本文共计8,719字，建议阅读时间15分钟

 

引言

 

2021年8月30日，国家新闻出版署发布了《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》，该通知要求严格限制向未成年人提供网络游戏服务的时间、严格落实网络游戏用户（以下简称“游戏用户”）账号实名注册和登录要求。为有效识别未成年人用户，各大网络游戏公司（以下简称“游戏公司”）纷纷启用了人脸识别验证技术，以杜绝未成年人通过借号、租号、买号等方式绕过实名认证。然而，启用人脸识别验证技术，真的能够有效规制未成年人沉迷游戏吗？9月“腾讯回应60岁老人凌晨王者五杀”[1]微博热搜事件似乎已经给出了答案。

 

随着网络游戏监管的逐步加强，游戏公司在启用人脸识别验证技术的同时，收集了大量游戏用户的敏感个人信息。与此同时，于2021年11月1日起施行的《中华人民共和国个人信息保护法》（以下简称“《个保法》”）要求个人信息处理者应当全面保护自然人的个人信息。收集信息的广泛性与保护个人信息的全面性似乎产生了冲突。但事实上，加强游戏监管与要求个人信息的全面保护，两者并不矛盾。理由在于，游戏监管主要发生于游戏用户登录阶段，游戏公司利用游戏实名制及人脸识别验证技术，甄别未成年人用户，限制未成年人的游戏时间。而个人信息保护则贯穿于游戏所有阶段，包括游戏登录、运行及注销等阶段，游戏公司有义务对游戏用户自进入游戏到退出/注销游戏全过程中提供或者产生的个人信息予以全面保护。

 

通常而言，游戏公司收集游戏用户个人信息是处理与保护游戏用户个人信息的前提。本文将以游戏公司发布的个人信息保护政策为视角，探讨游戏公司收集与保护游戏用户个人信息的相关问题。

 

一、关于游戏公司个人信息保护政策的解读

 

游戏公司发布的个人信息保护政策/隐私政策，是游戏公司收集、使用、存储和共享游戏用户个人信息的重要依据，是游戏用户了解其在使用游戏服务时享有的相关权利/权益的唯一渠道，还可能成为法院审理侵害个人信息权益民事纠纷案件的有力证据。《个保法》下，游戏公司发布的个人信息保护政策/隐私政策的重要性，不言而喻。

 

1.游戏公司收集游戏用户个人信息的种类

 

笔者收集了国内十三家主要游戏公司[2]的个人信息保护政策/隐私政策，总结了游戏公司收集游戏用户个人信息的种类及内容[3]，具体如下：

 

 

由此可见，在游戏运营过程中，游戏公司收集了游戏用户大量的个人信息，包括一般个人信息和敏感个人信息，其中敏感个人信息主要包括姓名、身份证号码、电话号码、生物识别信息、银行卡号、地理位置信息等。然而，游戏用户的上述个人信息是否均属于游戏公司所需的必要个人信息？

 

2.网络游戏类App收集游戏用户必要个人信息的范围

 

实践中，网络游戏类App与手机设备密切绑定，而手机设备与游戏用户本人的个人信息、生活轨迹、消费喜好等密切绑定。因此，相较于客户端游戏和网页游戏，移动端游戏（即手机游戏）收集了游戏用户更多的敏感个人信息和隐私信息，故有必要对网络游戏类App收集的游戏用户个人信息设定范围边界。

 

2.1网络游戏类App所需的必要个人信息

 

2021年5月1日，《常见类型移动互联网应用程序必要个人信息范围规定》开始施行，根据该规定，必要个人信息是指保障App基本功能服务正常运行所必须的个人信息，缺少该信息App即无法实现基本功能服务。其中，该规定明确了网络游戏类App的基本功能服务为提供网络游戏产品和服务，网络游戏类App所需的必要个人信息为注册用户移动电话号码。

 

