個人資訊保護法即將實施，會對遊戲行業產生什麼影響？

2021年8月20日，《個人資訊保護法》正式釋出，將於2021年11月1日正式生效。個保法對遊戲公司收集、儲存、使用、加工、傳輸、提供、公開、刪除個人資訊等提出了更高要求。個保法對遊戲公司提出了哪些新要求？遊戲公司應如何應對？諾誠律師將在下文中對於重點內容進行解讀。


如何收集使用玩家個人資訊？

1.1 不能預設勾選同意《隱私政策》

在現實中，部分遊戲在使用者註冊時經常預設同意使用者協議和隱私政策。個保法對於這類違規行為進行集中整治，要求必須通過專門彈窗、突出連結等明示方式提醒，不得采用預設同意的方式。


另外，如果遊戲企業向第三方提供個人資訊、公開個人資訊、處理敏感個人資訊、向境外提供個人資訊，還必須另外通過單獨的彈窗提示等方式，單獨獲取使用者同意，不能簡單的用隱私政策代替。

1.2 收集資訊必須與業務相關，不得隨意收集資訊

目前，部分遊戲收集個人資訊非常隨意，比如通訊錄、指紋、人臉資訊等，實際上這些資訊和遊戲業務沒有關聯，這種行為目前也是個保法明確禁止的。


1.3 處理個人資訊（比如構建使用者畫像）必須明確告知，不得誤導玩家

如果遊戲公司將個人資訊用於使用者畫像、個性化展示等，隱私政策中應說明其應用場景和可能對使用者產生的影響，不得通過誤導、欺詐、脅迫等方式處理個人資訊，比如：

1）欺騙誤導使用者提供個人資訊。非服務所必需或無合理場景，通過積分、獎勵、優惠等方式欺騙誤導使用者提供身份證號碼以及個人生物特徵資訊。

2）以預設、捆綁、停止安裝使用等手段變相強迫使用者授權。比如：在遊戲APP首次啟動時，向使用者索取電話、通訊錄、定位、儲存、日曆等許可權；或者在遊戲APP執行時，向使用者索取與當前服務場景無關的許可權，使用者拒絕授權後，遊戲APP應用退出或關閉。

3）以改善服務質量、提升使用體驗、研發新產品、定向推送資訊、增強安全性等為由，強制要求個人資訊主體同意收集個人資訊。

1.4 設定隱私保障機制

個保法加強隱私權利保障，要求建立使用者個人隱私權的申訴渠道和反饋機制。



如何處理未成年人玩家的資訊？

《個人資訊保護法》此次的亮點之一是明確將不滿十四周歲未成年的個人資訊劃入敏感個人資訊範疇。遊戲企業收集使用不滿十四周歲未成年人的個人資訊，將受到嚴格的限制。

1、針對十四周歲未成年玩家，要單獨設定彈窗同意。

2、在遊戲產品中設計青少年模式或者單獨設定家長實名設定視窗，通過家長身份驗證等方式確保同意。

3、制定專門的兒童隱私政策，通過隱私政策方式告知處理不滿十四周歲未成年人的個人資訊必要性以及對不滿十四周歲未成年人的權益影響。




精準營銷、個性化推薦如何合規？

當前，越來越多的企業利用大資料分析、評估消費者的個人特徵用於商業營銷。《個人資訊保護法》對資訊推送、商業營銷等自動化決策行為予以規範。若遊戲企業進行個性化推薦，需注意以下要求：

1、必須玩家同意才可以精準營銷；

2、存在關閉定向推送的途徑；


3、提供關閉定向推送的便捷式按鈕；


4、精準營銷、個性化推薦前進行個人資訊保護影響評估，並對處理情況進行記錄；



如何向第三方共享使用者個人資訊？

1、公示第三方資訊

遊戲公司在向第三方提供玩家個人資訊前，應當通過隱私政策、彈窗等方式告知使用者第三方（接收方）的名稱、聯絡方式、處理目的、處理方式和個人資訊的種類。遊戲內嵌第三方SDK的，可通過第三SDK目錄向使用者公示上述資訊。此外，遊戲公司應審查第三方SDK收集的使用者資訊是否有對應的應用場景，防止第三方SDK超範圍收集使用者資訊。


