这两年，合规圈最靓的仔一定有“个人信息处理合规”一席之地，各种法律法规规定通知接踵而至，网信、工信、公安、市监等几大部门联合出手，监管专项活动和检测披露不断。大量APP被通报整改，也不乏因个人信息处理违规而被处罚、下架的产品。随着移动互联网的发展和数据价值的凸显，个人信息合规不仅是我国的热门，全球多数国家和地区都出台了相关法律法规，欧盟地区更是频出数亿、数十亿的罚款。作为互联网行业高新技术产业的游戏行业，更应该秉着合规问题无小事的态度进行合规评估和建设。本文主要结合游戏行业特点讨论个人信息处理中个人信息收集相关合规要求、注意事项、行业实践等。

一、个人信息保护概述

目前大多APP在处理个人信息过程中，取得自然人授权多使用同意“隐私政策”，按照现行的法律界定应是指个人信息处理授权。隐私权与个人信息权益定义的内涵不同，隐私权是我国《民法典》中规定的自然人享有的一项人格权，是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。根据我国《个人信息保护法》的定义，个人信息指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息包含一般个人信息和敏感个人信息，后者对个人信息主体的人身财产影响更大，因而在处理过程中应负有更高的注意义务。敏感个人信息需要具备处理特定的目的和充分的必要性，取得个人的单独同意。

二、游戏行业个人信息保护的特点

在个人信息保护层面，游戏行业相比其他互联网行业具有一定的特殊性，该等问题导致游戏公司在合规层面面临更大的挑战，更加需要产品、技术、法务、合规等通力配合去做好合规事务。游戏特点包含不限于：

产品数量多。一家游戏公司一般包含多款游戏，而一款游戏即一个独立APP，不同的游戏因内容、玩法等的不同，会存在处理信息的场景和具体处理的信息不一致的情况，如是否有用户社交功能、语音功能、照片上传功能等。

信息共享。很多情况下游戏的研发方和发行方是不同的主体，因发行方与研发方持续合作和产品调优、迭代、bug处理等需求，需要发行方将游戏测试相关的部分信息、数据共享给研发方，需要提前设计相关合规安排。

合作渠道多。游戏类产品与第三方渠道方合作一般采用联运模式，用户使用渠道账号注册登录，内购款项支付给渠道、相关个人信息也由渠道收集，是渠道的用户。而一款游戏通常会与数十家第三方渠道联运，涉及到渠道SDK接入、评估、处理规则披露等问题。

实名制认证。游戏产品必须输入身份证进行实名认证后方可使用，此过程中涉及身份证号、未成年人个人信息、甚至是人脸识别等敏感个人信息的授权和合规问题，涉及如何有效地设计儿童监护人同意方案，敏感个人信息存储等问题。

全球发行。网络游戏具有全球发行的基因，随着国内竞争激烈以及国内版号审批再次进入的冷却期，2021年9月实施了严格的防沉迷新规，大量的游戏厂商开始盯住出海这块大肉，而且出海势头强劲，腾讯、米哈游、网易等大厂的游戏更是位列全球收入榜单的前列。全球发行面临不同国家和地区不同的个人信息合规要求，合规复杂、要求高、成本高。

基于包含不限于以上原因，游戏企业合规面临任务重、难度大、问题复杂多样等客观问题，合规直接和间接成本（合规导致的用户体验成本和合规操作本身的成本）尤其之高。

三、个人信息收集注意事项

处理个人信息包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，作为APP运营方，首当其冲先要收集个人信息，合法收集是后续各项处理事项合法的基础。iLAW合规创研院发布的《2021年数据隐私合规行政处罚研究报告》显示，在128次各地市场监督管理局对侵害个人信息行为作出的行政处罚中，未经消费者同意，擅自收集、使用消费者个人信息而被处罚的共126起，占比95.45%。可见，违法违规收集个人信息问题较多，也是监管重点之一。个人信息收集应遵循合法、正当、必要、诚信原则，由此APP在收集个人信息阶段要注意：

先同意。未经用户同意不得收集个人信息，尤其注意下载APP后加载并登陆前（用户勾选或确认《个人信息保护政策》一般设置在登录页面），避免收集用户个人信息。必需获取相关权限的如存储等，建议弹窗说明需求的权限以及目的。同意部分的合规实践可以参考头部厂商的头部产品，如《王者荣耀》等产品。结合游戏特点，建议在弹窗明确告知用户如通过第三方渠道下载APP，则信息处理相关规则以该渠道的《个人信息保护政策》政策为准，并列明相关链接。

