打开手机,扫一扫二维码
即可通过手机访问网站
打开微信,扫一扫二维码
订阅我们的微信公众号
一、数字孪生体技术概述
数字孪生(Digital Twin)概念最早由Michael Grieves于2002年在产品生命周期管理(PLM)框架下提出,最初被称为“Mirrored Spaces Model”。[1]数字孪生技术是通过数字化技术手段,创建物理实体或复杂系统的高保真虚拟复制品,借助实时数据同步、动态仿真分析及智能决策算法,实现实体状态的实时监测、精准预测与优化控制。[2]这一虚拟复制品能够实时反映实体的结构特征、运行状态和环境变化,并在数字空间进行仿真预测和风险评估,使决策者能够提前采取措施应对潜在问题。其技术架构通常由三个核心组成部分构成:一是物理实体,即现实中具体存在的对象或系统,如工业设备、医疗设备、城市基础设施;二是虚拟模型,利用计算机技术在数字空间创建与物理实体完全一致的虚拟复制品;三是数据交互接口,确保实体与虚拟模型之间进行实时双向数据传输与动态同步,[3]当前,数字孪生技术已成为实现物理世界与虚拟世界深度融合的重要工具,正在重塑工业制造、医疗健康、智慧城市、航空航天、文博等业态。
二、数字孪生体技术应用涉及的合规问题
(一)隐私保护、数据合规与数据安全问题
数字孪生体技术依赖于实时大量数据的采集、分析与处理,然而数据的采集和交互中通常涉及大量个人敏感信息,带来了隐私与个人信息安全、数据跨境流动、网络安全等合规问题。
在隐私与个人信息保护方面,欧盟《通用数据保护条例》(GDPR)被视为国际数据保护的重要里程碑,GDPR第6条规定数据处理的合法基础,包括获得数据主体的明确同意、履行合同义务、满足法定义务、保护数据主体重要利益及公共利益等。GDPR第7条强调数据主体的同意等要求。在执法层面,法国数据保护监管机构CNIL在2019年对谷歌公司因其未能充分履行透明告知义务及有效获取数据主体同意作出处罚,体现了对数据控制者提出的高标准合规义务。[4]我国的《个人信息保护法》等法规呈现出严格保护个人信息的趋势,规定了数据主体明示同意及针对敏感个人信息的单独且明确的同意等监管要求。
数字孪生体技术不可避免地涉及到数据的跨境传输,但因各国数据保护的法律差异而面临严峻的合规挑战。欧盟的《通用数据保护条例》(GDPR)第44至49条明确规定数据跨境传输条件,通过标准合同条款、企业约束性规则以及对数据接收国进行充分性评估等机制保障数据安全与合法。2020年“Schrems II”案中,欧洲法院裁定美欧隐私盾协议无效,这使得企业在实施跨境数据传输时必须进行更加严格的法律风险评估和安全保障措施。我国的《数据安全法》第31条规定重要数据跨境传输前必须经过国家网信部门安全评估,体现出对数据主权与安全的重视。相比之下,美国在联邦层面尚未制定统一的法规,仅加州通过《消费者隐私法》(CCPA)对数据保护提出监管要求。[5]因此,跨境数据流动法律标准不一致将导致企业置身于更复杂的合规困境,如何确保数据处理行为符合多个司法辖区法律要求成为实务热点。
数字孪生技术体的实时数据交互和处理特性使得网络安全问题尤为突出。这种技术在各领域的广泛应用意味着大量敏感数据的实时交互与存储,极大增加了数据泄露、黑客攻击以及信息篡改等网络安全风险。我国《网络安全法》明确规定了网络运营者的安全义务与报告义务,此外还需建立健全网络安全等级保护制度,定期进行网络安全风险评估和安全审查。从域外监管的角度来看,网络安全责任的监管趋于严格。例如,2020年英国信息专员办公室(ICO)对万豪国际集团实施了高达1840万英镑的罚款,体现了对于网络安全合规义务的重视程度。在数字孪生体会等新兴技术广泛应用的背景下,企业应跟进外部监管政策以应对持续演进的网络安全风险。
(二)知识产权保护
数字孪生技术涉及数据产权认定、算法与模型专利保护以及商业秘密保护等知识产权问题,因国际立法和司法实践的差异而更显得复杂。
目前国际法律界尚未就数据本身的产权归属达成统一共识。欧盟的《数据库指令》(Directive 96/9/EC)虽对数据库组织者提供一定保护,但未明确界定数据本身的产权属性,[6]算法和模型专利保护领域的标志性案例是美国联邦最高法院的Alice Corp. v. CLS Bank International(2014)案。[7]法院在该案中确立了较为严格的算法专利审查标准,显著提高了数字孪生技术领域的算法专利申请门槛。商业秘密保护方面,美国《统一商业秘密法》(UTSA)和《商业秘密保护法》(DTSA)为企业提供了重要的法律依据。此外,数字孪生技术中的复杂算法、技术方案及模型细节等核心内容往往构成企业的重要商业秘密,其保护有效性极大依赖于企业自身所采取的管理和技术措施。国内近年来的司法实践中,企业因商业秘密保护不足而引发的法律纠纷频发,凸显出企业对商业秘密保护合规措施升级的必要性。
