合规指南 | 从整改清单看游戏App个人信息合规要点

2021年2月22日，广东省通信管理局通报了其在2021年1月中监测发现存在侵害用户权益和安全隐患问题的215款App，并依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规对App运营者发出《违法违规App处置通知》，责令限期整改并通知各应用商店督促整改。

在215款存在侵害用户权益和安全隐患问题的App中，包含了45款游戏APP。根据小编的整理和分析，45款被通报游戏App主要存在8类问题，发生频率从高到低分别为：

①未经用户阅读与同意隐私政策就向用户申请权限（24款存在）；

②未在隐私政策逐一列明所需权限、目的、方式、范围等内容（20款存在）；

③没有账号注销渠道或账号注销困难（19款存在）；

④未建立并公布个人信息安全投诉、举报渠道（13款存在）；

⑤APP中未发现隐私政策（11款存在）；

⑥在用户未使用相关功能或服务时提前申请权限（10款存在）；

⑦未公开收集使用规则（4款存在）；

⑧处理更正、删除个人信息问题的承诺时限超过标准要求（2款存在）。

接下来小编就针对较为普遍的6类问题，为各位读者朋友逐一讲解，希望对各位读者朋友了解游戏App中个人信息的合规要点有所帮助。如果对个人信息合规还没有基础了解的读者朋友们不妨看看往期的专栏文章：合规指南 | 游戏公司个人信息合规指南

①未经用户阅读与同意隐私政策就向用户申请权限

根据《电信和互联网用户个人信息保护规定》（以下简称《规定》）第九条第一款的规定，未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。此外，根据GB/T 35273-2020《信息安全技术 个人信息安全规范》（以下简称《规范》）5.4节的要求，不仅是收集个人信息，打开可收集个人信息权限前也应当征得用户同意。此外，《规范》5.5节注3还建议App应当在首次打开产品或服务时通过弹窗等形式主动向用户展示个人信息保护政策（既隐私政策）的主要或核心内容。

因此，无论是收集用户的个人信息，还是仅仅开启相应的权限，都应当以隐私政策的阅读和同意为前提。尤其需要改变的是长久以来首次启动App立即要求获取权限的习惯。从此次通报的情况看，这个习惯要转变还需时日。

②未在隐私政策逐一列明所需权限、目的、方式、范围等内容

根据《规定》第九条第二款的规定，收集、使用用户个人信息应当明确告知用户收集、使用信息的目的、方式和范围等事项。此外，根据《规范》5.5节的要求，涉及个人敏感信息的，需明确标识或突出显示。

根据法规及标准的要求，隐私政策必须详尽的列明各业务模块实际所需要的权限以及收集个人信息的目的、方式以及范围等内容。这就要求隐私政策撰写者（通常为法务或外部律师）严肃对待，充分的了解每一项业务的原理及其所涉及个人信息的收集和处理。此外，也应在新玩法和功能出现时及时评估是否存在新的个人信息收集需求并及时调整至隐私政策。

值得一提的是，在上述20例违规的游戏App中，有18例是由于隐私政策未列明游戏内置的第三方SDK所需权限及个人信息引起的。这也是隐私政策的撰写过程中常犯的错误之一：未详尽了解或忽视第三方SDK对个人信息的收集。

③没有账号注销渠道或账号注销困难

根据《规定》第九条第四款的规定，当用户终止使用服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。根据《规范》8.5节的要求，提供注销的方法应当简便易操作，不应设置不合理的条件或提出额外要求增加个人信息主体义务。

作为一切服务的基础，游戏企业无疑希望尽可能的保留用户的账号和其中的个人信息，但通过给账号注销程序设置障碍的方式仍然不可取。

④未建立并公布个人信息安全投诉、举报渠道

根据《规定》第十二条的规定，应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。

虽然略显复杂，但实际上以设置处理个人信息安全的投诉、举报渠道并不复杂，对于中小游戏企业而言相应的人力等成本也并不高。但此次通报中仍然有13款游戏App存在该问题，仍然说明的是这些企业对于个人信息合规的不重视。

⑤APP中未发现隐私政策

根据《规定》第八条的规定，经营者在其经营或者服务场所（App内）、网站等予以公布。根据《规范》5.5节的要求，个人信息保护政策应公开发布且易于访问，例如，在网站主页、移动互联网应用程序安装页、App内的交互界面等显著位置设置链接。

根据规范的要求，App内至少应当设置跳转访问隐私政策的链接以保证用户在不离开App的情况下访问隐私政策。

⑥在用户未使用相关功能或服务时提前申请权限

根据《规范》5.3节的要求，当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主休接受产品或服务所提供的业务功能及相应的个人信息收集请求。具体要求包括：

• 不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主休一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。

• 应把个人信息主体自主作出的肯定性动作，如主动点击、勾选、填写等，作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主休开启该业务功能后，开始收集个人信息。

根据规范的要求，涉及个人信息相关权限的功能应当在用户主动选择使用时才向用户申请相应的权限，而不应在第一次启动时将所有功能所需权限一次性申请。以游戏为例，当游戏具备“同城”玩家竞赛功能时，会使用GPS定位权限以确定玩家所在城市，但通常情况下该玩法并非游戏的核心和玩法。因此，应当在玩家选择开启该玩法的情况下，再向玩家申请取得GPS的定位权限，而不是在游戏启动时就向玩家申请。

4月6日，工信部发布“关于下架侵害用户权益App名单的通报”。通报称，在2021年3月11日，工信部向社会通报了136家存在侵害用户权益行为App企业的名单。针对经第三方检测机构核查复检仍未完成整改的App，工信部将依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》等法律和规范性文件要求对这些App进行下架。随着“侵害用户权益App名单”通报和下架制度的持续推进，个人信息合规是目前游戏企业必须重视的合规工作，本专栏也将持续关注该领域的合规动态，为读者朋友们带来第一手的资讯，欢迎持续关注~