个人信息保护法即将实施,会对游戏行业产生什么影响?
文/诺诚游戏法
2021年8月20日,《个人信息保护法》正式发布,将于2021年11月1日正式生效。个保法对游戏公司收集、存储、使用、加工、传输、提供、公开、删除个人信息等提出了更高要求。个保法对游戏公司提出了哪些新要求?游戏公司应如何应对?诺诚律师将在下文中对于重点内容进行解读。
01
如何收集使用玩家个人信息?
1.1 不能默认勾选同意《隐私政策》
在现实中,部分游戏在用户注册时经常默认同意用户协议和隐私政策。个保法对于这类违规行为进行集中整治,要求必须通过专门弹窗、突出链接等明示方式提醒,不得采用默认同意的方式。
另外,如果游戏企业向第三方提供个人信息、公开个人信息、处理敏感个人信息、向境外提供个人信息,还必须另外通过单独的弹窗提示等方式,单独获取用户同意,不能简单的用隐私政策代替。
1.2 收集信息必须与业务相关,不得随意收集信息
目前,部分游戏收集个人信息非常随意,比如通讯录、指纹、人脸信息等,实际上这些信息和游戏业务没有关联,这种行为目前也是个保法明确禁止的。
1.3 处理个人信息(比如构建用户画像)必须明确告知,不得误导玩家
如果游戏公司将个人信息用于用户画像、个性化展示等,隐私政策中应说明其应用场景和可能对用户产生的影响,不得通过误导、欺诈、胁迫等方式处理个人信息,比如:
1)欺骗误导用户提供个人信息。非服务所必需或无合理场景,通过积分、奖励、优惠等方式欺骗误导用户提供身份证号码以及个人生物特征信息。
2)以默认、捆绑、停止安装使用等手段变相强迫用户授权。比如:在游戏APP首次启动时,向用户索取电话、通讯录、定位、存储、日历等权限;或者在游戏APP运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,游戏APP应用退出或关闭。
3)以改善服务质量、提升使用体验、研发新产品、定向推送信息、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
1.4 设置隐私保障机制
个保法加强隐私权利保障,要求建立用户个人隐私权的申诉渠道和反馈机制。
02
如何处理未成年人玩家的信息?
《个人信息保护法》此次的亮点之一是明确将不满十四周岁未成年的个人信息划入敏感个人信息范畴。游戏企业收集使用不满十四周岁未成年人的个人信息,将受到严格的限制。
1、针对十四周岁未成年玩家,要单独设置弹窗同意。
2、在游戏产品中设计青少年模式或者单独设置家长实名设置窗口,通过家长身份验证等方式确保同意。
3、制定专门的儿童隐私政策,通过隐私政策方式告知处理不满十四周岁未成年人的个人信息必要性以及对不满十四周岁未成年人的权益影响。
03
精准营销、
个性化推荐如何合规?
当前,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。《个人信息保护法》对信息推送、商业营销等自动化决策行为予以规范。若游戏企业进行个性化推荐,需注意以下要求:
1、必须玩家同意才可以精准营销;
2、存在关闭定向推送的途径;
3、提供关闭定向推送的便捷式按钮;
4、精准营销、个性化推荐前进行个人信息保护影响评估,并对处理情况进行记录;
04
如何向第三方
共享用户个人信息?
1、公示第三方信息
游戏公司在向第三方提供玩家个人信息前,应当通过隐私政策、弹窗等方式告知用户第三方(接收方)的名称、联系方式、处理目的、处理方式和个人信息的种类。游戏内嵌第三方SDK的,可通过第三SDK目录向用户公示上述信息。此外,游戏公司应审查第三方SDK收集的用户信息是否有对应的应用场景,防止第三方SDK超范围收集用户信息。
2、取得用户的单独同意
游戏公司向第三方提供玩家个人信息的,不仅需要通过隐私政策等方式公示接收信息的第三方的信息,而且要通过弹窗等方式取得用户的单独同意。
3、与第三方签署协议,持续监督
游戏公司向第三方提供用户个人信息的,应与第三方明确其收集的个人信息类型、个人信息的收集目的、保存期限等,并持续监督第三方的行为。
05
游戏出海涉及的
个人信息保护要求?
