實名制要求下，遊戲企業如何落實個人資訊保護制度

《“遊”法可依》是手遊那點事與廣悅楊傑律師團隊聯合推出的遊戲相關法律知識欄目，該欄目聚焦當下遊戲市場中最受關注的法律問題，由楊傑律師團隊中的資深律師進行法律層面上的解讀。

在第101期的《“遊”法可依》當中，楊傑律師團隊將為大家帶來——《實名制要求下，遊戲企業如何落實個人資訊保護制度》。

2021年8月30日，國家新聞出版署下發《關於進一步嚴格管理切實防止未成年人沉迷網路遊戲的通知》，要求嚴格落實網路遊戲使用者賬號實名註冊和登入要求，不得以任何形式向未實名註冊和登入的使用者提供遊戲服務。《通知》一出便獲得騰訊、網易、米哈遊等多家遊戲企業的積極響應，且在2021年9月23日，中國音像與數字出版協會遊戲出版工作委員會與213家遊戲企業聯合發起《網路遊戲行業防沉迷自律公約》，堅決落實實名認證要求。


隨著遊戲實名制的進一步推廣，企業在遊戲運營的過程中將迎來個人資訊“量”的驟增，與此同時還有這樣的聲音存在，為了進一步落實防沉迷要求，保護未成年人，遊戲企業應該同步配套落實“人臉識別”的政策，在實踐中有些企業為了落實未成年人的保護政策，健康管理的需要，也配套上線了人臉識別驗證系統。

這一規範要求與舉措，在對遊戲企業提出切實落實防沉迷要求下，也將給遊戲企業帶來在個人資訊收集、處理與儲存過程的“質”的挑戰。

一、嚴格的個人資訊保護要求與遊戲企業在個人資訊保護方面的挑戰

2021年，個人資訊保護和資料安全的兩部重要法律《資料安全法》、《個人資訊保護法》在今年頒佈並相繼施行，意味著在我國個人資訊保護已經逐漸步入有法可依、有法必依的階段，個人資訊保護和資料安全已經成為舉國關注的重要議題。監管機構近年來不斷對侵害個人資訊權益的問題進行專項整治行動；使用者個人在權益保護方面的意識也逐漸增強。如根據9月23日工業和資訊化部資訊通訊管理局釋出的2021年最新一批《關於侵害使用者行為的APP通報》顯示，其中就有部分的遊戲類應用，因違規收集個人資訊、超範圍收集個人資訊或強制、頻繁、過度索取資訊許可權而被要求限時整改。

在實踐中，目前仍有大量的遊戲企業在使用者個人資訊保護方面意識薄弱，從而易誘發嚴重的個人資訊保護危機：

1.個人資訊收集處理的程式不規範

有部分遊戲企業未能意識到使用者個人資訊收集、處理的合規要求，在收集、使用資訊時未告知使用者或者在未取得使用者同意的情況下即進行使用者資訊收集。經我們瞭解，發現很多遊戲企業目前並沒有配備隱私政策，或者所配備的隱私政策非常簡單，與法律規定不符。

2.個人資訊保安的挑戰

在實名制要求下，遊戲企業收集了大量了使用者資訊，這些資訊大多具有高度可識別性。但是對於大部分中小型遊戲企業而言，其是否有足夠的能力和意識，對所收集的這些使用者資訊進行妥善、安全的儲存和保管，目前仍是嚴峻的問題。一旦這些個人資訊洩漏，將有可能造成較為嚴重的後果。

3.個人資訊的違規使用

除了妥善的儲存和保管個人資訊的能力存疑外，鑑於個人資訊極大的商業價值，有部分企業會將收集到的個人資訊用作其他的用途，實施遊戲買量、公會推廣甚至出售其他人等濫用和違法使用個人資訊的行為。

因此，如何正確的收集、使用、儲存因遊戲實名制要求帶來的大量個人資訊，將成為遊戲企業的必修課。

二、遊戲實名制要求下，個人資訊保護的合規要求

（一）實名制要求的個人資訊內容

在對實名制所帶來的個人資訊進行合規之前，我們先必須瞭解，由於實名制的要求，遊戲企業收集到了哪些個人資訊。

《關於進一步嚴格管理切實防止未成年人沉迷網路遊戲的通知》，嚴格落實網路遊戲使用者賬號實名註冊和登入要求，不得以任何形式向未實名註冊和登入的使用者提供遊戲服務。對於完成實名制註冊和登入要求，在實踐中，一般要求使用者需要提供個人的真實姓名和身份證資訊予以驗證。


