App數(shù)據(jù)合規(guī)——游戲行業(yè)的數(shù)據(jù)合規(guī)要點
2021-10-19
引 言
在上篇文章《App數(shù)據(jù)合規(guī)——游戲類App的機遇與風險》中,各類數(shù)據(jù)均反映出我國游戲行業(yè)正在蓬勃發(fā)展�����,所以游戲行業(yè)蘊含著巨大的市場潛力�。
游戲行業(yè)如同一塊巨大的蛋糕,憑借其華麗的外表和甜美的味道吸引著大資本����,小團隊和個人開發(fā)者紛紛前來。隨著市場的擴大����,從業(yè)者的增加����,為了讓行業(yè)健康發(fā)展�����,“規(guī)矩”就顯得至關重要�����。
游戲App數(shù)據(jù)合規(guī)現(xiàn)狀
《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》(十八)網(wǎng)絡游戲類�,基本功能服務為“提供網(wǎng)絡游戲產品和服務”,必要個人信息為:注冊用戶移動電話號碼�。
在統(tǒng)計分析四款市場主流移動游戲App后,我們發(fā)現(xiàn)��,在游戲過程中涉及到信息互動與發(fā)布��、支付��、客服����、用戶響應等�,運營商會在《用戶隱私策略》中以“提供服務”為由�����,收集各類詳細的�、敏感的個人信息和其他相關信息���,將其與《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》中規(guī)定的用戶必要個人信息收集范圍相比依然存在有很多超范圍的收集的現(xiàn)象�����。
隨著行業(yè)的高速發(fā)展����,“游戲”已經遠遠不止其“娛樂”這唯一屬性����,開發(fā)者為了提升游戲體驗感,更為其增添了“社交”等各類屬性�。
隨著游戲屬性和功能的增加,所收集的各類數(shù)據(jù)也會突破其本身的必要限制���。
但是���,過度收集的數(shù)據(jù)���,包含著大量的用戶隱私,如不從收集源頭控制過度數(shù)據(jù)的采集���,這將為數(shù)據(jù)安全埋下一顆不安定的種子�����。
往最壞的方向去考慮��,如果數(shù)據(jù)暴露在不法分子的手中�,后果將不堪設想���。
網(wǎng)絡游戲行業(yè)數(shù)據(jù)合規(guī):國內政策嚴格��,出海要求也不少
1���、網(wǎng)絡游戲國內合規(guī)
網(wǎng)絡游戲運營者作為國內運營商,需要遵守國內法律體系對于數(shù)據(jù)安全�����、個人信息保護的一般規(guī)定�。限于篇幅,本文僅就網(wǎng)絡游戲國內合規(guī)的重要方面進行分析如下:
第一��,網(wǎng)絡游戲應注意避免過度收集非必要個人信息�。
《國家新聞出版署關于進一步嚴格管理切實防止未成年人沉迷網(wǎng)絡游戲的通知》指出,“嚴格落實網(wǎng)絡游戲用戶賬號實名注冊和登錄要求�����。所有網(wǎng)絡游戲必須接入國家新聞出版署網(wǎng)絡游戲防沉迷實名驗證系統(tǒng)���,所有網(wǎng)絡游戲用戶必須使用真實有效身份信息進行游戲賬號注冊并登錄網(wǎng)絡游戲�����,網(wǎng)絡游戲企業(yè)不得以任何形式(含游客體驗模式)向未實名注冊和登錄的用戶提供游戲服務���。”
應國家要求�����,現(xiàn)有網(wǎng)絡游戲均需實現(xiàn)實名驗證�,收集用戶的真實有效身份信息。
《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》(十八)網(wǎng)絡游戲類��,基本功能服務為“提供網(wǎng)絡游戲產品和服務”,必要個人信息為:注冊用戶移動電話號碼����。
從上述規(guī)定可見,網(wǎng)絡游戲所應收集的個人信息包括個人身份信息���、移動電話號碼��。網(wǎng)絡游戲運營者應注意避免收集其他非必要的個人信息��,避免合規(guī)風險�。
第二�����,運營者應注意對未成年人個人信息的保護�。
網(wǎng)絡游戲的用戶眾多,其中不乏一些未成年人����,因此收集未成年人個人信息的情況不可避免。
而隨著國家主管部門對防止未成年人沉迷網(wǎng)絡游戲日益嚴格的監(jiān)管要求�����,未來網(wǎng)絡游戲可能需通過人臉識別等方式對用戶進行身份驗證,如收集未成年人的面部信息等��,如何妥善保護該部分個人信息��,是運營者應當思考的重要問題����。
