Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A metaverzum egy megosztott, virtuális világ, amit a felhasználók bármilyen platformról képesek elérni az interneten keresztül, és ahol a virtuális avatárjaikkal tudnak kapcsolatba lépni egymással. Az alábbi, kétrészes sorozat az e sajátos világgal kapcsolatban felmerülő sokféle jogi kérdést veszi górcső alá.
Első cikkünkben megvizsgáltuk a metaverzum mibenlétét, szerzői jogi, védjegyjogi, általános szerződési jogi kérdéseit és foglalkoztunk az NFT-kel. Cikkünk második részében most a metaverzum adat- és kibervédelmi, reklám- és munkajogi, valamint mesterségesintelligencia-aspektusait vesszük górcső alá.
Adatvédelmi kihívások
A metaverzum használatával kapcsolatos adatvédelmi kihívások hasonlóak a közösségimédia-platformok által felvetett adatvédelmi kérdésekhez, vizsgálatuk során fontos azonban a metarverzum alapjául szolgáló technológia jellegét is figyelembe venni. A felhasználók ugyanis a metaverzumban a korábbinál mélyebb interakcióba lépnek virtuális környezetükkel, így sokkal több személyes adat keletkezik tevékenységükkel összefüggésben.
Már az adatkezelés megkezdésekor – az avatarok létrehozása során – vizsgálni kell a technológiai jog egyik visszatérő dilemmáját: mennyiben engedhető meg az anonimitás, moderálható-e a felhasználók tevékenysége, hogyan biztosítható a véleménynyilvánítás szabadsága és az emberi méltóság védelme, valamint szükség van-e egy, akár jogszabály, akár önszabályozás alapján működő felügyeleti szervre, amelyik azonosítani tudja a felhasználót és dönthet a vitás esetekben.
További specifikus szempont a metaverzum használata során generált adatok jellege. A metaverzumban működő társaságok a minél élethűbb felhasználói élmény biztosítása érdekében például rögzíthetik a felhasználók mozgását, testi reakcióit, sőt, akár agyhullámmintáikat is. A szem és az arc mozgásának elemzése nem csak az érintett felhasználó azonosítását szolgálja, hanem további következtetéseket lehet levonni viselkedéséről és fogyasztási szokásairól. Egyes kutatások szerint már a pupilla tágulása alapján következtetni lehet az érintettek személyiségjegyeire, illetve kulturális hovatartozására vonatkozóan, és a szem mozgását követő technológiák három másodperc után előre tudják jelezni az érintett döntéseit. Mindezekről közérthető és átlátható adatvédelmi tájékoztatást kell adni a felhasználók számára, különös tekintettel az adatok segítségével hozott automatizált döntések következményeire. A metaverzum működtetésében részt vevő adatkezelő, illetve adatfeldolgozó társaságok komplex láncolata miatt fontos rögzíteni az egyes szereplők adatvédelmi státuszát és felelősségét is.
A technikai lehetőségekre és korlátokra figyelemmel biztosítani kell továbbá az érintett felhasználók adatvédelmi jogait – hozzáférés az adatokhoz, adatmásolat kérése, az adatok törlése, illetve leiratkozási lehetőség bizonyos (a legtöbbször marketingcélú) adatkezelésekről, valamint (a metaverzumon kívül is számos technikai kihívást jelentő) adathordozhatóság.
A metaverzum működése során azonban – elsősorban az NFT-k tekintetében – a GDPR-ban alapvetésként meghatározott helyesbítési jog, valamint az „elfeledtetéshez való jog” (right to be forgotten) nem érvényesülhet mindig maradéktalanul. A GDPR alapján a felhasználó jogosult lenne arra, hogy kérhesse a rá vonatkozó személyes adatok helyesbítését. A felhasználó jogosult továbbá arra is, hogy személyes adatait töröljék, ha azok gyűjtésére vagy más módon való kezelésére már nincs szükség, vagy ha az érintett visszavonta az adatok kezeléshez adott hozzájárulását. Mivel azonban az NFTk-kel kapcsolatban a blokklánc-technológia megváltoztathatatlan, állandó nyilvántartást vezet a tulajdonjogról és a tranzakciókról, így nem teszi lehetővé az elfeledtetéshez való jog teljes körű gyakorlását, vagy a felhasználók személyes adatai pontatlanságainak kijavítását.