因此，在實名制的要求下，遊戲企業至少擁有了使用者的真實姓名和個人身份證號碼。除此之外，基於不同遊戲公司的賬號註冊要求以及使用者的遊戲充值行為，遊戲公司進而還可能收集到該使用者的手機號碼、充值繳費的銀行卡記錄、消費訂單記錄等資訊。

另外，為了進一步完善防沉迷系統，實現保護未成年保護的目的，有些企業還採取了更嚴格的健康保護系統，對疑似未成年人的使用者採取人臉識別的方式進行驗證，在這一過程中，遊戲企業還會收集到使用者的相關人臉資訊。


（二）遊戲企業個人資訊處理合規要求

2021年8月20日《個人資訊保護法》正式公佈，並將於2021年11月1日施行。該法從整體上規定了個人資訊處理規則、個人在資訊處理活動中的權利以及個人資訊處理者的義務等內容，將成為今後個人資訊權益保護與個人資訊處理活動規範的最重要指引。

鑑於《個人資訊保護法》對於個人資訊分為個人資訊以及敏感個人資訊，並針對不同的資訊型別提出了不同的合規要求，因此在明確遊戲企業個人資訊處理的合規要求之前，我們先來明確遊戲企業所涉及的個人資訊的類別。

1.遊戲企業所收集個人資訊的分類

《個人資訊保護法》第四條規定：個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊，不包括匿名化處理後的資訊。

第二十八條規定：敏感個人資訊是一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊，以及不滿十四周歲未成年人的個人資訊。

除《個人資訊保護法》的原則性規定之外，《資訊保安技術 個人資訊保安規範》國標 GB/T 35273—2020對於個人資訊以及敏感個人資訊進行了詳細的列舉。



如前文所述，遊戲企業在實名制要求下，遊戲企業所收集的使用者的真實姓名、手機號碼等屬於個人資訊，個人身份證資訊、銀行卡、充值記錄、人臉資訊等屬於敏感個人資訊。

2.關於個人資訊處理的合規要求

根據《個人資訊保護法》，敏感個人資訊比個人資訊處理原則更為嚴格，敏感個人資訊，除滿足法律關於個人資訊保護的基本要求外，還需要滿足額外的要求。經過我們彙總，個人資訊保護法律關於個人資訊處理的具體原則和要求如下。


三、遊戲企業如何落實個人資訊保護制度

遊戲實名制的壓力之下，面對著紛繁複雜的個人資訊規範格局與日漸收緊的監管政策，遊戲企業應該提高個人資訊保護的意識，建立企業個人資訊保護的規範。基於遊戲行業的現狀以及個人資訊保護方面的相關法律規定和要求，我們為遊戲企業在實名制要求下，完善落實個人資訊保護制度，提供以下的建議和意見：

（一）完善“告知+同意”的流程

根據《個人資訊保護法》規定，收集、使用個人資訊，應符合“告知+同意”的原則，且必須符合以下要求：

1.取得個人的明確同意；

2.基於個人同意處理個人資訊的，該同意應當由個人在充分知情的前提下自願、明確作出；

3.個人資訊處理者在處理個人資訊前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知“個人資訊的處理目的、處理方式，處理的個人資訊種類、儲存期限”等；

4.法律、行政法規規定處理個人資訊應當取得個人單獨同意或者書面同意的，從其規定。

因此，遊戲企業在進行實名制之前，必須明確告知使用者個人資訊收集的處理目的、處理要求，並取得使用者的同意，且由於其中涉及身份證等敏感資訊，應針對該部分資訊取得使用者的單獨同意。


（二）不得將收集的資訊用於防沉迷之外的其他用途

鑑於遊戲企業收集個人實名制資訊，是基於《關於進一步嚴格管理切實防止未成年人沉迷網路遊戲的通知》這一規定的要求，因此，其實名制資訊的收集，應當僅用於滿足防沉迷和未成年人保護的需要，不得將其用於該目的之外的其他用途。