然而，游戏公司收集游戏用户的必要个人信息显然不能局限于游戏用户的移动电话号码。根据国家新闻出版署2019年11月19日发布的《关于防止未成年人沉迷网络游戏的通知》，所有游戏用户须使用有效身份信息方可进行游戏账号注册。换言之，游戏用户如不提供姓名、身份证件号码等信息，则无法完成实名认证与账户注册，游戏公司亦无法为其提供网络游戏产品和服务。因此，实名认证信息事实上已成为游戏公司所需的“必要个人信息”。

 

2.2部分设备标识符信息不属于网络游戏类App所需的必要个人信息

 

实践中，除因游戏运营和游戏监管确有必要收集的游戏用户个人信息之外，游戏公司还收集了大量与提供游戏服务无关的非必要信息，尤其是部分设备标识符信息。部分游戏公司声称，收集设备标识符信息是为了维护游戏基本功能的正常运行，包括但不限于检验账号异地登录、检验支付安全状态等。例如，国内某游戏公司在其游戏《个人信息保护政策》中明确，公司需收集游戏用户的部分设备标识符信息，如游戏用户拒绝提供相应权限则可能无法使用该游戏公司的服务。[5]具体论述如下：

 

图1：某游戏公司隐私政策部分内容截图

 

笔者认为，部分游戏公司所称“获取设备标识符信息以维护基本功能正常运行”的观点有待商榷。首先，部分游戏公司收集游戏用户部分设备标识符信息的目的并非维护游戏基本功能的正常运行，而是精准投放个性化广告。某游戏公司在其《隐私政策》中指出：“唯一设备标识符（专属ID或UUID）是指由设备制造商编入到设备中的一串字符，可用于以独有方式标识相应设备（例如手机的IMEI号、MAC地址）。唯一设备标识符有多种用途，其中可在不能使用Cookies（例如在移动应用程序中）时用以提供广告。”由此可见，部分游戏公司收集游戏用户设备标识符信息，目的是锁定特定游戏用户并对其进行用户画像，从而向该游戏用户提供广告、其他特定页面展示和个性化内容推荐。

 

其次，限制网络游戏类App获取用户设备标识符信息并不影响网络游戏类App的正常使用。例如，苹果公司已逐步禁止手机应用获取用户设备标识符信息，但苹果系统网络游戏类App基本功能的正常运行从未受到影响。2011年6月，苹果公司在iOS 5系统问世时禁止手机应用获取IMEI；2012年6月，苹果公司在iOS 6系统问世时禁止手机应用获取UDID；2013年9月，苹果公司在iOS 7问世时进一步禁止手机应用获取MAC地址及Open UDID。倘若游戏公司“获取设备标识符信息以维护基本功能正常运行”的观点成立，游戏公司又如何保证苹果系统网络游戏类App基本功能的正常运行？

 

最后，已有行业协会拟起草团体标准禁止App获取设备标识符等信息。2021年11月3日，中国网络空间安全协会与国家计算机网络应急技术处理协调中心发布了团体标准《应用商店App个人信息收集使用上架审核和管理规范（征求意见稿）》和《移动智能终端个人信息保护指南（征求意见稿）》，并面向社会公开征求意见。其中，《移动智能终端个人信息保护指南（征求意见稿）》明确规定，“移动智能终端应当禁止App获取不可变更的设备识别码，如MAC地址、手机IMEI号等，为用户提供便捷的设备识别码控制功能。”虽然该团体标准尚处于征求意见阶段，但显而易见的是，部分设备标识符并非网络游戏类App正常运行的必要信息，并且目前行业内已经开始加强对于收集设备标识符信息的监管。

 

