Epidemia covid-19 przyspieszyła proces digitalizacji i przyczyniła się do przeniesienia wielu aktywności do cyfrowego świata. Powszechne i akceptowalne stały się zdalna praca, zdalne nauczanie, czy udział w konferencjach i spotkaniach za pośrednictwem narzędzi takich jak Google Meet, czy Microsoft Teams. Postępująca wirtualizacja życia, jak również popularność wirtualnych walut wpłynęły na wzrost zainteresowania tzw. wirtualnym wszechświatem.
Wprowadzenie
W 2021 r. Mark Zuckerberg zaprezentował koncepcję stworzenia tzw. metawersum[1]. Projekt zakłada przekształcenie popularnej platformy społecznościowej Facebook w wirtualny wszechświat. Dzięki zmianom użytkownicy mediów społecznościowych mają uzyskać większe możliwości wchodzenia we wzajemne relacje, co będzie możliwe m.in. dzięki wykorzystaniu wirtualnej rzeczywistości. W efekcie Facebook zmienił nazwę[2]. Należy zaznaczyć, że koncepcja twórcy Facebooka nie jest jedynym tego typu projektem. Od kilku lat prace nad wirtualną rzeczywistością podejmowane są m.in. przez Google, który pracuje nad rozwojem wirtualnej i rozszerzonej rzeczywistości[3]. Podobnie firma Apple rozwija swoje produkty w tym obszarze[4]. Również spółka Neuralink (założona m.in. przez Elona Muska) prowadzi badania nad produktami nadającymi się do wykorzystania w metawersie. W tym przypadku chodzi o prace nad bardziej zaawansowanymi interfejsami opartymi na elektrodach wszczepianych bezpośrednio do mózgu[5]. Śledząc rozwój wirtualnych światów nie można zapominać, że nowe technologie wykorzystywane w celu realizacji wizji pełnej metawersji przysparzają wiele wyzwań, w szczególności w obszarze zapewnienia prawa do prywatności.
Ze względu na coraz większa popularność pomysłów dotyczących cyfryzacji, autorzy niniejszego tekstu postanowili przybliżyć zagadnienia dotyczące podstawowych zagrożeń dla prywatności i ochrony danych osobowych użytkowników wirtualnego wszechświata.
Wzrost zainteresowania koncepcją wirtualnego wszechświata
Metawersum (lub inaczej: metawerse) nie jest najnowszym odkryciem. Jak podają źródła termin „metawersum” miał zostać po raz pierwszy użyty w 1992 r., w powieści science fiction pt. „Snow Crash” autorstwa Neala Stephensona[6]. Termin powstał ze złożenia dwóch słów: „meta” i „universe”. Metawerse w powieści autorstwa Stephensona oznacza wirtualną rzeczywistość, w której ludzie prowadzą drugie, alternatywne życie. Niemniej wizja alternatywnego świata pojawiała się już wcześniej, w wielu epokach i kulturach[7]. Wizja alternatywnej rzeczywistości jest doskonale znana także fanom tematyki science-fiction i użytkownikom gier komputerowych.
W ostatnim czasie koncepcja wirtualnego wszechświata przeżywa swój renesans. Prace nad tworzeniem wirtualnego wszechświata nabierają tempa. Coraz częściej można spotkać się z poglądami, że rozwój „metawersum” przyniesie wiele korzyści, nie tylko dla użytkowników wirtualnych gier. Aktualnie rynek produktów technologii wirtualnej rzeczywistości (ang. virtual reality[8], w skrócie: VR) i rozszerzonej rzeczywistości (ang. augmented reality[9], w skrócie: AR) należy do jednego z najszybciej rozwijających się, co przekłada się na szacowany wzrost jego wartości z 4.3 mld w 2021 r. do aż 36 mld USD w 2025 r.[10]. Z kolei wizja uzyskania istotnych korzyści finansowych skłania gigantów technologicznych do inwestowania w technologię służącą metawersji, w tym produkty oraz w środowisko, w którym są wykorzystywane. Na obecny wzrost zainteresowania wirtualnym wszechświatem wpływa również możliwość wykorzystania popularnych od dłuższego czasu cyfrowych walut, zwłaszcza tzw. NFT[11]. Powyższej wymienione czynniki sprawiają, że wirtualne światy stają się coraz bardziej atrakcyjne dla ich użytkowników, którzy są gotowi zainwestować środki w wirtualne dobra. Z kolei przyrost liczby użytkowników przekłada się na przyrost liczby projektów powiązanych z metawersum.
Coraz częściej pojawiają się też opinie, że metawersum zapoczątkuje kolejny etap rozwoju Internetu[12]. Należy jednak zaznaczyć, że już od kilku lat można korzystać z projektów opartych na ideologii metawersum. Jako przykład można wskazać popularną grę Second Life[13], w której użytkownicy nawiązują wzajemne relacje, pracują i bawią się. Ponadto Second Life jest społecznie i ekonomicznie zintegrowany ze światem fizycznym, co oznacza, że użytkownik może zakupić różne wirtualne dobra za realne pieniądze. Jako kolejny przykład można wskazać Horizon Worlds, czyli kolejną platformę przeznaczoną do spotkań towarzyskich i rozrywki[14]. Działania takich platform nie można jednak utożsamiać z wizją pełnej metawersji, która zakłada immersyjność oraz wykorzystanie bardziej złożonej technologii niż będąca obecnie w użyciu. Należy jednak podkreślić, że wymagania obliczeniowe niezbędne do zapewnienia realistycznej symulacji wyobrażonych światów w metawersji, z interakcjami społecznymi i znaczną liczbą użytkowników, są dość wymagające. Urządzenia te muszą monitorować aktywność użytkownika i jego otoczenie, co dodatkowo zwiększa wymagania wobec sprzętu[15]. Aktualnie dostępne rozwiązania są atrakcyjne dla graczy i bywają powszechnie określane jako metawerse. Niemniej jednak obecnym wirtualnym światom daleko do realizacji wizji metawersji.
