合规指南 | 从整改清单看游戏App个人信息合规要点
2021年2月22日,广东省通信管理局通报了其在2021年1月中监测发现存在侵害用户权益和安全隐患问题的215款App,并依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规对App运营者发出《违法违规App处置通知》,责令限期整改并通知各应用商店督促整改。
在215款存在侵害用户权益和安全隐患问题的App中,包含了45款游戏APP。根据小编的整理和分析,45款被通报游戏App主要存在8类问题,发生频率从高到低分别为:
①未经用户阅读与同意隐私政策就向用户申请权限(24款存在);
②未在隐私政策逐一列明所需权限、目的、方式、范围等内容(20款存在);
③没有账号注销渠道或账号注销困难(19款存在);
④未建立并公布个人信息安全投诉、举报渠道(13款存在);
⑤APP中未发现隐私政策(11款存在);
⑥在用户未使用相关功能或服务时提前申请权限(10款存在);
⑦未公开收集使用规则(4款存在);
⑧处理更正、删除个人信息问题的承诺时限超过标准要求(2款存在)。
接下来小编就针对较为普遍的6类问题,为各位读者朋友逐一讲解,希望对各位读者朋友了解游戏App中个人信息的合规要点有所帮助。如果对个人信息合规还没有基础了解的读者朋友们不妨看看往期的专栏文章:合规指南 | 游戏公司个人信息合规指南
①未经用户阅读与同意隐私政策就向用户申请权限
根据《电信和互联网用户个人信息保护规定》(以下简称《规定》)第九条第一款的规定,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。此外,根据GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称《规范》)5.4节的要求,不仅是收集个人信息,打开可收集个人信息权限前也应当征得用户同意。此外,《规范》5.5节注3还建议App应当在首次打开产品或服务时通过弹窗等形式主动向用户展示个人信息保护政策(既隐私政策)的主要或核心内容。
因此,无论是收集用户的个人信息,还是仅仅开启相应的权限,都应当以隐私政策的阅读和同意为前提。尤其需要改变的是长久以来首次启动App立即要求获取权限的习惯。从此次通报的情况看,这个习惯要转变还需时日。
②未在隐私政策逐一列明所需权限、目的、方式、范围等内容
根据《规定》第九条第二款的规定,收集、使用用户个人信息应当明确告知用户收集、使用信息的目的、方式和范围等事项。此外,根据《规范》5.5节的要求,涉及个人敏感信息的,需明确标识或突出显示。
根据法规及标准的要求,隐私政策必须详尽的列明各业务模块实际所需要的权限以及收集个人信息的目的、方式以及范围等内容。这就要求隐私政策撰写者(通常为法务或外部律师)严肃对待,充分的了解每一项业务的原理及其所涉及个人信息的收集和处理。此外,也应在新玩法和功能出现时及时评估是否存在新的个人信息收集需求并及时调整至隐私政策。
值得一提的是,在上述20例违规的游戏App中,有18例是由于隐私政策未列明游戏内置的第三方SDK所需权限及个人信息引起的。这也是隐私政策的撰写过程中常犯的错误之一:未详尽了解或忽视第三方SDK对个人信息的收集。
③没有账号注销渠道或账号注销困难
根据《规定》第九条第四款的规定,当用户终止使用服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。根据《规范》8.5节的要求,提供注销的方法应当简便易操作,不应设置不合理的条件或提出额外要求增加个人信息主体义务。
作为一切服务的基础,游戏企业无疑希望尽可能的保留用户的账号和其中的个人信息,但通过给账号注销程序设置障碍的方式仍然不可取。
④未建立并公布个人信息安全投诉、举报渠道
根据《规定》第十二条的规定,应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
虽然略显复杂,但实际上以设置处理个人信息安全的投诉、举报渠道并不复杂,对于中小游戏企业而言相应的人力等成本也并不高。但此次通报中仍然有13款游戏App存在该问题,仍然说明的是这些企业对于个人信息合规的不重视。
⑤APP中未发现隐私政策
根据《规定》第八条的规定,经营者在其经营或者服务场所(App内)、网站等予以公布。根据《规范》5.5节的要求,个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、App内的交互界面等显著位置设置链接。
