新冠疫情爆发以来,“不出门”成为各地人民群众共同参加抗疫战斗的重要方式。受新冠疫情的影响,餐饮业、旅游业的损失可谓惨重,但网络游戏因其通过电脑或手机“随时随地可玩”的特点,相较于其他行业而言所受损失相对较小,部分网络游戏企业的业绩逆势增长。在此背景下,相关企业更应当重视数据合规工作,尤其是加强对玩家个人信息的保护。2020年3月6日,《信息安全技术个人信息安全规范》(GB/T 35273-2020,以下简称“2020版规范”)正式发布,将于今年10月1日起正式生效。本文拟结合网络游戏行业的特点,针对2020版规范在个人信息保护方面所提出的重点要求,对企业所需注意的数据合规工作进行梳理。
一、明确自身角色定位,承担相应个人信息保护义务
一款网络游戏从开发、推广到最终落地运营供玩家使用,会涉及到多方主体,一般至少包括开发方(如版权人)、运营方(如运营平台)、游戏玩家等。[1]开发方负责游戏的研发及维护,如游戏角色、游戏规则的设计;运营方负责游戏的推广和运营,如游戏账户注册、充值计费等。与此相对应的是,玩家在玩游戏的过程中会产生不同的数据,整体上可以分为两大类,一类是游戏数据,比如游戏人物角色注册信息、道具、坐骑等美术形象和特征(如级别、经验值、技能等);另一类是用户数据,比如玩家注册的账户信息、真实姓名、充值消费信息等。
在开发方与运营方就某款游戏展开合作时,一般会根据数据由哪方收集和使用的实际情况而约定哪些数据由谁控制、所有。因此,游戏企业应当明确自身在某款游戏合作中的角色定位,并根据2020版规范的要求,对其所收集、使用的相关数据中的个人信息承担相应的保护义务,明确自身是哪些个人信息的“控制者”。在实践中,如无例外约定,开发方一般需负责对游戏数据中的个人信息承担保护义务,而运营方需对用户数据中的个人信息承担保护义务。游戏企业应当在合作的过程中通过书面形式明确约定各自应当承担的个人信息保护义务范围,做到各司其职,并从技术上、游戏规则上等多个方面落实本文所述的个人信息保护措施。
二、游戏存在多项功能时保障玩家的自主选择
2020版规范在5.3条增加了“多项业务功能的自主选择”,对于游戏企业所提出的新要求是,当某款游戏涉及到多项需收集个人信息的功能时,不得违背玩家的自主意愿,强迫玩家接受游戏的相关功能及相应的个人信息收集请求,具体包括如下几点:
1.避免通过捆绑游戏各项功能的方式,要求玩家一次性接受并授权同意其未申请或使用的功能收集个人信息的请求。比如当某款可以充值购买道具的游戏在不充值的情况下也可以登录使用时,不应强迫玩家在注册账户时一并提交银行账户信息后才允许玩家使用。
2.应将玩家作出的“主动点击、勾选、填写”等肯定性动作作为游戏特定功能的开启条件,仅在玩家开启该项功能后,才开始收集相应的个人信息。比如当玩家想要充值买道具时,主动填写银行账户、支付宝账号等后,游戏企业才可以收集前述个人信息。
3.关闭或退出相关功能的方式应与玩家使用业务功能的方式同样方便,玩家关闭或退出相关功能后,应当停止收集相关功能所对应的个人信息。
4.当玩家不授权同意使用、关闭或退出某特定功能时,不应频繁征求玩家的授权同意。
5.玩家不授权同意使用、关闭或退出某特定功能时,不应暂停玩家自主选择使用的其他功能或者降低其他功能的服务质量。
6.不得仅以改善游戏服务质量、提升使用体验、研发新游戏、增强安全性等为由强制要求玩家同意收集个人信息。
三、关于个人敏感信息的传输和存储的严格要求
2020版规范对于个人敏感信息的传输和存储提出了更多的要求,比如应将个人生物识别信息与个人身份信息分开存储、原则上不应存储个人生物识别信息(如样本、图像等),可采取的措施如仅存储个人生物识别信息的摘要信息、在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
若当某款游戏中设置了如人脸识别登录等功能时,游戏企业应当满足上述关于个人敏感信息的传输和存储的要求。从游戏数据和用户数据的具体构成情况来看,用户数据中所包含的个人信息较多,且含有部分个人敏感信息,比如身份证号码、银行账户等,因而运营方应当在收集前述信息前取得玩家的“明示同意”,比如在玩家主动点击勾选“同意”、“注册”等选项框后才可收集相关敏感信息。若不涉及个人敏感信息的,则取得玩家的授权同意即可。[2]
四、使用个性化展示时,需提供不针对个人特征的选项
2020版规范新增了“个性化展示的使用”,要求使用个性化展示的个人信息控制者应显著区分个性化展示的内容和非个性化展示的内容,比如标明“定推”等字样,或通过不同的栏目、板块、页面分别展示等。游戏行业中可能对个性化展示的使用不是很多,但企业若在玩家使用游戏的过程中进行用户画像,比如根据玩家的兴趣爱好、消费习惯等特征向玩家提供不同的付费游戏道具(如皮肤、坐骑、武器)等个性化展示的,应同时向该玩家提供不针对其个人特征的选项道具。
五、不应在玩家注销账户时设置障碍