综上笔者认为，部分维护网络游戏类App基本功能正常运行所必需的设备信息，如设备机型等，游戏公司可以进行收集；但倘若游戏公司收集与维护网络游戏类App基本功能正常运行无关的部分设备信息，如不可变更的设备标识码、广告标识符（IDFA）等，则有过度收集个人信息之嫌。此外，如果游戏公司通过收集游戏用户部分设备标识符信息定位游戏用户个人设备，进而获取游戏用户的敏感个人信息/隐私，则游戏公司的行为极有可能构成侵权。因此，网络游戏类App的必要个人信息应当仅包括注册信息，实名认证信息，及维护网络游戏类App基本功能正常运行的部分设备信息。

 

二、游戏公司收集游戏用户个人信息的基本原则

 

按照《个保法》的规定，游戏公司在收集游戏用户个人信息时，应当按照个人信息的种类，严格遵守各类个人信息不同的收集规则。根据游戏公司个人信息保护政策中公开的信息种类，游戏公司收集的游戏用户个人信息包括一般个人信息和敏感个人信息，其中敏感个人信息涉及不满十四周岁未成年人的个人信息。对此，游戏公司应当分别遵循以下原则：

 

1.同意原则

 

个人信息是指与已识别或者可识别的自然人有关的各种信息，个人信息处理者收集个人信息需遵循“告知-同意原则”。通常情况下，游戏公司需按照“告知-同意原则”收集的游戏用户一般个人信息，主要包括存储权限、账号密码、姓名、手机号码、交易信息等。

 

具体而言，“告知-同意原则”要求游戏公司在收集游戏用户一般个人信息前，告知游戏用户并取得游戏用户的同意。实践中，游戏公司往往在个人信息保护政策中分类列举需收集的一般个人信息，并进行详细说明。游戏用户在使用游戏服务时点击同意该个人信息保护政策，则表明其同意游戏公司收集该类个人信息，若游戏用户点击不同意该个人信息保护政策，则该游戏可能会退出或者无法继续运行。

 

图2：两款网络游戏类App收集游戏用户一般个人信息前获取用户同意界面

 

2.单独同意原则

 

敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，收集敏感个人信息需遵循“告知-单独同意原则”。通常情况下，游戏公司需按照“告知-单独同意原则”收集的游戏用户敏感个人信息，主要包括生物识别信息、特定身份信息、金融账户、行踪轨迹，及不满十四周岁未成年人的个人信息等。

 

具体而言，“告知-单独同意原则”要求游戏公司在收集游戏用户敏感个人信息前，告知游戏用户并取得游戏用户的单独同意。实践中，游戏公司在收集敏感个人信息时，需特别注意该网络游戏类App是否设置了区别于收集一般个人信息的单独通知窗口，并仅能在获得游戏用户明示同意后收集该类敏感个人信息。如果游戏用户拒绝收集该类信息，游戏公司不得限制该游戏用户使用该App的基本功能。

 

图3：两款网络游戏类App收集游戏用户敏感个人信息前获取用户单独同意界面

 

3.监护人同意原则

 

《个保法》将不满十四周岁未成年人的个人信息直接纳入敏感个人信息的范畴，以加强对不满十四周岁未成年人权益的特别保护，收集该类敏感个人信息需遵循“告知-监护人同意原则”。

 

“告知-监护人同意原则”要求游戏公司在收集不满十四周岁未成年人的个人信息前，应当先取得其监护人的同意。但实践中，如何在网络环境下有效设置未成年人账户与其监护人账户之间的关联与认证，并保证监护人本人明示同意，从而在对未成年人权益进行特殊保护的同时，满足实名认证、防沉迷等行政监管的要求，是游戏公司亟需解决的问题。

 

图4：某游戏公司为保障未成年人权益推出的账户关联系统

 

三、关于游戏公司制定个人信息保护政策的建议

 

目前，关于个人信息保护政策的名称，大部分游戏公司使用“隐私”一词，部分游戏公司使用“个人信息”一词，部分游戏公司同时使用“隐私”和“个人信息”。对此，笔者搜集并整理了部分游戏公司个人信息保护政策的名称，具体如下：

 

 

