21世紀經濟報道 記者諸未靜 蔡姝越 吳立洋、實習生張曉鳳 上海 廣州報道
我國《個人信息保護法》于2021年11月1日起施行。法律明確了個人信息處理活動中的權利義務邊界,以“告知—同意”為核心原則對平臺進行個人信息處理予以規范。
為了解企業在個人信息保護方面的落實情況,南方財經合規科技研究院基于《個人信息保護法》與《APP違法違規收集使用個人信息行為認定方法》的相關條款,對平臺的個人信息保護合規進行系列測評。測評含告知、撤回同意、第三方處理者單獨告知、敏感個人信息、未成年人個人信息、數據可攜帶權、信息控制權、個人保護信息負責人這8大方面共18個測評項,測評總分為100分。
需要特別說明的是,與此前社交資訊類、娛樂類、電商生活類APP測評標準不同,由于大多數游戲不含有個性化推薦選項,本次20款手游APP測評中并未設置這一方面的測評項。而依據近期不斷升級的游戲未成年人保護機制,本次測評提高了游戲未成年人個人信息保護的分值比重。
依據用戶量與功能差異等因素,測評選取了20款手游類APP進行個人信息保護合規實測。結果顯示,《陰陽師》《王者榮耀》《和平精英》《我的世界》《LOL手游》《夢幻西游》《哈利波特魔法覺醒》7款APP得分在80分以上,對個人信息進行了高等級保護。《劍與遠征》《少年三國志:零》《明日方舟》等13款APP得分在60分至80分,合規程度處于中等級。《江南百景圖》在20款手游類APP中得分最低,為62分。
(圖說:20款手游APP個人信息保護合規測評。制圖:張曉鳳。)
從高頻合規問題來看,15款手游類APP存在個人信息授權撤回同意步驟過于繁瑣的問題,《開心消消樂》《我的世界》《球球大作戰》等游戲甚至無法在APP內撤回個人信息。此外,《摩爾莊園》《夢幻西游》《江南百景圖》等15款APP在新用戶注冊后并未立即在彈窗中給出第三方SDK服務商目錄。
值得肯定的是,在未成年人信息保護方面,19款受測手游類APP設有專門的未成年人隱私保護專章,詳細說明了未成年人的個人信息處理規則。而合規科技研究員在查閱《原神》APP內提供的隱私政策時發現,米哈游僅給出了未成年人保護政策的相關章節,在章節中并未對如何保護未成年人的個人信息作出具體說明。
顯著問題1:撤回同意步驟繁瑣,僅有5款回撤步驟少于4步
《劍與遠征》關閉照片權限需5步,《球球大作戰》等完全沒有回撤選項
撤回同意主要是指用戶在授予APP相關個人信息的采集、處理權限后,能否在APP內實現對相關授權同意的撤回。《個人信息保護法》第十五條規定:“基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。”
結合日常手游APP使用經驗,測評員將該法條拆分為“是否提供撤回自主同意相關功能”與“撤回同意是否便捷”兩個子測評項,前者主要檢驗APP是否在設置、隱私協議等頁面提供停止個人信息相關授權的途徑,后者參照《APP違法違規收集使用個人信息行為認定方法》關于“如進入APP主界面后,需多于4次點擊等操作才能訪問到,則可被認定為‘未公開收集使用規則’”進行界定,即打開APP后如經過四次點擊后仍無法進行個人信息授權情況的修改,則視為不便捷。
合規科技研究員在測評20款手游類APP時發現,僅《王者榮耀》《和平精英》《陰陽師》《LOL手游》《原神》等5款APP的撤回同意步驟小于4次點擊。研究員實測發現,《LOL手游》內個人信息撤回步驟皆控制在4步以內。以關閉“定位服務”為例,其撤回路徑為“設置(圖標)”-“其他”-“定位服務(開/關)”,僅3步便可直接跳轉至系統設置界面。在《原神》的撤回消息提示時,其撤回路徑為“派蒙(頭像)”-“設置(圖標)”-“消息”-“開關”,控制在4步之內。
(圖說:《LOL手游》中的個人信息撤回步驟較為清晰明確,點擊“設置(圖標)”-“其他”,便可撤回照片、麥克風、定位服務、通知等系統功能。截圖時間為11月12日。)
而其余的16款樣本,皆存在個人信息撤回步驟大于4次或者完全沒有回撤選項的問題。當測評員想要關閉《劍與遠征》的照片權限時,其路徑為“我(游戲內頭像)”-“設置”-“隱私權限”-“照片權限”-“前往設置”,撤回步驟共計5步。
更嚴重的問題是,《球球大作戰》《明日方舟》《江南百景圖》《哈利波特魔法覺醒》等APP完全沒有提供回撤選項。舉例而言,在《開心消消樂》的APP內,包括“隱私設置”多個路徑都找不到麥克風和地理位置的回撤選項。《明日方舟》《江南百景圖》等多款APP的設置中,也幾乎不涉及任何關于系統權限和個人信息處理相關的選項。
