本期召集人  涂龙科

上海市社会科学院法学研究所刑法室副主任，研究员、博士生导师，杨浦区检察院原副检察长

元宇宙作为虚拟与现实的交互空间，集合了当今科技进步与发展的顶尖技术。新技术会改变世界，也会改变法律，我们法律人关注的不仅仅是技术本身的变化，更关注技术发展为权利义务边界以及罪与非罪红线带来的变化。元宇宙发展和实现过程中技术运用可能会面临法律风险，对数据安全、财产安全会带来新的挑战。如何规避这些风险和挑战，将元宇宙的负面影响控制在最小范围内，需要在法律层面上进行系统的理论研究和制度设计。为此，本次“75号咖啡·法律沙龙”聚焦“元宇宙发展中的法律风险与应对”，分专题开展研讨交流，首先是关于元宇宙发展中的技术和数据风险。

一、元宇宙发展中的技术风险

本期召集人  涂龙科

上海市社会科学院法学研究所刑法室副主任，研究员、博士生导师，杨浦区检察院原副检察长

元宇宙所运用的各类技术，都不是全新的技术，而是通过技术之间的相互协同，体系化地共同呈现了一个新的“平行世界”或“平行宇宙”。即物联网技术在元宇宙中生成一个数字分身，交互技术让这个分身按照“我”的意思操作并通过通信技术传输；为了增强体验感，采用了电子游戏技术和交互技术；区块链技术可以让“我”在元宇宙里实现类似现实世界的商品交易；人工智能技术可以帮助“我”完成很多事。这些技术，不仅可作为助力科技向善的正向力量，还可能影响社会秩序、诱发各种法律风险。在元宇宙运用和发展过程中，存在哪些技术风险？

谢虹燕

阿里巴巴集团高级安全专家

元宇宙有六大核心技术，即区块链技术、交互技术、游戏引擎和空间计算技术、人工智能技术、网络技术和物联网技术，它们在运用过程中可能会面临一定的风险，主要表现为：区块链技术未来可能涉及到的是整个元宇宙空间数字资产的保护和交易的风险，包括数字资产未来怎么确权，怎么对交易进行保护，怎么防止数字资产在网络上被用于洗钱和其他不正当的用途。交互技术主要涉及XR、VR、AR等穿戴设备，未来可能会涉及数据采集源头的风险，因为未来采集的数据不仅仅包括当下互联网领域所采集的数据类型，可能涉及很多生物识别的数据。游戏引擎和空间计算技术会有潜在知识产权保护的风险。因为游戏本身比较突出的问题就是著作权的保护，包括游戏的设计过程中，在跟虚实空间进行孪生时，可能会有侵犯他人知识产权的风险，同时，游戏本身的著作权也需要保护。人工智能风险是目前讨论相对比较多的，关注点在算法安全领域。网络技术和物联网技术潜在风险可能会涉及非法侵入、控制、破坏计算机信息系统。

燕丽

算力智库创始人、总裁

我认为目前阶段而言，元宇宙的技术风险主要表现为：一是隐私风险。个体隐私数据作为支撑元宇宙持续运转的底层资源需要不断更新和扩张，数据资源合规收集、储存与管理尚待探讨。元宇宙作为一个超越现实的虚拟空间，需要对用户的身份属性、生理反应、行为路径、社会关系、人际交互、财产资源、所处场景甚至是情感状态和脑波模式等信息进行细颗粒度挖掘和实时同步。个体数据作为支撑元宇宙持续运转的底层资源需要不断更新和扩张，这些数据资源如何合理授权和合规应用？如何防范元宇宙形态下基于数据的新型犯罪形式？目前都属于摸着石头过河，需要谨慎思考和应对。二是知识产权问题。知识产权问题可以说是数字空间中的一个“顽疾”，虽然区块链技术为认证、确权、追责提供了技术可能性，但元宇宙空间大量的UGC（用户生成内容）生成和跨虚实边界的IP（知识产权）应用，加剧了知识产权管理的复杂性和混淆性，存在一定的侵权风险。

