经过二十余年的发展,网络游戏行业已成为我国泛娱乐行业发展的重要领域。伴随着游戏行业发展速度迅猛、游戏产品更新迭代快、盈利渠道多元等特点的同时,也对我国网络游戏的知识产权保护提出了新的问题与挑战。
在此背景之下,知产前沿新媒体于近日举办“ 2022网络游戏IP研讨会”直播活动,特别邀请到中伦律师事务所上海办公室合伙人刘新宇,刘新宇律师在网络安全与数据保护、争议解决等业务领域具有丰富的执业经验,且对网络安全、数据与隐私保护对现代商业的全方位影响有深刻理解。本次研讨会上,刘律师就涉网络游戏的个人信息保护和数据安全议题带来精彩分享。
知产前沿新媒体现将孙律师的发言整理成文供业内参考交流,本次直播的视频回放请关注“知产前沿”公众号,后台回复关键词“2022游戏知识产权保护”获取。网络游戏领域中的数据违法违规情况可以从国家和地方互联网信息办公室公布的违法情况通报、国家计算机病毒应急处理中心违法情况通报,以及工业和信息化部的违法情况通报了解。各地网信办组织对常见类型且公众大量使用的App个人信息收集使用情况进行检测,公布的关于App违法违规收集使用个人信息情况的通报中(国家网信办会转载部分地方发布的通报),通常会专门列举网络游戏类App的情况,包括App名称、运营商、版本号和存在的主要问题。存在的主要问题例如:未经用户同意收集使用个人信息;违反必要原则,收集与其提供的服务无关的个人信息;存在引起个人信息泄露的安全漏洞等。国家计算机病毒应急处理中心按月公布通过互联网监测发现的移动App存在的隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。通报内容以违法违规行为分类及其类目下涉及的App、App版本号及供应平台,违法违规行为通常包括:1.未向用户告知个人信息处理者的名称或者姓名和联系方式,或处理的个人信息种类、保存期限,涉嫌隐私不合规。2. 未向用户明示申请的全部隐私权限,涉嫌隐私不合规。3.向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,涉嫌隐私不合规。4. App在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。5. 未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。6. 通过自动化决策方式向个人进行信息推送、商业营销,未提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式,涉嫌隐私不合规。7. 处理敏感个人信息未取得个人的单独同意,涉嫌隐私不合规。8. 处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则,涉嫌隐私不合规等。同样,工信部组织第三方检测机构对群众关注的生活服务类、日常工具类等移动互联网应用程序(APP)进行检查,对发现存在侵害用户权益行为的App提出相应的整改要求。据统计,截至目前,工信部一年内通报的游戏App数量及占比如下图所示:通报的事由主要有9项,各事由项目及占比情况如下图所示:此外,国家计算机网络应急技术处理协调中心(CNCERT)、中国网络空间安全协会共同建立了App收集使用个人信息监测平台、App举报受理平台。CNCERT会同网安协会将对前期专项治理和平台监测发现的App违法违规收集使用个人信息问题进行总结梳理,对问题特点和趋势进行深入分析,形成《App违法违规收集使用个人信息监测分析报告》。其一,引发负面的舆情,App被通报后,关于App开发者、App名称将第一时间被各类大众媒体转载,消息传播速度快,影响面广。其二,App将被下架,在目前的通报中已有所体现,根据2021年4月26日的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第十六条,在未来,“发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施:(一)责令整改与社会公告。对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。(二)下架处置。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。”其三,面临警告和罚款的行政处罚,目前已有多款游戏App被公安局网警发现存在侵害个人信息的情形,相关企业被处以警告的行政处罚,并责令改正,严重者则被施以罚款的行政处罚。根据《个人信息保护法》第4条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各中信息,不包括匿名化处理后的信息。个人信息往往包括日志信息、设备信息、为账号安全收集的信息、特定功能的特定信息,在网络游戏行业实践中,各部分包含的内容非常细致,例如为了防止游戏玩家作弊而收集的游戏对局信息,为了手游业务需要所收集的设备陀螺仪(角速度传感器),以及保障游戏环境的已安装应用列表、进程及游戏崩溃记录信息。个人信息收集行为受到法律法规制约,常见的涉不合规的收集行为包括几类:- 未实际针对网络游戏应用的特殊性、个性化设置隐私政策;
