欧洲议会研究局发布元宇宙网络安全报告,呼吁修订GDPR应对挑战

阅读量    6720 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

2022年6月24日,欧洲议会研究局(European Parliamentary Research Service,简称“EPRS”)发布了名为《元宇宙的机遇、风险和政策影响》(Metaverse:Opportunities,Risks and Policy Implications)的报告。报告总结了元宇宙中数据保护和网络安全方面存在的相关问题及其政策趋势。此外,报告概述了元宇宙中使用的大量数据引发的数据保护和网络安全问题,包括数据共享和可移植性、直接营销、侵入式分析等。

报告强调,隐私和数据保护框架同样适用于元宇宙,并且呼吁修订和更新《通用数据保护条例》(GDPR),以应对元宇宙带来的一些挑战。

作为现代技术中最受关注的概念之一,元宇宙可以被描述为一个沉浸式的、持续的虚拟3D世界,人们通过化身进行广泛的活动。活动的范围从休闲娱乐、游戏到专业和商业互动、金融交易,甚至是手术等健康干预。虽然元宇宙在社会和经济领域的确切范围以及影响仍然未知,但已经可以看出,元宇宙将为各政策领域带来一系列机遇和风险。

大型科技公司正在通过并购等方式扩大其元宇宙活动规模。这推动了关于并购法规和反垄断法应如何适用的讨论。

预计元宇宙中的业务将主要由加密货币和不可伪造的代币支撑,从而引发所有权、滥用、互操作性和可移植性等问题。

此外,元宇宙中使用的大量数据引发了许多数据保护和网络安全问题(例如,如何收集用户同意或保护虚拟化身免受身份盗用)。

元宇宙中存在大量的非法行为和有害做法,必须考虑如何确定责任归属,尤其是在打击非法行为和有害做法、误导性广告行为以及保护知识产权方面。同时,沉浸在元宇宙中可能会对健康产生严重的负面影响。最后,元宇宙的可访问性和包容性仍然是需要取得进展的领域,以便创造一个机会均等的环境。

从技术的角度来看,元宇宙通常被认为是互联网向“Web3”的演变(Web1指全球网络,Web2指社交媒体的兴起),在这一过程中,个人被授权并积极参与元宇宙的创建。从视频游戏开始,幻想的现实已经随着时间的推移演变为3D 虚拟环境(如多媒体平台“第二人生”或游戏平台“魔兽世界”),这些环境结合了多种技术,创造出一个沉浸式的体验。元宇宙是这一发展的下一步,而且是更全面的一步。

专家强调,元宇宙在理想情况下会表现出四个特定的技术特征:

真实性:使人们能够在情感上沉浸于虚拟世界;

普遍性:意味着可以使用同一个虚拟身份通过所有数字设备访问虚拟空间。

互操作性:允许不同的系统或平台交换信息或无缝地相互交互。

可扩展性:在不影响系统效率和用户体验的情况下,让网络架构提供足够的容量,使大量的用户能够进入元宇宙。

沉浸式体验是通过使用一系列技术产生的,包括虚拟现实(VR)和增强现实(AR)。用户可以在元宇宙中创建一个虚拟化身,以任何想要的形状或形式来代表他们。此外,连通性对于元宇宙至关重要;人工智能(AI)和物联网(IoT)技术也被用来确保无缝通信。

Gartner公司预测,到2026年,25%的人将每天至少花一个小时在元宇宙中工作、购物、教育、社会活动和娱乐。

商业公司已经开始在元宇宙中开发平台。2022年3月,元宇宙时装周活动在Decentraland(现有最受欢迎的虚拟世界之一)举行。元宇宙也可用于娱乐目的。例如,在游戏平台《堡垒之夜》上举行的在线直播音乐会聚集了1200万观众。此外,元宇宙已经被用来为当地的旅游业和银行做宣传。

除了商业用途外,各组织正在探索将元宇宙用于其他目的。例如,在医疗保健领域进行虚拟治疗和远程手术;在教育领域扩大在线教育的可能性。美国军队正在探索使用元宇宙来建立一个用于训练士兵的虚拟环境。虚拟世界也可以由公共管理部门(例如,首尔市计划在2023年开设一个“元宇宙120中心“)或出于政治目的(例如在土耳其,通过元宇宙平台举办政治会议)而建立。

经济研究预测,到2030年,全球元宇宙市场将达到5973亿欧元。许多公司已经投资创建了元宇宙。Meta公司早已宣布每年在元宇宙上投资88亿欧元。微软以近616亿欧元收购了动视暴雪(一家拥有《使命召唤》和《魔兽世界》等网络游戏的公司),微软认为游戏将成为元宇宙发展的重要组成部分。高通公司也已经建立了一个8800万欧元的元宇宙基金,进一步开发VR和AR技术。

