马晗 刘晨威｜元宇宙背景下个人信息保护规则之重塑

马晗

中南财经政法大学硕士研究生

刘晨威

中南财经政法大学硕士研究生

要目

一、元宇宙的缘起及特征

二、元宇宙中个人信息生产与边界

三、知情同意与上位监管的再结合

结语

与现实移动互联网不同，元宇宙作为虚实结合的新型社会形态，展现出的去中心化特征对个人信息保护规则提出了挑战。其中数据和算法的改变以及用户和平台角色上逐渐向平衡趋势的总体走向，让用户也逐渐走向元宇宙数据舞台的中央。在元宇宙背景下，过往静态规则治理模式展现出一定的弊端，此时无疑需要新型法律治理模式予以回应。知情同意作为现实生活中个人信息保护的重要原则，在元宇宙中也应当被赋予重要地位，因此在治理方式上，应当由平台主导转向由用户自治和政府、平台他治的共同治理模式，以消解动态风险下的元宇宙治理困境。

2021年被誉为“元宇宙元年”。自大数据时代开始，数据成为第五生产要素，元宇宙这一崭新的社会样态同样以数据为基础，被誉为“建立在数据上的宇宙”。在“万物皆可元宇宙”这一全新的生活体验中，每一种场景都离不开数据的支持，每一种传感器设备以及扩展现实服务都需要对个人信息进行深度地收集及分析，无论乐意与否，人类都不可避免地被裹挟进爆发式增长的海量数据生活中。发展是安全的基础，安全是发展的前提，一旦用户个人信息出现问题，元宇宙中依赖于用户个人信息存在的一切都会遭受颠覆性的影响，同时用户的个人利益乃至国家安全也都会遭受威胁。目前我国主要由数据安全法、网络安全法、个人信息保护法对于个人信息提供立体的法律保护，元宇宙有着区别于现实世界以及大数据时代的去中心化特征，引发了个人信息保护的新挑战，现阶段个人信息保护的法律框架存在现实困境，因此能够轻易成为网络攻击的目标。在此背景下，探究元宇宙新时代用户个人信息保护的路径，成为元宇宙中最重要的问题之一。

一、元宇宙的缘起及特征

元宇宙的缘起及概念

作为一个处于发展过程的社会样态，元宇宙的概念在当前学界及业内均无统一且具体的认识，现有研究从不同的角度对元宇宙进行了解读。有学者提出，从元宇宙英文词义来看，超越宇宙即是脱离现实宇宙，其描述的是一个平行于现实世界的虚拟世界，人们可以通过VR、AR等现实技术访问这个虚拟世界。北京师范大学新闻传播学院教授喻国明在“XR视野下元宇宙的含义与场景”研讨会中提出，元宇宙实际上是一种数字世界，是由人按照自己的某种想象，以理想的方式所设计出来的摆脱现实约束的一个数字化虚拟空间。清华大学新闻与传播学院新媒体研究中心，元宇宙是整合多种新技术而产生的新型虚实相融的互联网应用和社会形态，基于扩展现实技术提供沉浸式体验，基于区块链技术搭建经济体系，将虚拟世界与现实世界相融合，允许每个用户进行内容生产和世界编辑。

质言之，综合现阶段关于元宇宙的相关研究，元宇宙是一种以人工智能、机器学习、物联网、基因编辑、算法创作、大数据运用等技术为支撑的现实型虚拟社会，这意味着元宇宙背景下对于用户的个人信息会受到更加广泛和深层的收集和利用。

元宇宙的构成及特征

厘清元宇宙的构成及特征是应对元宇宙时代新型风险挑战的基础，是处理元宇宙背景下各类问题的必要条件，元宇宙一词早在30年前就已经存在，但随着科技的进步以及人类对于未知领域的探索，成为社会热点，引发了各界的热议，现有研究从各个角度对元宇宙的构成和特征进行了探讨，但相关的理论和实践都处于发展初期，并未形成系统、明确的观点。2021年Roblox公司在纽约证券交易所上市交易，成为“元宇宙第一股”，其招股书中提出元宇宙应当包括身份、朋友、沉浸感、低延迟、多元化、随地、经济系统和文明这八种关键特征。

现阶段元宇宙在底层技术和应用场景方面都未达到成熟形态，因此对其构成与特征应当以发展的眼光去看待。探究元宇宙的构成及特征，应当是在众说纷纭的前瞻性理论研究中找到元宇宙的本质。从学界对元宇宙的研究成果及基本描述来看，元宇宙在构成上至少可以被划分为物理层、数据层、算法层、应用层。物理层主要包括基础设备和物理技术；数据层即元宇宙运行所需要收集和储备的数据；算法层是元宇宙各应用场景的实现公式；应用层主要包括虚拟空间中的用户、平台、应用场景等。元宇宙作为新型的数字生态，现阶段主要呈现出以下特征：

