元宇宙一词源于 1992 年尼尔·斯蒂芬森的《雪崩》，书中描述了一个平行于现实世界的虚拟世界，Metaverse，所有现实生活中的人都有一个网络分身 。维基百科对元宇宙的描述是：通过虚拟增强的物理现实，呈现收敛性和物理持久性特征的，基于未来互联网，具有链接感知和共享特征的 3D 虚拟空间。

元宇宙的内涵是吸纳了信息革命（5G/6G)、互联网革命（web3.0）、人工智能革命，以及 VR、AR、MR，特别是游戏引擎在内的虚拟现实技术革命的成果，向人类展现出构建与传统物理世界平行的全息数字世界的可能性。但同时也伴随着大量的隐私和数据安全问题。

01 元宇宙的技术基础

据《虚拟现实游戏市场规模预测》，2019 年全球虚拟现实游戏市场规模为 115.6 亿美元，预计从 2020 年到 2027 年将以 30.2% 的复合年增长率增长。

在技术视角下，元宇宙包括了内容系统、区块链系统、显示系统、操作系统，最终展现为超越屏幕限制的 3D 界面，所代表的是继 PC 时代、移动时代之后的全息平台时代。元宇宙的技术基础包括以下 5 个板块：

1. 网络和算力技术：包括空间定位算法、虚拟场景拟合、实时网络传输、GPU 服务器、边缘计算，降低成本和网络拥堵；

2. 人工智能：数字人、人机交互、交互式语音系统；

3. 电子游戏技术：如支持游戏的程序代码和资源（图像、声音、动画）的游戏引擎；

4. 显示技术：VR、AR、MR，特别是 XR，持续迭代升级，虚拟沉浸现实体验阶梯，不断深化的感知交互；

5. 区块链技术：通过智能合约，去中心化的清结算平台和价值传递机制，保障价值归属与流转，实现经济系统运行的稳定、高效，透明和确定性。

02 元宇宙平台收集的数据内容

（一）基础数据

1. 注册登录信息：手机号码、电子邮箱、用户名和密码等；

2. 实名认证信息（基于防沉迷要求）：手机号码、身份证号码、姓名等；

3. 日志信息：登录日志、操作信息、互动记录、ID、搜索查询内容、IP地址、浏览器的类型、电信运营商、网络环境、使用的语言、访问日期和时间及访问的网页浏览记录、Push打开记录、停留时长、刷新记录、发布记录、关注、订阅、收藏及分享等；

4. 设备信息：设备机型、操作系统及版本、客户端版本、设备分辨率、包名、设备设置、设备标识符、软硬件特征信息、设备传感器、IP地址等；

5. 支付信息：具体订单号、订单创建时间、交易金额、充值记录、交易和消费记录、支付机构、物流公司等；

6. 个性化推荐信息：浏览、搜索偏好、行为习惯、位置信息相关特征等。

（二）与游戏运营、游戏内容直接相关的信息

1. 游戏日志信息：登录日志、物品日志、操作信息、游戏对局信息、交友记录等；

2. 游戏环境和设备安全信息：设备标识符、硬件及操作系统信息、已安装应用列表、进程及游戏崩溃记录、游戏总体使用情况、游戏渠道来源等（用于扫描外挂、防止作弊）；

3. 游戏互动信息：游戏中的文字、图片、语音、视频及其他方式与其他玩家进行互动的信息。除了玩家的虚拟形象，玩家在虚拟世界中的活动、在现实世界中各APP上留下的使用痕迹、以及将两者关联分析得出的信息，均可构成玩家个人信息的来源。

（三）个人生物信息

1. 面容信息：与传统的大型网游类似，玩家在元宇宙游戏中一般有一个3D虚拟形象，比传统游戏的2D形象更为生动具体。玩家上传的照片或对人脸直接拍摄生成3D虚拟形象的过程中运用了人脸识别技术，通过抓取玩家的脸部特征信息，进行人脸轮廓描述，并生成虚拟形象。或者玩家也可根据自己的喜好随意“捏脸”，甚至发挥想象，用动植物等非人类形象；

2. 个人基因、指纹、声纹、掌纹、耳廓、虹膜等信息：都属于个人生物识别信息的范畴，玩家可以上传自己的照片或通过人脸识别，由系统自动生成以玩家形象为基础的虚拟形象。

（四）对于元宇宙中建构的私人领域内的信息

如自建房屋、生活习惯、虚拟货币消费记录等衍生信息，目前虽未有专门的法律文件对此类信息予以特殊规制，但是根据《个人信息保护法》第四条的定义，这一部分信息仍属于“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，与之相关的处理活动依然受到《个人信息保护法》的规制。

03 元宇宙数据合规立法体系

（一）法律

《网络安全法》、《个人信息保护法》与《数据安全法》构成了互联网时代数据、信息保护的三驾马车。

三部法律各有侧重，《数据安全法》着重保护电子数据的安全及规范电子数据的合规使用；《网络安全法》着眼于整个互联网建设、运营、维护、使用过程中的合法合规，确保国家网络安全不受侵犯；《个人信息保护法》与《民法典》衔接，着眼于保护与自然人个人相关的生物、社会信息不受侵犯、合规使用。三驾马车从宏观到微观构成了互联网时代国家对于网络和企业、个人数据信息安全的全方位保护。

