专业解读虚拟数字人的法律风险与合规要点

原标题：专业解读 | 虚拟数字人的法律风险与合规要点

虚拟数字人，是利用计算机图形学、动作捕捉、人工智能等技术打造的数字化人物形象，可以广泛应用于偶像娱乐、直播短视频、数字化劳动力、情感陪伴等领域。随着以ChatGPT为代表的生成式AI技术的突破，虚拟数字人将变得更为智能化、拟人化，这一产业有望迎来更大的发展机遇。但虚拟数字人兴起的同时，也带来了新的法律风险，本文拟对虚拟数字人相关的风险及合规要点进行总结。

一、人格权领域的侵权风险

虚拟数字人中有一部分以真实的自然人为原型，并可识别为该自然人。例如2019年的央视网络春晚即引入了虚拟主持人技术，其中虚拟主持人小小撒正是以著名主持人撒贝宁为原型制作的，其外观与撒贝宁十分相像，且能模仿撒贝宁的声音、表情、口语表达等。这类对应了真实自然人的虚拟数字人容易引发人格权领域的侵权风险。

1. 肖像权

《民法典》第1018条规定：自然人享有肖像权，有权依法制作、使用、公开或者许可他人使用自己的肖像。肖像是通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象。这类对应了真实自然人且形象能被识别为该自然人的虚拟数字人，需要得到该自然人的授权，否则就有侵犯其肖像权的风险。

2. 姓名权

《民法典》第1012条规定：自然人享有姓名权，有权依法决定、使用、变更或者许可他人使用自己的姓名，但是不得违背公序良俗。 姓名权保护的是权利主体决定、变更和使用自己姓名并排除他人干涉或非法使用的权利。在未经授权的情况下，如虚拟数字人能被识别为某自然人，且使用了该自然人的姓名作为名称，则该虚拟数字人还同时侵犯了对方的姓名权。

3. 声音权益

《民法典》第1023条第2款规定：对自然人声音的保护，参照适用肖像权保护的有关规定。虽然《民法典》未明确规定声音权，但相关权益仍然受到法律保护。前段时间十分火热的AI孙燕姿即是以孙燕姿的音色翻唱他人歌曲，实际上已侵害了孙燕姿享有的声音权利。若虚拟数字人模仿自然人的音色进行口语表达或歌唱表演，也同样有侵权风险。

4. 名誉权

《民法典》第1024条规定：民事主体享有名誉权。任何组织或者个人不得以侮辱、诽谤等方式侵害他人的名誉权。名誉是对民事主体的品德、声望、才能、信用等的社会评价。虚拟数字人在其背后组织、个人的控制下，可能在交互过程中侵害他人的名誉权，此时应由其背后的组织或个人承担侵权责任。

熊文郁与杨婧瑶名誉权纠纷案中，法院认为，步光步光媛媛清辉阁媛媛和上莹大小姐虽属于网络世界的虚拟人，但该虚拟人系现实世界的民事主体在网络世界的映射。熊文郁以步光步光媛媛清辉阁媛媛的网名在清辉阁官群贬称上莹大小姐（杨婧瑶网名）为不承认倒卖汉服的嫌疑黄牛妹子，并向会员悬赏进行人肉搜索，主观上存在损害杨婧瑶名誉的故意，客观上亦造成杨婧瑶的部分个人信息经熊文郁悬赏进行人肉搜索后在一定范围内公开。熊文郁的上述行为构成对杨婧瑶名誉权的侵害，其应当承担侵权责任。

此外，若虚拟数字人通过肖像、声音等元素能被公众识别为某真实自然人，则虚拟人的运营者也应注意不能借由虚拟数字人的形象、表演损害其对应的自然人的名誉。

5. 隐私权

部分虚拟数字人的声音、动作由真人表演者（业内称中之人）支撑，而虚拟偶像的个别粉丝容易将虚拟形象与背后的中之人联系起来，对中之人进行人肉搜索，公布其姓名、照片等信息。虚拟偶像的运营公司也可能泄露或故意透露中之人的隐私，构成对其隐私权的侵犯。