A kibervédelem fontossága
A digitális térben gyűjtött és kezelt adatok nagy mennyisége, érzékeny jellege, valamint az alapul fekvő technológia (például virtuális tranzakciókhoz integrált, érintés nélküli fizetési rendszerek) jellege miatt specifikus szervezési és technikai intézkedéseket kell megvalósítani a kibertámadások megelőzésére. A hiányos adatbiztonsági intézkedések növelik az adatvédelmi incidensek kockázatát – ezeknek az egyik legsúlyosabb következménye pedig a felhasználó avatarjával való visszaélés és a személyiséglopás (identity theft). A rosszindulatú támadók hozzáférhetnek a felhasználók digitális vagyontárgyaihoz is, vagy éppen ellenkezőleg, ransomware támadás esetén a hozzáférési kulcsok titkosításával ellehetetleníthetik a digitális vagyontárgyakhoz való hozzáférést. A fentiek megelőzése érdekében fontos a biztonsági alapbeállítások megfelelő konfigurálása és a felhasználók oktatása, ideértve különösen a metaverzumon belüli social engineering kivédésében való segítségnyújtást. A metaverzum működtetésében részt vevő társaságok komplex láncolatának minden szintjén azonos (vagy szigorúbb) kiberbiztonsági intézkedéseket kell előírniuk, és visszatérően auditálniuk.
Reklámszabályozás a metaverzumban
Az Amerikai Egyesült Államokban a Truth in Advertising nevű civil szervezet nemrég panaszt nyújtott be a Szövetségi Kereskedelmi Bizottsághoz (Federal Trade Commission – FTC) a Roblox nevű népszerű játékplatform állítólagos megtévesztő reklámozási gyakorlata miatt. A platformot egyelőre még elsősorban „két dimenzióban” használják, de a panaszban felvetett kérdések megmutatják, milyen reklámjogi kihívásokkal találkoznak majd a metaverzum résztvevői.
A panasz állításai szerint a Roblox nem különbözteti meg egyértelműen az észszerűen eljáró fogyasztók – különösen a gyermekek – számára a szórakoztató és a reklámtartalmakat. A platform lehetővé teszi a felhasználók számára, hogy a hirdetéseket játékélményekkel kombináló „reklámjátékokat” („advergames”) hozzanak létre, a panasz szerint azonban szinte lehetetlen különbséget tenni a hirdetők által létrehozott (szponzorált) játékok és az egyéni felhasználók által (promóciós tartalom nélkül) létrehozott játékok között, és a virtuális események szponzorált jellege sem mindig egyértelmű. A fenti aggályok jogosnak tűnnek, és megelőzésük a metaverzumban is kulcsfontosságú.
További jogi vizsgálatot igényel, ha a hirdetők által támogatott influenszerek avatarként jelennek meg – ha az avatart nem a metarverzumon kívüli influenszer irányítja –, meddig terjed az adott influenszer, és hol kezdődik az avatart irányító hirdető felelőssége.
Az EU Mesterséges Intelligencia Rendeletének várható hatása
Tekintettel a technológia fejlődésére, a mesterséges intelligencia (MI) megjelenése és használata a metaverzumban is elkerülhetetlen. Az MI által felvetett jogi kérdéseket az Európai Unió szintjén a Mesterséges Intelligencia Rendelet fogja kezelni – a jogszabály egyelőre azonban tervezet formájában létezik, és még legalább fél év, mire a jogalkotó elfogadja végleges formáját. Ezután a szervezeteknek várhatóan két év felkészülési idő áll a rendelkezésükre, hogy az MI fejlesztésével, forgalmazásával és használatával kapcsolatos tevékenységeiket az MI-rendelethez igazítsák.
Ami már biztos, hogy tilos lesz a felhasználókat tudatalatti (úgynevezett „szubliminális”) technikák alkalmazásával befolyásolni, vagy kihasználni bizonyos veszélyeztetett csoportok, például a gyermekek vagy a fogyatékossággal élő személyek sebezhetőségét, és ezzel összefüggésében pszichológiai vagy fizikai károsodást okozni. Ezt a tilalmat főleg a reklámok megtervezése során kell majd figyelembe venni. Reklámjogi szempontból is jogszerűtlen lehet a lájkok és megosztások mesterséges befolyásolása annak érdekében, hogy egy-egy tartalmat az alapul fekvő algoritmus jobban kiemeljen és népszerűbbé tegyen. A Roblox felhasználási feltételei már most is tiltják az úgynevezett „megtévesztő mintákat” (kifejezetten megemlítve „a lájkok vagy látogatások számának mesterséges növelését”) – kérdés, hogy a szervezetek számára rendelkezésre állnak-e a szükséges jogi és technikai eszközök a szabályok betartásának ellenőrzésére.