去中心化。元宇宙应当将去中心化作为发展的核心原则和愿景，即打造公开、透明、不可篡改，不受少部分或单个主体或组织的控制，任何用户在元宇宙中均可创造内容，去中心化的特征可以避免权力的集中和垄断，是元宇宙发展的一种理想化状态。

开放平台。元宇宙是一个开放性的平台，其开放性体现于创作主体的任意性、创作内容的多元性、应用场景的多样性以及对数据、身份的开放，元宇宙的用户可以是现实世界中的消费者、商家，可以是来着不同国家的主体，而在创作内容上，元宇宙提供了无限的发挥空间，由用户“自给自足”进行创作。

虚实融合。元宇宙以现实世界为创作基底，旨在让用户自由穿梭于现实世界和虚拟世界，构建高度平行于现实世界的虚拟社会样态，为用户提供超强沉浸感、在场感的体验，实现虚实融合的目标。

永续运行、全息生存。和现阶段的电子游戏模式不同，元宇宙是一个独立于现实永续运作的虚拟世界，用户可以随时随地通过物理设备进入元宇宙世界。因此元宇宙时代应当有完备和强大的数据处理体系作为支撑，有庞大的用户数据作为基础，才能够保证其永续运作的特点。

二、元宇宙中个人信息生产与边界

元宇宙来源于现实，也无法完全脱离现实自成一个不受干扰的“法外之地”。既然元宇宙带有现实烙印，则二者之间必然有着紧密的联系与区别，探究联系的作用在于通过比较构建起元宇宙领域的基本法律逻辑与规则，而二者的区别则更有利于创造独属于元宇宙的独特规定。

个人信息的产生

在信息时代中，个人信息已经由单一的人身权利属性发展向复杂的多重权利属性，从原本带有个人烙印的识别信息转变为具有生产价值的商业资源。不论是企业亦或是网络平台，使用各种办法来保证用户能够在自己搭建的网络平台中进行个人信息的生产，某些个人信息以登记的方式主动出现，某些个人信息以“踪迹”的方式被动产生。毫无疑问，为了确保这一过程持续稳定运行，商业机构建立一套常态化的控制机制，当然，这也是实现自身商业利益的前提。这种机制被广泛应用于互联网科技中，几乎成为社会生活中踏入数字领域的门槛，达到一定的“垄断”作用，即用户如果不同意企业使用该种机制来获取个人信息，无论线上亦或是线下都不能获得正常准入。

在现有互联网规则体系中，用户个人信息主要来源于个人账户与个体行为产生的数据。个人账户是自然人通过网络端口进入企业搭建网络平台的基本凭证，同时也需要承担起记录、保存用户数据并接受监督的重要作用。而数据则主要有五个方面：一是用户用以登录的账号在申请时所登记的身份认证信息，如姓名、身份证号、家庭住址等。二是用户登录时所使用网络的IP地址，这项信息在日前得到了进一步的明显化。个人属地信息也由自己掌握发展为由平台管理以及决定是否公开。三是平台根据用户行为而自动生成的行为数据。四是由平台在用户数据之中进行主动比较，通过分析研判所得出的关于用户个人的深度信息。五是需要由平台主动提交，国家掌握的涉及国家、社会及公民重大利益的重要信息。

元宇宙“个人信息”的去中心化

个人信息的产生伴随着信息时代发展，从最初仅有登记一种产生方式逐渐演化出多元化产生路径，而元宇宙作为次世代互联网进化产物，个人信息在元宇宙中的数据进化路径也与当前现实互联网产生了差别。首当其冲的便是互联网以账号登录为进入方式的“中心化”转变为“中心化”与“去中心化”并存的联合控制方式。在目前现实互联网中，账号密码作为核心的登入要素，是需要所在平台所搭建的互联网系统进行认可的，也就是说如果对应平台对账号密码作拒绝准入处理，或该互联网系统存在突发故障，这种“中心化”的控制方式下以账号密码为登入要素的个人账户便失去了意义。由此不难看出，实际上平台上的用户并没有得到完全的“个人自由”，使用可否都是由中心的平台来决定，与中心相对应，用户也就在这种控制方式中逐渐“被边缘化”。而元宇宙的到来则打破了这种不平衡，在目前已经参与元宇宙开发的公司中，大多并不会完全的坚持以己平台为中心，以上文提到的游戏公司Roblox为例，作为一家游戏公司，它并未遵循寻常的经营模式——提供成品游戏，而是以开发元宇宙架构为重点，让用户掌握开发游戏及衍生产品的权利。这种身份上的转变自然也让“被边缘化”的用户逐渐走到舞台中央，拥有了对内容数据的真正控制权和分配由自己数据而产生的收益分配权。前文提到的元宇宙“去中心化”特征在个人信息领域引领的变革远不止此，可以想象随着元宇宙中交互技术的进一步成熟，不仅用户与平台之间的数据及价值转移能够更加顺畅，用户与用户乃至用户在不同平台即不同的元架构公司之间都能够以高度的“自由权”进行个人信息控制、利用及转移。