Docelowo metawersum ma umożliwić nie tylko tworzenie awatarów i posiadanie dóbr w wirtualnym świecie, lecz przede wszystkim możliwość funkcjonowania w wirtualnym świecie dzięki połączeniu elementów fizycznych i cyfrowych (m.in. wykorzystaniu narzędzi VR i AR). Ma doprowadzić do „zanurzenia się” w świecie wirtualnym, czyli do przeniesienia doświadczeń, co umożliwi zastosowanie nowoczesnych urządzeń (np. chipów)[16]. Z jednej strony przeniesienie aktywności do wirtualnego świata stwarza wiele możliwości dla społeczeństwa i biznesu. Z drugiej strony wirtualne interakcje tworzą wiele wyzwań dla ochrony prywatności.
Nowe wyzwania dla ochrony prywatności
Metawersum można określić jako odpowiednik rzeczywistego świata, w którym użytkownik podejmuje różnego rodzaju aktywności, np. pracuje, robi zakupy, spotyka się w wirtualnej przestrzeni z innymi użytkownikami, zawiera znajomości, uczestniczy w wydarzeniach.
Użytkownicy zazwyczaj uczestniczą w wirtualnym wszechświecie, posługując się jednym lub większą liczbą awatarów, czyli cyfrowych postaci, które mogą przybierać różne formy[17]. Awatary mogą przybrać postać ludzką, tj. odzwierciedlać rzeczywisty wygląd użytkownika. Awatary mogą wchodzić we wzajemne interakcje oraz w interakcje z przedmiotami, aplikacjami usługami i firmami, które znajdują się w metawersum. Posługiwanie się awatarem, czy korzystanie z usług, lub nabywanie wirtualnych towarów prowadzi do generowania informacji na temat użytkownika. Pojawia się zatem problem śledzenia działań awatara w wirtualnym świecie. Aktualnie, w większości przypadków, użytkownik nie musi podawać swoich danych osobowych podczas tworzenia danych profilowych awatarów. Niezależnie od tego, czy dany użytkownik dokona rejestracji, czy zdecyduje się na zachowanie pozornej anonimowości, pozostawione przez niego ślady mogą umożliwić jego identyfikację, a w takim przypadku będą stanowiły dane osobowe w rozumieniu art. 4 pkt 1) RODO[18].
Aktywność użytkownika wiąże się z koniecznością wykonywania operacji na danych osobowych, w tym przede wszystkim ich gromadzeniem. Wirtualny wszechświat z założenia funkcjonuje dzięki połączeniu wielu mniejszych światów, czyli poszczególnych platform. Oznacza to, że w proces przetwarzania danych osobowych będą zaangażowane różne podmioty zarządzające poszczególnymi „światami” (operatorzy platform), jak również podmioty prowadzące działalność na tych platformach (np. operatorzy sklepów online, podmioty dostarczające treści reklamowe, udostępniające usługi).
Problematyka zastosowania unijnych regulacji
Obecnie metawersum można uznać za technologiczny trend polegający na dążeniach do stworzenia cyfrowych środowisk, które zintegrowane razem tworzą wspólną wirtualną przestrzeń[19]. Każda taka platforma stanowi jednak odrębny, indywidualny „świat”. Natomiast celem przyświecającym pracom nad metawersum jest, aby odrębne wirtualne światy łączyły się w jeden zintegrowany świat wirtualny, który z kolei byłby zintegrowany ze światem fizycznym.
Ponieważ poszczególne platformy mogą podlegać różnym jurysdykcjom, pojawia się podstawowe pytanie o możliwość zastosowania zasad ochrony danych osobowych określonych w RODO. Zgodnie z treścią art. 3 ust. 1 RODO, unijna regulacja dotycząca ochrony danych osobowych ma zastosowanie do przetwarzania danych osobowych przez administratora danych, jak również procesora, w związku z działalnością powadzoną przez ich jednostki organizacyjne na terenie Unii. Operatorzy poszczególnych „światów” składających się na metawersum niewątpliwie mogą posiadać siedziby jednostek organizacyjnych poza terenem Unii Europejskiej. Należy jednak wskazać, że również w takim przypadku RODO będzie miało zastosowanie, gdy towary i usługi będą oferowane osobom przebywającym w Unii lub działanie operatora platformy będzie się wiązało z monitorowaniem zachowania takich osób pod warunkiem, że do tego zachowania dojdzie w Unii (art. 3 ust. 2 RODO).