二、元宇宙发展中技术风险的治理

本期召集人  涂龙科

上海市社会科学院法学研究所刑法室副主任，研究员、博士生导师，杨浦区检察院原副检察长

我们知道科学技术的发展是一把双刃剑，在推动人类社会向前发展的同时，也会给我们带来一定的危机，元宇宙也是如此。有观点认为，元宇宙有一个非常重要的特性就是开放性，但元宇宙的开放，需要秩序来加持，否则必然会因为缺乏有效地治理而陷入混乱。面对元宇宙发展中的技术风险，应如何应对和解决？

燕丽

算力智库创始人、总裁

元宇宙作为一个自成体系的虚拟世界，对于元宇宙内部的风险，由于是其自身技术运用产生的风险，应用技术自身的规则进行治理。在治理过程中，要尊重元宇宙自治的可能性。治理应建立在与元宇宙世界对话的基础上，充分尊重它自身技术逻辑，不建议直接从法律的角度进行自上而下的干预。法律需要保持必要的谦抑性，只有风险对现实的法律规定产生了影响或者说产生了现实的违法行为、后果，法律才应该介入，否则，法律无需介入。

谢虹燕

阿里巴巴集团高级安全专家

我有不同观点，我认为元宇宙的有序、健康发展需要法律体系的保驾护航。元宇宙兴起以来，我国的法律和制度供给跟进较快。如今年3月1日起施行的《互联网信息服务算法推荐管理规定》对算法的治理对象、算法治理的基本原则、算法的合规要求做了明确规定，以及明确了提高算法透明度和可解释性、算法的分级分类安全管理制度、算法备案制度和安全评估制度，织密了算法治理的法治之网。

与此同时，对元宇宙核心技术风险的治理，离不开行业自治自律。实践中，针对算法技术本身存在的缺陷，产业界不断地通过技术手段去规避固有的缺陷。尤其是针对人工智能中算法本身存在的偏见和歧视，产业界通过人工的干预和改进，以保证它的公平性，来减少它的偏见、歧视所带来的负面影响。再如，针对算法的不可解释性，产业界通过不断深入地解释算法的运行、决策逻辑和运行机制，增强算法的可解释性，让人们能够更好的理解算法能够产生的结果和对算法结果进行预测。在技术改进的基础上，可以推动制定行业标准和规则，形成算法伦理，让公平的价值观能够始终贯彻算法的研发和使用过程。

邵旻

杨浦区检察院检察官

数字经济时代单纯依靠抽象的规则和法律条文并不能非常有效地规避科学技术发展所带来的各种风险，对于元宇宙底层核心技术的风险，我认为治理的关键要依靠底层技术的驱动，发挥技术本身的优势，提升技术运用的质效。比如，区块链技术是推动数字世界变得更加规范和公平的重要技术手段，区块链技术最大的作用就是给数字世界建立了时间秩序，通过为数字产品确权，在很大程度上规避了数字产品所有权混乱的风险。

与此同时，元宇宙世界是现实世界的映射，企业或技术人员在对元宇宙进行建构和开发的时，要遵循现实世界的道德、法律原则和法律规制。在元宇宙开发过程中不能被动的等待法律回应，技术本身应该发挥能动性，吸收法律的精神、原则用于自我规制。因为法律和技术之间有差距，法律是一般性、稳定性的治理方式，法律天然滞后于技术。所以对于元宇宙技术风险，应尽量通过技术手段在内部去消解掉，防止其转化成外部法律风险。元宇宙自身发展风险和法律的适用，两者之间应该进行充分的吸收和合作，寻找风险治理的最佳方案。

此外，元宇宙作为现实世界的映射，势必会被现实世界影响，其产生的各种风险，不管是技术本身还是元宇宙中的参与者行为导致的，一定程度上其风险都能在现实世界找到物理根源。因此，对于这些风险当然可以依据现实世界的法律进行规制。站在法律的视角，不管是人工智能、空间技术、还是区块链，风险治理的逻辑大同小异，现有成熟的法律治理体系可以用于规制、解决这些问题。