个人信息边界之更新

有学者指出，目前，元宇宙尚处于萌发阶段，其发展倚赖于参与其中的用户和信息良好的互动，由此形成健康的信息生态，进而促进元宇宙的长期向好发展。作为虚拟空间，信息理所应当的成为该空间领域内最重要的核心资源之一，信息在元宇宙内流动、传播以及被利用，构成良好的信息生态，能够促进现实和虚拟之间更加有效、合理的融合。然而上文所提到的用户个人信息处置的自由度提高，虽然会使得平台与用户之间的不平衡状态被打破，但也会有许多问题随之而来，例如，用户能否承担起自由处置数据与信息权力下的自我保护？平台对于用户数据的放开是否意味着平台监管义务的降低？以及在泛娱乐化的潮流下，元宇宙的关于个人信息的法治规则是否应当重塑？笔者认为，这些问题的关键在于：元宇宙中个人信息之边界是否发生变动，如果未发生变动或变动不大，则仍可以按照现实社会个人信息保护的法理逻辑来构建元宇宙中的个人信息保护规则，而如果对于个人信息的边界、界定，元宇宙空间和现实空间发生了本质上的差异，则重塑实有必要。“元宇宙的形成将促进生产者、服务者、消费者融合或者一体化，并与现实世界的经济系统、社交系统、身份系统密切融合，从而构成‘虚实相融’的新型社会形态”。在目前对于元宇宙的分析理解之中，不乏这种认为元宇宙是一种完全新型的互联网形态乃至于社交形态的观念，不同于之前仅仅在数字上的互联网体验，元宇宙提供的是类似“第二次”人生的模式，其中会涉及到经济、工作、社交以及生产消费服务。此种通过人机交互方式进行的网络社交，也并未脱离元宇宙参与者的现实个人身份。参与者自己在真实生活中所拥有的人格属性、身份设定包括资金财产等都与虚拟世界内的信息相对应，因此在讨论元宇宙中个人信息之边界是可以如此理解：元宇宙参与者彼此之间的连接相较于现实生活更加紧密，因此留给个人信息交叉的空白也将会显得愈发狭窄，甚至有可能产生信息归属不明的混乱情况发生，职之是故，应当对信息边界问题作类型化思考，以不同的规则与处置来保护元宇宙内的个人信息。

“历史表明，凡是在人类建立了政治或社会组织单位的地方，他们都曾力图防止出现不可控制的混乱现象，也曾试图确立某种适合于生存的秩序形式。”元宇宙中同样也是如此，为了避免个人信息混乱现象的发生，也必须确立适合于元宇宙的秩序形式。有学者指出“元宇宙规则的多重架构正是多元共治理念的具体体现，元宇宙中行为的法律边界和效力处于待定状态，政府的干预又处于上位法真空状态，需要元宇宙成员自行达成定纷止争的治理规则并自力执行，以应对成员身份和行为发生的深刻变化。”诚如该学者所言，元宇宙的去中心化必定导致治理层面的多元化，然而针对不同的事项与领域，用户与平台以及政府所承担的权力大小和治理责任应当呈动态化体现。此处所讨论的个人信息边界就是关键之一，如果缺乏政府及上位法的干预，平台任由元宇宙成员来协商确定治理规则，以约定俗成的效力来监管执行，那么能否保证所有人对元宇宙中的个人信息边界达成统一的认识？在现实生活以及移动互联网中，人们能够清晰的认识到哪些信息具有利用价值，如个人身份证信息、家庭住址、工作情况，包括在某些平台上的浏览记录能够成为企业推送广告与产品的分析基础。质言之，在长时间的接触过程中，互联网用户对于个人信息有了基本保护的意识，能够达成基本的共识，即身份证、家庭住址不得随意透露，个人各个平台上的账号密码、行为踪迹可能会被平台使用。而在元宇宙当中，参与者可能会暂时被信息处理的高自由度所蒙蔽，认为自己能够在去中心化的空间领域内即可享有对信息的完全处理权并避免各种损害，这种认识反而会产生新的危机。例如以Roblox公司为例，当元架构公司的服务时提供给用户能够自由建立游戏并吸引其他用户来游玩的平台时，已经超越了现实互联网中对于游戏公司的理解。在该种架构中，创建游戏的用户能否承担起保护其他游玩用户信息的责任？是否有相匹配的能力？即使游戏创建者拥有充足的保护参与者个人信息的意识，创建者与游玩者能否在个人信息范围上达成一致？毫无疑问，一连串的疑问指明，在个人信息的边界定义以及元宇宙的个人信息保护治理层面，已经发生了重大变化。

