黄斌：元宇宙法律篇（十四）——构建元宇宙细胞之个人信息法律问题探析

摘要：2021年是元宇宙元年，Roblox在招股书中提出了元宇宙的概念，Facebook直接更名为Meta（元宇宙）。人民日报评论微信公众号发文称“元宇宙概念的走红,背后有着相应的技术支撑和社会生活因素。”，新华社发文指出“元宇宙有可能激发数字经济更大的活力，甚至可能刺激新一轮的科技革命，带动从现实到虚拟多个产业进一步潜力挖掘！”，武汉、合肥、成都、上海市徐汇区、深圳市福田区均将元宇宙写入2022年政府工作报告，南昌准备设立元宇宙试验区。浙江省数字经济发展领导小组办公室印发《关于浙江省未来产业先导区建设的指导意见》，提出构建包括元宇宙等领域为重点的未来产业发展体系。元宇宙应当是一个现实世界与虚拟世界相互映射的经济系统，以虚实融合的方式形成现实世界和虚拟世界的相互映射。元宇宙时代的来临，在线社交、游戏、媒体、学习、医疗、教育、工作、生活等诸多元宇宙场景都涉及到数据的收集、传输、清洗、处理和共享，从某种程度上说数据构建了各式元宇宙的血液，而数据血液的流动又离不开个人信息，个人信息就是各式元宇宙血液流动的细胞。

关键词：元宇宙 数据 个人信息 血液 细胞

2021年是元宇宙元年，Roblox在招股书中提出了元宇宙的概念，Facebook直接更名为Meta（元宇宙），字节跳动90亿元天价收购国内VR行业头部厂商Pico，百度推出元宇宙社交平台“希壤”，网易伏羲发布沉浸式活动系统“瑶台”，微软花费687亿美元收购美国游戏巨头动视暴雪并宣布进军元宇宙，2022年2月，美国元宇宙技术公司TerraZero Technologies在Decentraland上完成全球首笔元宇宙住房抵押贷款。人民日报评论微信公众号发文称“元宇宙概念的走红,背后有着相应的技术支撑和社会生活因素。”，新华社发文指出“元宇宙有可能激发数字经济更大的活力，甚至可能刺激新一轮的科技革命，带动从现实到虚拟多个产业进一步潜力挖掘！”，武汉、合肥、成都、上海市徐汇区、深圳市福田区均将元宇宙写入2022年政府工作报告，南昌准备设立元宇宙试验区。浙江省数字经济发展领导小组办公室印发《关于浙江省未来产业先导区建设的指导意见》，提出构建包括元宇宙等领域为重点的未来产业发展体系。元宇宙应当是一个现实世界与虚拟世界相互映射的经济系统，以虚实融合的方式形成现实世界和虚拟世界的相互映射，形成一种“你中有我，我中有你”的全新生活方式，提升人的体验、效率和更多无限可能。元宇宙时代的来临，在线社交、游戏、媒体、学习、医疗、教育、工作、生活等诸多元宇宙场景都涉及到数据的收集、传输、清洗、处理和共享，从某种程度上说数据构建了各式元宇宙的血液，而数据血液的流动又离不开个人信息，个人信息就是各式元宇宙血液流动的细胞。

一、什么是元宇宙

Roblox是全球UGC游戏创作平台及互动社区，其在招股书中列出了元宇宙的8个特征：身份认知、社交、沉浸感、随时随地、多样性、低延迟、经济、文明。元宇宙是以VR、AR、MR、XR、AI、区块链、GPU、数字孪生、云计算、边缘计算、脑机接口等技术为基础，通过游戏、社交、虚拟人、NFT、虚拟货币、工业仿真、数字城市等应用构成的下一代互联网生态。元宇宙应当是一个拥有海量用户创作内容、物理世界和社交关系的数字化呈现、原生于数字世界的虚拟资产价值显现、三维沉浸式体验、现实世界与虚拟世界相互映射的经济系统，在该经济系统中人们可以劳动、创作获得回报，可以投资、交易获得利润，形成与现实世界类似甚至一样的经济文化繁荣。元宇宙应当是建立在各式开源软件、标准和协议基础上开放的各式数字化宇宙，各式元宇宙之间可能相互兼容也可能相互碰撞亦有可能相互共存。

