Juridiske tanker om Metaverse (II) databeskyttelse og privatliv

I det foregående Juridiske tanker vedr metaverse (I): Intellektuelle ejendomsrettigheder, vi undersøgte, hvordan spørgsmål omkring intellektuel ejendom (IP) kunne udvikle sig. Selvom det stadig stort set er teoretiske, tidlige metaverse projekter allerede har problemer med databeskyttelse.

I denne artikel vil vi fokusere på databeskyttelse og privatliv.

Krænkelser af data og privatliv

I de seneste måneder har mange brugere hævdet, at deres Roblox-konti blev stjålet på Bilibi, en kinesisk youtube. Anslået af RTrack har Roblox 202 millioner månedlige aktive brugere i april 2021, og over 65 % er børn under 16 år.

Med sin voksende popularitet har Roblox stået over for problemet med hackere, der stjæler konti via tredjeparts browserudvidelser, kompromitterede adgangskoder og ubundne e-mail-adresser. Selvom Roblox har angivet trin til at hente stjålne konti på sin officielle hjemmeside; ikke alle spillere er heldige at få deres konto tilbage. 

Men selv når spillere formår at hente konti, er deres rekvisitter og valuta ofte for længst væk.

Som dette problem i Roblox illustrerer, har metaverset allerede mange privatlivs- og datasikkerhedsproblemer, med mange flere tilbøjelige til at dukke op. Disse omfatter kompleks dyb forfalskning, da metaverse-tjenesteudbydere får adgang til flere brugerdata, herunder biometriske, placerings- og bankoplysninger.

Derfor er data- og privatlivsbeskyttelse centrale bekymringer for regulatorer og internetvirksomheder, der bevæger sig ind i metaversen. Da reklame sandsynligvis vil forblive den største indtægtskilde for verdens to største internetvirksomheder, Facebook (nu omdøbt til Meta) og Google, vil forbrugernes personlige data være tilbøjelige til at blive misbrugt. 

Oversigt over lovgivning om beskyttelse af personlige oplysninger

Global lovgivning om beskyttelse af personlige oplysninger kan spores tilbage til databeskyttelsesloven fra 1970 i den tyske delstat Hessen. Siden da er love om beskyttelse af personlige oplysninger i Schweiz (1973), Frankrig (1978), Norge (1978), Finland (1978), Island (1978), Østrig (1978), Island (1981), Irland (1988), Portugal ( 1991), Belgien (1992) og andre lande er også dukket op.

Den tidligste skrevne lovgivning om data og privatliv i USA går tilbage til Privacy Act af 1974 (5 USC § 552a). Siden da har der været mange andre bemærkelsesværdige love. 

• Forbruger Online Privacy Act
• Børns Online Privacy Protection Act (COPPA)
• Electronic Communications Privacy Act, Financial Services Modernization Act (GLBA)
• Lov om sundhedsforsikring og ansvarlighed (HIPAA)
• Fair Credit Reporting Act 

Da de mest åbenlyse use cases af metaverset drejer sig om onlinespil, giver det mening at se nærmere på love omkring forbrugerbeskyttelse og mindreårige.

Personlig information

Håndteringen af ​​personoplysninger omfatter indsamling, opbevaring, brug, behandling, transmission, levering, videregivelse og sletning af personoplysninger.

US Fair Credit Reporting Act (15 USC § 1681 et seq.) beskytter personlige økonomiske oplysninger indsamlet af forbrugerrapporteringsbureauer. Loven begrænser adgangen til sådanne oplysninger til dem, der kan få dem, og efterfølgende ændringer har forenklet processen for forbrugerne til at indhente og rette oplysninger om sig selv.

I Kina kan definitionen af ​​personlige oplysninger findes i Folkerepublikken Kinas lov om beskyttelse af personlige oplysninger, som trådte i kraft den 1. november 2021. "Personlige oplysninger" refererer til forskellige oplysninger relateret til en identificerbar fysisk person registreret elektronisk eller på anden måde, og omfatter ikke anonymiserede oplysninger.

Lov om beskyttelse af privatlivets fred for børn

Children's Online Privacy Protection Act (15 USC §§ 6501-6506) giver forældre mulighed for at kontrollere oplysninger indsamlet online om deres børn (under 13 år). Operatører af websteder, der målretter mod børn eller bevidst indsamler personlige oplysninger fra børn, er forpligtet til at offentliggøre fortrolighedspolitikker, indhente forældres samtykke, før de indsamler oplysninger fra børn, tillade forældre at bestemme, hvordan disse oplysninger bruges, og give forældre mulighed for at fravælge at have indsamlet oplysninger fra deres børn.

Juridiske tanker om Metaverse-projekter

I metaversen er informationsdata, uanset om de er leveret direkte af brugeren eller genereret indirekte, såsom biometriske funktioner, placering og bankoplysninger, forbrugsvaner og spillevaner, alle personlige oplysninger. 

Derfor er det rimeligt for metaverse projekter og involverede aktører at overveje følgende.

Udviklere af metaverse skal designe privatlivsbeskyttelse, når de udvikler software og hardware, noget der allerede er et krav i virtual og augmented reality-teknologier.

For eksempel, i henhold til den generelle databeskyttelsesforordning (GDPR), har Google Glass lyd- og visuelle symboler, der ser ud til at lade brugerne vide, hvornår de bliver optaget. Samtidig er spilplatforme nødt til at konfigurere spiltilstande for mindreårige for at undgå lækage af oplysninger om privatlivets fred for mindreårige. 

Med hensyn til juridisk ansvar er det klart, at krænkere ikke vil være immune, bare fordi de er på metaversen eller på blockchain. US Commodity Futures Trading Commission (CFTC) kommissær Brian Quintenz foreslog, at kodeudviklere af smarte kontrakter kunne retsforfølges, hvis det klart kan forudses, at den smarte kontraktkode vil blive brugt af amerikanere til at overtræde CFTC-regler.

Artikel 22 i cybersikkerhedsloven i Folkerepublikken Kina foreskriver også, at hvis der er risiko for ondsindede programmer eller sikkerhedsfejl eller sårbarheder i de leverede netværkstjenester eller produkter, skal der straks træffes afhjælpende foranstaltninger, ellers vil brugeren være ansvarlig for det tilsvarende juridiske ansvar.

Almindelige spillere skal beskytte deres oplysninger og privatliv for at sikre, at de ikke let stjæles ved at oprette komplekse adgangskoder, udføre regelmæssige antivirus-oprydninger på deres enheder og tilvælge godkendelsessystemer til hentning. Som i tilfældet med Roblox-spillere, skal de binde deres e-mailadresser for at bevise, at de er ejeren af ​​kontoen.

Forældre bør aktivere børns eller mindreåriges indstillinger i spillet med udtrykkeligt samtykke fra værgen til bortskaffelse af mindreåriges personlige oplysninger.

Mere at overveje

Om Metaverse og NFT har vi rejst diskussionerne om IP-ejendomme,  NFT ejerskab, og databeskyttelse af Metaverse. Selvom decentralisering er kernen i blockchain, skal der etableres regler for den nye form for en verden for at undgå konflikter. Vil der eksistere en DAO, der kører som en domstol, der behandler lignende juridiske spørgsmål i vores virkelige verden. Stadig mere at overveje.

Dato og forfatter: 25. januar 2022, [e-mailbeskyttet]

Datakilde: Footprint Analytics