根据规范的要求,App内至少应当设置跳转访问隐私政策的链接以保证用户在不离开App的情况下访问隐私政策。
⑥在用户未使用相关功能或服务时提前申请权限
根据《规范》5.3节的要求,当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主休接受产品或服务所提供的业务功能及相应的个人信息收集请求。具体要求包括:
不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主休一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。
应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主休开启该业务功能后,开始收集个人信息。
根据规范的要求,涉及个人信息相关权限的功能应当在用户主动选择使用时才向用户申请相应的权限,而不应在第一次启动时将所有功能所需权限一次性申请。以游戏为例,当游戏具备“同城”玩家竞赛功能时,会使用GPS定位权限以确定玩家所在城市,但通常情况下该玩法并非游戏的核心和玩法。因此,应当在玩家选择开启该玩法的情况下,再向玩家申请取得GPS的定位权限,而不是在游戏启动时就向玩家申请。
4月6日,工信部发布“关于下架侵害用户权益App名单的通报”。通报称,在2021年3月11日,工信部向社会通报了136家存在侵害用户权益行为App企业的名单。针对经第三方检测机构核查复检仍未完成整改的App,工信部将依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》等法律和规范性文件要求对这些App进行下架。随着“侵害用户权益App名单”通报和下架制度的持续推进,个人信息合规是目前游戏企业必须重视的合规工作,本专栏也将持续关注该领域的合规动态,为读者朋友们带来第一手的资讯,欢迎持续关注~
(本文为授权发布,未经许可不得转载)
“星标”、“转发”、“在看”,给小编加鸡腿哦!
投稿请联系shipa@shipa.org
近期热文
合规指南|“浑元形意派”商标保护指南(下)
出海谈 | 日本抽卡机制合规指南(下)
速来吃瓜!2020游戏法案例大起底 | 视频文字稿
出海谈 | 日本抽卡机制合规指南(上)
漫谈游戏 | 影视游戏作品中虚拟角色的知识产权保护
合规指南 | 新《未成年人保护法》中的游戏运营合规要点与趋势
漫谈游戏 | 漫谈刑法修正案(十一)为游戏企业的刑事合规和维权带来的新变化
漫谈游戏 | 漫谈游戏主机破解的法律问题
漫谈游戏 | 从新著作权法谈游戏作品的客体类型化
出海谈 | 欧盟新数字内容指令下的游戏企业十大风险
出海谈 | 浅谈中日名著改编作品的商标风险 漫谈游戏 | 从《原神》谈动作捕捉中的著作权问题 案例解读 | 当作弊玩家成为中间商——浅谈“飞机团”式作弊经营行为的反不正当竞争法规制
案例解读 | 当游戏作弊不止于外挂——记一个正本清源的典型案例之诞生 理论争鸣 | 以影像技术为视角探析电影及类电作品固定性要件 漫谈游戏 | 漫谈游戏主机模拟器的法律风险——以美国法律环境为视角
案例解读 | 盗用版号商标上架赌博游戏被判赔300万元
合规指南 | 游戏公司个人信息合规指南 案例分析 | 漫谈《率土之滨》模拟器案中的著作权合理使用可能性 案例解读|从《倩女幽魂》联动《微微一笑很倾城》案看影游联动的法律风险防范 案例解读 |《我叫MT案》中不应被忽视的重要细节——非法演绎作品 合规指南 | 网络直播配乐合规指南——从麒麟童诉斗鱼案说起 漫谈游戏 | 从“全年龄”到“18+”,漫谈游戏的适龄提示制度 漫谈游戏 | 漫谈游戏中的传承 漫谈游戏 | 漫谈保护作品完整权在电子游戏反作弊中的应用 案例解读 | “致敬”有风险,“玩梗”需谨慎 ——《拳皇》角色侵权案解读
漫谈游戏 | 从《我的世界》到《我的三体》——游戏二次创作中的著作权
案例解读 | 美国法律下的电子游戏作品与知名商标的“攻守道”
理论争鸣 | 当网易“碧玉瓜”遇上任天堂“大头菜”,是致敬还是抄袭? 合规指南 | 浅谈境外连载作品改编游戏内容风险的防范与应对——从《我的英雄学院》角色名不当事件说起 理论争鸣 | 刍议电子游戏作品可受保护独创性表达分析模型优化——基于互动设计要素