2021年11月1日將生效的《中華人民共和國個人信息保護法》第二十八條指出���,“不滿十四周歲未成年人的個人信息”屬于個人敏感信息���,“只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下�����,個人信息處理者方可處理敏感個人信息”��;
第三十一條還要求�����,“個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監(jiān)護人的同意����。個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規(guī)則���?���!?/p>因此��,網(wǎng)絡游戲運營者在處理未成年人特別是未滿十四周歲未成年人的個人信息時���,需要滿足更高的合規(guī)標準:應當采取比保護其他個人信息更加嚴格的保護措施���,并取得未成年人父母或其他監(jiān)護人的同意。
2���、網(wǎng)絡游戲出海
因網(wǎng)絡游戲出?���?赡苌婕爸匾獢?shù)據(jù)和個人信息出境���,因此國家要求企業(yè)在數(shù)據(jù)出境前履行嚴格的評估�、審批程序并單獨取得個人的同意。
此外��,因出海合規(guī)也涉及不同國家�����、地區(qū)的數(shù)據(jù)安全和個人信息保護法規(guī)��,就每一個國家�、地區(qū)的合規(guī)需結合當?shù)胤舍槍π钥紤]��。
這相當于網(wǎng)絡游戲出海同時面臨國內及海外市場所屬國家���、地區(qū)法律的兩層要求���,合規(guī)標準較高。
具體而言�����,網(wǎng)絡游戲出海合規(guī)至少面臨如下兩方面要求:
第一�����,除遵守國內法律對于國內企業(yè)運營網(wǎng)絡游戲的一般法律要求之外,網(wǎng)絡游戲還需評估是否存在數(shù)據(jù)出境的情況����,從而確認是否需完成數(shù)據(jù)出境的有關評估、審批及獲得個人單獨同意等要求���。
數(shù)據(jù)出境的認定
根據(jù)《信息安全技術數(shù)據(jù)出境安全評估指南(征求意見稿)》���,數(shù)據(jù)出境是指網(wǎng)絡運營者通過網(wǎng)絡等方式,將其在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據(jù)��,通過直接提供或開展業(yè)務��、提供服務�、產品等方式一次性或連續(xù)性提供給境外的機構、組織或個人�����。
如該標準未來正式生效���,則存在上述情況的網(wǎng)絡游戲有較大可能在出海前需進行數(shù)據(jù)出境安全評估����。
出境安全評估
《中華人民共和國數(shù)據(jù)安全法》第三十一條指出,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數(shù)據(jù)的出境安全管理���,適用《中華人民共和國網(wǎng)絡安全法》的規(guī)定�����;其他數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產生的重要數(shù)據(jù)的出境安全管理辦法����,由國家網(wǎng)信部門會同國務院有關部門制定�����。
從該生效法律可見�����,國家將會出臺專門的數(shù)據(jù)出境安全管理辦法�,網(wǎng)絡游戲運營者應當為將行的出境安全評估和管理做好充分準備�。
個人信息的保護要求
即將生效的《中華人民共和國個人信息保護法》第三十八條指出:個人信息處理者因業(yè)務等需要�����,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:(一)依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估�;(二)按照國家網(wǎng)信部門的規(guī)定經專業(yè)機構進行個人信息保護認證;(三)按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同���,約定雙方的權利和義務����;(四)法律��、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件�。
