原标题:设备标识符能否收集?《个保法》下游戏公司收集游戏用户个人信息若干问题的思考 天同网事
通常而言,游戏公司收集游戏用户个人信息是处理与保护游戏用户个人信息的前提。本文将以游戏公司发布的个人信息保护政策为视角,探讨游戏公司收集与保护游戏用户个人信息的相关问题。
游戏公司发布的个人信息保护政策/隐私政策,是游戏公司收集、使用、存储和共享游戏用户个人信息的重要依据,是游戏用户了解其在使用游戏服务时享有的相关权利/权益的唯一渠道,还可能成为法院审理侵害个人信息权益民事纠纷案件的有力证据。《个保法》下,游戏公司发布的个人信息保护政策/隐私政策的重要性,不言而喻。
笔者收集了国内十三家主要游戏公司[2]的个人信息保护政策/隐私政策,总结了游戏公司收集游戏用户个人信息的种类及内容[3],具体如下:
实践中,网络游戏类App与手机设备密切绑定,而手机设备与游戏用户本人的个人信息、生活轨迹、消费喜好等密切绑定。因此,相较于客户端游戏和网页游戏,移动端游戏(即手机游戏)收集了游戏用户更多的敏感个人信息和隐私信息,故有必要对网络游戏类App收集的游戏用户个人信息设定范围边界。
2021年5月1日,《常见类型移动互联网应用程序必要个人信息范围规定》开始施行,根据该规定,必要个人信息是指保障App基本功能服务正常运行所必须的个人信息,缺少该信息App即无法实现基本功能服务。其中,该规定明确了网络游戏类App的基本功能服务为提供网络游戏产品和服务,网络游戏类App所需的必要个人信息为注册用户移动电话号码。
然而,游戏公司收集游戏用户的必要开云 开云体育官网个人信息显然不能局限于游戏用户的移动电话号码。根据国家新闻出版署2019年11月19日发布的《关于防止未成年人沉迷网络游戏的通知》,所有游戏用户须使用有效身份信息方可进行游戏账号注册。换言之,游戏用户如不提供姓名、身份证件号码等信息,则无法完成实名认证与账户注册,游戏公司亦无法为其提供网络游戏产品和服务。因此,实名认证信息事实上已成为游戏公司所需的“必要个人信息”。
实践中,除因游戏运营和游戏监管确有必要收集的游戏用户个人信息之外,游戏公司还收集了大量与提供游戏服务无关的非必要信息,尤其是部分设备标识符信息。部分游戏公司声称,收集设备标识符信息是为了维护游戏基本功能的正常运行,包括但不限于检验账号异地登录、检验支付安全状态等。例如,国内某游戏公司在其游戏《个人信息保护政策》中明确,公司需收集游戏用户的部分设备标识符信息,如游戏用户拒绝提供相应权限则可能无法使用该游戏公司的服务。[5]具体论述如下:
笔者认为,部分游戏公司所称“获取设备标识符信息以维护基本功能正常运行”的观点有待商榷。首先,部分游戏公司收集游戏用户部分设备标识符信息的目的并非维护游戏基本功能的正常运行,而是精准投放个性化广告。某游戏公司在其《隐私政策》中指出:“唯一设备标识符(专属ID或UUID)是指由设备制造商编入到设备中的一串字符,可用于以独有方式标识相应设备(例如手机的IMEI号、MAC地址)。唯一设备标识符有多种用途,其中可在不能使用Cookies(例如在移动应用程序中)时用以提供广告。”由此可见,部分游戏公司收集游戏用户设备标识符信息,目的是锁定特定游戏用户并对其进行用户画像,从而向该游戏用户提供广告、其他特定页面展示和个性化内容推荐。
其次,限制网络游戏类App获取用户设备标识符信息并不影响网络游戏类App的正常使用。例如,苹果公司已逐步禁止手机应用获取用户设备标识符信息,但苹果系统网络游戏类App基本功能的正常运行从未受到影响。2011年6月,苹果公司在iOS 5系统问世时禁止手机应用获取IMEI;2012年6月,苹果公司在iOS 6系统问世时禁止手机应用获取UDID;2013年9月,苹果公司在iOS 7问世时进一步禁止手机应用获取MAC地址及Open UDID。倘若游戏公司“获取设备标识符信息以维护基本功能正常运行”的观点成立,游戏公司又如何保证苹果系统网络游戏类App基本功能的正常运行?
