Juridiska tankar om Metaverse (II) dataskydd och integritet

I föregående Juridiska tankar om Metavers (I): Immateriella rättigheter, vi undersökte hur frågor kring immateriella rättigheter (IP) kan utvecklas. Även om det fortfarande till stor del är teoretiskt, är tidiga metaversa projekt redan har problem med dataskyddet.

I den här artikeln kommer vi att fokusera på dataskydd och integritet.

Data- och integritetsbrott

Under de senaste månaderna har många användare hävdat att deras Roblox-konton stals på Bilibi, en kinesisk youtube. Beräknat av RTrack har Roblox 202 miljoner aktiva användare per månad i april 2021 och över 65 % är barn under 16 år.

Med sin växande popularitet har Roblox ställts inför problemet med hackare som stjäl konton via webbläsartillägg från tredje part, komprometterade lösenord och obundna e-postadresser. Även om Roblox har listat steg för att hämta stulna konton på sin officiella hemsida; inte alla spelare har turen att få tillbaka sitt konto. 

Men även när spelare lyckas hämta konton är deras rekvisita och valuta ofta borta.

Som det här problemet i Roblox illustrerar har metaversen redan många sekretess- och datasäkerhetsproblem, med många fler sannolikt att dyka upp. Dessa inkluderar komplexa djupa förfalskning eftersom metaverse-tjänsteleverantörer får tillgång till mer användardata, inklusive biometrisk information, platsinformation och bankinformation.

Därför är data- och integritetsskydd nyckelfrågor för tillsynsmyndigheter och internetföretag som är på väg in i metaversen. Eftersom reklam sannolikt kommer att förbli den största intäktskällan för världens två största internetföretag, Facebook (nu omdöpt till Meta) och Google, kommer konsumenternas personuppgifter att vara benägna att missbrukas. 

Översikt över lagstiftning om skydd av personlig information

Global lagstiftning om skydd av personuppgifter kan spåras tillbaka till 1970 års dataskyddslag i den tyska delstaten Hessen. Sedan dess har lagar om skydd av personuppgifter i Schweiz (1973), Frankrike (1978), Norge (1978), Finland (1978), Island (1978), Österrike (1978), Island (1981), Irland (1988), Portugal ( 1991), Belgien (1992) och andra länder har också dykt upp.

Den tidigaste skrivna lagstiftningen om data och integritet i USA går tillbaka till Privacy Act från 1974 (5 USC § 552a). Sedan dess har det kommit många andra anmärkningsvärda lagstiftningar. 

• Consumer Online Privacy Act
• Children's Online Privacy Protection Act (COPPA)
• Electronic Communications Privacy Act, Financial Services Modernization Act (GLBA)
• HIPAA-lagen om bärbarhet och ansvarsskyldighet för sjukförsäkring
• Fair Credit Reporting Act 

Eftersom de mest uppenbara användningsfallen av metaversen kretsar kring onlinespel, är det vettigt att titta närmare på lagar kring konsumentskydd och minderåriga.

Personlig information

Hanteringen av personuppgifter inkluderar insamling, lagring, användning, bearbetning, överföring, tillhandahållande, avslöjande och radering av personlig information.

US Fair Credit Reporting Act (15 USC § 1681 et seq.) skyddar personlig ekonomisk information som samlas in av konsumentrapporteringsbyråer. Lagen begränsar tillgången till sådan information till dem som kan få den, och senare ändringar har förenklat processen för konsumenter att få och korrigera information om sig själva.

I Kina finns definitionen av personlig information i Folkrepubliken Kinas lag om skydd av personuppgifter, som trädde i kraft den 1 november 2021. "Personlig information" avser olika uppgifter relaterade till en identifierbar fysisk person som registrerats elektroniskt eller på annat sätt, och inkluderar inte anonymiserad information.

Integritetsskyddslagen för barn

Children's Online Privacy Protection Act (15 USC §§ 6501-6506) tillåter föräldrar att kontrollera information som samlas in online om deras barn (under 13 år). Operatörer av webbplatser som riktar sig till barn eller medvetet samlar in personlig information från barn är skyldiga att publicera sekretesspolicyer, skaffa föräldrarnas samtycke innan de samlar in information från barn, tillåta föräldrar att avgöra hur den informationen används och ge föräldrar möjlighet att välja bort har samlat in information från sina barn.

Juridiska tankar om Metaverse-projekt

I metaversen är informationsdata, oavsett om de tillhandahålls direkt av användaren eller genereras indirekt, såsom biometriska egenskaper, plats- och bankinformation, konsumtionsvanor och spelvanor, alla personliga uppgifter. 

Därför är det rimligt att metaversa projekt och involverade aktörer överväger följande.

Utvecklare av metaverse måste designa integritetsskydd när de utvecklar mjukvara och hårdvara, något som redan är ett krav inom virtual och augmented reality-teknik.

Till exempel, enligt den allmänna dataskyddsförordningen (GDPR), har Google Glass ljud- och visuella symboler som verkar låta användarna veta när de spelas in. Samtidigt måste spelplattformar ställa in spellägen för minderåriga för att undvika läckage av informationsintegritet för minderåriga. 

När det gäller juridiskt ansvar är det tydligt att överträdare inte kommer att vara immuna bara för att de är på metaversen eller på blockkedjan. US Commodity Futures Trading Commission (CFTC) kommissionär Brian Quintenz föreslog att kodutvecklare av smarta kontrakt skulle kunna åtalas om det är klart förutsägbart att den smarta kontraktskoden kommer att användas av amerikaner för att bryta mot CFTC-regler.

Artikel 22 i Folkrepubliken Kinas lag om cybersäkerhet föreskriver också att om det finns risk för skadliga program eller säkerhetsbrister eller sårbarheter i de tillhandahållna nätverkstjänsterna eller produkterna, ska korrigerande åtgärder vidtas omedelbart, annars kommer användaren att vara ansvarig för motsvarande juridiska ansvar.

Vanliga spelare måste skydda sin information och integritet för att säkerställa att de inte lätt stjäls genom att skapa komplexa lösenord, utföra regelbundna antivirusrensningar på sina enheter och välja autentiseringssystem för hämtning. Som i fallet med Roblox-spelare måste de binda sina e-postadresser för att bevisa att de är ägaren till kontot.

Föräldrar bör aktivera barns eller minderårigas inställningar i spelet, med uttryckligt samtycke från vårdnadshavaren för bortskaffande av minderårigas personuppgifter.

Mer att tänka på

Om Metaverse och NFT har vi tagit upp diskussionerna om IP-egendom,  NFT-ägande, och dataskydd för Metaverse. Även om decentralisering är kärnan i blockchain, ska regler upprättas för den nya formen av en värld för att undvika konflikter. Kommer det att finnas en DAO som körs som en domstol som behandlar liknande juridiska frågor i vår verkliga värld. Ännu mer att tänka på.

Datum och författare: 25 januari 2022, [e-postskyddad]

Datakälla: Footprint Analytics