2、取得使用者的單獨同意

遊戲公司向第三方提供玩家個人資訊的，不僅需要通過隱私政策等方式公示接收資訊的第三方的資訊，而且要通過彈窗等方式取得使用者的單獨同意。

3、與第三方簽署協議，持續監督

遊戲公司向第三方提供使用者個人資訊的，應與第三方明確其收集的個人資訊型別、個人資訊的收集目的、儲存期限等，並持續監督第三方的行為。


遊戲出海涉及的個人資訊保護要求？

1、遊戲企業向境外提供使用者資料，需滿足以下條件之一：

（1）通過國家網信部門組織的安全評估。

如果遊戲公司處理個人資訊達到國家網信部門規定數量，需向境外提供使用者個人資訊的，應當通過國家網信部門組織的安全評估。

（2）經專業機構進行個人資訊保護認證。

（3）按照國家網信部門制定的標準合同與境外接收方訂立合同。

2、取得使用者的單獨同意

遊戲公司向境外提供個人資訊的，應當向使用者告知境外接收方的名稱、聯絡方式、處理目的、處理方式、個人資訊的種類等事項，並取得個人的單獨同意。單獨同意可以通過彈窗的形式體現。

3、保障境外資料接收方對資料的保護

遊戲企業確需向境外提供使用者個人資訊的，應當採取必要措施，保障境外接收方處理個人資訊的活動達到法律規定的個人資訊保護標準。


遊戲企業內部資料管理要求有哪些？

1、設立個人資訊保護負責人/部門

根據《個人資訊保護法》第52條的要求，如果企業處理個人資訊達到國家網信部門規定數量，要指定個人資訊保護負責人。

值得注意的是，《個人資訊保護法》對國家網信部門規定數量沒有詳細說明，但根據《資訊保安技術個人資訊保安規範》的規定，只要滿足以下條件之一，就應設立專職的個人資訊保護負責人和個人資訊保護工作機構：（1）主要業務涉及個人資訊處理，且從業人員規模大於200人；（2）處理超過100萬人的個人資訊，或預計在12個月內處理超過100萬人的個人資訊；（3）處理超過10萬人的個人敏感資訊的。

鑑於遊戲具有龐大的玩家數量，遊戲公司處理個人資訊及個人敏感資訊的數量也龐大，因此遊戲公司應設立專職的個人資訊保護負責人和個人資訊保護部門。

2、制定內部管理制度和操作規程

（1）制定資料全生命週期安全保護制度。

遊戲公司應制定資料分級分類制度、資料許可權管理制度、監測巡查制度、應急管理制度、投訴處理制度等資料保護制度。


（2）定期進行合規審計。

遊戲公司應當定期對其處理個人資訊情況進行合規審計。審計的重點在於遊戲公司對個人資訊處理活動是否符合法律法規的要求，包括制度組織措施、資料安全等審計。

（3）重要個人資訊處理活動事前進行個人資訊保護影響評估。

遊戲公司在以下使用者個人資訊處理場景下，應事前進行個人資訊保護影響評估：處理敏感個人資訊，利用個人資訊進行個性化推送等自動化決策，委託處理個人資訊、向其他個人資訊處理者提供個人資訊、公開個人資訊，向境外提供個人資訊等。

3、採取安全技術措施保護使用者個人資訊

（1）對使用者敏感資料進行加密儲存。

遊戲公司應利用SSL等加密技術對使用者的個人資訊進行加密儲存，尤其需要對使用者的敏感個人資訊進行儲存，謹防使用者資訊洩露。

（2）對使用者敏感資料傳輸時使用安全的傳輸協議。

在資料傳輸過程中，由於HTTP資料傳輸是明文傳輸的，導致HTTP資料容易被抓取、篡改，洩露使用者的敏感資料，公司應對遊戲中的敏感個人資訊使用HTTPS協議傳輸。

（3）採取資料分類、重要資料備份等措施。

公司應建立資料分類分級的依據/標準以及密級劃分方式，對不同類級資料的使用、訪問控制要求。就重要資料備份而言，應明確資料備份與恢復的管理制度、資料備份與恢復的操作規程，資料備份和恢復的範圍、頻率、工具、過程、日誌記錄、資料儲存時長等，並建立資料備份與恢復的統一技術工具。

（4）採取有效的訪問和許可權控制措施。

遊戲公司應嚴格限制訪問資料的人員，採用嚴格的資料訪問許可權控制和多重身份認證技術保護個人資訊，避免資料被違規使用。

在資訊化時代，個人資訊保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。個保法的出臺，標誌著國家對使用者個人資訊已進入一個新的臺階。遊戲企業應高度重視使用者個人資訊保護問題，從使用者資訊處理規則、使用者同意方式設計、公司內部資料管理制度、保障使用者資料技術措施等方面保護使用者個人資訊。

作者：諾誠遊戲法
來源：遊戲葡萄
地址：https://mp.weixin.qq.com/s/jL6VzKLI01MbqxEbk0yPLw