治理结构的新变化急需与共治机制相匹配的新法理和新制度予以回应。如果没有相应的法治理论和制度体系来统筹国家的权威、公众的福利关切、市场的功能和稳定，促进一种具有包容性、共享性的发展模式，那么政府、市场和社群合作的链条就不可能牢固，甚至会被经常性的打破。在元宇宙中，共治机制的广泛应用是不可避免的趋势，既然“去中心化”是其明显特征之一，那么逐渐走到舞台中央的元宇宙参与者（即用户）也应当拥有一定的治理权。但正如上文已述，赋予其治理权并不意味着政府以及平台就能够毫无负担的卸责，因为即使元宇宙是“虚实结合”的虚拟空间，用户也是真实的个人。对于个人不应该期待其有较高的自治能力与自我保护能力，究其要义，政府与平台应当在较好履行职责的基础上赋予用户一定的自治权，在共治机制中找寻到合适的平衡点，以不干预用户信息处理自由的基础上做好个人信息保护工作。

三、知情同意与上位监管的再结合

知情同意的性质分析

如果谈到个人信息，则始终难以避免对知情同意的讨论，无论是在学界的学术研究还是各项个人信息保护规范的表述中，出现频率都名列前茅，且这种情况广泛存在于各国对于个人信息保护体系的构建活动中。知情同意的重要性在于，信息主体对于个人信息利用行为的知情和同意表示关系着是否需要通过规则与法律来阻止对于该信息的利用行为，也就是上文所提到的个人信息保护边界问题。有学者认为，有关“知情同意”的研究，涉及两个不同的法学范畴，一是法律规范的范畴，二是法律事实的范畴。当人们讨论知情同意的法律性质和表示方式时，所指涉的是作为法律事实的知情同意，即同意行为。个人信息保护法第13条第2款规定，处理个人信息应当取得个人同意，为个人信息的利用划定了明确的前提，即应当取得信息主体的同意，也就是此处讨论的知情同意。

在元宇宙个人信息规则的重塑过程中，知情同意的地位会显得更加重要。个人信息保护法在第13条第2款中也有规定，前款第2项至第7项规定情形不需要取得个人同意，即在知情同意的基础规则上规定了例外情形。然而这些情形是否适用于元宇宙架构中？元宇宙普及后是否会产生新的例外情形？例如第13条第1款第4项，在“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”情况下，可以不取得个人的同意。其一，元宇宙作为“虚实结合”的数据网络，仅可能发生网络安全风险，而非公共卫生等紧急事件。而网络安全风险下应当注重对网络环境的管控以及不良信息的流通，可能在追责方面需要获取相关个人信息，在此种情况下，谈论个人信息保护的边界以及利用方式也没有较多意义。其二，对于可能侵害用户生命健康的紧急情况存在与否，也要斟酌是否存在。元宇宙作为移动互联网的后世代空间，虽然仍然与实际联系紧密，但这种紧密性主要体现在身份认证以及财产性利益之上，对于人身及生命的影响不会十分明显。其三，如前所述，元宇宙架构下涉及到对于个人信息利用收益的再分配，以及通过网络交互实现现实生活中的财产交易等行为，因此第四项所涉及的“财产安全”同样有讨论的必要。但需要注意的是，元宇宙的重要特征“去中心化”也会导致财产属性的复杂化，在充满财产流通与交易的空间中，如何判定是涉及财产安全的紧急情况？是通过某种机制的判断还是标准的设定，来为个人信息取得的排除同意规则做铺垫，仍是需要慎重讨论的问题。如果在元宇宙中同样遵循此类规则，可能出现的、大量未有先例的财产风险问题也许会导致个人信息的保护体系走向虚无主义，即表面存在较为完善的保护规定，但实际上存在可以广泛适用的排除规则，使保护沦于形式，进而造成元宇宙的“失信失衡”。