(三)侵权与法律责任认定问题
数字孪生技术由于其高度复杂性和涉及预测决策功能,在实际应用中所引发的法律责任和风险管理问题成为当前法律理论研究重点,具体涉及侵权责任、产品责任等法律领域。我国《民法典》和《消费者权益保护法》规定了侵权责任与产品责任。数字孪生技术尚存在法律界定难题:该技术究竟应归类为产品还是服务?如果数字孪生技术被认定为“产品”,企业需为设计或实现缺陷导致的损害承担严格责任。这一问题在各国司法实践中尚未达成统一共识。
(四)伦理与社会问题
数字孪生技术的快速普及和深入应用,也引发了显著的伦理问题。数字技术的迅速发展可能加剧社会不平等现象,数字技术产生的红利可能并未被公平分配至社会各个阶层和群体。同时,科技伦理问题涉及数字孪生体技术的应用过程,例如个人数据隐私保护与信息主体自主权之间的平衡、算法偏见对社会公平造成的影响等。
三、数字孪生体技术应用的合规建议
一是加强企业合规管理、制度和科技伦理机制建设。一方面企业需明确合规管理的内部组织架构,设立专门的合规部门或指定合规负责人,确保企业各部门在经营活动中充分理解并履行合规义务。另一方面,企业应建立伦理和社会责任管理机制,开展伦理风险评估并明确潜在的伦理风险,制定相应的预防和缓解措施,同时企业应履行主动披露义务,确保技术应用的透明性和公开性,接受公众监督,建立公众信任。
其次,企业需建立系统而详细的数据管理制度和网络安全保障机制。这些制度和流程应该涵盖数据尤其敏感数据的采集、存储、处理、共享及数据销毁等全流程,并对企业数据进行治理进行严格的数据分类管理,针对跨境等数据流动进行事先合规评估。此外,建立有效的内部数据合规审计机制对企业而言同样至关重要,识别企业数据处理流程中的合规漏洞和潜在风险,及时纠正不合规行为。
三是加强知识产权保护与合同规范。企业在合作中应通过合同明确约定数据和知识产权的归属、使用权的许可范围,以及各方的权利义务和侵权责任承担机制。企业应加强专利保护措施,明确专利申请条件和流程,争取核心算法和模型的技术创新获得法律保护。此外,企业还需采取积极的商业秘密保护措施,在合作协议和雇佣合同中应明确约定商业秘密保护的具体措施,包括签署详细的保密协议、明确数据访问权限、严格执行商业秘密的管理制度等,以确保核心技术信息的安全性和保密性。
四是建立法律风险防控和应急处理机制。企业应当进行系统的法律风险识别与评估,明确数字孪生体技术应用中的潜在法律风险点。风险评估应包括对数据处理活动的合法性审查、算法的合规性审查、知识产权保护状态评估等,以提前预防法律风险的发生。其次,企业需建立健全的法律风险防控体系和应急响应机制。同时,企业预先准备法律救济渠道,包括与律师事务所或法律顾问建立稳定的合作关系,以便在法律风险事件发生时迅速获得专业的法律援助。
四、数字孪生体的治理趋势展望
首先,针对数字孪生体技术或将出台专项计划或者规范。我国已发布的《国家“十四五”规划纲要》从“探索建设数字孪生城市”角度为数字孪生城市建设提供了国家战略指引。英国亦在推进国家数字孪生计划(NDTP),发布了《英国国家数字孪生体原则》,显著提高了基础设施管理的精细化水平。[8]美国在联邦层面尚未出台统一的数字孪生体专门法规。当前,数字孪生体面临数据安全保障度偏低、知识产权归属复杂、法律责任界定难以明确、监管难度偏大和技术伦理等合规问题。从监管趋势来看,随着技术应用的不断成熟,各国或将逐步出台针对数字孪生体技术的专门规范或者计划,规定应用数字孪生体的原则或者规则,以确保技术应用的安全性、合规性和合伦理性。
其次,数字孪生体技术相应的数据监管、算法监管面临更明确的监管要求。《通用数据保护条例》(GDPR)在全球范围内产生了深远影响,美国联邦贸易委员会(FTC)已开始关注技术应用中的数据使用和隐私保护问题,[9]在亚洲地区,日本、韩国和新加坡等国家也相继加强数据监管。例如,日本《个人信息保护法》(APPI)对跨境数据传输设立严格机制,通常要求获得数据主体同意或确保接收国具备足够数据保护水平[10],新加坡《个人数据保护法》(PDPA)明确规定数据收集、用途及披露过程须建立在明确用户同意与目的限定基础之上,并要求组织披露隐私政策及保障措施[11],这些都对数字孪生体技术的合规应用提出了更加明确要求。在算法层面,国内在算法备案、内容标识、内容治理、算法公平等方面不断提出更细致的要求,同时欧盟《人工智能法案》修订等强化了高风险系统的监管要求。
