(本文共5633字,预计阅读时长为25分钟)

美国东部时间2023年6月5日下午1点，苹果在全球开发者大会推出“Vision Pro”头显设备。相比于已经发展得很成熟的VR眼镜，“Vision Pro”的亮点在于其融合了AR（Augmented Reality）技术：使用者可以通过调节眼镜上方的旋钮进入AR模式，在这一模式中，通过将Apple Watch的操作系统逻辑应用于该产品，并引入苹果独有的“空间计算”技术，使用者将在眼镜中看到现实世界的空间中出现了浮空的各种虚拟操作界面。而利用眼镜内部装备的多个传感器，Vision Pro可以灵敏地捕捉使用者脸部和手部的动作，让使用者无需通过手柄或其他交互设备，仅需通过眼神、手势和声音等就可以便捷地操作虚拟界面，极具科幻感。

以“Vision Pro”为代表的VR设备是我们进入元宇宙世界的重要连接工具，VR设备有很多种类，比如VR眼镜、VR头盔、VR数字手套和万向跑步机等，不同设备收集的生物信息有差别，特别是高级的设备能够收集到更多的生物信息。而在收集到相关生物信息后如果不重视数据合规，就可能导致用户信息被泄露的风险，例如某游戏公司通过用户所使用的VR设备收集用户身体指标数据，并将该数据泄露给某保险公司，保险公司根据该数据所反映的用户健康状况评估是否为用户提供保险服务。

当意识到使用VR设备将会侵犯用户隐私权等人格权乃至财产权的风险时，新兴科技潜在客户的消费热情难免会受到影响，如何合法进行生物识别信息的收集与处理便成为产品提供者与消费者关注的重中之重。

01

当前VR设备概况

（一）主流VR设备及其主要功能

VR全称为Virtual Reality，即通过各种仿真技术创建和体验虚拟世界，用户可通过使用该设备获得置身于虚拟世界的体验。根据模拟功能的不同，目前市面上的VR设备可大致分为三类，分别是：模拟躯干运动类、模拟视野画面类以及模拟感官类，主流设备品种及其功能如下表所示：

（二）主流VR设备主要收集的信息

VR产品多为佩戴式设备，其在使用过程中与用户身体密切接触，具有强互动性。根据目前的技术水平，VR产品既可收集用户虹膜、指纹、身高、体型、声纹等外部生物特征，也可通过监听用户心跳频率、跟踪肌肉反应等获取用户生理信息。由于每个人具有独特的生物特征，上述信息难以匿名化处理，属我国《个人信息保护法》所保护的信息之列。

值得注意的是，VR产品可直接收集的数据并非仅单独存在，如若对其进行组合处理，可能获得更有信息价值的间接数据。正如本文首段所举之例，VR产品收集的身体数据经过专业分析，可生成关于用户健康状况的报告；再如，通过瞳孔放大程度可判断对某人或某物的偏好程度；此外，眼球跟踪技术还可通过眼球移动判断用户是否认识某人。诸如此类数据一旦被非法转移与交易，可能被应用于诸多领域，不仅侵犯用户隐私权，也可能会带来用工歧视等社会问题，陷入科技伦理的冲突困境。

02

三、生物信息安全的立法现状

（一）国内立法情况

现阶段，我国关于生物信息安全的立法规制主要分为公法和私法两个领域。其中，私法领域以民事侵权保护为主；而公法领域主要表现为刑法与行政法的规制；此外，多部标准性文件在生物信息安全领域发挥着重要补充作用。

在民事立法上，我国对个人生物信息安全的保护主要以《中华人民共和国民法典》（以下简称《民法典》）、《消费者权益保护法》以及《个人信息保护法》为主。《个人信息保护法》规定了个人就其生物信息享有的知情同意权、撤销权等权利；《民法典》在人格权编明确将生物识别信息涵盖至个人信息范围内，将其与隐私权一并保护，赋予了民事主体侵权救济路径。

在刑事立法上，与生物信息安全有关的罪名主要有：侵犯公民个人信息罪、拒不履行信息安全管理义务罪、非法侵入和破坏计算机系统罪、故意或过失泄露国家秘密罪等。刑法虽在社会生活的各维度较完备地规定了侵犯生物信息可能涉及的罪名，但具体至各条文表述，不难发现含有大量空白罪状，即需参考其它法律法规内容才可确定罪名。因此，在罪刑法定原则贯彻下，相关机构应进一步完善行政立法以及相关行业标准，以便刑法发挥其规制作用。