三、元宇宙发展中的数据安全风险

本期召集人  涂龙科

上海市社会科学院法学研究所刑法室副主任，研究员、博士生导师，杨浦区检察院原副检察长

未来元宇宙建设一定是在保障安全的前提下进行。数据作为元宇宙的核心要素，元宇宙的安全离不开底层数据的安全。目前而言，元宇宙中存在的数据安全风险或者说是隐患具体有哪些？

张勇

华东政法大学教授、博士生导师

元宇宙中的数据安全风险问题主要表现为：一是个人信息安全风险。用户在元宇宙中的个人信息信息一旦泄露或被滥用，将极有可能暴露用户在现实世界中的身份和生活，严重侵犯个人隐私。二是网络安全风险。在元宇宙体系中，5G、数字孪生、云计算、区块链等数字技术支撑起元宇宙的基础架构，但也相应带来了更大的数据安全和网络攻击风险。元宇宙与多样化的硬件设备相连接，也面临庞大的数据处理、交换需求，这为网络安全保障提出了新的挑战。三是数据跨境转移监管问题。由于元宇宙具有的高度交互性，前面有嘉宾也提到，未来元宇宙可能并不仅仅局限于某个或某些国家，而是全球化的模式。基于数据全球化，不可避免地会产生数据跨境转移问题，这是将来亟待解决的问题之一。

谢虹燕

阿里巴巴集团高级安全专家

在元宇宙底层核心技术人工智能的算法技术运用过程中，要用到大量的数据，包括数据的采集、传输、保存、使用、处理和销毁，可能会造成数据的泄露和被非法使用以及数据没有得到有效的保护。另外，数据在使用的过程中可能被恶意利用，从而损害国家、社会公共利益以及其他公民的人身或财产权益。

李岩

杭州金智塔科技首席执行官

元宇宙作为新生事物，虽为互联网技术集成与数字经济发展带来新机遇，但其发展过程仍充满不确定性。网络时代，重要数据极易遭受攻击，网络入侵、数据篡改、数据泄露等现象时有发生。元宇宙是依据网络技术等底层核心技术构建起来的虚拟世界，因此在互联网中出现的数据泄露和被侵入的风险，在元宇宙中同样会出现。

本期召集人  涂龙科

上海市社会科学院法学研究所刑法室副主任，研究员、博士生导师，杨浦区检察院原副检察长

三位嘉宾主要从个人信息安全、数据跨境流通、网络入侵以及技术运用过程中的数据泄露等角度，谈了数据安全面临的风险。那么从刑事法律角度来看，面临哪些风险呢？

顾伟

徐汇区检察院检察官

技术的发展必然会导致数字技术的创新和产业链的拓展。元宇宙在发展过程中需要场景、算法等多维度的支持，其中的核心就是数据处理。当前，数据被赋于了更多的经济价值和社会价值，成为不法分子的犯罪对象。基于此，我认为目前从刑事角度看，元宇宙中数据安全风险主要分三个阶段：第一是概念形成阶段，可能存在炒作元宇宙相关概念的犯罪；第二是早期运行阶段，可能涉及到犯罪场景论的问题，比如变相赌博或者造谣、传谣的犯罪行为；第三是发展成熟阶段，与互联网时代有重合且异化的犯罪会出现，比如侵入脑机接口进行性骚扰犯罪。而在这个发展过程中，对于元宇宙中的数据安全风险可能带来的法益侵害，主要表现为三方面：一是对信息系统安全的法益侵害，因为在万物互联的过程中，只要对数据处理进行干扰就可能影响到信息系统的安全；二是对空间秩序的法益侵害；三是对个体权益的侵害，尤其是对数据中涉及的隐私权、财产权等的侵害。