Internet, w tym także metawerse, ma zasięg globalny i oferuje swoje funkcje użytkownikom, niezależnie od ich lokalizacji. Operatorzy poszczególnych „światów” zlokalizowanych poza Unią będą zatem mieli do wyboru wykluczenie z grona klientów osób fizycznych przebywających w Unii, co teoretycznie powinno się wiązać z wprowadzeniem narzędzi weryfikujących lokalizację danej osoby. Teoretycznie można sobie taką sytuację wyobrazić[20]. Niemniej jednak, ze względów biznesowych takie rozwiązanie wydaje się mało prawdopodobne. Zatem operatorzy platform będą musieli dostosować zasady działania do wymagań wynikających z RODO. W praktyce sam obowiązek wynikający z RODO może jednak nie zapewnić odpowiedniego poziomu ochrony danych osobowych użytkownika. Wyegzekwowanie praw podmiotów danych, czy prowadzenie działań przez unijne organy nadzoru, w praktyce może być bowiem znacznie utrudnione lub wręcz niemożliwe. Należy zatem zastanowić się nad koniecznością dokonania rewizji przepisów unijnych i ewentualnych zmian RODO lub nad wprowadzeniem nowych regulacji, które zapewniłyby większą ochronę danych osobowych.
Zagadnienie różnych jurysdykcji wiąże się z problemem transferu danych osobowych. Wymaga podkreślenia, że istotną cechą metawersji jest interoperacyjność[21]. W celu skorzystania z pełni możliwości oferowanych przez poszczególne platformy, użytkownik (a raczej jego awatar) będzie musiał przemieszczać się pomiędzy światami (platformami). Dane osobowe użytkowników będą przekazywane pomiędzy różnymi „światami”. Jak zostało wspomniane, operatorzy poszczególnych światów-platform mogą podlegać innym jurysdykcjom, w tym także posiadać siedzibę w tzw. państwie trzecim, o którym wspomina art. 45 ust. 1 RODO. W celu korzystania z pełni usług, jakie oferuje metawersja, dane osobowe użytkownika będą przekazywane różnym podmiotom, w tym również odbiorcom poza Europejskim Obszarem Gospodarczym. Należy zaznaczyć, że w wielu krajach do dzisiaj nie wdrożono instrumentów gwarantujących odpowiedni poziom ochrony danych osobowych. Ponadto, istnieją kraje, w których nie funkcjonują jakiekolwiek regulacje dotyczące ochrony prywatności. W przypadku transferu danych lub ich przekazania przez samego użytkownika, pojawia się problem zapewnienia kontroli wykorzystania danych osobowych, jak również egzekwowania praw podmiotu danych. Kwestia ta nie powinna być bagatelizowana zważywszy na specyfikę wirtualnego wszechświata, jak również szczególny charakter i ogromny zakres informacji zbieranych na temat użytkownika.
Wyzwania związane z wykorzystaniem urządzeń VR i AR
Podstawowym założeniem zjawiska metawersji jest wykorzystanie wirtualnej rzeczywistości, czyli sztucznego obrazu rzeczywistości stworzonego przy wykorzystaniu technologii informatycznej[22]. W wirtualnej rzeczywistości tworzone są obrazy przedmiotów, kreowane przestrzenie i zdarzenia[23]. Zgodnie z założeniami połączenie realnego świata z wirtualną rzeczywistością będzie możliwe dzięki zastosowaniu tzw. rzeczywistości rozszerzonej, którą można określić jako system łączący w sobie trzy podstawowe cechy: połączenie świata rzeczywistego i wirtualnego, interakcję w czasie rzeczywistym oraz dokładną rejestrację 3D obiektów wirtualnych i rzeczywistych[24]. Interakcja użytkownika między przestrzenią cyfrową a rzeczywistą ma być możliwa dzięki wykorzystaniu różnych dedykowanych urządzeń, takich jak m.in. okulary wirtualnej rzeczywistości[25], głosowy interfejs użytkownika (ang. Voice User Interface)[26], chipy neuronowe. Ponadto istotne znaczenie będzie miało wykorzystanie machine learning i sztucznej inteligencji[27].
Metawersum jako substrat rzeczywistości ma z założenia dostarczyć użytkownikowi odpowiednich, rzeczywistych wrażeń i emocji. Użytkownik co prawda będzie miał możliwość udziału np. w wirtualnym koncercie, czy w wirtualnej aktywności sportowej (np. w meczu jako zawodnik lub publiczność). Jednak w tym celu będzie musiał skorzystać z dedykowanych urządzeń umożliwiających mu pełne wejście do wirtualnego świata. Zatem rozwój metawersji spowoduje wzrost przetwarzania informacji obejmujących m.in. mimikę twarzy czy gesty użytkowników. Czujniki umożliwią np. pozyskanie informacji o sposobie poruszania się użytkownika. Z jednej strony noszone czujniki mogą być przydatne na potrzeby funkcjonowania w metawersum, gdyż pozwolą wirtualnym awatarom naśladować w wirtualnej przestrzeni ruchy wykonywane przez osoby w świecie rzeczywistym[28]. Z drugiej strony tego typu urządzenia umożliwią pozyskanie mnóstwa informacji o użytkowniku.
