在VR虚拟现实中收集用户数据 小心被罚款！

今天黑匣想探讨一下VR所面临的个人数据保护问题。

今年，VR虚拟现实绝对是各大展会的焦点。但未知领域的探索往往会带来新的法律问题。今天黑匣将带大家探讨一下VR所面临的个人数据保护问题。

VR虚拟现实大多数情况下都会涉及到个人数据的传输。虚拟角色的出现给我们提出了一个有趣的法律问题：化身在虚拟世界中的互动数据是否属于个人信息，是否需要遵守相关的个人数据保护法?

显然，答案是肯定的。因为用户在注册虚拟帐户时，他/她的个人数据就已经被收集了。任何关于该用户的后续数据收集——在虚拟世界中的互动(例如位置、联系用户、交易、喜好)，大多数情况下与他们的帐户匹配，也属于个人资料。

这意味着，这些系统的开发商在进行商业应用时需要考虑数据隐私法律法规，否则极有可能面临法律制裁的风险，还有可能必须从推翻原先的设计。

今年四月，Oculus就被爆出大量收集用户数据的问题。虽然Oculus表示收集用户行动数据是为了营造良好的虚拟现实体验，改善服务。然而“这些数据是否会被用于广告营销”、“如何保障数据安全”等问题无不引起消费者恐慌。

针对个人数据保护问题，各地区都有自己的立法。以英国为例——1998年英国颁布《数据保护法案(DPA)》，针对个人数据的处理(包括获取、组织、利用和破坏个人数据)进行了规定。企业必须遵守DPA数据处理的八个原则，其中第一条就是个人数据处理的公平性与合法性。合法，即个人数据处理必须符合规定的条件。

在VR环境中，最重要的条件就是数据的采集需征得被采集人同意——即被采集人可根据个人意愿自由选择，采集信息要给出具体通知、指示。清晰明确的同意声明需给出数据保护警示，全面解释信息处理的类型。如果用户是儿童，那么还需要获得父母的同意。DPA的内容还包括有关使用个人数据进行营销规则，保持个人数据的安全，防止其流失或误用。

如果数据控制者不遵守DPA的规定，信息处理事务局(Information Commissioner’s Office，ICO)可以采取有关行动。ICO有权发布强制执行通知书，要求停止数据处理或删除数据，最多可开出50万欧元的罚款，甚至起诉违反法律法规的数据控制者。个人权益受到侵害的情况下，受害者还可通过法院申请一定的赔偿。

【黑匣注：“数据控制者”是可以决定个人数据处理的个人或企业，还有可能是联合组织。用户、程序开发者、社交媒体网站都有可能是数据控制者。】

个人有权依法作向任何数据控制组织提出访问请求(SAR)，该组织最多可收取10欧元的费用，但必须给出该机构持有的个人资料复印件，除非获得豁免。个人也有权反对其数据被直接用于广告营销;在特定情况下，可以要求删除他们的个人资料。

不过DPA只适用于英国内成立或者设备在英国国内的数据控制者，对于英国以外的组织无法监控。

而欧盟出台的《通用数据保护条例(GDPR)》除了在欧盟范围内的适用，还适用于数据主体在欧盟境内、控制者不在欧盟境内的数据处理活动。企业若想在欧盟境内持续运营，就必须遵从GDPR的相关义务规定，否则将最高面临年全球营业额2%的罚款。这意味着，任何国家的VR企业，只要进入欧盟市场，就必须受到GDPR的约束。

GDPR将取代每个欧盟成员国国内的数据保护法，于2018年5月25日生效。它对透明度的要求更高，明确了数据控制者的责任，加强了个人权利的保护。对违反GDPR规定的企业及个人的制裁更严厉：组织可被罚款2000万欧元或全球营业额的4%——对于谷歌这样的科技巨头而言，一旦处罚将会是几十亿美元。

开发者不再能够将同意申明字眼掩藏在冗长的条款或隐私政策内，而是必须明确给出安全警告、隐私声明。相信这些标准将应用于许多VR平台和应用程序。

GDPR规定，如果核心业务活动包括长期、系统的大规模个人信息监测，企业必须指定一个数据保护官(DPO)，负责协助所有数据保护问题。数据保护官将针对可能危害个人权益和自由的高风险新技术(比如VR)，进行数据保护评估。

将来，企业会被要求对个人数据的收集和处理进行详细记录，包括收集的信息类别、收集目的、数据公开的第三方等等。这任务对任何企业而言都是繁重的，对虚拟现实平台这样收集大量个人数据的企业更是艰巨。

GDPR还通过了“设计保护”和“默认保护”规则，企业进行数据处理的初期，例如在产品或服务的生产阶段就要建立合适的数据保护方式，社交网站也需要默认的隐私设置。而VR虚拟现实利益相关者需要遵守这样的规则，在开发之初就应该考虑好个人资料及产品开发采用的数据保护——收集哪些资料、收集的目的为何、怎么收集。

相对于西方日渐完善的个人信息保护法，我国在个人数据保护方面的立法状况令人堪忧。

中国社会科学院2009年发布《法治蓝皮书》指出，我国个人信息滥用问题严重，存在以下四大问题：

一、过度收集个人信息——收集大量非必要或完全无关的个人信息，如在办理积分卡时，要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;

二、擅自披露个人信息——未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息，如对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;

三、擅自提供个人信息——未经法律授权或者本人同意的情况下，将所掌握的个人信息提供给其他机构;

四、非法买卖个人信息——大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象，并形成了一个灰色产业。

针对上述问题，2012年11月我国发布《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)，2013年2月1日正式实施。该《指南》对利用信息系统处理个人信息的相关活动进行指导和规范，将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意两种概念，以及处理个人信息时应当遵循的八项基本原则——目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。

然而个人信息保护最有效的途径是单独立法，并制定相应处罚措施，实现真正的有法可依。而《指南》作为一项指导性技术文件，只是一个行业内部规范，不具有法律强制力。这样的标准离公众信息保护的心理预期还有很大差距。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!