企业合规 | 从滴滴案看网络游戏数据合规（下）

美奈提

作者：李靖宇律师
<hr/>2021年，网络游戏企业违规被通报的具体原因主要集中在违规、超范围收集个人信息；APP强制、过渡索取权限；被欺骗、诱导下载APP等，均以“个人信息收集”相关事项为主线展开。
网络游戏APP，从首次打开游戏开始，随着“隐私政策阅读提示”首运弹窗提示映入眼帘，数据问题就随之而来。而后在注册、登录、实名认证、添加好友、游戏内聊天、客服沟通等等环节，亦无时无刻面对着数据的收集问题。
本文拟从网络游戏APP以及网络游戏运行商两个角度叙述。从APP界面设计、功能设置等微观合规建议到运营商组织架构、内部规范等宏观的合规建议逐步解析网络游戏数据安全合规的点点滴滴。本文亦将沿着从数据的收集到数据的全流程应对这一进路展开。
四、网络游戏数据合规建议

数据收集是数据安全风险的源头，这一源头如果不加监管，相关违法、犯罪行为就会随之而来，其后果不堪设想。限于篇幅，“网络游戏数据出海”的相关内容笔者会专门撰文讲解，本文仅就网络游戏国内合规的重要方面进行如下建议：
（一）严守“最小必要”收集信息的原则红线

处理个人信息应当具有明确、合理的目的。除了应当与所对应的目的直接相关之外，还需要采取对个人权益影响最小的方式。收集个人信息应当限于实现处理目的的最小范围，不得过度收集个人信息。
根据《常见类型移动互联网应用程序必要个人信息范围规定》（十八）网络游戏类，基本功能服务为“提供网络游戏产品和服务”，必要个人信息为：注册用户移动电话号码。
目前《国家新闻出版署关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》中所要求的游戏玩家必须实名认证才能开放注册和登陆权限。
因此，网络游戏能够收集的个人信息包括：姓名、身份证号码、移动电话号码。除此之外，网络游戏运营者并没有权限对于其他个人信息进行收集。
但是实践中对于：
1.生日、性别、微博、邮寄地址等个人信息；
2.指纹、在线心跳等生物信息；
3.游戏中的文字、语音、进程、访问、关注、订阅信息等游戏信息；
4.充值记录、银行账号等交易信息；
5.设备型号、版本、摄像头、MAC地址等设备信息；
6.IP地址、蓝牙等位置等信息。
众多主流网络游戏APP依旧大肆收集。像滴滴公司一样，存在着“违法收集”、“过渡收集”、“未明确告知收集”等违法行为。针对实践中的乱象，网络游戏APP在个人信息的收集上严守“最小必要”收集信息的原则红线是数据合规的首要条件。
（二）具体场景对应的数据合规措施