从刑事立法来看，数据安全的刑事法律风险主要涉及以下四类：第一类是数据获取类犯罪，侵害了数据本体的安全性和保密性，它的目的是相对单一的，但是它的行为手段是多样的，包括侵入计算机，发送数据验证、请求，窃取、骗取他人登录权限等方式获取数据。第二类是数据造假类犯罪，一种是利用生成规则造假，类似于现今常见的刷单、“薅羊毛”行为；另一种是数据反映内容与现实情况不符，比如“秦火火案件”¹“杭州女子取快递被造谣案”²，这类造假的核心并不是数据本身是假的，而是数据本体或者反映的内容具有虚假性，扰乱了公共秩序。第三类是数据攻击类犯罪，这类是我们常说的DDOS攻击（分布式拒绝服务攻击）、DNS（域名系统）劫持等等，利用数据流对系统安全造成侵害的行为。第四类是数据犯罪的关联犯罪，目前实践中常见的包括引流推广、提供工具、技术支持以及支付结算等等，元宇宙中可能出现新的关联行为或者帮助性行为。

四、元宇宙发展中数据安全风险的治理

本期召集人  涂龙科

上海市社会科学院法学研究所刑法室副主任，研究员、博士生导师，杨浦区检察院原副检察长

元宇宙的发展过程中充满了未知与挑战，需谨慎看待其机遇与挑战，做到发展与安全并重。针对当下元宇宙建设中的各种数据安全风险，应如何对这些风险进行管控和治理？

邵旻

杨浦区检察院检察官

我非常赞同张教授，同时我认为，面对数据安全面临的风险，法律也是很好的一种规制手段。一是适用个人信息保护法。从对用户的个人信息保护角度出发，相关个人信息的归属权应当归用户所有，元宇宙平台企业或者运营方仅能在用户授权的情况下进行收集、储存或使用。同时，作为信息处理者的元宇宙平台企业或者运营方，应当采取技术措施和其他必要措施，确保其收集、存储的用户个人信息安全，防止发生信息泄露、篡改、丢失，特别是敏感个人信息。根据个人信息保护法的规定，只有在特定的目的和充分的必要性，并采取严格保护措施的情形下，方可对采集的数据进行处理；如发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，告知自然人并向有关主管部门报告。二是适用网络安全法。对于元宇宙中数据的跨区域跨境流通中存在的风险，可以参照适用我国网络安全法第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”其中，个人信息如需跨境转移，应当获得个人信息主体同意，否则不得出境；对于可能给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益，以及其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的数据禁止出境。如若平台运营方违反上述规定，可能导致行政处罚（如罚款、吊销营业执照等），严重者甚至可能触犯刑法（如拒不履行信息网络安全管理义务罪、非法提供国家秘密、情报罪等罪名），遭受刑事处罚。

谢虹燕

阿里巴巴集团高级安全专家

除了依靠法律和合规方式进行规制，从技术本身出发进行完善也很重要。目前在元宇宙中，数据加密技术是防止数据泄露的有效手段。根据机密性、完整性、认证性等不同安全需求，可采用多种不同的加密技术，业界常用的有对称加密技术和非对称加密技术两种。对称加密技术是指发送方与接收方共享相同密钥对传输消息进行加密解密，可适用于对大量数据和文件操作，存在多种工作模式，依然具备广阔的应用前景。非对称加密则存在公私钥之分，只有私钥拥有者可解密，可在身份认证、数字签名等场景中发挥重要作用。元宇宙平台企业可以根据不同需求选择不同的加密技术对数据进行保护。

本期召集人  涂龙科

上海市社会科学院法学研究所刑法室副主任，研究员、博士生导师，杨浦区检察院原副检察长

对数据安全的保护可以从技术角度进行“自我加密”，可以运用个人信息保护法、网络安全法捍卫用户、企业、国家的数据权益，还可以从企业合规角度进行“源头治本”。那么，从刑事法律角度，对于元宇宙中危害数据安全的违法犯罪行为，应该如何规制？