1、游戏企业向境外提供用户数据,需满足以下条件之一:
(1)通过国家网信部门组织的安全评估。
如果游戏公司处理个人信息达到国家网信部门规定数量,需向境外提供用户个人信息的,应当通过国家网信部门组织的安全评估。
(2)经专业机构进行个人信息保护认证。
(3)按照国家网信部门制定的标准合同与境外接收方订立合同。
2、取得用户的单独同意
游戏公司向境外提供个人信息的,应当向用户告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息的种类等事项,并取得个人的单独同意。单独同意可以通过弹窗的形式体现。
3、保障境外数据接收方对数据的保护
游戏企业确需向境外提供用户个人信息的,应当采取必要措施,保障境外接收方处理个人信息的活动达到法律规定的个人信息保护标准。
06
游戏企业内部数据管理
要求有哪些?
1、设立个人信息保护负责人/部门
根据《个人信息保护法》第52条的要求,如果企业处理个人信息达到国家网信部门规定数量,要指定个人信息保护负责人。
值得注意的是,《个人信息保护法》对国家网信部门规定数量没有详细说明,但根据《信息安全技术个人信息安全规范》的规定,只要满足以下条件之一,就应设立专职的个人信息保护负责人和个人信息保护工作机构:(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(3)处理超过10万人的个人敏感信息的。
鉴于游戏具有庞大的玩家数量,游戏公司处理个人信息及个人敏感信息的数量也庞大,因此游戏公司应设立专职的个人信息保护负责人和个人信息保护部门。
2、制定内部管理制度和操作规程
(1)制定数据全生命周期安全保护制度。
游戏公司应制定数据分级分类制度、数据权限管理制度、监测巡查制度、应急管理制度、投诉处理制度等数据保护制度。
(2)定期进行合规审计。
游戏公司应当定期对其处理个人信息情况进行合规审计。审计的重点在于游戏公司对个人信息处理活动是否符合法律法规的要求,包括制度组织措施、数据安全等审计。
(3)重要个人信息处理活动事前进行个人信息保护影响评估。
游戏公司在以下用户个人信息处理场景下,应事前进行个人信息保护影响评估:处理敏感个人信息,利用个人信息进行个性化推送等自动化决策,委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息,向境外提供个人信息等。
3、采取安全技术措施保护用户个人信息
(1)对用户敏感数据进行加密存储。
游戏公司应利用SSL等加密技术对用户的个人信息进行加密保存,尤其需要对用户的敏感个人信息进行存储,谨防用户信息泄露。
(2)对用户敏感数据传输时使用安全的传输协议。
在数据传输过程中,由于HTTP数据传输是明文传输的,导致HTTP数据容易被抓取、篡改,泄露用户的敏感数据,公司应对游戏中的敏感个人信息使用HTTPS协议传输。
(3)采取数据分类、重要数据备份等措施。
公司应建立数据分类分级的依据/标准以及密级划分方式,对不同类级数据的使用、访问控制要求。就重要数据备份而言,应明确数据备份与恢复的管理制度、数据备份与恢复的操作规程,数据备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等,并建立数据备份与恢复的统一技术工具。
(4)采取有效的访问和权限控制措施。
游戏公司应严格限制访问数据的人员,采用严格的数据访问权限控制和多重身份认证技术保护个人信息,避免数据被违规使用。
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。个保法的出台,标志着国家对用户个人信息已进入一个新的台阶。游戏企业应高度重视用户个人信息保护问题,从用户信息处理规则、用户同意方式设计、公司内部数据管理制度、保障用户数据技术措施等方面保护用户个人信息。