6. 一般人格权

《民法典》第990条第2款规定：除前款规定的人格权外，自然人享有基于人身自由、人格尊严产生的其他人格权益。虚拟数字人若以某真实自然人（通常为公众人物）的口吻进行交互，使虚拟数字人与自然人高度关联，则可能侵犯自然人的一般人格权。

何炅与上海自古红蓝人工智能科技有限公司一案中，被告在软件叨叨记账上的好友列表中预置了原告头像和姓名供用户选择，用户使用软件记账时，该软件会根据聊天场景的不同，通过智能算法或AI自动回复的方式推送与原告有关的肖像表情包或撩人情话，营造用户可与原告随时互动的体验。法院认为，叨叨记账通过创设虚拟的AI角色，将自然人的姓名、肖像、人格特点等综合而成的整体形象投射到AI角色上，并且让用户可以与AI角色设置一定的虚拟身份关系，这是对原告整体形象和人格表征的利用，属于原告人格自由利益的范畴，肖像权、姓名权的人格利益无法完整涵盖案涉软件涉及的人格利益。其次，案涉软件的功能使得AI角色可以与真实自然人高度关联，容易让用户产生一种与原告真实互动的情感体验。上述功能设置不仅属于原告自由决定其人格要素如何被使用的范畴，还涉及原告人格尊严被尊重的利益。被告未获原告许可以上述方式利用原告的人格要素，侵害原告人格自由利益及人格被尊重的利益，构成侵害原告一般人格权的行为。

二、知识产权领域的侵权风险

虚拟数字人的外观形象设计、虚拟数字人进行的直播和歌舞表演以及虚拟数字人通过生成式人工智能技术创作出的文本、绘画和音乐，都隐藏着著作权侵权风险。目前司法实践还未出现相关案例，但已有一起虚拟数字人被侵权的纠纷发生。通过该案，法院明确了在弱人工智能技术阶段，虚拟数字人还不享有著作权及邻接权。即使虚拟人生成的内容具有独创性，能构成具体类型的作品，也不归属于虚拟人，而归属于其背后的个人或组织。

魔珐公司与杭州某网络公司一案中，原告魔珐公司打造了一款超写实虚拟人Ada，并通过bilibili平台发布了两段视频，一段用于介绍虚拟数字人Ada的场景应用，一段用于记录真人演员徐某与虚拟数字人Ada的动作捕捉画面。之后，杭州某网络公司通过抖音账号发布两段被诉侵权视频，视频的居中位置使用了魔珐公司发布的相关视频内容，并在片头片尾替换有关标识，且在整体视频中添加虚拟数字人课程的营销信息。

法院经过审理认为，虚拟人Ada的表现形式构成美术作品，虽然这一外观借鉴了真人的体格形态，但在线条、色彩运用和具体形象设计上体现了作者的独创性。而介绍Ada场景应用的视频构成视听作品，由魔珐公司享有著作权。记录动捕画面的视频构成录像制品，由魔珐公司享有录像制作者权。而录像中虚拟人进行的表演是对真人表演的数字投射、数字技术再现，虚拟人对此不享有表演者权，该权利实际上由中之人徐某享有。但由于徐某是作为魔珐公司员工进行职务表演，该项表演者权中的财产性权利由魔珐公司享有。最终被告被认定侵犯信息网络传播权和不正当竞争。