随着虚拟现实、互联网和人工智能等技术的发展，人们的日常生活形态和社会交往形态不断被重塑。职之是故，在个人缺乏自治能力与元宇宙需要保持“去中心化”的基础上，个人信息保护规则的重塑路径应当采取知情同意与上位监管并重的原则。

元宇宙视域下知情同意原则重构

元宇宙领域内个人信息的知情同意原则是指，元宇宙参与用户在进入虚拟空间时元架构公司应当告知用户信息的存储方式、信息种类以及自治风险，并由用户自己决定自治范围以及他人可利用的信息范围。此种原则在移动互联网中已有初步使用，例如在用户进入一些平台时会出示用户知情同意书，用户在勾选确认后才可进入其搭建的网络服务空间。仍需进步的是，用户应当有对于信息利用的控制权，即可以选择行为踪迹等被动产生的信息是否交由平台使用，毫无疑问，这种权利在元宇宙中更为重要。作为现实生活的映射，元宇宙让信息主体无时无刻不处在网络空间之中。即使是之前畅想的通过元宇宙进行模拟现实办公，实现居家也能高效率工作的场景下，任何文件、想法的传输也需要通过数据信息传递来进行，如果默认参与元宇宙即需要交付所有的信息，那么与参与者有关的一切虚拟以及现实信息都将暴露在平台面前。因此，在元宇宙法律规则规定之初，必须着重考虑个体对于信息的“主观知情同意”，即用户对与自己有关的信息种类与内容达到完全的知情，并在拥有范围选择权的基础上予以同意。

这一主观性的同意行为需要注重以下三个方面：

第一，告知影响用户选择的决定性信息。知情同意权是个人信息权的积极权能之一，App隐私政策作为保障用户知情同意的主要方式，往往只告知用户App收集的个人信息的范围等内容，以及不提供个人信息就难以享受某些服务的后果，却并没有提示用户相应处理行为可能引发的风险。元宇宙未出现时，个人信息的类型就已经走向繁多，不同的类型代表着有关于信息主体的不同利益，例如身份信息对应着人身利益、财产利益、隐私利益，处理各种信息的行为也会给信息主体的财产利益带来变动。用户在提供个人信息时应当知道此知情同意行为的可能后果或风险。而在元宇宙中，财产性利益的重要性将会被放大，并且由于技术仍不成熟等难以避免的原因，个人信息极有可能在初始存储期间被窃取或者泄露，此种情况下元架构公司应当对参与者提示相应风险，以弥补普通用户根本无法通过较高的专业能力来预测信息风险及危害程度的能力缺陷。有学者认为，“考虑到存储的可能性和大型数据库的出现，重要的是要利用个人信息使用相关的知情同意所展现的对个人隐私的保护，来补充在线自由和开放通信。”作为在线自由的补充手段，理应对自由有着更为广泛与充足的解释。不仅需要有是否同意信息被利用之自由，也需要知道知情同意后可能存在的重要情况，只有这样才能够使决定更加符合主体意思，更符合知情同意的本质内涵。

第二、注重知情同意实现的成本控制。规则不仅需要在严密性上不停追逐，也需要考虑到其实际适用性。法律作为规则的一种，其文本固然需要做到用语严谨、体系严密，但在其需要与以人为代表的主体进行交互时，仍然需要注意到主体的理解能力以及遵循成本。同样以上文所举例的App知情同意书为例，在目前移动互联网软件平台上，动辄数千上万字的内容极易使用户“望而却步”，形式上行使了知情同意权力，而在实质上放弃自己的个人信息自由。若要用户真正去阅读其访问网站的隐私政策，每年人均将花费250小时，既耗时又不便。但相反，如果文本长度过短，也不能够较为完整的展现平台的隐私政策，此情况下企业或元架构公司的行为又会束手束脚，与其营利的根本特征相违背。在此种情况下，有学者秉持“彻底抛弃说”，认为在大数据时代，应及时转变思路，转变知情同意的固化思维，借鉴秉持个案分析精神的欧美场景与风险导向理念，将“在具体场景中合理”作为个人对个人信息处理行为的合法授权。实际上，对于知情同意的彻底抛弃论潮，源自于日渐丰富的信息保护政策和用户个人能力限制之间的不对称，将保护政策全部展现给用户看，作为取得用户知情同意的标准与手段，难逃不作为之嫌疑。