虽然“隐私政策”与“个人信息保护政策”两者在名称上存在差异，且个人隐私与个人信息的内沿与外涵也存在区别，但无论是游戏隐私政策还是游戏个人信息保护政策，两者的主要内容均围绕游戏用户个人信息的收集与处理而展开，并无本质上的区别。但鉴于相关法律规定及国家标准均使用“个人信息”一词，故下文统一使用“个人信息保护政策”的表述。结合上文分析，根据相关法律法规规定，关于游戏公司收集与保护游戏用户个人信息的问题，本文提出以下建议：

 

1.游戏公司应当设立专职的个人信息保护负责人及个人信息保护工作机构

 

根据《个保法》第五十二条规定，处理个人信息的数量达到国家网信部门规定的游戏公司，应当设立个人信息保护负责人。根据2020年10月1日起施行的《信息安全技术个人信息安全规范》，满足以下条件之一的游戏公司，应当设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：

 

1)主要业务涉及个人信息处理，且从业人员规模大于200人；

2)处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；

3)处理超过10万人的个人敏感信息的。

 

此外，《个保法》针对个人信息处理者违反《个保法》处理个人信息，或者未履行《个保法》规定的个人信息保护义务的情形，设置了高额罚款，情节严重者最高可处五千万元以下或者上一年度营业额百分之五以下罚款……对直接负责的主管人员和其他直接责任人员最高可处十万元以上一百万元以下罚款……，以向“史上最严格”的数据保护条例——欧盟《通用数据保护条例》（GDPR）靠拢。

 

实践中，不论是大型游戏集团公司，还是仅运营几款游戏的中小型游戏公司，其游戏用户的数量都可能非常庞大，相应地，游戏公司处理游戏用户一般个人信息或者敏感个人信息的数量也可能达到或者超出《信息安全技术个人信息安全规范》设置的标准。因此，为避免巨额罚款，游戏公司有必要设立专职的个人信息保护负责人及个人信息保护工作机构，全面落实游戏用户的个人信息保护工作，对游戏用户的个人信息安全负直接责任。

 

2.游戏公司应当区分不同场景下的个人信息保护政策

 

首先，游戏公司应当区分网站的个人信息保护政策与具体游戏产品的个人信息保护政策。由于游戏网站和具体的游戏产品对个人信息保护的要求和需求均不同，其所依托的个人信息保护政策也应当不同。以网易游戏为例，网易游戏在其官方网站（以下简称“官网”）与其某款游戏App上发布了相同《网易游戏隐私政策》。笔者认为，游戏公司在其官网上宣传、推广成百上千且类型不同的游戏产品，相应地，游戏公司官网发布的隐私政策也应当囊括所有类型游戏的个人信息收集与处理，这就决定了游戏公司官网发布的隐私政策应当发挥引领作用，其隐私政策的内容不应局限于某类/款具体游戏产品。对此，笔者建议游戏公司应当严格区分公司网站的个人信息保护政策与具体游戏产品的个人信息保护政策，以保障个人信息保护政策的准确性、有效性。

 

 

图5：网易游戏官方网站与网易某款游戏App的个人信息保护政策

 

其次，游戏公司应当区分不同游戏的个人信息保护政策。第一，不同类别的游戏对个人信息的需求不同，游戏公司应当制定不同的个人信息保护政策。游戏按照类别可划分为客户端游戏、移动端游戏和网页游戏。一般而言，移动端游戏需要收集的游戏用户个人信息最多，客户端游戏次之，网页游戏则最少，根本原因在于不同类别游戏的运行原理不同，对于游戏用户的个人信息，尤其是与设备相关的个人信息，有不同的需求。换言之，即便是同一款游戏，其客户端版本与移动端版本对个人信息的实际需求亦不相同，因此，游戏公司应当根据游戏产品的实际需要，针对移动端游戏、客户端游戏和网页游戏制定不同的个人信息保护政策。

 

图6：某游戏客户端版与移动端版使用相同的个人信息保护政策

 