(一) 著作权

1、虚拟数字人的外观形象

虚拟数字人的外观形象如抄袭已存在的2D或3D人物形象设计，则可能构成对后者信息网络传播权的侵害。

在中影年年文化公司与广州大蓝网络科技公司一案中，原告认为被告游戏中的人物形象头部与原告3D动画《少年歌行》中角色无心的头部构成实质性相似，主张涉案人物形象侵害其信息网络传播权。法院认为，可以推定涉案游戏广告制作者有接触该角色形象的可能性。经比对，涉案人物的头部造型与无心的头部形象高度近似，且二者相似部分属于原告通过线条、色彩构成的具有独创性部分。涉案人物抄袭了无心角色形象美术作品的头部造型。广州联动公司、广州大蓝公司抗辩不构成相似的部分，系两个角色形象的头部以外部分，但头部造型系无心角色形象美术作品的重要组成部分，涉案人物抄袭头部造型构成对无心角色形象美术作品的使用。法院最终认定被告侵犯信息网络传播权，并判决被告赔偿经济损失4800元。

2、虚拟数字人的歌舞表演

虚拟数字人的歌舞表演也可能侵犯他人的著作权。例如乐华娱乐旗下的虚拟偶像团体A-SOUL的虚拟艺人在生日会直播中，未经授权翻跳了网易公司旗下游戏《绝对演绎》与舞者唐诗逸合作的舞蹈作品《洛阳旧事》。《绝对演绎》官方随后发表声明，指出该虚拟偶像运营方未申请相关音乐和舞蹈动作使用授权，以营利为目的公开翻跳并收受打赏，构成侵权，被侵权方保留法律追究权利。舞蹈作品受到《著作权法》的保护，在未经授权的情况下，乐华娱乐旗下的虚拟艺人翻跳他人享有著作权的舞蹈作品，侵害了他人的表演权、信息网络传播权、表演者权等权利，该侵权责任应由虚拟艺人的运营方承担。与之类似，虚拟数字人在未经授权的情况下翻唱他人歌曲，可能侵害相关权利人的表演权、录音制作者权、表演者权。

3、虚拟数字人的作品

随着生成式AI技术的发展，虚拟数字人也可以自行创作出文本、绘画和音乐，但这一过程也伴随着对他人著作权的侵权风险。以AI绘画为例，虚拟数字人若要进行绘画，需要一个存有海量绘画素材的数据库，并通过工程师设计的算法，自动审查或抽取数据库中的素材进行拼接、组合或重新绘制，并最终生成一幅AI绘画。虚拟数字人的创作中，如果数据来源不合法，使用了他人享有版权的图片训练AI，可能侵犯他人著作权；而虚拟数字人在某一次具体的绘画过程中使用了他人有版权的图片，并造成最终生成的图片与版权图片高度相似，也会构成侵权。

（二)商标权

根据《商标法》第57条规定，未经他人许可，在同一种商品上使用与其注册商标近似的商标，或者在类似商品上使用与其注册商标相同或者近似的商标，容易导致混淆的，构成商标权侵权。如果虚拟数字人短视频在标题或文案中使用了他人商标，可能构成商标侵权；如果将他人商标作为标签或关键词，可能构成不正当竞争。

(三)专利权

虚拟数字人的制作过程需要用到多项技术，包括计算机图形学、深度学习、语音合成技术等，这些技术可以专利的形式申请保护。如果虚拟数字人的制作方未经许可使用了这些专利，则构成侵犯专利权。

三、数据安全风险

虚拟数字人在交互过程中需要使用生成式人工智能技术，而该技术一直面临着数据安全方面的风险。三星电子就曾因机密数据泄露事件宣布禁止员工使用ChatGPT；意大利个人数据保护局也曾宣布暂时中止意大利境内的ChatGPT访问途径，因为ChatGPT的安全漏洞导致部分用户的姓名、邮箱、聊天记录标题以及信用卡最后四位数字等信息遭到泄露。

因此，虚拟数字人的运营商作为生成式人工智能技术服务的提供者需要重视数据风险，确保数据收集、处理、使用的合法性并防止数据安全事件。《数据安全法》《网络安全法》《个人信息保护法》《互联网信息服务深度合成管理规定》，以及即将施行的《生成式人工智能服务管理暂行办法》都对数据安全提出了规范要求。