未公开收集使用规则与征得用户同意前收集个人信息在行为上往往表现相同或类似。在2020年某案例中,原告主张被告某公司未经其授权,私自获取其个人的位置信息(行踪轨迹)、通讯录信息、个人短信、移动设备(硬件型号、代码等)信息以及网络信息。故以被告侵害其隐私权诉至法院。被告某公司辩称,游戏的应用程序安装界面明确告知了有关个人信息收集和使用的范围,用户点击“安装”游戏即表明其同意某公司对其有关个人信息进行收集使用。法院认为,在应用商店游戏介绍界面的检测权限提示(华为应用商店的游戏介绍见面提示“检测出此应用获取9个敏感隐私权限,分别为读取联系人、初始化拨号、获得精确位置、获取粗略位置、发送短信、改变WiFi状态、改变网络状态、使用摄像头、读写系统设置等。”)系应用商店对用户的提示内容,不能将其认定为用户对被告收集信息的授权。故此,法院认为涉案APP“游戏” 在未取得刘某明确授权的情况下,存在全项开启手机应用权限,调用刘某个人手机位置信息的情况。关于超范围收集个人信息的行为,该“范围”如何划定是首要问题。划定可收集的个人信息范围应该同时将主客观要素纳入考量,客观方面,按照法定最小必要性原则收集个人信息;同时在主观方面,注意不得超出取得个人信息主体同意的范围。也有明显的严重超纲收集个人信息的情形,如App上有的功能,但没列举入用户个人信息收集政策中;列举的待收集个人信息仍属于暂未上线的功能等。网络游戏中常见的个人信息传输与数据流通场景有四种:- 网络游戏内植入广告后,其在广告费结算中需要与广告商共享用户列表等数据;
- 网络游戏直播时网游玩家的个人信息(游戏视频、账号名称、游戏实况等)与直播公司共享;
在上述场景下,在游戏公司将玩家信息提供给合作方的过程中,如何选择数据合作模式是一大问题。从法律关系上来看,常见的选项有委托处理与对外提供。委托处理模式有其优势,即不需要单独获取用户同意,但App有3项基本义务:义务一,签署合同约定处理方式、目的、期限、种类、措施、双方间的权利义务;义务二,对供应商进行监督管理;义务三,委托结束后要求供应商删除信息。如果采用对外提供模式,前提是需要单独征得用户同意,存在流量下降的可能。同意方式可以选择线上弹窗提示,或线下单独签订同意文书,或者官网告知并提供前通过取得电话单独同意。单独同意常常适用于以下情形:另外注意,在玩家出于个人意愿或者因游戏本身提供的战绩列表服务的情况下,会公开列表中玩家的个人信息,也应当算作第二点“个人信息处理者公开其处理的个人信息”范畴,应获得玩家的单独同意。取得单独同意的方式可以在App的登录界面设置独立的《个人敏感信息授权协议》文件链接;在某项具体功能按钮中设置信息使用的提示语弹窗,并提供“拒绝”和“允许”的选项;在用户信息资料编辑页面明确提示功能所采集的信息,并声明App的妥善存储、同步更新等权利义务;在App的隐私设置功能部分明确信息收集的一般目标与特殊目标,提供每项目的的“拒绝”和“允许”的选项。当然,在是否由平台设置默认勾选、是否由用户手动勾选、是否将各种信息捆绑后统一设置同意规则,还需要进一步斟酌。网络游戏中个人信息跨境的常见场景,我国玩家如有由UNREAL ENGINE、FORTNITE、EPIC、STEAM等海外游戏平台开发的游戏需求,存在个人信息自中华人民共和国境内向境外流转的可能。这类平台一般会在其个人信息保护政策中载明,平台可能共享其收集的部分信息,帮助运营和改进游戏服务,常见示例包括与其他软件(包括帮助在全球为其游戏服务提供支持)共享信息。台总部虽运营在海外,但在全球范围内运营,在世界各地都有子公司、办事处、服务提供商和合作伙伴以多种不同的方式支持其业务,这意味可能在用户居住地以外处理平台收集的与用户使用服务有关的信息。根据《数据出境安全评估办法 》第4条规定:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”这意味着,我国境内的数据出境接受安全评估需要遵循2个维度的合规要求,凡达到任一维度要求的企业均须通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据出境的数据处理者仍须根据《个人信息保护法》的规定遵守其他义务,如下表所示:根据数据出境的不同时期及活动状态,对数据处理者是否需要完成数据出境安全评估有不同的要求,如下表所示:我国特别关注未成年人在网络游戏中的个人信息保护。《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》中对游戏公司提出了信息审核要求,应当严格落实网络游戏用户账号实名注册和登录要求。所有网络游戏必须接入国家新闻出版署网络游戏防沉迷实名验证系统,所有网络游戏用户必须使用真实有效身份信息进行游戏账号注册并登录网络游戏,网络游戏企业不得以任何形式(含游客体验模式)向未实名注册和登录的用户提供游戏服务。游戏公司通常会在个人信息保护政策中明确,根据国家防沉迷政策要求,App会通过实名身份及相关信息判桥相关账号的实名信息是否为未成年人,部分游戏产品还会通过收集用户在游戏过程中产生的游戏行为教据来初步识别用户是否是未成年人,并决定是否将此账号纳入到防沉迷体系中。另外,App会收集用户的登录时间、游戏时长信息,通过从系统层面白动干预和限制未成年人游戏时间、启用强制下线功能的方式,引导末成年人合理游戏,并在疑似未成年人消费后尝试联系其监护人进行提醒、确认与处理,帮助未成年人健康上网。应当特别注意,收集用户真实身份信息是网络游戏行业个人信息处理者的法定义务,是《个人信息保护法》处理个人信息的合法性基础之一。网络游戏行业个人信息处理者有义务在收集真实身份信息后对个人信息主体的年龄进行判断,不得允许未达到法定年龄的个人信息主体进行直播,并对未成年人进行特殊管控。针对未满14周岁未成年人,《个人信息保护法》第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。对敏感个人信息,法律赋予了游戏公司特殊保护义务,如下图所示:针对未满16周岁未成年人,《未成年人保护法》第76条规定,网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人同意。同样赋予了游戏公司对未成年人的信息审核义务。作者:刘新宇
编辑:Sharon
扫码购买观看(长期有效)
(www.pharmaip.cn)
(www.caiips.com)
(www.meddeviceip.com)
(www.giips.cn)
(www.ipforefront.com)
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