Bizonyos MI-rendszereket az MI-rendelet nagy kockázatú MI-rendszerekként sorol be – a metaverzumban ilyenek lehetnek a biometrikus azonosítással, oktatással, szakképzéssel és foglalkoztatással kapcsolatban használt MI-rendszerek. Használatuk során számos követelménynek kell majd megfelelni: kockázatkezelési rendszer bevezetése, használható tanulóadat-, érvényesítésiadat- és tesztadatkészletek biztosítása, műszaki dokumentáció és nyilvántartások vezetése, és nem utolsósorban emberi felügyelet biztosítása.
Biztosítani kell majd, hogy a felhasználókkal való interakcióra szánt MI-rendszereket úgy tervezzék meg és fejlesszék ki, hogy a felhasználók tájékoztatást kapjanak arról, valamely MI-rendszerrel állnak kapcsolatban. A gyakorlatban például ez akkor fordulhat elő, ha az avatar egy MI által kifejezetten egy-egy termék vagy szolgáltatás reklámozására, illetve eladására létrehozott bot (MI által vezérelt influenszer). Ha a metaverzum érzelemfelismerő rendszert használ, a felhasználót tájékoztatni kell a rendszer működéséről. Az ilyen rendszerek jogszerűtlen használata miatt nemrég a Nemzeti Adatvédelmi és Információszabadság Hatóság is szabott ki bírságot egy magyarországi bankra.
Fontos a felhasználók védelme a megtévesztő módon eredetinek vagy valóságosnak tűnő képektől, audio- vagy videotartalmaktól (deep fake) – használatukra szintén külön tájékoztatási kötelezettséget ír elő az MI-rendelet tervezete.
Fontos szempont az is, hogy az MI ideális működése nagy mennyiségű adat felhasználásán (bevitelén) alapul. A metaverzumon kívüli világban az MI-modell betanítása esetén vizsgálni kell, hogy az alapul fekvő adatkészlet (például időjárással kapcsolatos adatok, természetben előforduló hangok) szerzői jogi védelem alatt áll-e. A metaverzumban azonban minden egyes kép és hang emberek által programozott gép alkotása – biztosítani kell tehát, hogy az MI által létrehozott „kimenet” (például egy virtuális város háttérzaja, mint közlekedés, madárcsicsergés stb.) a szellemi alkotásokra vonatkozó jogszabályok szerint történjen. Ezen túlmenően, a jelenlegi szabályozás alapján az MI nem lehet szerző, illetve feltaláló – a metaverzum napi szintű működése változtathat ezen a megközelítésen, lehetővé téve, hogy az MI korlátozásoktól mentesen hozzon létre szellemi alkotásokat a virtuális térben, a GDPR által jogszabályi szintre emelt „beépített és alapértelmezett adatvédelem” („privacy by design and default”) alapelvéhez hasonló „beépített jogi megfelelőség” („compliance by design”) mentén.
A metaverzum mint munkahely
A metaverzum használata jó lehetőség a munkáltatók számára is, elsősorban azért, hogy továbbfejlesszék és még interaktívabbá tegyék a távmunkával kapcsolatos gyakorlataikat. Könnyebb lehet például a munkatársak arckifejezését és testbeszédét megérteni, mint a „kétdimenziós” videóhívások során, személyesebbé téve ezzel a kommunikációt; a virtuális környezetben pedig hatékonyabban lehet csoportban dolgozni, továbbá a prezentációkat is kreatívabban lehet elkészíteni és megjeleníteni. A metaverzumban végzett munka még jobban csökkenti majd a munkavállalók személyes jelenlétének fontosságát, segítve ezzel a munkáltatók országhatáron átnyúló terjeszkedését – az ebből eredő adózási, társadalombiztosítási és bevándorlási szabályokat azonban ettől függetlenül figyelembe kell venni azoknak a munkavállalóknak az esetében, akik esetleg fizikailag nem laknak a munkáltató országában. További feladat, hogy az elvárt munkahelyi viselkedésre vonatkozó belső szabályzatokat a metaverzumban való munkavégzés specifikus jellemzőihez kell igazítani. Megfelelően szabályozni kell például a munkavállalók avatarjainak jellemzővel és megjelenésével, a metarverzumban való kommunikáció módjával, a munkáltató képviseletével, valamint a munkaidő és a munkavédelmi intézkedések szabályozásával kapcsolatos, metaverzum-specifikus előírásokat.
A metaverzum használatában részt vevő társaságok és szervezetek feladatai
A fenti szempontok alapján a metaverzum használatában részt vevő társaságok és szervezetek feladatai az alábbiak:
A cikk szerzője dr. Domokos Márton, a CMS in Hungary szenior tanácsadója.