(一）数据获取、处理

在数据的获取上，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。虚拟人运营商在进行数据训练时应使用具有合法来源的数据和基础模型。

开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。生成式人工智能服务依赖海量数据，数据集的规模、均衡程度以及标注的准确性都会影响算法的执行效果。低质量的数据集可能会在算法执行任务指令时生成涵盖错误信息、偏见观点以及具有诱导倾向的内容。因此，虚拟人运营商应采取有效措施提高训练数据质量，增强训练数据的真实性、准确性、客观性、多样性，避免生成内容包含错误、偏见和歧视。同时，在生成式人工智能技术研发过程中进行数据标注的，应当制定清晰、具体、可操作的标注规则；开展数据标注质量评估，抽样核验标注内容的准确性；对标注人员进行必要培训，提升尊法守法意识，监督指导标注人员规范开展标注工作。

数据跨境需要得到主管机关的批准。非经批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

（二）数据风险监测

1、应急处置

数据处理者应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

《网络数据安全管理条例（征求意见稿）》对此进行了具体规定。虚拟数字人运营商作为数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当履行以下义务：（一）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等；（二）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

该条例尚未生效，但对虚拟数字人运营商等数据处理者制定数据安全事件应急方案有重要的参考价值。

2、风险评估

重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

《数据安全管理办法（征求意见稿）》中将重要数据定义为一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。虽然该办法并未生效，但其对重要数据的界定具有一定的参考意义。虚拟数字人如果得到大规模应用，运营商也可能因经营目的而需要收集、处理大面积的人口信息，此时运营商就需要对这一重要数据处理活动定期开展风险评估。

虚拟数字人的运营商需要确定数据安全责任人，报送的风险评估报告需要包括重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险（被窃取、泄露、毁损以及非法利用、非法出境的风险；被外国政府影响、控制、恶意利用的风险；网络信息安全风险等）及其应对措施。根据《网络数据安全管理条例（征求意见稿）》，国家网信部门负责统筹协调数据安全和相关监督管理工作；公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责；工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。但由于该条例尚未生效，确定风险评估报告的报送部门还需等待相关规范的进一步完善。

（三）个人信息保护

虚拟数字人运营商在开展预训练、优化训练等训练数据处理活动时，收集的数据涉及个人信息的，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

虚拟数字人运营商应确保训练数据中个人信息的安全，对合成类算法机制定期进行安全评估。①采取必要措施保障训练数据安全；提供人脸、人声等生物识别信息编辑功能的，应当提示深度合成服务使用者依法告知被编辑的个人，并取得其单独同意。②提供具有以下功能的模型、模板等工具的，应当开展安全评估：（一）生成或者编辑人脸、人声等生物识别信息的；（二）生成或者编辑可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息的。

用户在与虚拟数字人进行互动的过程中，不可避免得会向虚拟数字人提供个人信息。虚拟数字人的运营商对于用户的输入信息和使用记录应当依法履行保护义务，不得收集非必要个人信息，不得非法留存能够识别使用者身份的输入信息和使用记录，不得非法向他人提供使用者的输入信息和使用记录。运营商应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。

运营商应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

四、其他合规要点

除人格权、知识产权领域的侵权风险以及数据安全风险外，虚拟数字人的运营商也应关注国家及地方政策中的相关规定。

（一）《互联网信息服务深度合成管理规定》

《互联网信息服务深度合成管理规定》由国家互联网信息办公室审议通过，并经工业和信息化部、公安部同意，于2022年11月25日公布，自2023年1月10日起施行。

深度合成技术，指的是利用以深度学习、虚拟现实为代表的生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术。虚拟数字人的制作和运营过程中都需要该技术的支持，因此虚拟数字人的运营方作为深度合成服务的提供者或使用者也需要遵守相应规范。