元宇宙是继PC互联网、移动互联网之后的第三代互联网，能够给用户带来从二维的平面视觉、听觉体验进展到包含空间性维度的三维沉浸式、交互式立体体验，包括视觉、听觉、触觉、味觉、嗅觉等多感官维度体验，是人类未来的数字化生存方式。该数字化存在并不是和现实世界分离，也不是和现实世界平行的虚拟世界，而是以虚实融合的方式形成现实世界和虚拟世界的相互映射，形成一种“你中有我，我中有你”的全新生活方式，提升人的体验、效率和更多无限可能。

二、个人信息的概念及认定

根据《民法典》和《个人信息保护法》的相关规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等，不包括不具有识别性、不会和特定自然人产生联系的信息,也不包括匿名化处理后的信息和私密信息。已识别的自然人有关的各种信息，是指自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱等可以直接识别自然人身份的信息；可识别的自然人有关的各种信息，是指健康信息、行踪信息等间接识别自然人身份的信息，该等信息因为信息通信技术的革命性进展而具有了“可识别性”；匿名化处理后的信息是指通过多方安全计算、隐私计算等技术处理过不具有“可识别性”的信息，无法识别特定自然人且不能复原，不属于法律意义上的个人信息；个人信息包括私密信息和非私密信息,私密信息适用有关隐私权的规定，私密信息保障的是自然人的私人生活安宁，未经法律明确规定或权利人明确同意,任何组织或者个人不得处理他人的私密信息。

个人信息包括一般个人信息和敏感个人信息，敏感个人信息与自然人的人格尊严关系紧密。敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。个人信息处理者处理敏感个人信息的，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

在腾讯科技（深圳）有限公司等网络侵权责任纠纷案中，法院认为：个人信息的核心特点为“可识别性”，既包括对个体身份的识别，也包括对个体特征的识别；对个体身份的识别确定信息主体“是谁”，对个体特征的识别确定信息主体“是什么样的人”，即该信息能够显现个人自然痕迹或社会痕迹，勾勒出个人人格形象。判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人；同时，识别个人的信息可以是单独的信息，也可以是信息组合。可识别性需要从信息特征以及信息处理方的角度结合具体场景进行判断。二是关联，即从个人到信息，如已知特定自然人，则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息，即应判定为个人信息。

本案中，各方当事人所称的好友关系，其信息表现形式是原告的微信好友列表。腾讯公司获取的信息包括用户的昵称、头像、OPEN_ID以及共同使用微信读书的微信好友的OPEN_ID。这些信息虽然不包括微信帐号、手机号等可单独识别特定个人的信息，但是，首先，OPEN_ID本身就是微信生成的识别用户的识别码，昵称、头像、OPEN_ID、以及多个OPEN_ID之间的好友关系链等信息的组合并未达到匿名化和去标识化的程度，特别是OPEN_ID与用户主体身份具有强对应关系，在特定场景下结合其他数据仍可还原到相对应用户的具体主体身份信息。从微信读书对上述信息组合的实际使用场景来看，微信读书准确向用户展示了共同使用应用的微信好友的昵称、头像，实际上达到了识别性标准。

微信好友列表、读书信息是否属于隐私。就私人生活安宁而言，应当着重考量权利人个人生活状态是否因为具体行为介入而产生变化，及该变化是否给个人生活造成一定程度的侵扰。个人信息与作为隐私权客体的私密信息既有交叉亦有不同。从权利类型看，隐私权具有绝对权属性，个人信息是受法律保护的法益，尚未上升至权利。从立法价值取向看，隐私权与个人信息权益根本上都体现自然人的人格尊严和人格自由价值，但个人信息权益同时涉及信息利用、流通价值。从利益内容看，隐私权主要体现精神利益，而个人信息权益可能同时包括精神利益及财产利益。从保护客体和损害后果来看，隐私权保护具有私密性的信息，一经泄露即易导致个人人格利益受到损害；而非私密信息的个人信息，仅在被过度处理的情形下才可能使得信息主体受到人格或财产损害。从权利特点和保护方式上看，隐私权更注重消极性、防御性，保护更为严格；而个人信息权益保护在注重预防侵害的同时，还强调信息主体积极、自决的利用权益，如选择、访问、更正、删除等。个人敏感信息更强调不当利用给信息主体带来的客观风险，该风险包括人身、财产风险；私密信息更强调因信息涉及人格利益而不愿为他人知晓的主观意愿。

