动态与观点
引 言
在上篇文章《App数据合规——游戏类App的机遇与风险》中,各类数据均反映出我国游戏行业正在蓬勃发展,所以游戏行业蕴含着巨大的市场潜力。
游戏行业如同一块巨大的蛋糕,凭借其华丽的外表和甜美的味道吸引着大资本,小团队和个人开发者纷纷前来。随着市场的扩大,从业者的增加,为了让行业健康发展,“规矩”就显得至关重要。
游戏App数据合规现状
《常见类型移动互联网应用程序必要个人信息范围规定》(十八)网络游戏类,基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。
在统计分析四款市场主流移动游戏App后,我们发现,在游戏过程中涉及到信息互动与发布、支付、客服、用户响应等,运营商会在《用户隐私策略》中以“提供服务”为由,收集各类详细的、敏感的个人信息和其他相关信息,将其与《常见类型移动互联网应用程序必要个人信息范围规定》中规定的用户必要个人信息收集范围相比依然存在有很多超范围的收集的现象。
随着行业的高速发展,“游戏”已经远远不止其“娱乐”这唯一属性,开发者为了提升游戏体验感,更为其增添了“社交”等各类属性。
随着游戏属性和功能的增加,所收集的各类数据也会突破其本身的必要限制。
但是,过度收集的数据,包含着大量的用户隐私,如不从收集源头控制过度数据的采集,这将为数据安全埋下一颗不安定的种子。
往最坏的方向去考虑,如果数据暴露在不法分子的手中,后果将不堪设想。
网络游戏行业数据合规:国内政策严格,出海要求也不少
1、网络游戏国内合规
网络游戏运营者作为国内运营商,需要遵守国内法律体系对于数据安全、个人信息保护的一般规定。限于篇幅,本文仅就网络游戏国内合规的重要方面进行分析如下:
第一,网络游戏应注意避免过度收集非必要个人信息。
《国家新闻出版署关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》指出,“严格落实网络游戏用户账号实名注册和登录要求。所有网络游戏必须接入国家新闻出版署网络游戏防沉迷实名验证系统,所有网络游戏用户必须使用真实有效身份信息进行游戏账号注册并登录网络游戏,网络游戏企业不得以任何形式(含游客体验模式)向未实名注册和登录的用户提供游戏服务。”
应国家要求,现有网络游戏均需实现实名验证,收集用户的真实有效身份信息。
《常见类型移动互联网应用程序必要个人信息范围规定》(十八)网络游戏类,基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码。
从上述规定可见,网络游戏所应收集的个人信息包括个人身份信息、移动电话号码。网络游戏运营者应注意避免收集其他非必要的个人信息,避免合规风险。
第二,运营者应注意对未成年人个人信息的保护。
网络游戏的用户众多,其中不乏一些未成年人,因此收集未成年人个人信息的情况不可避免。
而随着国家主管部门对防止未成年人沉迷网络游戏日益严格的监管要求,未来网络游戏可能需通过人脸识别等方式对用户进行身份验证,如收集未成年人的面部信息等,如何妥善保护该部分个人信息,是运营者应当思考的重要问题。
2021年11月1日将生效的《中华人民共和国个人信息保护法》第二十八条指出,“不满十四周岁未成年人的个人信息”属于个人敏感信息,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”;
第三十一条还要求,“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”
因此,网络游戏运营者在处理未成年人特别是未满十四周岁未成年人的个人信息时,需要满足更高的合规标准:应当采取比保护其他个人信息更加严格的保护措施,并取得未成年人父母或其他监护人的同意。
2、网络游戏出海
因网络游戏出海可能涉及重要数据和个人信息出境,因此国家要求企业在数据出境前履行严格的评估、审批程序并单独取得个人的同意。
此外,因出海合规也涉及不同国家、地区的数据安全和个人信息保护法规,就每一个国家、地区的合规需结合当地法律针对性考虑。
这相当于网络游戏出海同时面临国内及海外市场所属国家、地区法律的两层要求,合规标准较高。
具体而言,网络游戏出海合规至少面临如下两方面要求:
第一,除遵守国内法律对于国内企业运营网络游戏的一般法律要求之外,网络游戏还需评估是否存在数据出境的情况,从而确认是否需完成数据出境的有关评估、审批及获得个人单独同意等要求。
数据出境的认定
根据《信息安全技术数据出境安全评估指南(征求意见稿)》,数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式一次性或连续性提供给境外的机构、组织或个人。
如该标准未来正式生效,则存在上述情况的网络游戏有较大可能在出海前需进行数据出境安全评估。
出境安全评估
《中华人民共和国数据安全法》第三十一条指出,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
从该生效法律可见,国家将会出台专门的数据出境安全管理办法,网络游戏运营者应当为将行的出境安全评估和管理做好充分准备。
个人信息的保护要求
即将生效的《中华人民共和国个人信息保护法》第三十八条指出:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
第三十九条指出,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
该法对于个人信息的出境规定了严格的评估、审批等条件,并要求运营者事前获得个人的单独同意,可见运营者对于运输出境的数据承担更重的保护责任。
第二,网络游戏输出到其他国家、地区,也应满足当地的数据合规和保护要求。
有几个方面的法律法规及有关文件值得运营者注意,包括:
①涉及个人信息保护、数据安全等的法律文件;
②网络游戏行业主管部门所颁布的规范性文件;
③行业组织所发布的行业规范、运营指南等文件。
以上方面的文件均可能成为网络游戏数据合规的重要依据。
值得注意的是,中国网络游戏的发展让许多企业具备走向全球市场的能力和意愿,但就网络游戏海外合规而言,不能用“打包输出”的思维开展合规活动。
不同国家、地区的法律体系有着巨大区别,对于网络游戏的监管方式、力度也不尽相同。
如企业以国内法律的角度思考海外合规,或以单一法律体系思维进行合规工作,则可能影响网络游戏开拓海外市场的深度及宽度。
针对海外市场,“文化输出”不等于合规方式、管理方式的盲目输出,而应当针对当地市场有序完善数据合规业务,才能让网络游戏产业拓展海外市场之路走得更顺更远。
大力倡导健康游戏环境
随着移动游戏App成为游戏市场的最大赢家,任何人都不能忽视移动游戏App背后的巨大商业价值。
维护网络游戏数据安全,保证玩家正常游戏权益,应作为完善服务体系的基础保障。用户体验提升,游戏与用户的粘合度必然提高,市场规模也会随之扩大。数据安全的改善有利于促进产业的良性发展。
想要解决游戏数据安全问题,仅靠运营商或者是用户本身是远远不够的,需要社会各界的共同努力。
有关部门
有关部门可以加快出台司法解释,完善法律法规,从源头减少由数据安全引发的法律问题,净化市场环境。
游戏企业
游戏企业应积极建立数据保护机制,避免数据泄露造成的恶性事件。
游戏出海
游戏出海则需要了解当地相关法律完成合规,保证国内用户数据隐私。
游戏玩家
游戏玩家需要增进理解,提高自身数据安全认识。
最后,游戏行业数据安全是一个绝对不能忽略的问题。
数据安全是市场发展环境的基石,游戏产业如果失去了稳定、健康、良好的环境基础,就容易对企业未来发展带来不良影响。
对于游戏企业而言,在相关政策法规规定的范围内赚取利润、争取市场份额是很正常的商业行为,应该予以保护和支持。但是在考虑经济效益的同时,也要强调社会效益,要有社会责任感。