张勇

华东政法大学教授、博士生导师

从刑事法律角度来看，在元宇宙中，行为人可以通过侵入计算机信息系统的方式，在元宇宙虚拟空间中获取相应的数据信息。由于元宇宙世界的构建也需要运用与网络有关的软件技术和硬件设备，如大数据、云计算技术，VR、AR设备等。因此，行为人在元宇宙虚拟空间中实施非法获取数据信息的行为也同样可能符合刑法规定的数据犯罪的构成要件，构成非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪、侵犯公民个人信息罪等数据犯罪。

顾伟

徐汇区检察院检察官

我国现在计算机罪名是以技术限定为中心，而不是以信息内容安全为中心的立法，很多信息内容的安全性在刑事规定中被忽略。为此，基于立法现状，结合数据安全风险类别、数据犯罪的特征或者目的，可以从以下路径对元宇宙中数据安全风险进行刑事法律规制。

首先，对于数据获取的刑事规制，可以分为一般的规则和特殊规则。一般规则来说，不论是侵入获取，还是通过账号生成器或者数据请求获取数据，亦或者非授权登录获取数据，最终都是侵害了数据本体的安全性，均可以认定为非法获取计算机信息系统数据罪。而特殊规则来说，有些数据被赋能后，体现了不同的价值，反映的是公民个人信息、商业秘密、网站优惠券等等，它体现了一定的经济价值或者社会价值，可能涉及一行为侵害多种法益的想象竞合。对此，原则上是按照特殊法益的保护路径，比如以侵犯公民个人信息罪等来处理。对于一行为可能造成一因多果的结果，如利用爬虫软件去爬取数据的过程中，造成了数据泄露和信息瘫痪的两个危害结果，可能是以重罪吸收轻罪的原则予以处理。而对于虚拟财产的非法获取或者处置，在实践中，确实有计算机罪名和侵财类罪名交织的情况。目前司法实践中，对于获取游戏道具类的，原则上以非法获取数据类犯罪论处，对于非法获取虚拟财产，包括比特币等数字货币的，由于它体现了财产属性，可以侵财类犯罪来定罪处罚。  

其次，对于数据造假类犯罪的刑事规制，主要区分为牟利型数据造假和扰乱型数据造假。牟利型数据造假以数据背后的经济价值为目的，通过薅羊毛或者非法获取等行为虚增了相应的数据。这种行为根据手段和目的的不同，确定触犯的罪名，可以以侵财类犯罪论处。扰乱型数据造假是指通过数据造假或者发布虚假信息，造成网络秩序的混乱的行为，常见的如口碑营销和网络谣言等。这类行为往往是根据侵害的法益来认定，比如非法经营、诽谤等罪名。

再次，对于数据攻击类犯罪，原则上是以破坏计算机信息系统罪来认定。对于这类犯罪的打击，有利于保护我国信息网络系统的安全。最后，数据犯罪的关联行为，立法不断地将一些帮助行为或者独立性行为单独成罪，定罪模式从共犯到独立的罪名，在这个过程当中，需要审慎掌握，充分考虑到刑法的谦抑性。

总体而言，刑法应该保持守正创新、审慎推进的态度，来保障元宇宙健康发展。一是坚持现实主导和罪刑法定。目前来说对于现实法益侵害的，原则上以打击为主；对于可能在初创阶段的，严格遵循罪行法定原则，审慎入罪。二是树立刑事政策、刑事规则、刑事监管多头并进的理念，要给元宇宙的初创企业一定的容错或纠错空间，通过适度放权或者企业合规等模式，帮助促成企业健康有序地发展，形成元宇宙良好的生态。三是坚持立法完善和技术合规并行。技术很有可能走在刑法的前面，面对这样的情况，要解决好技术领先和法律滞后的矛盾。一方面要倡导技术向善，另一方面要不断优化刑法相关的条文和刑事规制路径。