在元宇宙的个人信息保护规则构建中，面临的信息风险挑战会更具未知性与复杂性，毋庸讳言，需要的个人信息保护与隐私权政策条文、文本将会更加精密与繁多，以应对各种情况下的科技信息侵权风险。在此时用户的知情同意标的内容应当从形式上转向实质，即从知道平台的“隐私权政策内容”转向为知道“授权后可能存在的结果以及风险”。在防范个人信息的滥用时，注意力应当从取得用户授权或同意这一“免责”资格转向警惕个人信息处理行为可能给用户带来的损害或者各种负面影响上。只有让用户了解到损害可能达到的程度，并通过防范手段将风险降低至用户可能接受的范围内，才能够给予用户足够的安全感来进入未知的元宇宙世界。因此，在元宇宙去中心化的多元治理中，应当注意减轻用户的知情同意条件达成成本，尽量避免将知情同意作为一种义务交付于用户，以考验其复杂规则文本的阅读能力。只有在实质上简单直观地让用户了解并同意可能面临的信息风险，元宇宙及元架构公司才能够在真正的自由之中蓬勃发展，避免信息处理争议。

第三，重新界定知情同意的排除规则。前文提到，民法典以及个人信息保护法都将知情同意原则规定为保护个人信息的前置手段，也设置了若干个不用取得个人同意的里外情形。故此，在法理逻辑上需要明确的是，知情同意虽然是保护个人对身份与信息处决权的必要要素，但不能认为只有经过了告知和同意，才能够对个人的信息进行处理和利用。为了保证社会经济效益以及给予元宇宙能够充分发展的自由空间，必须注意在元宇宙经营主体与普通用户之间找寻公证的利益平衡点，如果一味追求保护用户的个人信息自决权，也会减损个人信息的自我价值。申言之，个人信息除了对信息主体代表着人格自由以及人格尊严以外，对于市场发展还具有商业价值以及公权力视域下的公共管理价值。如果对个人信息自决权给予绝对保护，并不利于提升个人信息的利用价值。因此，在相对保护的理念下，知情同意的排除规则仍然有充分的必要性，但在元宇宙内需要适应特殊领域内的特殊要求，予以重新界定。

由于元宇宙仍然处于概念阶段，此处仅对其排除规则的原则性予以讨论。笔者认为，应当围绕元宇宙内对于个人信息的合理处置行为来建立知情同意的排除性规则。合理处置行为是指，以元宇宙内登记、产生并存储的个人信息为对象，任何为提升企业经济效益或者社会公共利益且不影响该信息主体的基本利益的行为。此种概念的界定实质上是从对信息处理的后果上进行判断，即如果该信息处理行为的后果是于企业有益、于个人无害，则应当被判定为合理处置行为。个人信息保护法对于个人敏感信息的界定也是使用该种视角，即以泄露或者滥用之后可能产生的后果为标准。

需要注意的是，该处置行为是否有利于企业经济效益以及社会公共利益不难举证并判断，但对于信息主体是否存在不利影响，仍需为“个案差距”留下救济空间。对于某项信息的利用对大多数用户都不会造成财产或精神损害，但对于特定群体或特定个人而言，是有可能损害其重要利益的，这种情况在现实中也并不少见。元宇宙在构建知情同意的排除规则时也应当对此予以考虑，建立便捷、高效的申诉渠道，供受损害主体尽快主张个人信息自决权，以消除所受不利影响，弥补损失。

元宇宙上位监管与治理

在元宇宙飞速发展的过程中，谈论元宇宙的法律体系出台问题为时尚早。互联网产业更新换代的速度极快，已远远超过以往所有的经济形态，而在监管者这一面，尽管付出了大量的努力，但立法程序繁复、耗时冗长，使得法律的滞后性在“互联网+”的时代更加凸显。但元宇宙的有序发展也要求法律尽量克服其滞后性的弊端，迫切需要得到相关法律规则的有效保障，至少在个人信息保护与数字产权方面，亟需得到合理监管。