1.关于《隐私政策》
当玩家首次打开游戏APP，《隐私政策》阅读提示就应该对于应用收集的信息、申请的权限以及对应的目的进行详细说明。当不同意《隐私政策》须再次提示，当玩家再次拒绝后，将退出游戏APP。
所以“用户同意”是设置《隐私政策》的目的，那么玩家“点击隐私政策”是否能够等同于“用户同意”了呢？答案当然是否定的。“用户同意”背后蕴含着“正当性、合法性、透明性”三大原则，体现了信息主体的充分自决。仅仅在APP的某个界面上“勾选同意隐私政策”是远远不够的，需要的是以人为本的“隐私保护设计”，让玩家不囿于文化、技术的壁垒，得以在“充分告知”后能够“有效同意”。笔者认为将来这不仅是监管机关的审核入口，更将是司法机关举证分析的重点。
在技术层面，关于《隐私政策》同意后访问方面，玩家注册或登录后，也应保证能在APP中找到《隐私政策》的访问路径，而且一般要求4次点击以内应访问到，否则也会被判定违规。
关于“单独同意”的功能性设置，例如：单独的弹窗提醒、复选框手动同意、甚至是设置单独的协议由玩家手动确认，等等。这就能在技术层面破除“同意负担”、“形式同意”、以及“捆绑同意”等在实践中高频出现的“无效同意”，让“同意”回归玩家自决的本意，隔离违规风险。
2.关于注册、登录
目前广泛应用的注册和登录方式有：手机号登录、邮箱登录、快速登录、一键登录、第三方账户登录。无论是哪一种注册、登录方式，都应该对于APP的交互界面和隐私条款进行妥善设计和约定。
以手机号登录方式为例，在交互界面的设计上，一定要明示为实现手机号登录而收集手机号码信息，并由玩家手动勾选确认同意收集，而不是进行手机验证码进行验证。
在隐私条款的约定上，同样要详细说明被收集的信息内容以及收集目的，同时要以向玩家发送短信验证码的方式确保玩家同意信息数据被收集。
3.关于实名认证
实践中，往往在玩家首次登录、未成年的识别、虚拟物品交易的场景中需要实名认证。
在认证方式上，也存在身份证号码、身份证照片、人脸识别等诸多方式。针对不同的方式，也应注意对⽤户协议和隐私政策的手动确认，获取照片、拍照、麦克风权限时的弹窗索取权限确认。
在这里要重点强调人脸识别，因为面部信息本身就属于敏感信息，所以在人脸识别的交互界面设计、定期核实是否为未成年人的功能设计上要格外注意。在人脸信息的收集、使用和存储上也要符合相关法律、法规的规定。例如：人脸信息与人脸信息主体的身份信息分开储存的技术措施保护。
4.关于客服
客服是玩家权利保障的重要通道，诸如投诉、建议、注销账号等都会涉及客服。客服在沟通中对于玩家的麦克风权限、图片权限、移动电话权限等，都要有相应的安排。例如：访问相册权限前的弹窗提示等。
5.关于账户注销
账户的注销看似简单，实则需要注意的事项很多。首先，需要有效的注销途径，对于注销后的个人信息的删除以及匿名化处理机制的设置。其次，注销账户不能设置不合理的障碍，注销账号过程中人工必须能够及时响应。最后，关于注销账号的流程化设计上，注销协议、注销须知以及注销身份核验、注销成功提示等都需要注意。
6.关于其他
除了上述重要场景，例如：网络游戏APP的自动化决策机制、对外共享个人信息机制、第三方数据获取机制等等，也都是在网络游戏APP的设计之初需要重点关注的数据合规场景。
（三）着重对于儿童的信息保护

根据《信息保护法》第二十八条：“敏感个人信息是……以及不满十四周岁未成年人的个人信息。”这也就意味着未满十四周岁的未成年人的所有个人信息都是敏感信息，在需要收集这部分信息的时候，需要单独的同意。
根据《未成年人保护法》第七十二条：“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外。”
立法上对于未成年的信息保护已经有了提示，一来是针对未满14周岁儿童的特殊安排；二来就是通过“监护人同意”来实现实时监管。具体而言就是对于网络游戏APP的功能进行必要的限制，对于网络游戏APP操作要有监护人的替代操作。
1.关于功能层面的限制
（1）针对未满14周岁的未成年要设置专门的儿童⽤户协议和⼉童隐私政策。
（2）对于未成年人玩家，要对账号实施“限玩”、“限冲”、“宵禁”等措施。
（3）要设置未成年人家长监护工程（例如：腾讯游戏的“腾讯成长守护”小程序），建立专门的未成年人问题反馈渠道。
2.关于监护人同意的安排
（1）通过实名认证来判断玩家是否是未成年人。
（2）要求监护人代替儿童进行操作，例如：当玩家为儿童时，要提示“不满足年龄要求”。例如：要求儿童输入其监护人的邮箱账号，要求未成年人通过家长监护平台与未成年人的账号进行绑定，要求监护人进行操作。
（3）通过邮箱、家长监护平台方式向监护人发送申请监护人同意的弹窗。并在界面上展示监护人同意书，并由监护人手动勾选确认。
（4）在儿童登录界面时，告知已获得监护人同意，当监护人同意后再收集儿童信息。
（四）企业内部合规措施的搭建与落实