第二，不同类型的游戏对个人信息的需求不同，游戏公司应当制定不同的个人信息保护政策。单机益智类游戏操作简单，无交互功能，对手机设备性能的要求较低，故该类游戏无需收集游戏用户的大量个人信息。相反，大型网络游戏内容复杂，人机交互性较强，并且针对不同设备开发了互不兼容的不同版本，故该类游戏需要收集游戏用户大量的个人信息。因此，不同类型的游戏对游戏用户个人信息的需求数量和需求种类不同。

 

图7：益智类游戏与角色扮演类游戏的不同个人信息保护政策

 

但实践中，部分游戏公司针对其旗下的所有游戏均适用相同的个人信息保护政策，并没有根据不同游戏的特征和需求进行调整。对此，笔者建议，游戏公司应当结合不同类型游戏的设计特点，根据游戏收集游戏用户个人信息的实际需求，制定不同的个人信息保护政策，以更加精准、全面、有效地收集和处理游戏用户的个人信息。

 

3.游戏公司应当公开个人信息的收集方式与收集种类

 

根据《个保法》的规定，游戏公司在收集游戏用户个人信息前，应当以显著的方式、清晰易懂的语言，真实、准确、完整地告知游戏用户个人信息的收集方式与收集种类。但笔者在分析前文十三家游戏公司的个人信息保护政策与隐私政策后发现，部分游戏公司有关游戏用户个人信息收集方式与收集种类的条款用语笼统、含糊，不能实现公开的目的。以某游戏公司的隐私政策[6]为例：

 

图8：某游戏公司隐私政策部分内容截图

 

首先，该游戏公司使用“可能会接受并记录”的表述，导致游戏用户无法明确知晓自己的设备相关信息是否会被收集。但该条款中列举的设备信息包含了敏感个人信息，例如GPS位置信息，以及游戏用户可能不愿意公开的隐私信息，例如广告标识符，游戏公司应当明确告知游戏用户该类信息是否会被收集。其次，根据前文分析，游戏公司并无理由以维护游戏基本功能的正常运行为由，收集游戏用户的全部设备信息，对此，笔者建议游戏公司应当针对必要的设备标识符、非必要的设备标识符、涉及敏感个人信息的设备标识符，制定不同的个人信息处理条款。

 

4.游戏公司应当严格遵守敏感个人信息的收集规则

 

游戏公司收集游戏用户的敏感个人信息，应当取得游戏用户的单独同意。具体而言，游戏公司在通过设置弹窗、嵌套网页、跳转专门页面等方式取得游戏用户的单独同意后，方能收集游戏用户的姓名、身份证号码、电话号码、生物识别信息、银行卡号、地理位置信息等敏感个人信息。

 

其中，“弹窗”是指自动弹出的窗口，是网络游戏类App最常用的获取游戏用户敏感个人信息最常用的告知方式；“嵌套网页”是指游戏用户在当前页面中直接选择同意或者拒绝游戏公司收集其敏感个人信息；“跳转专门页面”是指游戏公司事先设置收集游戏用户敏感个人信息的特定网页，游戏用户跳转至该特定网页并且选择同意或者拒绝游戏公司收集其敏感个人信息。

 

关于未满十四周岁未成年人的个人信息，游戏公司应当谨慎收集与处理。根据《切实防止未成年人沉迷网络游戏的通知》的规定，所有游戏用户必须使用真实有效的身份信息进行游戏账号注册并登录网络游戏，实践中，未成年人需要使用身份证、户口本、护照等有效身份证件进行账号注册。游戏公司在收集未满十四周岁未成年人的个人信息时，应当取得其父母或者其他监护人的同意。因此，游戏公司需要设置专门的机制，如账户绑定、人脸识别验证等，以确保未成年人在注册网络游戏账号时取得了其父母或者其他监护人的明示同意。

 

四、结语

 