Podobnie, specjalne okulary mogą gromadzić informacje o sposobie patrzenia osoby, która je użytkuje. Zbierane dane mogą obejmować np. informacje o sposobie rozszerzania się źrenic. Warto przy tym podkreślić, że urządzenia takie jak okulary VR czy czujniki ruchu są już powszechnie stosowane. Tymczasem to tylko podstawowe zagrożenia dla prywatności, które mogą pojawić się w związku z aktywnością w wirtualnym wszechświecie.
Obecnie do dziedzin, w ramach których spodziewany jest szybki postęp technologiczny, zaliczany jest obszar związany z interfejsami, które pozwolą na interakcję z metawersum. Należą do nich technologie i urządzenia wykorzystywane do wprowadzania poleceń do metawersum, jak również do otrzymywania informacji zwrotnych z metawersum. Wśród takich urządzeń można wyróżnić interfejsy mózg-komputer (ang. brain-computer interface, w skrócie: BCI), czyli interfejsy neuronowe zaprojektowane do zbierania i przetwarzania sygnałów elektrycznych generowanych w ludzkim mózgu w wyniku jakiejś czynności poznawczej, i przekształcania ich w znaczące dane wejściowe dla zewnętrznego komputera lub urządzenia. Wskazuje się, że takie interfejsy mogą być również wykorzystywane do oddziaływania na mózg, jak w przypadku interfejsów zaprojektowanych do leczenia depresji i innych zaburzeń psychicznych[29].
Docelowo metawersja ma dostarczać wielozmysłowych doświadczeń, czy to za pomocą implantów mózgowych, czy też innych technologii, jak urządzenia haptyczne[30]. Między innymi systemy sensoryczne będą mogły zapewniać użytkownikom metawersji efekty analogiczne jak fizyczne interakcje w świecie rzeczywistym[31].
Operatorzy wirtualnych światów będą mieli większe możliwości znacznie dokładniejszego śledzenia użytkowników metawersum, ponieważ będą w stanie zgromadzić i połączyć o wiele więcej poszczególnych danych. Pojawia się istotny problem dla ochrony prywatności użytkownika i zapewnienia zasady minimalizacji danych, o której mowa w art. 5 RODO, zgodnie z którego treścią zakres danych powinien zostać ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Tymczasem badania wykazały, że niespełna półgodzinna sesja gry w wirtualnej rzeczywistości może zarejestrować dwa miliony informacji o ruchach ciała użytkownika. Podobnie VR i AR mogą przyczyniać się do śledzenia danych biometrycznych, w tym ruchu głowy, tułowia i oczu i doprowadzić do zdiagnozowania lęku, depresji, ADHD, autyzmu itp.[32]. Zbieranie informacji o poruszaniu się i zachowaniu użytkownika, następnie ich analiza, mogą umożliwić stworzenie bardzo dokładnej osobowości w metawersie, którą można śledzić i na którą można wpływać[33].
Zatem wraz z rozwojem metawersum i wzrostem wykorzystania narzędzi AR i VR, rośnie ilość informacji, które będzie można potencjalnie uzyskać na temat użytkownika (osoby fizycznej korzystającej z usług oferowanych przez wirtualny wszechświat). Wskazuje się, że zebrane informacje mogą umożliwić odtwarzanie ludzkich osobowości. Z dotychczas prowadzonych badań wynika, że dane zebrane w wirtualnej rzeczywistości pomogły zidentyfikować osobę z ponad 92% dokładnością. Zebrane dane będą nie mniej znaczące niż odcisk palca, ponieważ są unikalne i mogą pozwolić na zdobycie większej ilości informacji o użytkowniku[34].
Rozwój metawersji przyczyni się do zwiększenia ilości informacji przetwarzanych na temat użytkowników, w tym danych osobowych o szczególnym charakterze, o których mowa w art. 9 RODO, jak również danych biometrycznych (art. 4 pkt 14 RODO). Ma to związek z wykorzystaniem urządzeń rzeczywistości rozszerzonej (AR), które mają umożliwić użytkownikowi wejście do wirtualnego świata. Przy czym warto zwrócić uwagę na szeroki zakres informacji, które powinny zostać zaliczone do kategorii danych osobowych wskazanych w art. 9 RODO. Do danych szczególnych należą informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, jak również dane dotyczące zdrowia, życia seksualnego lub orientacji seksualnej osoby fizycznej. Tymczasem, jak wskazał TSUE, do danych dotyczących zdrowia należy również zaliczyć dane wskazujące pośrednio, „w wyniku dokonania intelektualnej operacji dedukcji lub kontroli krzyżowej, informacje o tym charakterze”[35]. Podobnie, do danych o orientacji seksualnej, należy zaliczyć informacje, które mogą pośrednio ujawnić orientację seksualną osoby fizycznej[36]. Zatem do danych szczególnej kategorii należy zakwalifikować uzyskane o użytkowniku informacje, które wskazują np. na objawy depresji, zaburzeń emocjonalnych, jak również informacje o tym z jakiej płci awatarem wchodzi w bliskie relacje użytkownik (co może wskazywać na orientację seksualną użytkownika).