因此，个人敏感信息可能与私密信息存在交叉，但不能概括地等同为私密信息。基于上述特点，本院认为，在判断某类个人信息的性质上必须把握以下几点：

第一，应对个人信息进行相对合理的层级划分。划入隐私的个人信息，应强调其“私密性”，进而与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意规范、技术安全规范、信息处理规范等。

第二，关于“不愿为他人知晓”的“私密性”，强调主观意愿，该主观意愿不完全取决于隐私诉求者的个体意志，应符合社会一般合理认知。

第三，将用户隐私期待强烈程度不同的信息笼统划入某相对固定的概念，并不是有效保护权利或权益的最优选择，而有必要深入实际应用场景，以“场景化模式”探讨该场景中是否存在侵害隐私的行为。综上，从合理隐私期待维度上，个人信息基本可以划分为几个层次：一是符合社会一般合理认知下共识的私密信息，如有关性取向、性生活、疾病史、未公开的违法犯罪记录等，此类信息要强化其防御性保护，非特定情形不得处理；二是不具备私密性的一般信息，在征得信息主体的一般同意后，即可正当处理；三是兼具防御性期待及积极利用期待的个人信息，此类信息的处理是否侵权，需要结合信息内容、处理场景、处理方式等，进行符合社会一般合理认知的判断。

在梁雅冰与北京汇法正信科技有限公司网络侵权责任纠纷二审案中，法院认为：一般认为，个人信息的认定标准为具有“可识别性”。这种“可识别性”，既包括对个体身份的识别，也包括对个体特征的识别。对于单独或者结合其他信息可识别特定自然人的信息，都将纳入个人信息的范围。涉案信息通过裁判文书内容的方式加以展示，虽然裁判文书正文已经过数据脱敏处理，但相关搜索结果列表中未进行脱敏处理，可以将“梁雅冰”这一自然人姓名等和特定时间下相关民事主体的民事纠纷进行关联。虽在较大范围内可能存在重名等因素导致识别结果并不唯一，但在一定范围内，特别是在与梁雅冰息息相关的日常生活熟识人群的范围内，以上几个要素的结合成为了可识别为唯一特定自然人的信息。上述信息反映了梁雅冰的个体特征，属于个人信息。

在庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权案中，法院认为：在大数据时代，信息的收集和匹配成本越来越低，原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合，就完全可以与特定的个人相匹配，从而形成某一特定个人详细准确的整体信息。此时，这些全方位、系统性的整体信息，就不再是单个的可以任意公示的个人信息，这些整体信息一旦被泄露扩散，任何人都将没有自己的私人空间，个人的隐私将遭受威胁。因此，基于合理事由掌握上述整体信息的组织或个人应积极地、谨慎地采取有效措施防止信息泄露。任何人未经权利人的允许，都不得扩散和不当利用能够指向特定个人的整体信息，而整体信息也因包含了隐私而整体上成为隐私信息，可以通过隐私权纠纷而寻求救济。

本案中，庞理鹏被泄露的信息包括姓名、尾号**49手机号、行程安排等，其行程安排无疑属于私人活动信息，应该属于隐私信息，可以通过本案的隐私权纠纷主张救济。从收集证据的资金、技术等成本上看，作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此，客观上，法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄漏归因于他人，或黑客攻击，抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下，结合本案证据认定上述两公司存在过错。东航和趣拿公司作为各自行业的知名企业，一方面因其经营性质掌握了大量的个人信息，另一方面亦有相应的能力保护好消费者的个人信息免受泄露，这既是其社会责任，也是其应尽的法律义务。本案泄露事件的发生，是由于航空公司、网络购票平台疏于防范导致的结果，因而可以认定其具有过错，应承担侵权责任。