除了三部法律外，其他法律中也有大量保护数据安全的条文，如《民法典》第127条明确对数据、网络虚拟财产的保护；第四编人格权编，第六章“隐私权及个人信息保护”；《刑法》第285条第2款“非法获取计算机信息系统数据、非法控制计算机信息系统罪”、第286条之一“拒不履行信息网络安全管理义务罪”、第253条“侵犯公民个人信息罪”；《国家安全法》第25条关于网络与信息安全保护，维护国家主权、安全和发展利益的规定等等。

（二）立法性文件

全国人大及其常委会除了制订上述各部单行法律外，还出台过一些立法性文件规范网络信息数据保护，如《关于维护互联网安全的决定》、《关于加强网络信息保护的决定》。

（三）司法解释

除了立法机关的立法成果以外，司法机关还出台过一些专门的司法解释用于指引网络数据安全保护的司法活动，如《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。

（四）国家标准

技术操作层面上，我国还有大量的国家规范和行业规范为信息数据安全保护提供技术支持，如：《个人信息安全规范》（GB/T 35273-2020）、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）、《信息安全技术 政务信息共享数据安全技术要求》（GB/T 39477-2020）、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）等等。

04 元宇宙数据合规细节

（一）对生物识别信息保护的规定

1. 《个人信息保护法》将生物识别信息纳入敏感个人信息予以保护，并明确了需要事先征得个人信息主体的单独同意才能收集和处理。如游戏公司存在以隐蔽方式获取玩家“默示同意”的行为，例如预先勾选同意，或是将采集人脸图像的行为与其他功能或处理活动进行捆绑取得玩家的同意（“一揽子”同意），这些方式实质上侵犯了玩家的单独同意权。

2. 《个人信息保护法》要求，个人信息的保存期限应当为实现处理目的所必要的最短时间。除非存在其他合理事由，元宇宙游戏公司在提供相关游戏服务后，应主动删除相关个人信息。

3. 2021年6月最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题》亦规定信息处理者以已征得自然人同意为由抗辩，但实际上是以授权捆绑等方式要求自然人同意处理人脸信息，或强迫或者变相强迫自然人同意处理其人脸信息的，仍属于侵害自然人人格权益的行为。

4. 《信息安全技术-个人信息安全规范》（GB/T35273-2020）对包括“人脸信息”在内的个人生物识别信息的存储提出了更严格的要求，企业原则上不应存储原始个人生物识别信息，确需存储的，企业应仅存储人脸图像的摘要信息，即对原始人脸图像进行技术处理，使得被存储信息不可逆向回溯到原始人脸图像。此外，企业传输和存储人脸信息时应采取加密等安全措施以防止人脸信息被泄露、篡改、丢失，并应将人脸信息与个人身份信息分开存储，尽可能避免因信息泄露对玩家造成损害。

（二）对数据处理协议的规定

《个人信息保护法》明确要求委托处理关系中的各方应约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及各方的权利和义务等，且明确提及“委托合同”。此外，《个人信息保护法》亦要求共同处理关系中的各方应约定各自的权利和义务，由此体现了订立数据处理协议的必要性。

虽然《个人信息保护法》未明确提及在提供关系下需订立数据处理协议，但《信息安全技术-个人信息安全规范》（GB/T35273-2020）中明确指出在共享或转移个人信息时，应通过合同等方式规定数据接收方的责任和义务。

（三）涉及未成年人信息保护的规定

根据我国法律规定，处理涉未成年人事项时要给予未成年人特殊、优先保护。相应地，《个人信息保护法》将不满十四周岁未成年人的个人信息界定为敏感个人信息，对个人信息处理者提出更严格的保护要求。另外，为防止未成年人沉迷游戏，我国从2007年起已全面推行网络游戏实名认证和防沉迷系统，要求网络游戏统一接入国家新闻出版署网络游戏防沉迷实名验证系统，由公安部所属全国公民身份证号码查询服务中心提供实名验证功能。

然而，由于儿童的个人信息均为敏感个人信息，若儿童在玩游戏时新增涉及处理个人信息的服务，每一项处理活动均需另行获得监护人的同意。为了合法合规并高效地向儿童提供游戏服务，实操中游戏运营商常常保留监护人的联系方式，以便能不时向监护人索取同意。需要注意的是，诸如户口本、监护人身份证等监护关系证明材料不是联系监护人所必需，因此游戏运营商应当在处理目的实现后及时删除该等信息。