在行政立法上，我国关于生物信息安全的立法规制散见于法律法规、部门规章、规范性文件等。例如，2019年发布的《信息安全技术个人信息安全规范(征求意见稿)》第4条规定了个人信息安全基本原则，包括选择同意原则、最小必要原则、公开透明原则、主体参与原则等，为生物信息收集与处理提供原则性要求；再如，2019年发布的《信息技术-安全技术-生物特征识别信息的保护要求》（征求意见稿）》第5条规定了生物特征识别系统安全要求，第6条规定了生物特征识别信息管理要求，该文件在个人信息的基础上，进一步对生物信息的管理提出了技术性规范要求。

此外，标准性文件在尚未成熟的生物信息安全领域发挥重要作用。由于近年来互联网技术发展迅速，相关领域新兴问题层出不穷，须经严格程序的立法具有明显滞后性，故实践中多采用各标准对具体问题进行规范统一。目前，我国政府与市场主体已制定了多种涵盖个人生物信息收集与保护的标准。例如，2020年电信终端产业协会发布了《APP收集使用个人信息最小必要评估规范-人脸信息》团体标准。根据《中华人民共和国标准化法》，团体标准为依法成立的社会团体为满足市场和创新需求，协调相关市场主体共同制定的标准，由本团体成员约定采用或者按照本团体的规定供社会自愿采用，其制定参与者主要为在相关行业领域内具有一定影响力的主体。

总之，我国生物信息立法起步较晚，对公民生物信息的保护仍散见于各部门法。《个人信息保护法》的出台虽然一定程度上弥补了特定专业领域立法的空白，但其内容仍以对个人信息的收集、使用、处理等原则性规定为主；而为响应实践需求制定的诸多标准虽较为详细，但缺乏强制力和体系化，其短期内有利于解决行业争议，但从长期发展的角度考量，绝不应停滞于此。

（二）国际立法情况

国际社会上，在生物识别信息保护领域起步较早、相关规定较为完善的为欧盟。1981年《个人数据自动处理中的个人保护公约》规定了对数据自动处理过程中个人数据的保护；1995年的《个人数据保护指令》规定了一系列保护基因信息的措施,强调收集和处理的过程必须合法、准确、保密,必须获得信息主体的同意，同时规定了基因收集的禁止和例外情况以及信息主体享有的各种权利和救济；2012年的《欧洲数据保护法案》对个人数据的处理及自由流动的个人数据进行了保护立法；2016年的《一般数据保护条例》（GDPR）规定了生物识别数据在公私领域的应用，并对生物识别数据作出明确定义，即“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据，这些个人数据可用于确认该自然人的独特身份，如面部图像或皮肤（指纹）数据”。

此外，日本新修订的《个人信息保护法》于2022年生效，本次修订的重点是人脸识别时代的个人信息保护问题，强调收集面容信息应坚持公开透明与最小必要原则；另外，日本《个人信息保护法》对于数据处理者提出了更高水平义务，其建立了强制性数据泄露报告制度，即规定四种情形下，数据处理者应当向日本个人信息保护委员会（PPC）报告，包括：涉及敏感个人信息时、具有财产损失风险时、出于不正当目的而导致时以及被泄露者超过千人时。

尽管国际社会早已关注生物信息安全问题，国际组织和各国围绕于此设立各类法规条例，但实践中仍存在诸多争议。例如，GDPR并非完全禁止“以唯一识别为目的进行生物特征数据处理”，而是同时规定了诸如“数据明显公开”、“出于重大公共利益目的”等例外，但如何认定该条款下的例外状况并未达成共识，可见目前生物信息安全领域的立法仍以框架性约定居多，具体落地实施的细节问题还需各主体进一步作明确约定。

03

四、意见建议

（一）VR设备生产商

VR设备生产商以科技公司为主，其通过技术更新研发各代VR产品，在科技加快升级的今日，未来VR设备将发展出更多维度的功能。但由于VR设备与生物信息安全息息相关，VR设备生产者在着眼于推动产业升级的同时，也应承担相应社会责任，避免科技伦理风险。

在制度上，生产商在进行开发时应建立审查制度，保障所生产设备所收集信息的合规乃至伦理合规。例如，可设立科技伦理领导组织，负责确定及实施伦理相关原则、战略及政策，审查科技发展的实践操作与工作计划并提供伦理建议。

在技术上，生产商作为VR设备硬件的生产者和操作系统、应用程序等的开发者，应在开发过程中符合相应的合规要求。从具体实现上讲，生产商可以考虑从“借鉴”和“创新”两个层面进行数据的合规。前者是指参考传统电子设备如电脑、智能手机、手表等的信息保护手段，如对用户敏感信息进行加密、增添对应用程序及其开发者的可信审核机制、通过设立访问控制和身份验证技术限制数据收集、使用加密通讯手段保证客户端设备与企业服务器之间的信息传输安全等；后者则指基于VR设备的独有特点进行信息保护，如针对VR设备搜集到数据的多模态特点设计更安全的文件类型和格式，针对VR设备的用户交互涉及多方面生物信息的特点为设备硬件增添专有数据收集模块、采取生物特征、虚拟身份等多重信息认证方式降低VR设备被侵入和篡改的概率等。

