合规指南 | 游戏公司个人信息合规指南

2020年7月24日，工业和信息化部信息通信管理局发布了2020年第三批《关于侵害用户权益行为的APP通报》，其中，巨人网络的游戏《球球大作战》因其私自收集个人信息、过度索取权限而被列为“存在问题的应用软件”并进行通报。

作为移动互联网程序（App）形式分发的手机游戏，在开发和运营中亦涉及到个人信息的收集和处理问题。而随着公众个人信息保护意识的提高以及相关规范文件的完善，对企业数据合规和个人信息保护的要求亦水涨船高。若仍忽视相关的合规需求，不仅会面临监管部门的约谈和查处和用户的侵权起诉，甚至存在刑事风险。因此，如何正确的收集、处理个人信息，是游戏公司必修的功课。

一、个人信息相关规范文件

（一）法律法规

法律法规层面关于个人信息保护的规范文件目前可以概括为“青黄不接”。目前已生效的个人信息保护相关的法律法规中，《网络安全法》发布于2016年11月7日，《电信条例》最后修订于2016年2月6日，《电信和互联网用户个人信息保护规定》发布于2013年7月16日，距今已有较长时间。而另一方面，无论是于2021年1月1日生效的《民法典》的人格权编，抑或是尚处在草案阶段的《数据安全法》，还是处在征求意见阶段的《数据安全管理办法》均未生效。近期发布的涉及个人信息保护的法规类仅有网信办于2019年8月22日发布，于2019年10月1日生效的《儿童个人信息网络保护规定》。

但作为长期经营的企业，面向已颁布但尚未生效的法律应当尽早准备预案以确保在法律生效后的合规是十分必要的。而对于尚处在草案和征求意见稿的法规，也应当密切关注，必要时可在一定的场合提出自己的意见。

（二）行业标准

个人信息保护的相关国家标准由国家市场监督管理总局和中国国家标准化管理委员会发布，目前已生效的关于个人信息保护的国家标准为GB/T35273-2017《信息安全技术个人信息安全规范》，目前该规范的最新版本GB/T 35273-2020已于2020年3月6日发布，将于2020年10月1日生效。此外，关于个人信息相关术语、定义及最小必要信息和权限的标准，尚有于2020年1月15日发布，尚处在征求的意见阶段的《信息安全技术移动互联网应用程序（App）收集个人信息基本规范》（征求意见稿）。

（三）各类指引

除上述法规、行业标准外，网信办、全国信息安全标准化技术委员会针对个人信息的收集和使用规范，公布了一系列的指引。尤其是在2019年1月起由四部门联合开展APP违法违规收集使用个人信息专项治理行动后，陆续公布了一批指引，主要有：

TC260-PG-20191A《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》

TC260-PG-20202A《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》

TC260-PG-20203A《移动互联网应用程序（App）个人信息安全防范指引（征求意见稿v1.0-202003）》

《App违法违规收集使用个人信息自评估指南》（App专项治理工作组 二零一九年三月）

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）

 《个人信息出境安全评估办法（征求意见稿）》（2019年版）

二、游戏公司个人信息合规要点

综合上述法规、标准和指引（包括征求意见稿），基本可以总结出个人信息的合规收集和使用方式。那么作为游戏公司，重点应注意的应是哪些方面呢？

（一）最小必要信息

在GB/T 35273-2020《信息安全技术 个人信息安全规范》（以下简称《安全规范》）的5.2条中，要求企业所收集的个人信息的类型应与实现产品或服务的业务功能有直接关联（“直接关联”指的是若没有该个人信息的参与，将无法实现产品或服务的功能）；频率和数量是实现产品或服务功能所需的最低限度。

而根据《信息安全技术 移动互联网应用程序（App）收集个人信息基本规范（征求意见稿）》（以下简称《基本规范意见稿》）的附录A.24“网络游戏”，网络游戏的最小必要信息为：

1、法律法规要求的个人信息，其中包括网络访问日志（包括：IP地址、登陆和退出时间等；不包括：操作行为日志）以及身份证件信息。

2、实现服务所需的个人信息，其中包括账号、口令以及第三方支付信息。

3、未成年人玩家的情况下征得监护人有效同意而收集的监护人联系方式等信息。

在上述个人信息的手机和使用中，尤其应当注意的是身份证件信息。根据现行网络游戏的监管制度，网络游戏实行的是实名制，未完成实名制认证的账户在游玩和消费上将有诸多限制，因此其属于网络游戏服务的最小必要信息。而根据《安全规范》3.2条、6.3条以及附录B的规定，身份证件信息、虚拟财产以及交易消费记录属于个人敏感信息，存储和传输时应当加密。

