并且数据安全保障义务的义务主体和义务履行方式也发生变化。在义务主体方面,数据处理者也有可能是“元宇宙”的用户,其在处理信息服务接收方的个人信息或企业数据时,仅由其作为数据安全保障义务的唯一义务主体显然与“元宇宙”的技术原理相悖。因为“元宇宙”作为一个超大规模平台,数据处理者所能采取的技术安全保障措施仅能保证个体网络节点的安全,而无法有效控制其他互联互通网络节点可能诱发的数据安全风险。在义务履行方式方面,按照《数据安全法》《个人信息保护法》有关数据传输的相关要求,数据处理者需要对数据接收方的数据安全保障能力进行数据安全评估。这种义务履行方式在“一对一”“一对多”的数据传输语境下并没有争议,但在“元宇宙”中,作为用户的数据处理者往往需要上传数据至“元宇宙”平台,实现网络节点的全部共享。此时,数据处理者面临着具体的数据接收方范围、数据具体流向等具体事项无法明确的现实难题,数据安全评估制度的实际效果或将大打折扣。
在平台主体运营资格层面,“元宇宙”所要求的去中心化运行模式与中心化监管模式存在天然冲突。事实上,这类问题同样存在于区块链技术的发展过程中。区块链技术所强调的去中心化是指网络的运营不再由某个网络节点单独负责,而是所有网络节点共同维护和运营,这就导致在具体应用场景中无法进行责任主体的认定。不过,从现有技术方案来看,现有的技术尝试多是以私有链或联盟链的方式予以实现,完全抛开中心网络节点的公有链模式尚未存在。但这种技术解决方案无法继续套用在“元宇宙”中,因为“元宇宙”的“宇宙”之称谓强调的即是与现实世界平行或交融的虚拟世界。如果限制“元宇宙”的规模,则与“元宇宙”的基本概念直接相悖,成为伪“元宇宙”;反之,高度自治化运营方式又将使得公权力无法介入“元宇宙”的监管活动。这种两难境地仅仅依托既有的专门监管、特别监管、有限度的中心化等理论主张显然无法真正得到解决,其解决思路或是在技术层面解决去中心化与监管科技之间的衔接,或是在法律层面提供更为健全的财产权制度。因为去中心化问题导致的直接结果是社会活动的不透明,而健全的财产权制度能够通过“法律即代码”的方式实现中心化监管意欲达成的效果。如果交易标的属于合法财产,则无法通过“元宇宙”中区块链共识机制的认可,违法犯罪行为也就难以发生。
五、结语
信息技术的理论创新远超社会公众的想象空间,科技概念的创新不是空想和幻想,而是对技术发展方向的一种前瞻。但法律与之不同,其权威性来自于稳定性和确定性。仅凭借不确定的技术应用场景和可能的安全风险径直推导出“法律需要对技术进行专门规制或特别监管”,只会陷入“一个技术对应一个法律制度”的谬误之中。法律与技术的关系并非简单的治理与被治理的关系,而表现为被需要与需要的关系。技术在不同的发展阶段,往往存在差异化的制度需求,或是产业促进制度,或是禁止性规范,又或是既有立法体系的法律解释与概念重述。面对“元宇宙”可能带来的种种不确定性,法学理论研究不必急于提出对“元宇宙”风险的规制路径,不妨先对“元宇宙”安全风险的法律性质进行评估,讨论现行立法体系是否可以通过解释等范式予以补充。倘若现行立法体系无法调整“元宇宙”所产生的新型法律关系,则需要通过规则创设的方式予以介入,实现制度层面的技术风险事前预防。
《数字法治》专题由华东政法大学数字法治研究院特约供稿。专题统筹:秦前松
