新规5月1日施行,游戏厂商对数据收集问题自查了吗?

作者:陶静 诺诚游戏法 2021-05-06 0.8k
近年来,App超范围收集个人信息、强制授权、过度索权等现象大量存在,违法违规使用个人信息问题十分突出。

为了规范App个人信息收集行为,解决当前超范围收集、强制授权等突出问题,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知,该规定将于5月1日正式施行。游戏公司应及时进行自查,以免游戏APP因超范围收集个人信息、强制授权、过度索权等数据违规问题被下架,造成巨大损失。

一、游戏收集的必要个人信息有哪些?

根据《信息安全技术 个人信息安全规范》的规定,要求企业所收集的个人信息的类型应与实现产品或服务的业务功能有直接关联(“直接关联”指的是若没有该个人信息的参与,将无法实现产品或服务的功能);频率和数量是实现产品或服务功能所需的最低限度。那么,对于游戏产品来说,游戏收集的必要个人信息又有哪些呢?

《常见类型移动互联网应用程序必要个人信息范围规定》明确移动互联网应用程序运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用APP基本功能服务。针对网络游戏类,该规定明确其基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。这意味着,游戏公司除强制要求用户提供电话号码外,强制用户同意收集通讯录、位置信息等信息方提供服务将会构成超范围收集个人信息。


二、常见游戏收集的个人信息

虽说只有注册用户移动电话号码属于游戏产品的必要个人信息,但游戏内的功能、场景需收集用户其他个人信息或访问相关权限后才能使用的,经过游戏用户授权同意,游戏厂商也是可以收集相关信息或访问相关权限的。除必要个人信息外,游戏内涉及到的用户个人信息、信息权限主要在于以下几方面:

  • 用户姓名、个人有效身份证件号码、家庭住址、电子邮箱等——用于用户实名认证、登录游戏账号等。
  • 位置信息——用于与附近玩家匹配、互动。
  • 交易记录——用于保护用户虚拟物品的安全,便于用户查询交易记录。
  • 游戏日志——用于游戏运营统计分析、客服投诉处理及其他游戏安全分析,便于用户查看游戏历史记录。
  • 设备信息——用于维护游戏基础功能的正常运行,优化游戏产品性能,提升用户的游戏体验并保障用户的账号安全。
  • 使用习惯、偏好信息——用于在产品或服务中展示用户可能感兴趣的信息。
  • 相机、麦克风权限——便于用户与其他游戏玩家互动、参与直播。


游戏公司可参考行业内常见的收集用户个人信息、信息权限情形,对公司运营的产品进行自查,并在隐私政策中详细列明收集用户的个人信息、收集信息的目的,使得用户了解公司游戏产品收集用户信息的规则。

三、规定关注的游戏数据违规问题

(一)超范围收集个人信息

“超范围收集个人信息”,指APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集通讯录、位置、人脸等个人信息,或打开的可收集个人信息权限与现有业务功能无关。如在计算器工具类App申请打开位置权限、输入法类App申请打开通讯录权限。


(二)强制索取权限

“强制索取权限”,指APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。如在某款游戏中,用户首次登陆时,则向用户索要访问“设备上的照片、媒体内容和文件权限”以及“获取设备信息”权限,当用户拒绝授权后,游戏将会提供用户“读写Sim卡是必要的权限,如不授予该权限将无法正常游戏”。该款游戏将读写Sim卡权限作为必要权限向用户索取的行为,则属于强制索权。


(三)过度索取权限

“过度索取权限”,指APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。

如在某款捕鱼游戏中,用户首次登陆APP时,在无合理应用场景下,就向用户索取位置权限,该种情形则属于过度索取权限。


(四)频繁申请权限

“频繁申请权限”,即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。

当用户明确表示不同意APP访问权限后,用户每次重新打开APP时,均询问是否同意APP访问收集该类权限,就属于频繁索取权限。


四、合规建议

随着规定的出台,国家对用户隐私与数据保护力度必将逐步加大,游戏公司要重视数据合规工作。针对游戏公司数据合规问题,本团队律师提出如下几点建议:

1、坚持最小必要原则收集用户个人信息

游戏产品不得收集与 App 所提供服务无关的个人信息,不得申请与 App 所提供服务无关的系统权限(即使用户可选择拒绝)。遵循最小必要原则,仅收集/申请与 App 业务功能有直接关联的个人信息类型/系统权限,并且在用户触发相关应用场景时方索要权限。不得因用户拒绝提供最小必要信息之外的个人信息而拒绝提供服务。

2、收集个人信息前需获得用户的明确授权

App 收集个人信息前向用户明示收集信息的目的、方式和范围,并征得用户同意。目前获得用户授权的方式主要有两种:一是要求用户同意隐私政策,二是以弹窗的形式索要权限。游戏产品应在用户首次登陆时以弹窗等显著的方式主动提示用户阅读隐私政策,展示隐私政策的主要或核心内容,帮助用户理解收集个人信息的范围和规则进而做出决定。


3、尊重用户的选择,不得频繁索取权限

游戏产品收集个人信息的频率应在 App 实现业务功能所必需的合理范围内。当用户拒绝权限申请后,除非该系统权限是用户主动触发的功能所必要,否则不应频繁申请或提示缺少相关权限,干扰用户正常使用。

4、严格按照用户的授权使用个人信息

游戏公司在使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得用户同意。游戏公司向第三方提供用户个人信息,应当征得用户同意,并与个人信息接收方订立安全协议,明确各方个人信息保护责任,要求个人信息接收方依法保护。

结语

随着一系列法律规定、政策的出台,针对用户个人信息的保护力度不断加强,对侵犯隐私的惩罚力度也越来越重。游戏企业应高度重视用户隐私和数据合规问题,以防因数据违规而导致产品下架。

诺诚律师团队作为游戏领域的专业律师团队,可以根据游戏公司需求提供专项法律服务,协助定制激励管理制度,拟定配套保密和知识产权协议、竞业限制协议、股权或期权激励协议。请添加本团队律师微信:13913541030。

作者:陶静
来源:诺诚游戏法
地址:https://mp.weixin.qq.com/s/SKX8KvGVlDZ_42y7okq8nw