Należy zadać pytanie, czy w każdym przypadku korzystanie z tych narzędzi będzie uzasadnione ze względu na ochronę prywatności i konieczność przestrzegania zasad wynikających z RODO? Sama chęć skorzystania z rozwiązań metawersum może okazać się niewystarczająca. Czy zatem należy korzystać z rozwiązań metawersum wiążących się z koniecznością użycia VR w przypadkach takich jak przeprowadzenie wirtualnego wykładu na uczelni? Niewątpliwie w takim przypadku wystarczającą formą będzie forma komunikacji zdalnej, np. z wykorzystaniem popularnych narzędzi takich jak microsoft teams czy google meets. Ponadto w takim przypadku pojawia się problem zgody użytkownika-studenta. W przypadku narzucania formy komunikacji zgody takiej nie można by uznać za dobrowolną. Przytoczony przykład pokazuje, że szersze wykorzystanie benefitów metawersji będzie wymagało wprowadzenia odpowiednich rozwiązań legislacyjnych.
Wyzwania dla zapewnienia przejrzystości procesów
W przypadku metawersum, proces zarządzania danymi osobowymi użytkownika angażuje liczne podmioty, które w zależności od celu pozyskiwania i przetwarzania danych, mogą pełnić rolę odrębnych administratorów danych osobowych lub wspólnych administratorów (art. 4 pkt 7 RODO), bądź podmiotów przetwarzających (art. 4 pkt 8 RODO). Wielość podmiotów może z kolei doprowadzić do braku przejrzystości w procesie przetwarzania danych osobowych. W motywie 58 RODO wskazano na komplikacje pojawiające się w sytuacji wystąpienia dużej liczby podmiotów i złożoności technologicznej działań. W takiej sytuacji osobie, której dane dotyczą, może być trudno dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo są zbierane oraz w jakim celu. Istotną kwestię będzie zatem stanowiła forma realizacji obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO. Pojawia się zatem problem praktyczny polegający na zapewnieniu sposobu realizacji obowiązku informacyjnego tak, aby realizował zasadę przejrzystości, co do której wytyczne zostały określone przez Grupę Roboczą Art. 29[37]. Informacje przede wszystkim powinny być przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo przystępnej formie. Odbiorca nie powinien zostać nimi przytłoczony[38]. W praktyce obowiązki te mogą okazać się trudne do zrealizowania. Umieszczenie wszystkich zasad w jednym dokumencie, ze względu na jego obszerność, może zostać uznane za niezgodne z zasadą przejrzystości. Natomiast „zasypanie” podmiotu danych licznymi komunikatami może zniechęcić do zapoznania się z ich treścią.
Kolejne istotne zagadnienie stanowi problem zgód, zwłaszcza zgody na przetwarzanie danych szczególnych, o której mowa w art. 9 ust. 2 lit. a RODO. Należy zaznaczyć, że świadczenie usług na podstawie umowy nie może, co do zasady, zostać uzależnione od wyrażenia zgody. Przetwarzanie danych dotyczących zdrowia osoby fizycznej zostało na gruncie RODO zasadniczo zabronione (art. 9 ust. 1 RODO). Zakaz nie ma jednak charakteru bezwzględnego[39]. Przetwarzanie danych dotyczących zdrowia jest możliwe, o ile występują przesłanki legitymizujące przetwarzanie, wskazane w treści art. 9 ust. 2 RODO. Jedną z dopuszczalnych przesłanek stanowi zgoda udzielona przez osobę fizyczną (tj. podmiot danych) na przetwarzanie informacji o stanie jej zdrowia (art. 9 ust. 2 lit. a RODO). Zgodnie ze stanowiskiem Europejskiej Rady Ochrony Danych, w zakresie przetwarzania danych osobowych, cecha „dobrowolności” w przypadku wyrażenia zgody zakłada rzeczywistą możliwość dokonania wyboru przez osoby, których dane dotyczą, oraz sprawowania przez nie kontroli[40]. Podmiot danych musi wyrazić zgodę „w jednym lub większej liczbie określonych celów”. Ponadto podmiotowi danych przysługuje możliwość wyboru w odniesieniu do każdego z celów. Wskazuje się, że wymóg „konkretności” zgody ma na celu zapewnienie określonego stopnia kontroli sprawowanej przez użytkownika oraz przejrzystości w odniesieniu do osoby, której dane dotyczą[41]. Należy zaznaczyć, że zgodnie z wytycznymi[42] wymóg „konkretności” zgody należy uznać za spełniony w przypadku, gdy administrator: określa cel, którego dotyczy zgoda; zapewnia szczegółowość w zapytaniach o zgodę; wyraźnie rozdziela informacje związane z uzyskaniem zgody na czynności przetwarzania danych od informacji na inne tematy. Ponadto RODO w art. 9 ust. 2 lit. a wymaga, aby zgoda na przetwarzanie danych wrażliwych, oprócz spełnienia wymogów ogólnych, była „wyraźna” (ang. explicit consent) . Termin „wyraźna” odnosi się do sposobu wyrażenia zgody przez podmiot danych. Oznacza to, że osoba, której dane dotyczą, musi złożyć oświadczenie o wyrażeniu zgody w sposób aktywny[44]. Zatem nie może dojść do skutecznego wyrażenia zgody na przetwarzanie szczególnych kategorii danych w sposób dorozumiany z uwagi na to, że wymagane jest wyraźne oświadczenie[45]. Prawodawca w tym przypadku wymaga wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie, aby wyrazić zgodę na określone przetwarzanie[46]. Zapewnienie możliwości wyrażenia zgody w sposób w pełni realizujący zasady określone przez RODO może w praktyce być skomplikowane i mało przejrzyste, zwłaszcza w przypadku znacznej liczby celów przetwarzania danych osobowych.