三、个人信息主体的权利

根据《民法典》和《个人信息保护法》的规定，个人对其个人信息的处理享有知情权、决定权，基于个人同意处理个人信息的有权撤回其同意，有权向个人信息处理者查阅、复制其个人信息，发现信息有错误的有权提出异议并请求及时采取更正等必要措施，发现其个人信息不准确或者不完整的有权请求个人信息处理者更正、补充，在处理目的已实现、无法实现或者为实现处理目的不再必要、个人信息处理者停止提供产品或者服务、保存期限已届满、个人撤回同意、个人信息处理者违反法律、行政法规或者违反约定处理个人信息情形下有权请求信息处理者及时删除，有权请求将个人信息转移至其指定的个人信息处理者，有权要求个人信息处理者对其个人信息处理规则进行解释说明。另外，死者生前没有安排的近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。总结起来，个人信息主体对其个人信息享有知情权、决定权、查阅权、复制权、异议权、更正权、补充权、删除权、解释说明请求权、可携带权和承继权。

《民法典》在“人格权”编中，将“隐私权和个人信息保护”规定在第六章中，并没有明确规定为“个人信息权”。《个人信息保护法》第一条规定，为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。因此，个人信息是受法律保护的法益，尚未上升至权利。个人信息主体享有的是“个人信息权益”，而非“个人信息权”。个人信息权益涉及信息利用、流通价值，体现了自然人的人格尊严和人格自由价值，主要体现了个人的精神利益。个人信息权益既注重预防侵害的保护，又强调个人信息主体积极自决的权利行使，如知情权、决定权、查阅权、复制权、异议权、更正权等。个人信息主体只有在其非私密信息的个人信息被过度处理的情形下才能主张人格或财产受到损害。个人信息权益并不像包含个人私密信息的隐私权一样为绝对权，其保护的法益应当是个人的安静宁和和理性自决，其核心在于合理平衡个人信息流通与数据共享、数字经济发展之间对推动社会进步所起的积极作用，增加整个社会的福祉。

在刘某与芜湖一休哥信息技术有限公司网络侵权责任纠纷案中，法院认为：本案车辆信息属刘某的个人财产信息，芜湖一休哥信息技术有限公司收集该车辆信息并通过其运营的“蚂蚁之王”APP向他人进行有偿提供，其既未证明收集提供的该车辆信息来源合法且真实准确，也未证明系经相关权利主体同意而使用该信息，其提供不实信息的行为侵害了刘某的合法权益，应承担相应的民事责任。故对刘某要求芜湖一休哥信息技术有限公司停止侵害、赔礼道歉的请求，本院予以支持。关于刘某要求芜湖一休哥信息技术有限公赔偿因信息不实致车辆贬值的经济损失100,000元、精神损害赔偿10,000元之请求，因其未能提供有效证据证明其主张，对其经济损失和精神损害赔偿之请求，本院不予支持。

四、个人信息处理者的权利

根据《民法典》和《个人信息保护法》的规定，个人信息处理者首先应当遵循诚信原则取得个人的同意，该同意应当由个人在充分知情的前提下自愿、明确作出，不得通过误导、欺诈、胁迫等方式处理个人信息，并且在处理个人信息前以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限、个人行使权利的方式和程序；

其次，应当遵循合法、正当、必要原则,正当原则是合法处理个人信息的首要条件，是指个人信息处理的目的明确、合理，明确是指与处理目的直接相关，禁止超出目的范围，合理是指在处理目的范围内采取对个人权益影响最小的方式，另外处理敏感个人信息还需要特定的目的和充分的必要性；必要原则是指收集个人信息应当限于实现处理目的的最小范围，应坚持最少够用原则，不得过度收集个人信息，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量；在处理个人信息时应通过审慎的利益衡量达成处理需求与个人权利之间的平衡，实现合理使用；变更个人信息的处理目的、处理方式和处理的个人信息种类的，应当重新取得个人同意；

再其次，处理个人信息应当遵循公开、透明原则，公开个人信息处理规则并且便于查阅和保存，明示处理的目的、方式和范围，个人信息的保存期限应当为实现处理目的所必要的最短时间；再次，个人信息处理者应当制定内部管理制度和操作规程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施；

最后，处理敏感个人信息、利用个人信息进行自动化决策应当事前进行个人信息保护影响评估，处理敏感个人信息应当取得个人的单独同意，并且只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息；利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

在凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案中，法院认为：数据是数字经济时代重要的生产要素，信息是数据的基础，对个人信息过于绝对化的保护，可能导致个人信息处理和数据利用的成本过高，甚至阻碍信息产业的健康发展。因此，需要在具体应用场景中考察是否存在构成个人信息合理使用的情形，即在没有对信息主体造成不合理损害的前提下，认定某些个人信息的利用行为可以不必征得信息主体的同意。

在本案中，对于姓名和手机号码的使用，会涉及手机用户、通讯录联系人以及互联网行业发展的不同利益需求的平衡。首先，手机号码亦不再局限于电话语音通话的场景，还常用于各类应用软件的账号创建、身份验证、搜索用户等场景，成为用户在网络上建立、拓展、迁移社交关系过程中经常被使用的信息。

其次，从信息使用的方式和目的来看，该信息处理是基于社交功能，未经信息主体同意而进行超过合理期限的存储，有可能不合理地扩大了个人信息泄露或被不当利用的风险，也超过了处理个人信息的必要原则。在无法证明存储手机号码对于满足用户社交需求存在必要性的情况下，不宜认定存储行为构成合理使用。

再次，从信息使用及其方式对各方利益可能产生的影响来看，适度允许互联网行业在安全的前提下合理使用个人信息，则可以促进互联网行业和数字经济的发展，增加整个社会的福祉，但这种适度的合理使用应以不损害个人利益为前提。本案中，在原告未注册时，其不存在在抖音App中建立社交关系的可能，被告从其他用户手机通讯录收集到原告的姓名和手机号码后，通过匹配可以知道软件内没有使用该手机号码作为账户的用户，应当及时删除该信息。

在胡红芳、上海携程商务有限公司侵权责任纠纷二审案中，法院认为：平台经营者虽然通过消费者以“知情＋同意”的方式，取得了处理其个人信息的资格，但平台经营者的处理行为应当恪守合法、正当、必要原则，应以对个人信息影响最小的方式为之，且符合消费者的初衷和真实意愿。平台经营者未尽前述注意义务，符合侵权行为构成要件的，应承担侵权责任。

1．携程公司“强制且不指明具体内容”的信息收集方式不当。用户并仅有两个选择：“同意并继续”“不同意并退出”。故携程公司以捆绑服务、强制停止使用等不正当手段变相胁迫、强制用户提供具体范围不够明确个人信息的行为，违反我国法律有关处理个人信息的正当性原则。

2．携程公司对个人信息的收集超出了最小范围之限。携程公司却通过在向胡红芳提供服务前，以概括授权的方式，要求胡红芳对预订酒店无关的账户信息、设备信息以及位置信息等一并允许携程公司予以收集、使用，超出了实现酒店预订等核心、主要的处理目的所必须的信息范围。

3．携程公司对个人信息的使用未采取对个人权益影响最小的方式。携程公司对用户个人信息的使用并不满足于提供服务本身，而是包括更进一步的商业利用。特别是将信息分享给携程公司可随意界定的关联公司、业务合作伙伴进行数据分析和商业利用，无疑进一步加重了用户个人信息使用风险，不符合最小损害原则要求。

在肖晨曦与广州市力美健新都会健身有限公司网络侵权责任纠纷案中，法院认为：即便被告因内部管理需要，需要公开原告的个人信息，也应当遵循合法、正当、必要原则。在通过姓名、肖像等信息组合能够识别出原告身份的情况下，被告公开原告身份证号码、民族、住址等信息，已超出必要的限度。

在北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷二审案中，法院认为：“用户普通读取接口”的权限仅为“用户的信息获取接口，可以读取到用户的头像、昵称等信息，但无法读取到用户较为隐私的高级信息内容，比如：用户的职业，教育信息等”。

由此可见，现有证据表明上诉人淘友技术公司、淘友科技公司通过《开发者协议》并没有获得读取用户的职业信息和教育信息的权限。此外，《开发者协议》约定“用户同意”与“获得的是为应用程序运行及功能实现目的而必要的用户数据”之间是并列的两个条件，而非选择性条件。第三方通过OpenAPI获得用户信息时必须取得用户的同意，用户的同意必须是具体的、清晰的，是用户在充分知情的前提下自由做出的决定。关于获取的用户信息应坚持最少够用原则，即网络运营者不得收集与其提供的服务无关的个人信息，即收集信息限于为了应用程序运行及功能实现目的而必要的用户数据。