讲清楚。《个人信息保护政策》应完整地逐一列举收集个人信息的场景和具体收集的信息，应说明个人信息处理规则，明示处理的目的、方式和范围。个人信息保护政策场景列举中，不建议使用“等”字，即使列举此类内容也不会有实际的作用，反而有违规之嫌。此外，实践中APP上架渠道的，渠道会对其进行隐私合规检测，注意提前通过渠道的开发者平台等了解渠道要求，部分渠道禁止在渠道中体现第三方渠道表述。

非必要不拒绝。除非是提供相关服务所必须的功能，否则不能因为用户拒绝或撤回同意而拒绝为用户提供产品或服务。《常见类型移动互联网应用程序必要个人信息范围规定》中明确网络游戏服务基本功能的最小必要个人信息为注册用户移动电话号码。  《移动互联网应用程序（App）收集个人信息基本规范》中明示网络游戏服务的最小必要个人信息为：网络访问日志、身份证件信息、手机号码、用户日志信息（仅对使用信息发布功能的用户收集）、账号信息、第三方支付信息。结合游戏产品实际情况，本文认为规范中的更为合理。在提供具体服务如语音通话、相册等时，如用户拒绝授权，则不提供该具体服务即可。根据《未成年人保护法》等法律法规要求，网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏；《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》等防沉迷通知要求所有网络游戏用户必须使用真实有效身份信息进行游戏账号注册并登录网络游戏，因此如果用户不提供身份证号和姓名等信息注册，则可以拒绝提供游戏服务。

非必要不收集。收集个人信息应遵循最小必要原则，如提供服务无直接关系、非实现现有业务功能所必需的信息不应收集，如为了产品功能实现、产品安全、反诈、风控等可以经过评估后收集。仅以提高服务质量、优化体验等理由收集的，应当谨慎。

双清单。根据《关于开展信息通信服务感知提升行动的通知》要求，各企业应建立“已收集个人信息清单”和“第三方共享个人信息清单”（简称“双清单”），列出信息种类、使用目的、使用场景和共享方式等，以便个人信息主体更加便捷、清晰地知悉其信息被处理的情况。通知旨在进一步明确要求个人信息处理者加强公开透明、告知用户处理信息的情况。建议公布清单时，除了根据检测报告梳理外，还应充分调研行业实践，参考综合评估。双清单的实践情况可以参考通知后附的“首批设立双清单的互联网企业名单”中的产品。

四、游戏个人信息保护行业实践

（一）个人信息保护政策

本文分析了部分优秀游戏企业的个人信息保护政策，在个人信息保护政策正文中公布的常见收集信息的场景及信息，以下是对部分正文内容进行提炼后的列举示例。实践中我们列举时应以具体以产品检测报告内容为准，在经过合法、必要性、安全性等分析评估后再逐一列举：

需要注意，根据《App违法违规收集使用个人信息行为认定方法》，个人信息保护政策应在进入App主界面后，需不多于4次点击等操作就能访问到。

（二）双清单

双清单应在APP二级菜单中展示，方便用户查询。已收集个人信息清单主要是对个人信息保护政策正文列举的收集信息的概括总结，结合最小必要原则，已收集的个人信息清单应是随着用户使用产品的功能、服务等不同而变化，是动态的。调研首批双清单产品显示，如“快手APP”的已收集的个人信息就是动态展示的。第三方共享个人信息清单应将收集个人信息的第三方SDK做逐一列举，并根据字段要求显示相关内容，可以参考下腾讯游戏、完美世界、网易游戏等的合规实践。

综上，个人信息保护如火如荼，但也任重道远。作为一个相对年轻的合规领域，无论是监管主体还是被监管对象，都有一个不断完善和优化的过程。作为具有一定特殊性的游戏企业，更应该深入研究合规要求，时刻关注合规动态，不断迭代产品合规方案设计，以个人信息收集合规为起点，完善个人信息处理合规各个方面。从目前我国监管实践来看，是以通报、整改、未整改下架为主要手段的，但从全球尤其是欧盟动辄的天价处罚来看、个人信息合规监管一定会更加严格、精准。

近期活动1

希望新文娱领域法律界、行业界人士踊跃推荐 👇

近期热文

• 数字医疗行业的数据合规挑战

• 从“小爱同学”“小度小度”看语音唤醒词的知识产权保护

• NFT与数字版权实践

• 商标抢注人与被抢注人之间存在的“其他关系”有哪些？

• 著作权法视域下“鬼畜视频”的合法性分析

• 熊琦：关于限制专有许可的一点不同见解