Cyberbezpieczeństwo w metawersum
Jak zostało wspomniane, realizacja pełnej wizji metawersum wiąże się z przetwarzaniem ogromnych ilości danych osobowych (w tym danych szczególnych kategorii) o użytkownikach, co wymagało dokładnego zaplanowania poszczególnych procesów pod kątem ich zgodności z zasadami ochrony danych osobowych, w szczególności odnośnie do środków technicznych i organizacyjnych służących zminimalizowaniu ryzyka naruszenia praw i wolności podmiotów danych. Ważny aspekt stanowi zatem realizacja zasady privacy by design (art. 25 RODO), czyli uwzględnienie aspektów dotyczących ochrony danych osobowych już na etapie samego projektowania platform. Pozyskane dane są przekazywane miedzy systemami lub między urządzeniami. W tym celu mogą być wykorzystywane urządzenia przewodowe lub komunikacja bezprzewodowa. Aktualnie standardem jest szyfrowanie komunikatów, aczkolwiek, mimo, że informacje przesyłane są jako poufne, osoba nieuprawniona może uzyskać dostęp do danych[47]. Ze względu na obszerny zbiór wrażliwych danych można oczekiwać wzrostu prób pokonania zabezpieczeń i kradzieży danych osobowych. Podobnie można oczekiwać wzrostu liczby ataków socjotechnicznych. Mogą także występować podatności i błędy w oprogramowaniu. Pojawiają się zatem uzasadnione obawy o bezpieczeństwo transmisji danych i zapewnienie poufności danych. Istotne ryzyko dla ochrony prywatności niosą ze sobą także interakcje użytkowników korzystających z awatarów[48], czyli ze swoich „reprezentantów” w świecie wirtualnym. W pewnym sensie można uznać awatara za alternatywną, cyfrową tożsamość. W zależności od konkretnej platformy, awatary mogą być tworzone przez samych użytkowników lub przez oprogramowanie. Możliwości, jakie daje oprogramowanie, powodują, że awatary mogą przybrać różne formy, jak również kilku użytkowników może stworzyć w zasadzie identyczne awatary. Nie ma zatem pewności, czy użytkownik wchodzi w interakcje z człowiekiem, który posługuje się awatarem, czy z maszyną. Ponadto może dochodzić do kradzieży awatarów lub do podszywania się pod innych użytkowników za pomocą skopiowanego awatara. Nie ma pewności, czy za takim samym awatarem w rzeczywistości stoi ten sam użytkownik, z którym nawiązane zostały wcześniej relacje, np. relacje biznesowe czy prywatne. Osoba w rzeczywistości posługująca się awatarem może natomiast mieć różne intencje, w tym dążyć do wyłudzenia istotnych informacji mogących mieć wartość ekonomiczną. Wykorzystanie czujników w celu interakcji z systemem pozwoli uzyskać o wiele więcej szczegółowych informacji o użytkowniku, w tym dane biometryczne. Informacje te pozwolą przestępcom podszywać się pod prawdziwą osobę i ukraść jego tożsamość[49]. Przestępcy już teraz handlują danymi, które imitują cechy i zachowanie urządzenia użytkownika. Dzięki takim informacjom już teraz można oszukać systemy uwierzytelniania[50].
Należy podkreślić, że zasadniczo poza RODO nie istnieją europejskie regulacje określające wymagania dla cyberbezpieczeństwa w wirtualnym świecie. Wypracowanie odpowiednich standardów może się zatem okazać niezbędne dla zwiększenia bezpieczeństwa przetwarzania danych osobowych. Aktualnie wskazuje się na zasadność wykorzystania technologii blockchain w celu przenoszenia awatarów i aktywów pomiędzy poszczególnymi „światami”[51].
Podsumowanie
Metawersum jest zjawiskiem ściśle powiązanym z przetwarzaniem znacznych ilości informacji o użytkownikach. Korzystanie z benefitów, jakie daje możliwość uczestniczenia w wirtualnym wszechświecie, wiąże się jednak z licznymi zagrożeniami dla prywatności użytkowników, w tym dotyczącymi ich danych osobowych. Niewątpliwie kwestia ustanowienia odpowiednich regulacji prawnych w tym obszarze będzie stanowiła ważne zadanie dla unijnych organów. Należy zaznaczyć, że konieczność uregulowania zdecentralizowanych platform została dostrzeżona przez Europejskiego Inspektora Ochrony Danych. Pod koniec lipca 2022 r. zostało opublikowane opracowanie dotyczące tzw. „Fediverse”, czyli środowiska składającego się z wielu niezależnych, interoperacyjnych platform mediów społecznościowych, które pozwalają swoim użytkownikom na interakcję ze sobą w ramach tych platform[52]. W opracowaniu uwagę zwrócono na takie kwestie jak lokalizacja serwerów, co może mieć wpływ na ograniczenie konieczności transferów danych, ponadto na kwestię cyberbezpieczeństwa. Fediverse nie dysponują jednak wystarczającymi zasobami w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.
[1] Źródło: https://spidersweb.pl/2021/10/facebook-metaverse-prezentacja.html (dostęp: 15.10.2022 r.).
