Juridiske tanker om Metaverse (II) databeskyttelse og personvern

I forrige Juridiske tanker vedr metaverse (I): Immaterielle rettigheter, vi undersøkte hvordan problemer rundt intellektuell eiendom (IP) kunne utvikle seg. Selv om det fortsatt stort sett er teoretiske, tidlige metaverse prosjekter allerede har problemer med databeskyttelse.

I denne artikkelen vil vi fokusere på databeskyttelse og personvern.

Brudd på data og personvern

De siste månedene har mange brukere hevdet at Roblox-kontoene deres ble stjålet på Bilibi, en kinesisk youtube. Estimert av RTrack, har Roblox 202 millioner månedlige aktive brukere innen april 2021 og over 65 % er barn under 16 år.

Med sin økende popularitet har Roblox møtt problemet med hackere som stjeler kontoer via tredjeparts nettleserutvidelser, kompromitterte passord og ubundne e-postadresser. Selv om Roblox har listet opp trinn for å hente stjålne kontoer på sin offisielle nettside; ikke alle spillere er heldige som får kontoen sin tilbake. 

Men selv når spillere klarer å hente kontoer, er rekvisitter og valuta ofte borte for lenge siden.

Som dette problemet i Roblox illustrerer, har metaverset allerede mange personvern- og datasikkerhetsproblemer, med mange flere sannsynlighet for å dukke opp. Disse inkluderer kompleks dyp forfalskning ettersom metaverse-tjenesteleverandører får tilgang til flere brukerdata, inkludert biometrisk informasjon, plassering og bankinformasjon.

Derfor er data og personvern viktige bekymringer for regulatorer og internettselskaper som beveger seg inn i metaversen. Siden annonsering sannsynligvis vil forbli den viktigste inntektskilden for verdens to største internettselskaper, Facebook (nå omdøpt til Meta) og Google, vil forbrukernes personlige data være utsatt for misbruk. 

Oversikt over lover om beskyttelse av personopplysninger

Global lovgivning om beskyttelse av personopplysninger kan spores tilbake til databeskyttelsesloven fra 1970 i den tyske delstaten Hessen. Siden den gang har personopplysningslover i Sveits (1973), Frankrike (1978), Norge (1978), Finland (1978), Island (1978), Østerrike (1978), Island (1981), Irland (1988), Portugal ( 1991), Belgia (1992) og andre land har også dukket opp.

Den tidligste skriftlige lovgivningen om data og personvern i USA går tilbake til Privacy Act av 1974 (5 USC § 552a). Siden den gang har det vært mange andre bemerkelsesverdige lover. 

• Personvernloven for forbrukere på nett
• Children's Online Privacy Protection Act (COPPA)
• Loven om personvern for elektronisk kommunikasjon, loven om modernisering av finansielle tjenester (GLBA)
• Lov om helseforsikringens bærbarhet og ansvarlighet (HIPAA)
• Fair Credit Reporting Act 

Siden de mest åpenbare brukstilfellene av metaversen dreier seg om nettspill, er det fornuftig å se nærmere på lover rundt forbrukerbeskyttelse og mindreårige.

Personlig informasjon

Håndteringen av personopplysninger inkluderer innsamling, lagring, bruk, behandling, overføring, utlevering, avsløring og sletting av personopplysninger.

US Fair Credit Reporting Act (15 USC § 1681 et seq.) beskytter personlig økonomisk informasjon som samles inn av forbrukerrapporteringsbyråer. Loven begrenser tilgangen til slik informasjon til de som kan få dem, og senere endringer har forenklet prosessen for forbrukere å innhente og korrigere opplysninger om seg selv.

I Kina kan definisjonen av personlig informasjon finnes i Personopplysningsloven i Folkerepublikken Kina, som trådte i kraft 1. november 2021. «Personlig informasjon» refererer til ulike opplysninger knyttet til en identifiserbar fysisk person registrert. elektronisk eller på annen måte, og inkluderer ikke anonymisert informasjon.

Personvernloven for barn

Children's Online Privacy Protection Act (15 USC §§ 6501-6506) lar foreldre kontrollere informasjon som samles inn på nettet om barna deres (under 13 år). Operatører av nettsteder som retter seg mot barn eller bevisst samler inn personlig informasjon fra barn, er pålagt å legge ut personvernregler, innhente samtykke fra foreldre før de samler inn informasjon fra barn, la foreldre bestemme hvordan denne informasjonen brukes, og gi foreldre muligheten til å velge bort ha informasjon samlet inn fra barna sine.

Juridiske tanker om Metaverse-prosjekter

I metaversen er informasjonsdata, enten gitt direkte av brukeren eller generert indirekte, slik som biometriske funksjoner, plassering og bankinformasjon, forbruksvaner og spillvaner, alle personlige opplysninger. 

Derfor er det rimelig at metaverse-prosjekter og involverte aktører vurderer følgende.

Utviklere av metaverse må utforme personvernbeskyttelse når de utvikler programvare og maskinvare, noe som allerede er et krav i virtuelle og utvidede virkelighetsteknologier.

For eksempel, i henhold til General Data Protection Regulation (GDPR), har Google Glass lyd- og visuelle symboler som ser ut til å fortelle brukerne når de blir tatt opp. Samtidig må spillplattformer sette opp spillmoduser for mindreårige for å unngå lekkasje av informasjon om personvernet til mindreårige. 

Når det gjelder juridisk ansvar, er det klart at overtredere ikke vil være immune bare fordi de er på metaversen eller på blokkjeden. US Commodity Futures Trading Commission (CFTC)-kommissær Brian Quintenz foreslo at kodeutviklere av smarte kontrakter kan straffeforfølges hvis det er klart forutsigbart at smartkontraktkoden vil bli brukt av amerikanere for å bryte CFTC-regelverket.

Artikkel 22 i cybersikkerhetsloven i Folkerepublikken Kina fastsetter også at dersom det er risiko for ondsinnede programmer eller sikkerhetsfeil eller sårbarheter i nettverkstjenestene eller produktene som tilbys, bør utbedringstiltak iverksettes umiddelbart, ellers vil brukeren være ansvarlig for det tilsvarende juridiske ansvaret.

Vanlige spillere må beskytte sin informasjon og personvern for å sikre at de ikke lett blir stjålet ved å lage komplekse passord, utføre regelmessige antivirus-oppryddinger på enhetene sine og velge autentiseringssystemer for gjenfinning. Som i tilfellet med Roblox-spillere, må de binde e-postadressene deres for å bevise at de er eieren av kontoen.

Foreldre bør aktivere barns eller mindreåriges innstillinger i spillet, med eksplisitt samtykke fra foresatte for avhending av personopplysninger om mindreårige.

Mer å vurdere

Om Metaverse og NFT har vi tatt opp diskusjonene om IP-eiendom,  NFT eierskap, og databeskyttelse av Metaverse. Selv om desentralisering er kjernen i blokkjeden, skal det etableres regler for den nye formen for en verden for å unngå konflikter. Vil det eksistere en DAO som kjører som en domstol som behandler lignende juridiske spørsmål i vår virkelige verden. Enda mer å vurdere.

Dato og forfatter: 25. januar 2022, [e-postbeskyttet]

Datakilde: Footprint Analytics