如果遊戲企業需要將該部分資訊用於之外的其他使用者，應明確告知使用者，且取得使用者的同意，同時該目的必須滿足最小必要的原則。

（三）落實資訊儲存的安全機制和保障措施

《個人資訊保護法》第九條規定，個人資訊處理者應當對其個人資訊處理活動負責，並採取必要措施保障所處理的個人資訊的安全。遊戲企業可採取以下措施保障所收集個人資訊的安全，防止未經授權的訪問及個人資訊洩露、篡改和丟失：

1.制定內部管理制度和操作流程；

2.對收集的個人資訊進行分類管理；

3.採取相應的加密、去標識化等安全措施；

4.合理確定員工個人資訊處理的操作許可權，並定期對員工進行安全教育和培訓；

（四）第一時間對個人資訊進行“去標識化”處理

加密、去標識化是個人資訊保安保障的重要方式之一，結合《個人資訊保護法》、《資訊保安技術 個人資訊保安規範》等相關規定的要求，遊戲企業可按照以下方式對收集的個人資訊做“去標識化”的處理。

1.收集個人資訊後，遊戲企業宜立即進行去標識化處理；

2.遊戲企業應採取技術和管理方面的措施，將可用於恢復識別個人的資訊與去標識化後的資訊分開儲存，分開進行授權許可權管理；

3.如涉及通過介面展示個人資訊的（如顯示螢幕、紙面），宜對需展示的個人資訊採取去標識化處理等措施，降低個人資訊在展示環節的洩露風險。

（五）在符合法規規定的儲存期限和要求後及時進行匿名化或者刪除處理

遊戲企業所收集的個人資訊不宜永久儲存，應根據相關法律的規定，及時主動的刪除個人資訊或對個人資訊進行匿名化處理：

1.已經滿足法律所規定的最短儲存期限的要求；

2.遊戲產品已經停止運營，且法定的儲存期限屆滿；

3.使用者賬號登出或者撤回授權之後。

目前關於網路遊戲行業對於個人資訊的儲存期限，暫無明確直接的規定，但根據《網路遊戲管理暫行辦法》（已失效），其中規定了網路遊戲使用者的購買記錄的儲存要求：儲存期限自使用者最後一次接受服務起，不得少於180日。對於儲存期限的要求，可以參照此規定。

（六）“人臉驗證”機制的特殊合規要求

鑑於“人臉”資訊屬於敏感個人資訊，因此如果遊戲企業採取“人臉”驗證的方式的，需要特別注意以下的合規要求：

1.“人臉”等個人資訊的採集，必須嚴格限制“人臉”驗證的範圍和目的，不宜擴大驗證範圍和頻率，也不得將該驗證資訊用於遊戲健康管理之外的其他目的；

2.在驗證過程中，需要特別遵守以下要求：

（1）僅儲存個人生物識別資訊的摘要資訊；

（2）在採集終端中直接使用個人生物識別資訊實現身份識別、認證等功能；

（3）在使用面部識別特徵等實現識別身份、認證等功能後應立即刪除。

【關於我們】

廣悅律師事務所網際網路與數字經濟部是廣悅律師事務所設立的，專門為網際網路與數字經濟提供法律服務的部門。本團隊業務專長在投融資併購，數字產品合規評估，侵權爭議解決等，並致力於提供定製化、精品化、全方位的法律服務。團隊自成立以來，為國內外超過100家網際網路公司提供包括股權設計，投融資併購，數字產品合規評估，侵權爭議解決在內的創新型商業解決方案。客戶型別涉及綜合性網際網路公司、網路遊戲公司、網際網路直播公司、網際網路廣告公司、網際網路營銷公司、電商公司、網際網路金融公司等多種型別的網際網路企業。

更多法律問題諮詢及幫助，請聯絡楊傑律師團隊，聯絡方式：139 2417 8163。

辦公地址：廣州市天河區冼村路5號凱華國際中心14樓 廣悅律師事務所



來源：手遊那點事
原文：https://mp.weixin.qq.com/s/PKzJw7Ixt8lUpd9fZSdFDA