(二)通过VR设备收集信息的运营商

运营商指的是依赖VR设备为用户进行服务的主体，其涵盖了游戏开发、文娱产业等诸多领域，并可能需要基于VR设备开发特有应用程序。随着越来越多产业逐渐踏入虚拟世界，可通过VR设备获取并处理信息的主体日益增多，为监管带来较大难度。

目前，对于VR设备运营过程中收集的带有强个人特征的生物信息如何有效监管和处理并未形成明确规定，但生物识别信息作为个人敏感信息的一类情形，可参照适用现行法律对个人敏感信息的相关约束。根据我国《个人信息保护法》第二十八条第二款，处理个人敏感信息需要具备三个要件，即具有特定目的、具有充分必要性以及严格采取保护措施。

上述三要件中，前两个要件实际上相辅相成，即信息处理者收集处理信息的目的更明确，更有利于展现处理信息的充分必要性。VR设备信息处理者应明确其收集的生物识别信息种类和范围，并表明其特定目的。我国立法并未正面明确列举收集生物识别信息的特定目的范畴，这要求运营商应在单独授权请求中采用用户易懂的通俗化语言说明收集每一项生物识别信息的具体用途。例如，运营商仅说明某项信息用于游戏运行并不满足“特定目的”的要求，而应将表述具体至用于支持游戏某环节的某特定功能。

在第三要件上，VR设备信息处理者应对生物识别信息的转移采取较之一般个人信息更严格的保护措施。例如，在知情同意方面，我国《个人信息保护法》第三十条规定，个人信息处理者处理敏感个人信息的，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响，而一般个人信息不作此要求；再如，在信息转移方面，当信息处理者自身因商业原因面临合并、分立、破产收购时而存在信息转移时，一般个人信息在无变更使用目的、方式时，运营者仅需履行告知义务，而对于属于个人敏感信息的生物识别信息，我国《个人信息保护法》第三十条规定，其处理应获得用户单独同意，且2018年斯坦福大学隐私峰会也提出，如果一家公司被另一家公司收购，用户生物识别技术和数据应该获取用户重新同意。

(三)普通用户

目前，VR产品广泛应用于游戏、视频、社交等大众领域，且在未来一段时间内，随着VR技术发展日趋成熟、产业规模更加扩大，VR产品将以更易为普通民众所接受的价格“飞入寻常百姓家”。大数据时代，普通用户在使用该类设备时也要重视保护自己的个人生物识别信息。

从法理上分析，相较于网络服务运营商，用户作为生物识别信息提供者，其并不属于将信息赋予价值的一方，在信息收集与处理的全流程中处于被动地位。而信息处理者作为风险制造者、低成本的风险控制者以及信息处理的受益者，理应承担更高的信息保护义务。但在相关监管法规尚待完善之时，用户个人应树立较高权利意识，在使用VR产品时要注意不同应用软件中《用户协议》《个人信息收集协议》以及《隐私保护协议》等文件的具体条款，对于其中约定不明确、不合理的事项向消费者协会等监管机构举报，以群众的眼睛监督与促进VR等信息产业合法健康发展。

04

结论

VR设备作为信息化时代前沿科技、以及元宇宙构建的基础技术之一，在多个领域具有广阔的发展与应用前景。与当前用户端常见的互联网应用软件不同，VR设备的佩戴性、互动性特征意味着其信息收集和处理集中于生物识别信息，不恰当处理该类信息将导致隐私侵害乃至社会问题。2022年中共中央办公厅、国务院办公厅印发《关于加强科技伦理治理的意见》指出，科技活动应尊重人格尊严和个人隐私，保障科技活动参与者的知情权和选择权。

在立法规制上，由于民法、刑法、行政法等基础部门法的相关条文并不足以适应信息领域诸多实践问题，我国正紧跟国际个人信息保护趋势，逐步建立起以网络安全法、生物安全法、个人信息保护法、数据安全法等为内容的、具有针对性的综合性法律框架，但针对生物识别信息的收集与处理规则暂无具体规定，亟需完善。

由于个人信息规制领域的相关文件更新迅速、数量较多，数据合规问题是通过VR设备收集与处理信息的运营商面临的重要挑战，各市场主体也应一道推动VR设备对生物识别信息收集与处理的合规工作。技术开发者与运营商作为环节关键方，应设置专业合规人员，承担社会责任，避免利用所获取的生物信息进行不正当竞争，促进行业长远健康发展。