新規5月1日施行，遊戲廠商對資料收集問題自查了嗎？

近年來，App超範圍收集個人資訊、強制授權、過度索權等現象大量存在，違法違規使用個人資訊問題十分突出。

為了規範App個人資訊收集行為，解決當前超範圍收集、強制授權等突出問題，國家網際網路資訊辦公室、工業和資訊化部、公安部、國家市場監督管理總局四部門聯合釋出關於印發《常見型別移動網際網路應用程式必要個人資訊範圍規定》的通知，該規定將於5月1日正式施行。遊戲公司應及時進行自查，以免遊戲APP因超範圍收集個人資訊、強制授權、過度索權等資料違規問題被下架，造成巨大損失。

一、遊戲收集的必要個人資訊有哪些？

根據《資訊保安技術 個人資訊保安規範》的規定，要求企業所收集的個人資訊的型別應與實現產品或服務的業務功能有直接關聯（“直接關聯”指的是若沒有該個人資訊的參與，將無法實現產品或服務的功能）；頻率和數量是實現產品或服務功能所需的最低限度。那麼，對於遊戲產品來說，遊戲收集的必要個人資訊又有哪些呢？

《常見型別移動網際網路應用程式必要個人資訊範圍規定》明確移動網際網路應用程式運營者不得因使用者不同意收集非必要個人資訊，而拒絕使用者使用APP基本功能服務。針對網路遊戲類，該規定明確其基本功能服務為“提供網路遊戲產品和服務”，必要個人資訊為：註冊使用者行動電話號碼。這意味著，遊戲公司除強制要求使用者提供電話號碼外，強制使用者同意收集通訊錄、位置資訊等資訊方提供服務將會構成超範圍收集個人資訊。


二、常見遊戲收集的個人資訊

雖說只有註冊使用者行動電話號碼屬於遊戲產品的必要個人資訊，但遊戲內的功能、場景需收集使用者其他個人資訊或訪問相關許可權後才能使用的，經過遊戲使用者授權同意，遊戲廠商也是可以收集相關資訊或訪問相關許可權的。除必要個人資訊外，遊戲內涉及到的使用者個人資訊、資訊許可權主要在於以下幾方面：

• 使用者姓名、個人有效身份證件號碼、家庭住址、電子郵箱等——用於使用者實名認證、登入遊戲賬號等。
• 位置資訊——用於與附近玩家匹配、互動。
• 交易記錄——用於保護使用者虛擬物品的安全，便於使用者查詢交易記錄。
• 遊戲日誌——用於遊戲運營統計分析、客服投訴處理及其他遊戲安全分析，便於使用者檢視遊戲歷史記錄。
• 裝置資訊——用於維護遊戲基礎功能的正常執行，優化遊戲產品效能，提升使用者的遊戲體驗並保障使用者的賬號安全。
• 使用習慣、偏好資訊——用於在產品或服務中展示使用者可能感興趣的資訊。
• 相機、麥克風許可權——便於使用者與其他遊戲玩家互動、參與直播。
  

遊戲公司可參考行業內常見的收集使用者個人資訊、資訊許可權情形，對公司運營的產品進行自查，並在隱私政策中詳細列明收集使用者的個人資訊、收集資訊的目的，使得使用者瞭解公司遊戲產品收集使用者資訊的規則。

三、規定關注的遊戲資料違規問題

（一）超範圍收集個人資訊

“超範圍收集個人資訊”，指APP收集個人資訊，非服務所必需或無合理應用場景，超範圍或超頻次收集通訊錄、位置、人臉等個人資訊，或開啟的可收集個人資訊許可權與現有業務功能無關。如在計算器工具類App申請開啟位置許可權、輸入法類App申請開啟通訊錄許可權。