在中国,元宇宙也是一个大趋势。超过1500家公司已经申请了与元宇宙相关的商标,并且许多公司已经在这一业务领域进行了投资。

一些用户也开始在元宇宙中进行投资。最近,一位用户以370万欧元在元宇宙沙盒中购买了一块土地(这是迄今为止在元宇宙中最大的一次购买行为),另一位用户以396,000欧元购买了一块虚拟地,只为成为著名歌手Snoop Dogg的虚拟邻居。

人们将通过化身参与元宇宙,使用特殊设备(如VR耳机)实现沉浸式体验。这就需要收集用户大量的数据,包括生物识别数据和关于用户情绪和生理反应的敏感个人数据。因此,需要对数据使用的每个目的特别注意,并获得用户的明确同意。研究人员也正在努力寻找方法,在不影响设备使用的情况下确保设备的隐私安全并符合GDPR的要求。

角色模糊。元宇宙中存在的众多实体将形成一个关系网,使得确定责任和义务变得非常困难。元宇宙中的实体将高度混合在一起,界定其中的数据控制者和数据处理者是一个巨大的挑战。

因此,是否应该对元宇宙进行整体信息收集,还是对元宇宙中的每个实体进行单独收集?根据GDPR规定,用户必须对每个特定目的给予明确同意。如用户在元宇宙中参加音乐会或参加拍卖会,两者是不同的。此外,用户的数据在元宇宙体验期间将不可避免地被广泛收集。有人声称,数据收集将是非自愿的和持续的,几乎不可能得到用户同意。

此外,元宇宙的沉浸式体验需要将访问点与服务内容相结合,这也大大降低了用户避免其个人数据被收集的能力。这也提出了元宇宙中个人通信的保密性问题,以及重新定义私人虚拟空间以保护其免受商业和国家利益影响的问题。由于元宇宙在未来可能会出现数字内容的访问点,选择退出将不是一个切实可行的解决方案。因此,需要寻求通过政府和行业监管来解决相关问题。元宇宙中使用的数据的存储、处理和保护问题,以及数据被盗或滥用的责任问题也必须要解决。

数据共享和可移植性。互操作性以及用户连同其数据和资产在不同的元宇宙间移动,都提出了数据共享和数据可移植性的问题。

倾向于对用户数据拥有所有权的公司需要建立满足数据保护要求(如用户同意和隐私通知)的数据共享协议。这在去中心化的元宇宙中是一个挑战。此外,数据的国际传输也需要得到澄清,以便在元宇宙中自由流动。确定元宇宙中的管辖权也将是一个挑战,因为它可能适用于用户的位置、化身的位置或相关服务器的位置。

直接营销问题。由于需要根据用户的行为和反应来提供产品选择,基于地理定位和情感反应的直接营销问题将在元宇宙中出现。根据GDPR,与第三方共享(出售)数据需要得到用户的同意。在元宇宙中,用户可能越来越多地受到潜意识广告的影响,如何得到用户的同意是个问题。研究人员已经确定,眼球追踪器可以为公司提供数据,以便其提供非常精准的定向广告。在这方面,要特别注意保护弱势群体(儿童)的个人数据。因此,需要有效的年龄验证措施来阻止儿童提供他们的个人数据。

侵扰性特征分析。获取敏感数据(如情绪反应),可能会导致侵扰性的特征分析方式,从而产生有害后果,如对个人生活和决定失去控制或选民操纵,特别是对弱势群体。然而,鼓励人们花更多时间上网以便收集更多数据,这符合大科技公司的利益。因此,鉴于政府可以访问元宇宙中共享的数据,国家监控也会增加。

元宇宙工作场所。元宇宙支持设备会根据员工在VR模拟中的参与情况,生成一系列员工的生理数据。这可能使雇主能够对其雇员进行侵入性监视。此外,感知体验可以取代反思性决策,从而导致有偏见的自动化决策,并在招聘、绩效评估和培训等过程中出现不平等现象。

数据保护框架的修订:欧洲议会强调,隐私和数据保护框架确实适用于元宇宙,并呼吁欧盟委员会确保在元宇宙中的公司和实体遵守现有法律框架。也有人呼吁修订和更新GDPR, GDPR对由元宇宙带来的一些挑战和复杂性未作出相关规定,例如需要监管在无意识行为中收集的数据,或者与人工智能互动产生的数据。

数据中介:其可以作为人们和收集其数据的实体之间的联系。应特别注意,人工智能的数据中介将决定用户的数据权限。欧盟在《人工智能法案》草案中选择了以人为本的人工智能方法,这可以限制不受欢迎的发展。此外,欧盟在《数据治理法案》草案中,通过数据中介服务,如个人数据空间(或数据钱包),为人们建立了数据共享管理和同意控制框架。