此外，还应当注意的是，随着后续未成年人保护标准的升级，在落实《关于防止未成年人沉迷网络游戏的通知》中的限玩、限充、“宵禁”要求的过程中，收集和使用个人信息的范围或将提升，可能涉及个人生物识别信息。

以腾讯的未成年人保护措施3.0为例，针对“孩子冒用家长身份信息绕过监管”这一问题，新的保护措施采用了人脸识别技术以鉴别玩家身份。而人脸特征属于个人敏感信息中的生物识别信息，根据《安全规范》5.4条、6.3条、9.2条的规定，除要求加密传输和存储外，还应当做到：

①收集前单独向个人信息主体告知收集的目的、方式、范围、储存时间等规则并征得明示同意；

②与个人身份信息分开存储；

③原则上不存储原始生物识别信息。

④原则上不应共享转让，确系业务需要的，应单独告知目的、类型、接收方身份及数据安全能力。

而原则上不存储原始生物识别信息具体又可分为：在采集端直接使用原始生物识别信息且在实现身份认证功能后删除；仅存储不可逆的摘要信息；

基于以上规范，游戏公司在游戏产品的研发和运营过程中，相较于获取更多的权限和个人信息，应当优先考虑在仅利用上述最小必要信息的基础上能否实现游戏产品的功能。不仅如此，对于上述信息的收集数量和频率也应当限定在必要性的范畴内。在未来可能涉及的生物识别信息的识别上，应当适度前瞻，根据相关规范和行业标准对生物识别信息的采集、存储和运用做好合规预案，避免在监管要求落地后匆忙上线相应系统而导致的“瞻前不顾后”。

（二）账号的注销

作为最不情愿看到的情形，企业往往习惯性得为用户注销账号、卸载客户端等操作过程中人为的增加一些阻碍（例如不设置或隐藏账号注销通道、设置冗长的注销步骤），希望用户能在面对繁琐的注销步骤时“知难而退”。但这些行为均违反了《安全规范》8.5条的规定。根据该规定，服务提供者有义务提供账户的注销方法，且必须简便易操作；身份核验要求提供的信息不应多于注册、使用等环节提供的信息，也不应设置不合理条件并在合理时限内完成注销程序。在账号注销后，除法律法规规定需要留存的敏感数据外，及时删除或做匿名化处理。对有法定留存要求的数据，应妥善保管且不得将其再次用于业务场景。

作为游戏公司尤其是游戏运营公司，名下运营多款游戏且通过同一账号/通行证登陆的情形较为普遍。在这种“通行证”制度下，运营公司应当从收集环节开始针对涉及不同游戏产品所产生的个人信息以及法律法规规定需要留存的个人信息进行识别和分类，并就不同游戏产品设置不同的注销入口。当玩家针对某一款游戏产品要求注销时，一方面避免了被认定为对注销设置不合理条件，另一方面能够快速识别所需删除和匿名化的个人信息，及时切断账户体系与游戏产品件的关联。

（三）SDK合规

游戏引擎、功能模块等SDK（Software Development Kit，即软件开发包）不仅能够为游戏的开发节约成本、提高效率，也能帮助APP高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能，是目前游戏开发不可或缺的重要工具。而SDK为了实现相关功能，自身也具备获取设备信息和用户个人信息的能力，这就涉及到了第三方接入管理的问题。

游戏公司针对SDK等第三方接入，首先应厘清第三方所能够取得的个人信息类型、数量和频率，是否包含个人信息、个人敏感信息，以及数据交互的目的、方式等。在厘清的基础上，开展合规评估，包括但不限于：是否以合同、承诺函等形式与共同个人信息控制者进行责任义务的合理分担；是否在隐私政策等文本中向个人信息主体告知共同个人信息控制者的身份及责任承担；是否知道并确认个人信息共享后的存储安全和进一步使用等情况。基于评估，最终确定是否需要进行业务和产品调整以及具体调整的方法。

三、后记

囿于本文篇幅的限制，小编在此也仅能介绍个人信息合规的冰山一角。但通过本文不难看出，在可预期的未来，个人信息保护必将向着更加深层、具体的应用场景发展。在这一过程中，游戏公司需要在了解自身游戏产品需求的前提下，不断提升数据合规水平。

（本文为授权发布，未经许可不得转载）

小编温馨提示：

“星标”、“转发”、“在看”，给小编加鸡腿哦！