我们如何在扩展现实世界中保持安全?

最近的一次未来私隐论坛报告[PDF]提出了应对与沉浸式增强(AR)和虚拟现实(VR)技术相关的隐私风险的建议，这些技术越来越多地应用于教育和培训、游戏、多媒体、导航和通信。

AR和VR应用可以让用户实时探索物理世界的共享数字覆盖层，随着它们被更广泛地采用和改进，它们可能会融合成一个“扩展现实”(XR)。这些技术会积累和处理大量敏感的个人信息，包括生物特征数据、唯一的设备标识符、位置以及家庭和企业信息。然而，就像人工智能和5G通信等其他新兴技术一样，这给数据主体带来了风险，可能会限制AR和VR平台的用途，从而破坏它们的进一步采用。没有这些数据，XR技术根本无法发挥作用。

隐私未来论坛是一个智库，汇集了学术界、消费者权益倡导者和业界，探讨技术创新带来的挑战，并制定隐私保护、道德规范和可行的商业实践。该报告的目的是考虑XR技术当前和未来的用例，并为行业提供建议，通过采用隐私准则负责任地实施这些技术。这包括向需要考虑如何在XR技术收集个人数据方面履行其数据保护法律义务的政策制定者提供建议;例如，硬件制造商如何在数据收集、使用和共享方面保持透明度，以及开发人员如何在本地处理数据。

该报告提出了几项关键建议。首先，政策制定者应该仔细考虑现有或拟议中的数据保护法律如何为消费者提供有意义的权利，并为公司提供关于XR数据的明确义务。它还建议硬件制造商应该考虑如何以对用户、旁观者和其他利益相关者透明的方式进行XR数据收集、使用和共享。

对于XR开发人员来说，他们应该考虑敏感的个人数据在多大程度上可以在本地处理并保存在设备上，同时确保敏感的个人数据在传输和静止时进行加密。

平台和XR体验提供商应该实施有关虚拟身份和财产的规则，以减轻(而不是增加)在线骚扰、数字破坏和欺诈。他们还需要制定明确的指导方针，减轻XR用户和旁观者的身体风险，并提供广泛的可定制头像功能，反映更广泛的社区，鼓励代表性和包容性。

他们还有责任咨询更大的利益相关者社区，包括行业专家、倡导者、政策制定者、XR用户和非XR用户，并将社区反馈纳入有关软件和硬件设计以及数据收集、使用和共享的决策中。

对他们来说，在这一领域工作的研究人员在通过XR技术进行研究之前需要获得知情同意，如果同意不切实际，则考虑寻求机构或伦理审查委员会的审查。

其中许多建议都是针对行业的，这些考虑因素最好反映在隐私政策和最终用户许可协议(eula)中。试图改进该行业现有政策和协议的困难在于，它们存在没有充分认识到这些技术运作方式的风险。通常在软件和网站上签署eula和隐私政策的方法可能不太适合XR。

XR技术收集的大量个人数据有助于创造更好的沉浸式体验，但也可能加剧隐私风险——这些技术的独特性质使得很难通过应用其他数字媒体部门的现有隐私政策和实践来降低风险，这需要新的创新方法来选择、安全和透明。例如，VR头戴设备可以捕捉大量的个人数据，如灵巧度、移动的便利性和反应时间，有可能建立一个健康档案——眼球跟踪技术比cookie更具侵入性。

虚拟现实制造商需要确保隐私得到保护，数据处理和存储安全——而且只有在他们明确同意的情况下才需要这样做。他们还应考虑，在设备对医疗数据的处理有助于诊断或治疗的情况下，医疗设备授权是否必要，以及数据匿名化是否可以减轻研究带来的隐私风险。

FPF的建议旨在为行业和政策制定者提供一种解决这一问题的方法，同时不影响XR技术提供的好处。该报告认为XR技术正在不断发展，并试图通过关注与用户数据相关的实际危害来解决这一问题。

期望的结果显然是政策制定者通过澄清和协调现有规则，并引入专门为XR行业量身定制的行业标准建议，在创新友好的监管环境中开展工作。要做到这一点，最好的方法是行业和政策制定者支持FPF提供的建议，并考虑如何在现有实践中最好地实施这些建议。

Rayyan Mughal是一名商业合同律师Marks & Clerk．