(圖說:《球球大作戰》中的“語音設置”中,選擇關閉語音后,并不會跳轉到系統設置頁面關閉麥克風授權。截圖時間為11月12日。)
顯著問題2:僅有5款在初次開啟后的彈窗中給出第三方SDK服務商目錄
《原神》《球球大作戰》等9款無明確處理方式,《明日方舟》未提供信息類型
大部分APP在實際運行中為了保證相關功能的實現或數據分析等其他商業目的,往往會向第三方合作者提供用戶的個人信息。這些第三方應用、服務嵌入App中,不知不覺地收集個人信息,存在諸多隱患。
《個人信息保護法》第二十三條規定:“個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。”近日,工信部信息通信管理局就《關于開展信息通信服務感知提升行動的通知》進行解讀,其中提到,為了讓用戶清晰掌握個人信息在APP、SDK(軟件開發工具包)及其他第三方間的共享情況,工信部要求企業在二級菜單中列出APP與第三方共享的用戶個人信息基本情況,包括與第三方共享的個人信息種類、使用目的、使用場景和共享方式等。
鑒于實測的可操作性,本次測評主要考察APP的SDK信息披露和單獨同意情況。在具體測評中,本次測評將法規要求劃分為“是否列明第三方處理者相關信息”與“是否獲取用戶單獨同意”兩項,前者主要檢驗APP是否在隱私協議或單獨名單中完整列舉其所包含的第三方信息處理者及其目的、處理方式聯系方式等;后者則檢驗APP是否通過初次開啟后彈窗等方式,明確提出存在向第三方處理者提供用戶信息的情況,并給出相關名單鏈接征求用戶同意。
結果顯示,20款受測APP中,僅有《王者榮耀》《和平精英》《陰陽師》《我的世界》《LOL手游》這5款在初次開啟后的彈窗中明確向用戶展示第三方處理者提供用戶信息的情況,并給出第三方SDK類服務商目錄。
值得一提的是,相比于南財合規科技研究院系列測評中已完成的社交資訊、娛樂、電商類APP,此次樣本中的20款手游均在隱私政策中列明了單獨的SDK服務商目錄。
不過,《原神》《球球大作戰》《劍與遠征》《閃耀暖暖》《戀與制作人》《斗羅大陸:武魂覺醒》《小花仙》《少年三國志·零》《江南百景圖》等無明確列明處理方式。《明日方舟》未提供第三方個人信息處理者收集的信息類型和處理方式。
顯著問題3:數據可攜帶權難落實,僅陰陽師等4款同時提供個人信息副本和轉移服務
《陰陽師》《原神》等7家僅提供個人信息副本,《我的世界》《夢幻西游》4款提供個人信息轉移服務
數據的可攜帶權是在《個人信息保護法》三審稿中加入的條款,其第四十五條規定,“個人有權向個人信息處理者查閱、復制其個人信息……個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。”
與該概念相關的法規最早落實于歐盟2018年頒布的《通用數據保護條例》,初衷是大批信息壟斷與不充分競爭的格局,促進信息共享流動,但在具體實踐中存在適用范圍不明確,不同數據模式之間難以互通,數據安全缺乏有力保障等難點,目前各國都還在摸索其具體落實途徑。
本次測評從推動制度與規則建設的角度出發,主要考察APP是否在隱私協議中對數據可攜帶權的相關要求做出規定,具體檢驗其“是否提供用戶獲得個人信息副本的途徑”與“是否提供個人信息轉移的服務”。此外,少量APP直接提供了生成個人信息服務的功能按鈕,該方式也計為得分。
測評發現,《陰陽師》《原神》《江南百景圖》《少年三國志:零》等7款游戲在隱私政策中明確了用戶對其個人信息的“復制權”。例如,若要在《原神》中獲取個人信息副本時,可以通過應用內“賬戶界面(游戲等級)-賬戶-用戶中心”界面,進入“米哈游通行證賬號系統”界面,進行查詢并獲取副本。
但可攜帶權的另一維度——個人信息的轉移服務,執行的情況則不容樂觀。受測的20款APP中僅有《陰陽師》《我的世界》《夢幻西游》《哈利波特魔法覺醒》這4款APP在隱私政策中提到為用戶提供將個人信息轉移的服務。
令人驚喜的是,合規科技研究員在實際測評過程中發現,受測手游類APP所屬的公司中,網易、騰訊、阿里特別設置了獨立的個人信息保護平臺,即用戶可以在專屬的平臺網頁上尋找單一APP的隱私政策。在網易提供的個人信息保護平臺中,向用戶提供了查閱、復制、撤回、轉移等處理個人信息方式的操作路徑以及咨詢的聯絡方式。
(圖說:網易用戶個人信息服務平臺。截圖時間為11月12日。)
而騰訊旗下的隱私保護平臺上,除了對騰訊旗下產品的整體隱私政策做出了詳細說明,也給出了旗下部分產品(如《王者榮耀》)的產品隱私管理指引。