综上笔者认为,部分维护网络游戏类App基本功能正常运行所必需的设备信息,如设备机型等,游戏公司可以进行收集;但倘若游戏公司收集与维护网络游戏类App基本功能正常运行无关的部分设备信息,如不可变更的设备标识码、广告标识符(IDFA)等,则有过度收集个人信息之嫌。此外,如果游戏公司通过收集游戏用户部分设备标识符信息定位游戏用户个人设备,进而获取游戏用户的敏感个人信息/隐私,则游戏公司的行为极有可能构成侵权。因此,网络游戏类App的必要个人信息应当仅包括注册信息,实名认证信息,及维护网络游戏类App基本功能正常运行的部分设备信息。
按照《个保法》的规定,游戏公司在收集游戏用户个人信息时,应当按照个人信息的种类,严格遵守各类个人信息不同的收集规则。根据游戏公司个人信息保护政策中公开的信息种类,游戏公司收集的游戏用户个人信息包括一般个人信息和敏感个人信息,其中敏感个人信息涉及不满十四周岁未成年人的个人信息。对此,游戏公司应当分别遵循以下原则:
具体而言,“告知-同意原则”要求游戏公司在收开云 开云体育官网集游戏用户一般个人信息前,告知游戏用户并取得游戏用户的同意。实践中,游戏公司往往在个人信息保护政策中分类列举需收集的一般个人信息,并进行详细说明。游戏用户在使用游戏服务时点击同意该个人信息保护政策,则表明其同意游戏公司收集该类个人信息,若游戏用户点击不同意该个人信息保护政策,则该游戏可能会退出或者无法继续运行。
具体而言,“告知-单独同意原则”要求游戏公司在收集游戏用户敏感个人信息前,告知游戏用户并取得游戏用户的单独同意。实践中,游戏公司在收集敏感个人信息时,需特别注意该网络游戏类App是否设置了区别于收集一般个人信息的单独通知窗口,并仅能在获得游戏用户明示同意后收集该类敏感个人信息。如果游戏用户拒绝收集该类信息,游戏公司不得限制该游戏用户使用该App的基本功能。
图3:两款网络游戏类App收集游戏用户敏感个人信息前获取用户单独同意界面
《个保法》将不满十四周岁未成年人的个人信息直接纳入敏感个人信息的范畴,以加强对不满十四周岁未成年人权益的特别保护,收集该类敏感个人信息需遵循“告知-监护人同意原则”。
“告知-监护人同意原则”要求游戏公司在收集不满十四周岁未成年人的个人信息前,应当先取得其监护人的同意。但实践中,如何在网络环境下有效设置未成年人账户与其监护人账户之间的关联与认证,并保证监护人本人明示同意,从而在对未成年人权益进行特殊保护的同时,满足实名认证、防沉迷等行政监管的要求,是游戏公司亟需解决的问题。
目前,关于个人信息保护政策的名称,大部分游戏公司使用“隐私”一词,部分游戏公司使用“个人信息”一词,部分游戏公司同时使用“隐私”和“个人信息”。对此,笔者搜集并整理了部开云 开云体育官网分游戏公司个人信息保护政策的名称,具体如下:
虽然“隐私政策”与“个人信息保护政策”两者在名称上存在差异,且个人隐私与个人信息的内沿与外涵也存在区别,但无论是游戏隐私政策还是游戏个人信息保护政策,两者的主要内容均围绕游戏用户个人信息的收集与处理而展开,并无本质上的区别。但鉴于相关法律规定及国家标准均使用“个人信息”一词,故下文统一使用“个人信息保护政策”的表述。结合上文分析,根据相关法律法规规定,关于游戏公司收集与保护游戏用户个人信息的问题,本文提出以下建议:
根据《个保法》第五十二条规定,处理个人信息的数量达到国家网信部门规定的游戏公司,应当设立个人信息保护负责人。根据2020年10月1日起施行的《信息安全技术个人信息安全规范》,满足以下条件之一的游戏公司,应当设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
此外,《个保法》针对个人信息处理者违反《个保法》处理个人信息,或者未履行《个保法》规定的个人信息保护义务的情形,设置了高额罚款,情节严重者最高可处五千万元以下或者上一年度营业额百分之五以下罚款……对直接负责的主管人员和其他直接责任人员最高可处十万元以上一百万元以下罚款……,以向“史上最严格”的数据保护条例——欧盟《通用数据保护条例》(GDPR)靠拢。
实践中,不论是大型游戏集团公司,还是仅运营几款游戏的中小型游戏公司,其游戏用户的数量都可能非常庞大,相应地,游戏公司处理游戏用户一般个人信息或者敏感个人信息的数量也可能达到或者超出《信息安全技术个人信息安全规范》设置的标准。因此,为避免巨额罚款,游戏公司有必要设立专职的个人信息保护负责人及个人信息保护工作机构,全面落实游戏用户的个人信息保护工作,对游戏用户的个人信息安全负直接责任。
首先,游戏公司应当区分网站的个人信息保护政策与具体游戏产品的个人信息保护政策。由于游戏网站和具体的游戏产品对个人信息保护的要求和需求均不同,其所依托的个人信息保护政策也应当不同。以网易游戏为例,网易游戏在其官方网站(以下简称“官网”)与其某款游戏App上发布了相同《网易游戏隐私政策》。笔者认为,游戏公司在其官网上宣传、推广成百上千且类型不同的游戏产品,相应地,游戏公司官网发布的隐私政策也应当囊括所有类型游戏的个人信息收集与处理,这就决定了游戏公司官网发布的隐私政策应当发挥引领作用,其隐私政策的内容不应局限于某类/款具体游戏产品。对此,笔者建议游戏公司应当严格区分公司网站的个人信息保护政策与具体游戏产品的个人信息保护政策,以保障个人信息保护政策的准确性、有效性。
其次,游戏公司应当区分不同游戏的个人信息保护政策。第一,不同类别的游戏对个人信息的需求不同,游戏公司应当制定不同的个人信息保护政策。游戏按照类别可划分为客户端游戏、移动端游戏和网页游戏。一般而言,移动端游戏需要收集的游戏用户个人信息最多,客户端游戏次之,网页游戏则最少,根本原因在于不同类别游戏的运行原理不同,对于游戏用户的个人信息,尤其是与设备相关的个人信息,有不同的需求。换言之,即便是同一款游戏,其客户端版本与移动端版本对个人信息的实际需求亦不相同,因此,游戏公司应当根据游戏产品的实际需要,针对移动端游戏、客户端游戏和网页游戏制定不同的个人信息保护政策。
第二,不同类型的游戏对个人信息的需求不同,游戏公司应当制定不同的个人信息保护政策。单机益智类游戏操作简单,无交互功能,对手机设备性能的要求较低,故该类游戏无需收集游戏用户的大量个人信息。相反,大型网络游戏内容复杂,人机交互性较强,并且针对不同设备开发了互不兼容的不同版本,故该类游戏需要收集游戏用户大量的个人信息。因此,不同类型的游戏对游戏用户个人信息的需求数量和需求种类不同。
但实践中,部分游戏公司针对其旗下的所有游戏均适用相同的个人信息保护政策,并没有根据不同游戏的特征和需求进行调整。对此,笔者建议,游戏公司应当结合不同类型游戏的设计特点,根据游戏收集游戏用户个人信息的实际需求,制定不同的个人信息保护政策,以更加精准、全面、有效地收集和处理游戏用户的个人信息。