数据安全合规不仅是收集信息这一层面的合规，数据收集后的使用、披露、存储、以及销毁等事项都需要配套措施予以规范、应对。网络游戏运行商（以下简称：运营商）内部制度的构建如果是万里长征的第一步，那么制度的落实运行，特别是依据合规政策与监管机关的良性互动，就是合规管理体系能够行之有效，抵达胜利彼岸的后九十九步。
1.设立数据处理的内部制度
从制定体系上看，要有纲领性的文件，一般表现为《数据安全管理总纲》，甚至可以写入运营商章程文件。在此文件基础之上，还需落实为用以规范运营商经营管理的基本制度和具体规范。一般分为对于数据安全风险的防范、识别以及处置。
在数据安全风险防范的层面，要对所收集的信息数据实施分类管理，当然这个分类措施要与相关业务场景以及网络游戏行业标准相结合。在内部要从数据的收集、存储等等，直至销毁全流程制定管理要求。在内部还要明确数据的处理操作权限，这一措施需要细密的涉及、嵌入数据处理的终端，并遵守“获取操作权限的人数最少、获取权限的人享有的操作范围最小，操作权限还应该按照实际需求触发，操作权限处理和审批还应留痕”的基本要求。当然对于违规操作的后果性规定也是不可或缺的。
在数据安全风险识别的层面，运营商对于数据的评估系统以及审计制度理应起到应有的作用。在数据安全风险处置的层面，对于数据应当采取相应的加密、去标识化等安全技术保证。与此同时，还应建立健全紧急事件的响应机制。
2.设立数据处理的内部组织架构
只有完善的组织部门和职能人员，内部制度才有落实的可能性。当运营商的规模亦或者处理的数据规模达到一定程度的时候，运营商还应当设立专门负责人，作为数据安全决策者。例如：个人信息保护负责人、数据安全负责人、网络安全负责人。以上三种对于数据负责人的称谓是分别来自《个人信息保护法》、《数据安全法》和《网络安全法》，称呼不同，侧重点自然也不相同。三个身份集成于一人，还是分工负责，要根据运营商的实际情况予以考虑。
董事会下设具体管理部门和监督部门，一般设立数据合规部和法务、审计部门，负责具体制度和政策的制定、具体数据安全相关工作的管理，在董事会和数据安全专员之间形成桥梁。当然，再向下就是数据安全专员，分散于各个职能部门，例如技术部、人事部等等。数据安全专员作为执行层，负责运营商相关数据安全保障措施的落地实施。
实践中，运营商在架构数据合规管理体系之前往往已经有了相对成熟的组织架构。笔者建议，可以将数据安全相关人员自上而下与原有组织架构进行协调，融入决策层、管理层、监督层、执行层的架构。
对于新入职的，以及在职的数据安全专员应当定期进行安全教育与培训。实践中，至少是一年一次，对于培训活动的记录应当完整保留，与此同时做好设置相应的考评环节，对培训的质量进行实时监控。只有通过此类实质性考察，才能在员工违规时，为企业豁免提供强有效背书。
3.设立应急数据事件报告机制
在游戏运营商发生或者可能发生数据泄露、篡改、丢失等事件时，数据信息处理着（运营商）应当立即采取补救措施，限制危害后果的进一步扩大。
当然，对于通知义务的履行更为复杂。首先，根据《个人信息保护法》通知对象就包括履行个人信息保护职责的部门，如果紧急事件涉及个人，除运营商确保可以避免之外，还应通知到个人。其次，根据《个人信息保护法》通知的内容包括数据的种类、造成数据安全隐患的原因以及预期危害，以及或可采取的措施。当然，还有个人信息处理者的联系方式，以供及时沟通。