中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的�����,可以按照其規(guī)定執(zhí)行��。
個人信息處理者應當采取必要措施��,保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準���。
第三十九條指出�,個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名�����、聯(lián)系方式���、處理目的��、處理方式���、個人信息的種類以及個人向境外接收方行使本法規(guī)定權利的方式和程序等事項,并取得個人的單獨同意����。
該法對于個人信息的出境規(guī)定了嚴格的評估、審批等條件��,并要求運營者事前獲得個人的單獨同意�����,可見運營者對于運輸出境的數(shù)據(jù)承擔更重的保護責任���。
第二�,網(wǎng)絡游戲輸出到其他國家�����、地區(qū)��,也應滿足當?shù)氐臄?shù)據(jù)合規(guī)和保護要求���。
有幾個方面的法律法規(guī)及有關文件值得運營者注意��,包括:
①涉及個人信息保護�����、數(shù)據(jù)安全等的法律文件��;
②網(wǎng)絡游戲行業(yè)主管部門所頒布的規(guī)范性文件��;
③行業(yè)組織所發(fā)布的行業(yè)規(guī)范����、運營指南等文件�。
以上方面的文件均可能成為網(wǎng)絡游戲數(shù)據(jù)合規(guī)的重要依據(jù)。
值得注意的是�����,中國網(wǎng)絡游戲的發(fā)展讓許多企業(yè)具備走向全球市場的能力和意愿,但就網(wǎng)絡游戲海外合規(guī)而言�����,不能用“打包輸出”的思維開展合規(guī)活動����。
不同國家、地區(qū)的法律體系有著巨大區(qū)別����,對于網(wǎng)絡游戲的監(jiān)管方式、力度也不盡相同。
如企業(yè)以國內法律的角度思考海外合規(guī),或以單一法律體系思維進行合規(guī)工作���,則可能影響網(wǎng)絡游戲開拓海外市場的深度及寬度。
針對海外市場,“文化輸出”不等于合規(guī)方式��、管理方式的盲目輸出��,而應當針對當?shù)厥袌鲇行蛲晟茢?shù)據(jù)合規(guī)業(yè)務,才能讓網(wǎng)絡游戲產業(yè)拓展海外市場之路走得更順更遠��。
大力倡導健康游戲環(huán)境
隨著移動游戲App成為游戲市場的最大贏家,任何人都不能忽視移動游戲App背后的巨大商業(yè)價值��。
維護網(wǎng)絡游戲數(shù)據(jù)安全�����,保證玩家正常游戲權益��,應作為完善服務體系的基礎保障����。用戶體驗提升,游戲與用戶的粘合度必然提高���,市場規(guī)模也會隨之擴大�。數(shù)據(jù)安全的改善有利于促進產業(yè)的良性發(fā)展�����。
想要解決游戲數(shù)據(jù)安全問題�,僅靠運營商或者是用戶本身是遠遠不夠的,需要社會各界的共同努力���。
有關部門
有關部門可以加快出臺司法解釋����,完善法律法規(guī),從源頭減少由數(shù)據(jù)安全引發(fā)的法律問題����,凈化市場環(huán)境。
游戲企業(yè)
游戲企業(yè)應積極建立數(shù)據(jù)保護機制���,避免數(shù)據(jù)泄露造成的惡性事件�。
游戲出海
游戲出海則需要了解當?shù)叵嚓P法律完成合規(guī)�,保證國內用戶數(shù)據(jù)隱私。
游戲玩家
游戲玩家需要增進理解����,提高自身數(shù)據(jù)安全認識。
最后�,游戲行業(yè)數(shù)據(jù)安全是一個絕對不能忽略的問題。
數(shù)據(jù)安全是市場發(fā)展環(huán)境的基石��,游戲產業(yè)如果失去了穩(wěn)定���、健康��、良好的環(huán)境基礎�����,就容易對企業(yè)未來發(fā)展帶來不良影響���。
對于游戲企業(yè)而言,在相關政策法規(guī)規(guī)定的范圍內賺取利潤��、爭取市場份額是很正常的商業(yè)行為��,應該予以保護和支持��。但是在考慮經濟效益的同時�,也要強調社會效益,要有社會責任感�。