[2] Źródło: https://businessinsider.com.pl/technologie/zuckerberg-dal-sygnal-zmiana-nazwy-facebooka-to-nie-jest-przypadek/jvks57c (dostęp: 15.10.2022 r.).
[3] Źródło: https://www.rp.pl/biznes/art12210741-google-pracuje-nad-wirtualna-rzeczywistoscia (dostęp: 16.10.2022 r.); http://www.eurobajt.pl/gogle-wirtualnej-rzeczywistosci-czy-czeka-nas-rewolucja/ (dostęp: 16.10.2022 r.).
[4] Źródło: https://thinkapple.pl/2021/07/22/apple-zsyntezowna-rzeczywistosc-synthetized-reality/ (dostęp: 16.10.2022 r.); https://tvn24.pl/biznes/tech/apple-pracuje-nad-wirtualna-rzeczywistoscia-ra617418-4465748 (dostęp: 16.10.2022 r.).
[5] Źródło: https://knowyourmobile.com/pl/przewodniki-u%C5%BCytkownika/co-to-jest-neuralink/#:~:text=Neuralink%20to%20mikrochip%2C%20kt%C3%B3ry%20zostanie%20chirurgicznie%20wszczepiony%20w,roku%20firma%20pracuje%20nad%20tym%20projektem%20do%20dzi%C5%9B (dostęp: 16.10.2022 r.); https://www.computerworld.pl/news/Neuralink-chce-polaczyc-mozg-czlowieka-bezposrednio-z-komputerem,434374.html (dostęp: 16.10.2022 r.).
[6] Zob. Europol (2022), Policing in the metaverse: what law enforcement needs to know, an observatory report from the Europol Innovation Lab, Publications Office of the European Union, Luxembourg, s. 7. Opracowanie wydane przez Europol. Źródło: https://www.europol.europa.eu/publications-events/publications/policing-in-metaverse-what-law-enforcement-needs-to-know (dostęp: 18.11.2022 r.).
[7] Źródło: https://digitaluniversity.pl/metaversum-nowy-trend-technologiczny-ktory-zdominuje-swiat/#:~:text=Koncepcja%20metaversum%20pierwszy%20raz%20pojawi%C5%82a%20si%C4%99%20w%20powie%C5%9Bci,%C5%9Brodowisk%2C%20kt%C3%B3re%20razem%20tworz%C4%85%20trwa%C5%82%C4%85%2C%20wsp%C3%B3ln%C4%85%20wirtualn%C4%85%20przestrze%C5%84 (dostęp: 16.10.2022 r.); https://en.wikipedia.org/wiki/Metaverse (dostęp: 16.10.2022 r.).
[8] Źródło: https://pl.wikipedia.org/wiki/Rzeczywisto%C5%9B%C4%87_wirtualna (dostęp: 16.10.2022 r.).
[9] Źródło: https://en.wikipedia.org/wiki/Augmented_reality (dostęp: 16.10.2022 r.).
[10] Źródło: https://www.idc.com/getdoc.jsp?containerId=prUS48284221 (dostęp: 11.6.2022 r.).
[11] NFT (Non-Fungible Token) – niezmienny technicznie certyfikat. Może przybierać różne formy, np.: zdjęcie jpg, gif, film czy też plik tekstowy; źródło: https://spidersweb.pl/2021/07/co-to-nft.html (dostęp: 28.5.2022 r.).
[12] Źródło: https://startup.pfr.pl/pl/aktualnosci/metaverse-co-jest-i-czy-przyszlosc-internetu/ (dostęp: 16.10.2022 r.).
[13] Wirtualny świat, udostępniony publicznie w 2003 r. przez firmę Linden Research, Inc. z siedzibą w USA. Użytkownik może uczestniczyć w wirtualnym świecie i w jego gospodarce. Użytkownik może tworzyć wirtualną postać, tzw. awatara. Opis postaci zazwyczaj jest zbieżny z informacjami wskazanymi na portalach społecznościowych. Źródło: https://pl.wikipedia.org/wiki/Second_Life (dostęp: 28.5.2022 r.).
[14] Źródło: https://www.oculus.com/horizon-worlds/ (dostęp: 16.10.2022 r.).
[15] Zob. Europol (2022), Policing in the metaverse: what law enforcement needs to know, an observatory report from the Europol Innovation Lab, Publications Office of the European Union, Luxembourg, s. 11. Opracowanie wydane przez Europol. Źródło: https://www.europol.europa.eu/publications-events/publications/policing-in-metaverse-what-law-enforcement-needs-to-know (dostęp: 18.11.2022 r.).
[16] Zob. Europol (2022), Policing in the metaverse: what law enforcement needs to know, an observatory report from the Europol Innovation Lab, Publications Office of the European Union, Luxembourg, s. 8. Opracowanie wydane przez Europol. Źródło: https://www.europol.europa.eu/publications-events/publications/policing-in-metaverse-what-law-enforcement-needs-to-know (dostęp: 18.11.2022 r.).
[17] Zgodnie z definicją zawartą w Słowniku Języka Polskiego, awatar oznacza „obrazek reprezentujący użytkownika w Internecie”, źródło: https://sjp.pl/awatar (dostęp: 8.10.2022 r.). Należy jednak zaznaczyć, że awatar aktualnie może przybrać zróżnicowane formy, w tym trójwymiarowe modele, źródło: https://pl.wikipedia.org/wiki/Awatar_(rzeczywisto%C5%9B%C4%87_wirtualna) (dostęp: 8.10.2022 r.).