根据《个保法》的规定,游戏公司在收集游戏用户个人信息前,应当以显著的方式、清晰易懂的语言,真实、准确、完整地告知游戏用户个人信息的收集方式与收集种类。但笔者在分析前文十三家游戏公司的个人信息保护政策与隐私政策后发现,部分游戏公司有关游戏用户个人信息收集方式与收集种类的条款用语笼统、含糊,不能实现公开的目的。以某游戏公司的隐私政策[6]为例:
首先,该游戏公司使用“可能会接受并记录”的表述,导致游戏用户无法明确知晓自己的设备相关信息是否会被收集。但该条款中列举的设备信息包含了敏感个人信息,例如GPS位置信息,以及游戏用户可能不愿意公开的隐私信息,例如广告标识符,游戏公司应当明确告知游戏用户该类信息是否会被收集。其次,根据前文分析,游戏公司并无理由以维护游戏基本功能的正常运行为由,收集游戏用户的全部设备信息,对此,笔者建议游戏公司应当针对必要的设备标识符、非必要的设备标识符、涉及敏感个人信息的设备标识符,制定不同的个人信息处理条款。
其中,“弹窗”是指自动弹出的窗口,是网络游戏类App最常用的获取游戏用户敏感个人信息最常用的告知方式;“嵌套网页”是指游戏用户在当前页面中直接选择同意或者拒绝游戏公司收集其敏感个人信息;“跳转专门页面”是指游戏公司事先设置收集游戏用户敏感个人信息的特定网页,游戏用户跳转至该特定网页并且选择同意或者拒绝游戏公司收集其敏感个人信息。
发布个人信息保护政策,是游戏公司遵守公开透明原则的重要体现,是保证游戏用户知情权的重要手段,也是约束游戏公司自身行为和配合监督管理的重要机制。妥善收集、存储、使用、加工、传输、提供、公开、删除个人信息,不仅有利于提升游戏用户的游戏体验,有利于促进游戏公司的规范化发展,更有利于游戏产业和娱乐产业的健康与繁荣。随着监管部门对个人信息保护监管力度的不断加大,《个保法》对个人信息处理者的要求不断提高,用户的个人信息保护意识不断增强,更新、完善游戏用户个人信息保护政策已经成为游戏公司义不容辞的法律义务和社会责任。但游戏公司制定并发布个人信息保护政策,仅仅是保护游戏用户个人信息的起点,如何更好的收集和保护游戏用户的个人信息,仍需要游戏公司在实践中不断探索。
[1]也有部分网友认为,不能因账号注册年龄为60岁而直接断定使用该账号者并非注册者本人。
[2]十三家游戏公司分别为:腾讯游戏、网易游戏、米哈游游戏、三七互娱、灵犀互娱、完美世界、雷霆游戏、畅游游戏、莉莉丝游戏、哔哩哔哩游戏、多益网络、鹰角网络、朝夕光年,个人信息保护政策的最后访问日期为2021年9月22日。
[3]由于同一种信息可以用于不同的场景,因此同一种信息可能同时被归入多种信息种类。
本文及其内容仅为交流目的,不代表天同律师事务所或其律师出具的法律意见、建议或决策依据。如您需要法律建议或其他专业分析,请与本文栏目主持人联系。本文任何文字、图片、音视频等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权,并于转载时明确注明来源、栏目及作者信息。
“天同网事”栏目由邹晓晨律师主笔/主持,本栏目深入研究互联网产业中竞争领域、知识产权领域、信息安全领域的相关技术问题与法律问题,并致力于将其打造成一门全新的“边缘学科”。我们希望借此栏目与法律同行和互联网产业同行一起分享资讯,碰撞观点,传播知识经验。如您有任何想法、意见、建议,欢迎点击文末留言。返回搜狐,查看更多