（二）強制索取許可權

“強制索取許可權”，指APP安裝和執行時，向使用者索取與當前服務場景無關的許可權，使用者拒絕授權後，應用退出或關閉。如在某款遊戲中，使用者首次登陸時，則向使用者索要訪問“裝置上的照片、媒體內容和檔案許可權”以及“獲取裝置資訊”許可權，當使用者拒絕授權後，遊戲將會提供使用者“讀寫Sim卡是必要的許可權，如不授予該許可權將無法正常遊戲”。該款遊戲將讀寫Sim卡許可權作為必要許可權向使用者索取的行為，則屬於強制索權。


（三）過度索取許可權

“過度索取許可權”，指APP在使用者未使用相關功能或服務時，提前申請開啟通訊錄、定位、簡訊、錄音、相機等許可權，或超出其業務功能或服務外，申請通訊錄、定位、簡訊、錄音、相機等許可權。

如在某款捕魚遊戲中，使用者首次登陸APP時，在無合理應用場景下，就向使用者索取位置許可權，該種情形則屬於過度索取許可權。


（四）頻繁申請許可權

“頻繁申請許可權”，即APP在使用者明確拒絕許可權申請後，頻繁申請開啟通訊錄、定位、簡訊、錄音、相機等與當前服務場景無關的許可權，騷擾使用者。

當使用者明確表示不同意APP訪問許可權後，使用者每次重新開啟APP時，均詢問是否同意APP訪問收集該類許可權，就屬於頻繁索取許可權。


四、合規建議

隨著規定的出臺，國家對使用者隱私與資料保護力度必將逐步加大，遊戲公司要重視資料合規工作。針對遊戲公司資料合規問題，本團隊律師提出如下幾點建議：

1、堅持最小必要原則收集使用者個人資訊

遊戲產品不得收集與 App 所提供服務無關的個人資訊，不得申請與 App 所提供服務無關的系統許可權（即使使用者可選擇拒絕）。遵循最小必要原則，僅收集/申請與 App 業務功能有直接關聯的個人資訊型別/系統許可權，並且在使用者觸發相關應用場景時方索要許可權。不得因使用者拒絕提供最小必要資訊之外的個人資訊而拒絕提供服務。

2、收集個人資訊前需獲得使用者的明確授權

App 收集個人資訊前向使用者明示收集資訊的目的、方式和範圍，並徵得使用者同意。目前獲得使用者授權的方式主要有兩種：一是要求使用者同意隱私政策，二是以彈窗的形式索要許可權。遊戲產品應在使用者首次登陸時以彈窗等顯著的方式主動提示使用者閱讀隱私政策，展示隱私政策的主要或核心內容，幫助使用者理解收集個人資訊的範圍和規則進而做出決定。


3、尊重使用者的選擇，不得頻繁索取許可權

遊戲產品收集個人資訊的頻率應在 App 實現業務功能所必需的合理範圍內。當使用者拒絕許可權申請後，除非該系統許可權是使用者主動觸發的功能所必要，否則不應頻繁申請或提示缺少相關許可權，干擾使用者正常使用。

4、嚴格按照使用者的授權使用個人資訊

遊戲公司在使用個人資訊時，不得超出與收集個人資訊時所聲稱的目的具有直接或合理關聯的範圍。因業務需要，確需超出上述範圍使用個人資訊的，應再次徵得使用者同意。遊戲公司向第三方提供使用者個人資訊，應當徵得使用者同意，並與個人資訊接收方訂立安全協議，明確各方個人資訊保護責任，要求個人資訊接收方依法保護。

結語

隨著一系列法律規定、政策的出臺，針對使用者個人資訊的保護力度不斷加強，對侵犯隱私的懲罰力度也越來越重。遊戲企業應高度重視使用者隱私和資料合規問題，以防因資料違規而導致產品下架。

諾誠律師團隊作為遊戲領域的專業律師團隊，可以根據遊戲公司需求提供專項法律服務，協助定製激勵管理制度，擬定配套保密和智慧財產權協議、競業限制協議、股權或期權激勵協議。請新增本團隊律師微信：13913541030。

作者：陶靜
來源：諾誠遊戲法
地址：https://mp.weixin.qq.com/s/SKX8KvGVlDZ_42y7okq8nw