（四）涉及身份实名验证与人脸验证

元宇宙运营商一般通过收集玩家真实姓名、证件号、有效身份证件、手机号码等方式，借助公安部身份证号码查询系统等身份验证功能，实现实名认证目的。

理论上，实现了实名认证目的后元宇宙运营商应立即删除相关实名认证信息，但由于《国家新闻出版署关于防止未成年人沉迷网络游戏的通知》明确要求元宇宙运营商保存实名认证的相关信息，且为了便于提供账号丢失找回、账号纠纷处理等服务，元宇宙运营商一般会保存前述实名认证信息。鉴于姓名及身份证件信息属于敏感个人信息，元宇宙运营商应采取严格的安全保障措施与访问控制措施，以防该等信息的泄露对个人造成损害。

（五）元宇宙的跨境数据合规

很多企业在元宇宙布局中，纷纷投资国外企业，企业应当建立健全完善的数据跨境合规体系，以保证出境数据的安全。针对数据安全保护可以采用分级分类的管理方式，将元宇宙中含有的信息拆分成不同的结构，通过不同的权重进行分级管理。

国家网信办2019年出台的《个人信息出境安全评估办法（征求意见稿）》第二条规定：“个人信息出境，是指网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息”。

国家质检总局与标准化委员会2017年公布的《信息安全技术 数据出境安全评估指南（征求意见稿）》作出了更为详细的定义，即数据跨境传输指“网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”。

结合《数据安全法》、《网络安全法》以及上述规定，企业在与国外公司展开合作时仍应重视数据跨境合规体系的建立。根据《个人信息出境安全评估办法（征求意见稿）》，个人信息出境前，网络运营者应当向所在地省级网信部门申报个人信息出境安全评估，需准备的申报材料包括申报书、网络运营者与接收者签订的合同、个人信息出境安全风险、安全保障措施分析报告以及国家网信部门要求提供的其他材料。

05 元宇宙数据合规建议

（一）开发者与维护者

元宇宙的开发者在开发软件和硬件时设计好隐私保护，这已经是虚拟和扩增实境技术中的一个需求，而这在元宇宙中将是至关重要的。例如，根据《一般数据保护条例》(GDPR) ，谷歌眼镜有音频和视觉符号，似乎可以让用户知道他们何时被记录。同时，游戏类平台需要设置针对未成年人的游戏模式，避免发生未成年人信息隐私的泄露，以及超出民事行为能力范围的财产处分行为。

（二）运营商

虽然“元宇宙游戏”通常建立在以用户匿名性著称的区块链上，但我国法律依旧要求区块链信息服务提供者应当要求用户进行真实身份信息认证。游戏运营商应注重保护玩家的实名认证信息和其他与现实世界强关联的个人信息并采取一定安全措施降低玩家因过度暴露个人信息产生的人身、财产安全风险，如可采取身份信息与其他类型信息分开存储、匿名化存储等技术措施，以降低玩家的人身和财产安全被侵害的风险。

“元宇宙游戏”的运营商作为个人信息处理者，需承担适时删除个人信息的义务。《个人信息保护法》列举了四种应当删除个人信息的情形，分别是：

1. 处理目的已实现、无法实现或者为实现处理目的不再必要；

2. 个人信息处理者停止提供产品或者服务，或者保存期限已届满；

3. 个人撤回同意；

4. 个人信息处理者违反法律、行政法规或者违反约定处理个人信息。

前述删除情形存在以下例外，该等例外情形下，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理：

1. 法律、行政法规规定的保存期限未届满：如《国家新闻出版署关于防止未成年人沉迷网络游戏的通知》中明确网络游戏企业必须严格按照有关法律法规妥善保存、保护用户提供的实名注册信息，不得用作其他用途；

2.删除个人信息从技术上难以实现的：如链上数据难以彻底删除。

实践中，个人信息处理者可以采取匿名化（或高度去标识化）的技术措施，使得原始数据不能直接识别到特定个人。具体到“元宇宙游戏”中，比如当玩家注销账号时，运营商虽难以删除玩家账户对应的所有数据，但可以采取相应技术措施，屏蔽该等数据与玩家身份的“链接”，使得他人即使访问数据，也难以判断数据主体的身份。“元宇宙游戏”运营商也可考虑，在链上游戏中收集玩家的个人信息时，阻断收集到的个人信息上链，而是放置于运营商的某数据库中，以减轻运营商履行删除义务的难度。

（三）使用者

对普通游戏玩家而言，要保护好自己的信息和隐私，保证不轻易被盗取，设计复杂的密码，对设备进行定期杀毒维护，绑定必要的特性信息，便于找回。对未成年人，监护人需注意开启必要的未成年人模式，由监护人对未成年人的个人信息数据处分进行明确同意。

06 结语

元宇宙具像化地描绘了人类对于互联网世界的终极想象，而以用户个人信息、自动生成内容等数据为命脉的技术特征，也使数据合规成为决定元宇宙是野蛮生长，还是造福社会的关键所在。滞于技术的局限，目前赛道上的企业仍处于蓄势待发的热身状态。从布局谋篇开始即防患未然，将防范数据风险纳入重要考量，将成为元宇宙运营者在个人信息强保护时代的必行之举。