再次,构建数字孪生体技术需遵循一国内的法秩序,同时参与推动标准制定减少合规冲突。数字孪生应用需要以国家安全观为基础,同时,数字孪生技术的全球性应用特点决定了国际合作的必要性,在数据保护标准、知识产权保护以及法律责任界定方面加强合作,有利于推动区域范围内统一标准的制定,减少法律冲突和合规难度。
最后,针对数字孪生体技术的伦理与社会责任管理的要求将不断提高。数字孪生体技术的广泛应用可能引发伦理和社会公平性问题,企业需在技术应用中预见技术应用场景中的伦理问题,确保技术成果公平分配并促进社会福祉。企业须提高技术应用的透明度,接受社会监督。同时,企业也可以通过公众参与机制提升技术应用的社会接受度,确保技术发展符合科技伦理和社会价值。
[1]Michael Grieves, Digital Twin: Manufacturing Excellence through Virtual Factory Replication, (2015).
[2]Qinglin Qi & Fei Tao, Digital Twin and Big Data Towards Smart Manufacturing and Industry 4.0: 360 Degree Comparison, 6 IEEE Access 3585 (2018).
[3]David Jones et al., Characterising the Digital Twin: A Systematic Literature Review, 29 CIRP Journal of Manufacturing Science and Technology 36 (2020).
[4]The CNIL’s Restricted Committee Imposes a Financial Penalty of 50 Million Euros against GOOGLE LLC | European Data Protection Board,
https://www.edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-50-million-euros_en?utm_source=chatgpt.com (last visited July 29, 2025).
[5]California Consumer Privacy Act of 2018 (CCPA), Cal. Civ. Code § 1798.100–199.
https://oag.ca.gov/privacy/ccpa
[6]DIRECTIVE 96/9/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 11 March 1996 on the Legal Protection of Databases, 1996.
[7]Alice Corp. v. CLS Bank Int’l, 573 U.S. 208 (2014)
[8]National Digital Twin Programme (NDTP), GOV.UK (12 January 2024), https://www.gov.uk/government/collections/the-national-digital-twin-programme-ndtp.
[9]Federal Trade Commission. (2023). Privacy and Data Security.
https://www.ftc.gov/business-guidance/privacy-security/data-security
[10]Personal Information Protection Commission (Japan). (2022). Act on the Protection of Personal Information (APPI).
https://www.japaneselawtranslation.go.jp/en/laws/view/4241/en/
[11]Personal Data Protection Act (PDPA). https://www.pdpc.gov.sg/