元宇宙概念虽然还未成熟，但在利用方式上，目前已经有两个主要发展方向供参考：其一，游戏体验创新。无需多言的是，VR技术就是元宇宙概念在目前较为成熟的产品模式，通过头戴式设备以及双手掌控游戏握把，玩家能够以身临其境的体验感尝试各种游戏，包括运动项目、射击项目等，目前也出现了虚拟共同观影的模拟电影院场景，推动游戏社交进一步发展，这也是元宇宙的常见的利用方式。其二，品牌营销的新模式。Roblox作为元宇宙游戏公司中的尝试者，在2021年底与Nike公司共同推出NIKELAND，代表着Nike正式涉足元宇宙。Nike现已推出多款虚拟球鞋供用户体验。两个方向上的发展都会导致元宇宙中财产性价值不断升高，这种现象也要求元宇宙内存在与现实世界相同的法律规则。首先，需要通过法律规则保障财产权的确立与交易规则，以保证在元宇宙内交易能够发生和现实中相同的法律效力，这是在元宇宙中建立公平合理的经济交易市场的基础性要求。其次，虽然告知与选择机制、企业隐私政策的适用效果不尽如人意，但并不代表它不重要，更不能否定其存在的必要性和正当性，硬要进一步明确该机制和企业隐私政策的适用范围与形式，并对处理个人信息的全过程予以监督。质言之，元宇宙虽然去中心化，用户拥有高度自由的个人信息自决权，但完全依靠“个人自律”来保证信息安全与界内秩序稳定，至少在现阶段是不可能的，仍然需要平台以及政府依照法律进行上位监管。

在监管的模式以及原则上，也应当因具体情况而发生改变，尤其是面对元宇宙等未知的事物，法律监管应当适用何种原则，是目前广泛讨论的议题。有学者针对未知科技风险提出应当注重预防原则的适用，“在面对科学进步带来的科技风险时，尽管科技风险本身是不明确的或者不确定的，政府仍然需要将‘预防原则’放在以法律手段应对科技风险的中心位置。”简而言之，为了应对不确定的科技风险，政府应当秉持着预防的监管目的，以更加严格的手段措施来承担应有的责任。这种严格不仅仅应当体现在执行法律上，法律规定本身也应当贯彻预防原则，即对可能发生的风险尽可能规定周全。在预防原则的指导下，平台与政府应当承担起风险识别以及预测的义务，尤其是作为个人信息处理者的元宇宙架构公司。主要方式可能存在以下两种：

第一，政府参照个人信息保护法等法律，制定契合元宇宙发展模式的专门法。从现有的法律治理来看，我国主要通过网络安全法、个人信息保护法、数据安全法等来实现对数字安全维护。但要适用至元宇宙框架内仍有不足，主要表现在：首先是专业性缺乏，作为信息时代的科技风险，要解决数字安全问题应当从技术方面入手，强调法律上的监管固然有用但不是解决之良策，应当在立法时以技术性与法律性并重，共同参与元宇宙社会结构下的信息风险治理问题。其次是适用主体存在差异，在一般语境下，法律的适用对象应当是具有一定资格的人，而元宇宙下信息主体人格究竟是现实的人还是虚拟人格仍需讨论，在元宇宙内法律的效力因此也存在争议。虽然元宇宙内主体是由现实的人所映射而来，但现实中权利与义务能否以同样的方式过渡到元宇宙中，学界并未达成统一共识，法律实务也并未作出有关回答。故此，政府应当遵循个人信息保护法、网络安全法等法律的保护原则，寻求专业技术机构帮助，增强法律的科技属性，以应对未知法律风险。

第二，元架构平台加快建立合规计划，完善合规管理体系。如何让平台承担起风险识别以及预测的义务是制度设计中的重点。在大数据时代下用户与平台之间的信息差距就已经似鸿沟般不可逾越，更勿言元宇宙领域内平台的深度研究与用户之初探的对比，显然将风险识别及预测的义务从用户转移到元架构公司身上的更加合理与妥当的。在政府及上位监管主体制定契合元宇宙个人信息保护的专门法后，企业也应当为了预防处理信息行为逾越法规边界而遭受法律制裁之风险，重要方式之一便是建立合规计划、完善合规管理体系，合规计划是否有效的评判标准之一便是合规风险评估。在元宇宙内，元架构公司作为经营主体的合规风险评估应当将：信息处理行为到哪种程度会给用户带来未知或潜在风险，这一内容作为重要评判标准。根据2020年10月1日所开始实施的《信息安全技术个人信息安全规范》内容规定，个人信息保护政策中应当描述用户个人信息后可能存在的安全风险，这一规定弥补了我国法律对该项义务的空白，虽然目前法律还未对信息处理者的风险告知义务作出明确规定，但可以预见的是，当元宇宙技术发展成熟时，经营主体必须通过风险告知以及预测来弥补快速发展的技术与用户知识和数据空白之间的差距，用户只有在清楚的知悉了自己的处理行为、平台的利用行为会对个人信息上带有的复杂法益可能造成哪些影响之后，才能作出实质上的知情与同意决定。因此元架构平台必须完善合规管理体系，实现“行业自律”。