1、确保合成信息的合法性

虚拟数字人的运营商应确保深度合成信息的合法性。根据该规定第6条、第10条，深度合成服务提供者不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息，或用其制作、复制、发布、传播虚假新闻信息；深度合成服务提供者应当审核使用该服务合成的内容，建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序。

2、标识合成信息

在必要的情况下，虚拟数字人的运营商应对深度合成的信息进行标识。根据该规定第17条，深度合成服务提供者提供以下深度合成服务，可能导致公众混淆或者误认的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识，向公众提示深度合成情况：（一）智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务；（二）合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务；（三）人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务；……深度合成服务提供者提供除此之外的深度合成服务的，应当提供显著标识功能，并提示深度合成服务使用者可以进行显著标识。

3、建立辟谣机制

此外，虚拟数字人运营商还应建立辟谣机制。根据第11条，深度合成服务提供者应当建立健全辟谣机制，发现利用深度合成服务制作、复制、发布、传播虚假信息的，应当及时采取辟谣措施，保存有关记录，并向网信部门和有关主管部门报告。

第22条规定了法律后果，违反该规定需接受行政处罚，构成犯罪的应追究刑事责任。

（二）《生成式人工智能服务管理暂行办法》

《生成式人工智能服务管理暂行办法》由国家互联网信息办公室会议审议通过，并经国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局同意，于2023年7月10日公布，自2023年8月15日起施行。

生成式人工智能技术，是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。虚拟数字人使用生成式人工智能技术将在交互过程中变得更加智能，具有一定的创造能力。

办法对包含个人信息在内的数据安全提出了规范要求，并且规定服务提供者需要保障服务的稳定性，承担一定的指导义务。根据第13条，提供者应当在其服务过程中，提供安全、稳定、持续的服务，保障用户正常使用。根据第10条，提供者应当明确并公开其服务的适用人群、场合、用途，指导使用者科学理性认识和依法使用生成式人工智能技术，采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。

办法的第21条规定了法律后果。相关主体违反该办法的，依照法律、行政法规的规定予以处罚；法律、行政法规没有规定的，由有关主管部门依据职责予以警告、通报批评，责令限期改正；拒不改正或者情节严重的，责令暂停提供相关服务。

（三）《网络直播营销管理办法(试行)》

《网络直播营销管理办法(试行)》是由网信办、公安部、商务部、文化和旅游部、税务总局、市场监管总局、广电总局印发的部门规范性文件，2021年5月25日开始施行。该文件对虚拟数字人从事直播营销活动提出了规范要求。

虚拟数字人参与直播应当进行安全评估，并对虚拟形象进行标识。办法第13条规定：直播营销平台应当加强新技术新应用新功能上线和使用管理，对利用人工智能、数字视觉、虚拟现实、语音合成等技术展示的虚拟形象从事网络直播营销的，应当按照有关规定进行安全评估，并以显著方式予以标识。

此外，虚拟主播的形象、声音不得侵犯他人的人格权。办法第25条规定：直播间运营者、直播营销人员使用其他人肖像作为虚拟形象从事网络直播营销活动的，应当征得肖像权人同意，不得利用信息技术手段伪造等方式侵害他人的肖像权。对自然人声音的保护，参照适用前述规定。

办法的第28条、29条规定了法律后果。第28条规定：违反该办法，给他人造成损害的，依法承担民事责任；构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由网信等有关主管部门依据各自职责依照有关法律法规予以处理。第29条规定：有关部门对严重违反法律法规的直播营销市场主体名单实施信息共享，依法开展联合惩戒。

五、结语

随着虚拟数字人技术和产业的发展，相关的政策规定也在不断跟进。各互联网科技公司在进入这一新兴领域时应具备合规意识，尊重他人的人格权、知识产权，规避侵权风险和数据安全风险。相信随着规范体系的完善及产业主体合规意识的提高，虚拟数字人产业能够蓬勃健康地发展。

注：原创文章 转载请注明 来源北京市文化娱乐法学会公众号