2020版规范对于个人信息主体注销账户的相关要求进行了细化,其核心在于强调不得为玩家注销账户设置不必要的障碍。具体包括,当玩家提出注销账户请求后,若需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理;注销过程如需进行身份核验的,则在此环节中要求玩家再次提供的个人信息类型不得多于玩家在注册、使用游戏环节中被收集的个人信息类型;在注销过程中不应设置不合理的条件或提出额外要求增加玩家的义务,比如注销单个游戏账户视同注销多个游戏账户,要求玩家填写精确的历史操作记录作为注销的必要条件等;若在注销账户的过程中需要收集个人敏感信息以核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等;在玩家注销账户后,应及时删除其个人信息或匿名化处理,即使法律法规规定需要留存个人信息的,也不得将其再次用于日常业务活动中。
六、涉及第三方时的个人信息保护
在游戏上线运营过程中,一般会涉及到外部第三方对玩家个人信息的处理,在此背景下,2020版规范在个人信息的委托处理、共享、转让、公开披露方面作出了更加细致的要求。具体如下:
1.委托处理、共享、转让时对第三方的合规控制。若企业委托第三方处理玩家个人信息的,或在非因收购、兼并、重组、破产等原因对玩家个人信息进行共享或转让时,企业在得知或发现受托者、数据接收方未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应立即要求受托者或数据接收方停止相关行为,且采取或要求受委托者或数据接收方采取有效补救措施控制、消除个人信息面临的安全风险。必要时企业应终止与前述主体间的业务合作关系,并要求前述主体删除其所获得的玩家个人信息。
2.明示“共同个人信息控制者”的身份及各自的职责,否则需承担第三方引起的责任。比如运营方在提供游戏的过程中部署了收集个人信息的第三方插件,且该第三方未单独向玩家征得收集个人信息的授权同意的情况下,运营方与该第三方在玩家个人信息收集阶段为共同个人信息控制者,若运营方未向玩家明确告知第三方身份以及在个人信息安全方面自身和第三方应分别承担的责任和义务的,则运营方应承担因该第三方引起的个人信息安全责任。
3.建立第三方接入管理制度,确保对玩家个人信息的全流程保护。当企业在游戏中接入具备收集个人信息功能的其他产品或服务时,为有效保护玩家个人信息,企业首先需要防患于未然,建立第三方接入管理制度,进行事先的合规评估,确保接入的第三方在数据保护方面的合法合规性,并通过合同等形式对各自的责任进行划定、妥善留存前述合同及管理记录;此外,还应向玩家明确告知第三方身份;在第三方接入过程中对其进行持续性的监督管理,确保对玩家个人信息保护的有效落地。
七、在研发游戏的同时同步设计个人信息保护措施
2020版规范提出了“个人信息全权工程”这一号召,主要针对游戏开发方,强调在开发游戏的过程中同步规划、建设、设计个人信息保护措施,这一理念与欧盟《通用数据保护条例》(GDPR)第二十五条所规定的数据系统保护和默认保护(data protection by design and by default)同出一辙。[3]体现了从源头上在理念和技术层面对个人信息保护问题的重视。扬汤止沸不如釜底抽薪,2020版规范的这一做法值得肯定。
众所周知,相关部门对于游戏行业的监管趋严,游戏企业除应重视游戏出版、游戏内容的合法合规问题外,也应当对游戏的数据合规、尤其是对玩家的个人信息保护问题多加关注,将个人信息保护工作落实到游戏的研发、上线运营、下线的全流程中,随着我国个人信息保护立法工作的不断推进,个人信息保护理念的日渐普及,对玩家个人信息权益的保护必将成为评价一款游戏优良与否的重要标准之一。
注释:
[1]本文讨论网络游戏(简称“游戏”)的数据合规问题,游戏开发方和运营方合称为“游戏企业”或“企业”。
[2]2020版规范明确了授权同意的概念,授权同意包括了明示同意,也包括通过消极的不作为而作出的同意。
[3]GDPR第二十五条 数据系统保护和默认保护(data protection by design and by default)
1.考虑到国家的发展水平、实施成本和处理行为的性质、范围、环境和目的,以及处理可能给自然人的权利和自由带来的风险和损害,控制者在决定和实施数据处理的方法时,应当以一种有效的方法实施适当的技术、组织措施,例如设计来实施数据保护原则的匿名机制和数据最小化机制,并且将必要的保障措施融入到处理之中以使数据处理既符合本条例的要求又保护数据主体的权利。
2.数据控制者应当实施相应的技术和组织措施以确保在默认(by default)情形下,被处理的个人数据对每个特定处理目的都是必要的。该最小必要义务适用于被收集的个人数据的数量、处理规模、存储期限与其可访问性。尤其是这些措施应当确保在默认情形下,个人数据在缺乏个人介入时无法被不特定数量的自然人
所访问。
3. 第42 条规定的认证机制可作为证明其行为符合本条第1 和第2 款的规定的要件。
责任编辑:郑通