自治与他治的融合之道

前文对用户知情同意和上位监管的主要性质与方式作出了初步探析，需要明确的是，在元宇宙的快速发展直至达至成熟的过程中，两种方式都将作为重要的路径而存在。在现实中人与人之间的交互关系呈简单状态的情形下，通过法规的单一、静态管辖是较为合适的方式。然而元宇宙的到来意味着信息时代发展已经达到深刻改变传统社会结构的程度，各种风险不断涌现，各种挑战不断突发。可见，信息技术发展与风险之间已经处于一种博弈状态，并且整个社会也呈现出明显的“风险社会”特征。

因此过往单一、静态管辖应当随着动态的风险变化作出适当改变。笔者认为，可以尝试通过用户的动态自治以弥补平台及上位机关“他治”的条文主义。毋庸讳言，静态的法规治理比非规则的动态治理更具有科学性，能够将治理成本最小化，以达到最大的治理效果，然而对于个人信息保护领域，仅仅依靠静态规则治理已经难以满足现有需求。同时，严谨的按照法律条文与平台规则来治理，也会无视掉个案需求，无法形成张弛有度的元宇宙个人信息管理体系。且在法律和规则的制定质量上，在元宇宙发展初期，也不能够对其报以过多期待，如果立法属性与元宇宙的发展方向相悖，却又因法律修改的程序性等原因而难以及时修改，监管过严则会损害元宇宙发展活力，过松又难以应对现实风险问题。

因此应当坚持用户自治与上位监管他治之融合，由元宇宙用户组成具有约束力与裁决权的用户联盟，以自我信息风险为本实现动态治理，对于元宇宙中可能发生的或者已经面临的数字风险予以及时回应。用户作为风险的直接利害关系人，对于问题的发生是具有直接感受以及高度警觉的，元宇宙用户联盟的出现能够极大增强元宇宙治理活性，避免元宇宙在法律条文主义的影响下逐渐僵化。并且，以用户体验、实际感受为抓手的治理方式，能够自然而然的区分出不同领域内的风险差距，并且予以差别性治理。差别性治理是指，根据被治理对象的不同而区分治理策略，对于风险较高的予以严格监管，风险较低的予以宽松监管，使得治理层略呈现梯度体现，这种方式下的元宇宙治理能够更显针对性与有效性。例如，对元宇宙内游戏行业的监管，只需要针对个人身份信息以及游戏内道具的保护即可，而对于产品营销、仿真工作模拟场景化下的个人信息保护，就需要涉及保护产品隐私、工作隐私保密等事项，则在此情况下需要元宇宙用户联盟与政府、平台紧密联系，通过法律治理来加强运营者、信息处理者在防范数字安全风险下的责任，并共同协商出有效的预防措施和救济手段，嵌入至元宇宙个人信息保护体系当中。

自治与他治融合的另一好处在于，元宇宙的去中心化对界内价值统一同样是现实挑战。过往的APP平台在价值选择上是用户以平台为领导，平台以法律为优先。然而在元宇宙中，代码仅仅作为搭建平台的工具，以及输入规则的程序，真正的价值准则其实是由用户与平台共同构建。自治方式的存在能够更好满足用户体验与需求，在元宇宙价值准则中加入用户的主观诉求，这一模式类似于现实立法活动中的听证会等形式，也可以说，元宇宙中的规则构建就是在虚拟空间中的一次虚拟立法，因此建立自治组织必不可少。

而用户联盟等自治组织的正常运行前提在于，需要与平台和政府建立紧密联系，以保证其拥有合法授权以及顺畅沟通渠道，在发现风险问题或潜在问题时，能够及时与上位监管这进行沟通，及时进行立法、执法以和司法等活动，也能够更加有利于政府监管职能的发挥。

结语

元宇宙被视为是下一代“全息”型互联网，是人类生活的新愿景，是人类科技发展的一大创举。科技本身是中立的，元宇宙时代的来临将会带来全新的生活体验，科幻小说中曾让人大开眼界的“在不同时空探索”成为现实，满足人类的精神需求和物质需求，但与此同时，元宇宙也给人类带来了前所未有的挑战。元宇宙个人信息保护也随着去中心化特征而体现出动态治理的要求，法律与规则不应动态，那么作为治理主体就应当包括具有公权力的政府、管理权的企业以及最庞大的参与群体——用户，自治与他治融合视角下，命令控制型的静态规则治理发展成协商式治理，自此有了匹配元宇宙社会的可能。但由于元宇宙的具体定论形式仍未出现，本文仅作了原则性讨论，仍需要在元宇宙的发展过程中作进一步细化，以供实务落实。