发布个人信息保护政策，是游戏公司遵守公开透明原则的重要体现，是保证游戏用户知情权的重要手段，也是约束游戏公司自身行为和配合监督管理的重要机制。妥善收集、存储、使用、加工、传输、提供、公开、删除个人信息，不仅有利于提升游戏用户的游戏体验，有利于促进游戏公司的规范化发展，更有利于游戏产业和娱乐产业的健康与繁荣。随着监管部门对个人信息保护监管力度的不断加大，《个保法》对个人信息处理者的要求不断提高，用户的个人信息保护意识不断增强，更新、完善游戏用户个人信息保护政策已经成为游戏公司义不容辞的法律义务和社会责任。但游戏公司制定并发布个人信息保护政策，仅仅是保护游戏用户个人信息的起点，如何更好的收集和保护游戏用户的个人信息，仍需要游戏公司在实践中不断探索。

 

注释：

[1]也有部分网友认为，不能因账号注册年龄为60岁而直接断定使用该账号者并非注册者本人。

[2]十三家游戏公司分别为：腾讯游戏、网易游戏、米哈游游戏、三七互娱、灵犀互娱、完美世界、雷霆游戏、畅游游戏、莉莉丝游戏、哔哩哔哩游戏、多益网络、鹰角网络、朝夕光年，个人信息保护政策的最后访问日期为2021年9月22日。

[3]由于同一种信息可以用于不同的场景，因此同一种信息可能同时被归入多种信息种类。

[4]设备标识符，又称设备识别码。其中，MAC：硬件标识符；IMEI：国际移动设备识别码；IDFA：广告标识符；Open UDID：设备的唯一设备识别符；GUID：全局唯一标识符；IMSI：国际移动用户识别码。

[5]该个人信息保护政策的最后访问日期为2021年11月22日。

[6]该个人信息保护政策的最后访问日期为2021年11月22日。

 

 

 

免责声明

 

本文及其内容仅为交流目的，不代表天同律师事务所或其律师出具的法律意见、建议或决策依据。如您需要法律建议或其他专业分析，请与本文栏目主持人联系。本文任何文字、图片、音视频等内容，未经授权不得转载。如需转载或引用，请联系公众号后台取得授权，并于转载时明确注明来源、栏目及作者信息。

 

 

“天同网事”栏目由邹晓晨律师主笔/主持，本栏目深入研究互联网产业中竞争领域、知识产权领域、信息安全领域的相关技术问题与法律问题，并致力于将其打造成一门全新的“边缘学科”。我们希望借此栏目与法律同行和互联网产业同行一起分享资讯，碰撞观点，传播知识经验。如您有任何想法、意见、建议，欢迎点击文末留言。

 

查看近期文章，请点击以下链接：

• 将向全行业开放！天同打造业内首个电子证据实验室

• 一张图带你看懂游戏案件裁判思路的变迁，建议收藏！

• 不如相忘于江湖——浅谈被遗忘权

• 浅析计算机软件著作权侵权相似性比对方法

• 新反法司法解释下的互联网纠纷案件——以数据获取手段为视角

• 浅析部分共同著作权人单独提起著作权侵权之诉的合理性——以传奇类游戏侵权案件为例

• 对高额罚单背后诉讼管辖中“登记地推定标准”的思考 

• 浅析知识产权请求权竞合的程序构造——预备合并之诉 

• 数据小偷抑或公众英雄？——网络爬虫入刑与反垄断规制问题

• 普罗米修斯之火还是潘多拉魔盒？—浅论人脸识别技术的运用、风险及规范 

• 游戏虚拟财产民事案件裁判思路浅析

• “鬼吹灯”案件背后的那些事

• 虚拟财产交易问题研究

• 行业惯例还是违法犯罪？游戏版号出借行为法律责任分析 

• 谁偷了我的源代码？游戏企业代码安全从入门到精通

• 律师？程序员？白帽黑客？天同互联网团队来了！

• 从程序员到互联网律师，一个天同人的跨界之路