开放和去中心化的元宇宙:为了实现普遍的操作和互操作性,基于区块链和开放标准的元宇宙开始出现,由用户以去中心化自治组织(decentralised autonomous organisations,简称“DAO”)的形式控制。可以探索去中心化的元宇宙模式,以更好地解决数据保护问题。

元宇宙中流通的海量数据以及这些数据的使用方式对用户构成了越来越大的风险。当前的网络安全挑战,如网络钓鱼、恶意软件和黑客攻击将持续存在,并将扩展到支持元宇宙体验的设备和虚拟化身上。因此,保护化身的完整性将是一个特别值得关注的问题,新形式的网络犯罪也是如此,如出售假冒NFT、非法使用加密货币和恶意的智能合约等。

研究人员提出,与线下犯罪相比如何考虑虚拟犯罪?在打击黑客、有组织犯罪分子、恐怖组织和性犯罪者方面,另一个障碍将是虚拟环境的多层结构。元宇宙中,犯罪分子可以隐藏在加密及无法追踪的NFT后面,使他们难以被识别并进行法律追索。也有人担心暗网和元宇宙之间可能存在联系,需要建立一个元宇宙刑事司法系统来预防和限制非法活动。因此,在元宇宙的开发过程中就要考虑安全因素和可能的解决方案。

元宇宙启用设备的安全性。最近研究表明,此类设备的特性可能导致严重的数据泄露,因为此类设备运行所需的敏感数据(例如语音控制或面部动作)可能会被复制。此外,访问此类设备的黑客将能够控制受害者的所见所闻,并能够看到他们的办公室或家庭环境,这将带来严重的安全后果。

协议的安全性。一个特殊的技术挑战将是构建能够减轻“有害代码在平台之间转移”的风险的协议,以实现用户在元宇宙间的无缝移动。因此,元宇宙中的实体需要超越其特定的安全措施,而实施互操作性将需要分配责任。供应链尽职调查对于维护平台的安全至关重要。

化身完整性。身份盗用、化身复制和滥用的风险为互操作性带来了问题。在这方面,基于区块链的身份认证将至关重要,因为它比集中式系统更能抵抗网络攻击。但这无法解决针对人类行为的社会工程等犯罪活动。

区块链和智能合约的法律框架。专家建议,区块链和去中心化技术可以帮助保护用户在元宇宙中的身份并防止欺诈。区块链优势在于提供了对任何数字空间的访问,而不受中央机构的干扰。由于其异构架构,它可以实现互操作性和相对较高的安全性。

通过确保安全性、透明度和可追溯性,增加了用户的信任。在元宇宙中用于执行交易的智能合约嵌入在区块链计算机代码中,并在合约条款得到履行后执行合约。

建立欧盟网络弹性能力。NIS2指令将进一步提高欧盟国家网络安全能力和欧盟网络弹性。但该指令并不涉及消费产品的网络安全要求。VR和AR设备打开了通往元宇宙的大门,属于《一般产品安全条例》的提案范畴——该提案特别要求为产品保护提供适当的网络安全功能。此外,即将出台的《网络安全弹性法案》也将通过为数字产品和辅助服务引入通用网络安全规则来保护消费者。

由于金融部门对网络犯罪分子特别有吸引力,欧洲议会已呼吁欧盟委员会在信息和通信技术 (ICT) 领域以及欧盟金融部门的网络安全要求方面提出立法改革,以提高其网络弹性。欧盟委员会对日益增涨的威胁和国家方法的扩散做出了回应,并提出了《数字运营弹性法案》 (DORA)草案,辅之以《加密资产市场监管法案》(MiCA) 草案。最后,在欧盟建立网络弹性的一个重要障碍可能是通过欧洲网络安全技能框架 (ECSF) 解决令人担忧的网络安全专业人员短缺和技能差距。

用户教育。对用户进行教育,使其了解可以采取哪些步骤来保护他们在元宇宙中的身份和资产,以及可以采取的预防措施。最新的数字教育行动计划预计到2025年,欧盟16至74岁人群中有70%至少具备基本的数字技能。

元宇宙带来了机遇和风险,而其数据保护、网络安全等问题、其可能带来的影响已经在各个领域被确认,与此同时,使用沉浸式现实技术的潜在后果也逐渐被发现。

欧盟是否有必要采取具体的举措来应对元宇宙的发展,还有待观察。虽然欧盟委员会似乎无意立即提出立法措施,但委员会副主席Margrethe Vestager强调,元宇宙带来了新的挑战,尤其是对反垄断监管机构。欧盟委员会希望欧洲设定条件,以便欧洲大陆能够充分受益于元宇宙所带来的机遇。此外,欧洲议会在讨论《人工智能法案》草案和2021年竞争政策报告时也已经开始考虑元宇宙的影响。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多