[18] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. L Nr 119 z 4.5.2016 r., s. 1 ze zm.; dalej jako: RODO.
[19] Źródło: https://digitaluniversity.pl/metaversum-nowy-trend-technologiczny-ktory-zdominuje-swiat/ (dostęp: 16.10.2022 r.).
[20] Takie narzędzia są powszechnie stosowane przez podmioty obowiązane na gruncie przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, w celu ustalenia, czy dany klient nie pochodzi z kraju objętego sankcjami.
[21] Źródło: https://www.leewayhertz.com/metaverse-interoperability/ (dostęp: 16.10.2022 r.).
[22] Źródło: https://pl.wikipedia.org/wiki/Rzeczywisto%C5%9B%C4%87_wirtualna (dostęp: 6.6.2022 r.).
[23] Źródło: https://pl.wikipedia.org/wiki/Rzeczywisto%C5%9B%C4%87_wirtualna#:~:text=Rzeczywisto%C5%9B%C4%87%20wirtualna%20%28ang.%20virtual%20reality%29%2C%20fantomatyka%20%E2%80%93%20obraz,multimedialnym%20kreowaniu%20komputerowej%20wizji%20przedmiot%C3%B3w%2C%20przestrzeni%20i%20zdarze%C5%84 (dostęp: 16.10.2022 r.).
[24] Źródło: https://en.wikipedia.org/wiki/Augmented_reality (dostęp: 6.6.2022 r.).
[25] Źródło: https://think-about.pl/meta-okulary-do-nowej-rzeczywistosci/ (dostęp: 16.10.2022 r.).
[26] Umożliwia interakcję człowieka z komputerem za pomocą mowy, wykorzystując rozpoznawanie mowy do rozumienia poleceń głosowych i udzielania odpowiedzi na pytania oraz, zazwyczaj, zamianę tekstu na mowę w celu odtworzenia odpowiedzi, źródło: https://en.wikipedia.org/wiki/Voice_user_interface (dostęp: 11.6.2022 r.).
[27] Źródło: https://metawersum.biz/ (dostęp: 11.6.2022 r.).
[28] Zob. Roberto Di Pietro, Stefano Cresc, Metawerse: Security and Privacy Issues, s. 1, źródło: https://www.researchgate.net/publication/357116743_Metawerse_Security_and_Privacy_Issues (dostęp: 13.6.2022 r.).
[29] Źródło: https://www.metavert.io/brain-computer-interface (dostęp: 16.10.2022 r.).
[30] Technologia haptyczna wykorzystuje mechaniczne komunikowanie się z użytkownikami poprzez zmysł dotyku, źródło: https://pl.wikipedia.org/wiki/Technologia_haptyczna (dostęp: 12.6.2022 r.).
[31] Zob. S. Mystakidis, Metaverse, 2022, s. 487, źródło: https://www.researchgate.net/publication/358497370_Metaverse (dostęp: 16.10.2022 r.).
[32] Źródło: https://blog.coveidentity.com/?p=544 (dostęp: 11.6.2022 r.).
[33] Źródło: https://blog.coveidentity.com/?p=544 (dostęp: 11.6.2022 r.).
[34] Źródło: https://blog.coveidentity.com/?p=544 (dostęp: 11.6.2022 r.).
[35] Zob. pkt 123 wyroku TS z 1.8.2022 r. w sprawie C-184/20, Legalis.
[36] Zob. pkt 128 wyroku TS z 1.8.2022 r. w sprawie C-184/20.
[37] Wytyczne w sprawie przejrzystości na mocy rozporządzenia 2016/679. Źródło: https://ec.europa.eu/newsroom/article29/items/622227/en (dostęp: 18.11.2022 r.).
[38] Ibidem, s. 7.
[39] M. Kuba [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasza, Warszawa 2018, art. 9.
[40] Wytyczne 05/2020, s. 7.
[41] Wytyczne 05/2020, s. 14.
[42] Ibidem, s. 15.
[43] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2022, kom. do art. 9.
[44] Wytyczne 05/2020, s. 19.
[45] P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679…, op. cit., art. 9.
[46] Wytyczne 05/2020, s. 19.
[47] Źródło: https://metawersetroop.com/privacy-concerns-in-metawerse/ (dostęp: 12.6.2022 r.).
[48] Awatary mogą stanowić odwzorowanie rzeczywistych ludzi uczestniczących za ich pomocą w tych światach, jak również być postaciami generowanymi przez samo oprogramowanie. Źródło: https://pl.wikipedia.org/wiki/Awatar_(rzeczywisto%C5%9B%C4%87_wirtualna) (dostęp 12.6.2022 r.).
[49] Zob. Europol (2022), Policing in the metaverse: what law enforcement needs to know, an observatory report from the Europol Innovation Lab, Publications Office of the European Union, Luxembourg, s. 13. Opracowanie wydane przez Europol.
[50] Zob. Europol (2022), Policing in the metaverse: what law enforcement needs to know, an observatory report from the Europol Innovation Lab, Publications Office of the European Union, Luxembourg, s. 14. Opracowanie wydane przez Europol.