(圖說:騰訊隱私保護平臺。截圖時間為11月12日。)
靈犀互娛的母公司阿里也設置有專門的隱私保護平臺,不過并未將旗下手游產品的隱私政策納入其中。
(圖說:阿里隱私平臺。截圖時間為11月12日。)
顯著進步:20款手游均承諾會征得監護人同意后再對未成年人的信息進行收集
《兒童/青少年個人信息保護政策》對于未成年用戶和其監護人來說,不僅具有告知他們游戲公司將如何處理未成年人私人信息的效能,也是他們用以監督游戲公司規范化保護未成年人的一道準則。
游戲公司應如何妥善保管未成年人的個人信息?《個人信息保護法》第三十一條中明確指出,“個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。”
今年7月,長期關注未成年人保護的南方財經合規科技研究院以保護未成年人為出發點,借由模擬未成年人手游使用情景的方式,從事前同意、防沉迷系統應用、游戲充值退款、事后補救等方面對市面上未成年人高頻使用的20款手游APP進行測試和打分。
專題頁:聚焦 | 20款手游未成年人保護機制測評
測評結果顯示,20款APP在未成年人個人隱私保護方面主要存在監護人缺乏知情權、沒有設置單獨的未成年人保護章節、客服反饋效率低下等問題。而以上提及的問題在本次測評中均有一定程度的改善。
首先是收集未成年人的個人信息時是否取得監護人的同意的問題。《中華人民共和國未成年人保護法》第五章網絡保護總第七十一中明確指出,未成年人的父母或者其他監護人應當提高網絡素養,規范自身使用網絡的行為,加強對未成年人使用網絡行為的引導和監督。此次測評結果顯示,20款APP均在隱私政策的開頭或未成年人保護章節中對監護人應履行的監督義務作出了詳細說明,并表示會在會征得其監護人的同意后再對未成年人的信息進行收集。
是否有專門的未成年人信息處理規則,也是本次測評對各廠商的未成年人個人信息保護的考察項之一。此次受測的20款手游類APP中,全部設置了單獨的未成年人保護章節。令人欣慰的是,其中有19款APP單獨撰寫了兒童個人信息保護專章。值得一提的是,米哈游旗下《原神》手游APP內2021年9月17日更新的隱私政策中雖然僅列出了未成年人保護章節,且章節中沒有對如何保護未成年人的個人信息作出具體說明,但其在官網2021年11月1日更新的隱私政策的附件中,詳細列出了兒童信息及隱私保護政策。雷霆游戲的《摩爾莊園》在官網更新的隱私政策及青少年隱私政策生效時間為2021年8月4日,但測評員在APP內尋找到的隱私政策的更新和生效時間都為2021年4月20日。
(圖說:《原神》APP內9月17日更新的隱私政策在未成年人保護章節中并未對如何保護未成年人的個人信息作出具體說明。截圖時間為11月12日。)
(圖說:摩爾莊園內的《雷霆游戲用戶隱私政策》更新和生效時間為2021年4月20日。截圖時間為11月10日。)
在本次測評中,有16款手游APP內的兒童個人信息保護政策中均提到設立了專門的未成年人保護團隊,可以通過專用電話、電子郵箱、線下郵寄等方式進行聯系。其中,騰訊、網易、樂元素、鷹角網絡等公司旗下的游戲在兒童個人信息保護政策中聲明設有專門的兒童信息保護負責人。而靈犀互娛旗下手游《三國志幻想大陸》以及椰島游戲旗下手游《江南百景圖》的APP內的隱私政策和兒童個人信息保護政策中均未提到相關信息。
南財合規建議
1. 加強未成年人個人信息保護建設
在網絡高度發達的現代社會,未成年人個人信息網絡保護面臨重重挑戰。由于未成年人心智尚未成熟,個人信息保護意識相對淡薄,加之智能設備的不斷普及,“觸網”年齡越來越低,未成年人的個人信息很容易被過度采集。在隱私政策中,應明確未成年人的個人信息收集范圍、類型、目的意圖等,并提高監護人的知情權,合理合規地獲取、存儲和使用未成年人個人信息。在實際執行過程中,可建立專屬的未成年人個人隱私保護團隊,將責任落實到具體部門和負責人。
2. APP內個人信息撤回步驟應簡化、明確
對于相機、位置信息、麥克風等系統功能授權的撤回同意,APP內可設權限管理專區,并明確在何種場景下使用及用以哪些目的等。為實現便捷性的要求,關閉授權的點擊步驟不應超過4次,建議在應用內可直接關閉。
3. 第三方SDK收集信息應取得用戶單獨同意
第三方單獨告知問題方面,目前大多數APP都在隱私政策中提供了第三方SDK信息收集的單獨列表,應對當前未落實的處理方式進行明確告知。在取得個人的單獨同意上,可在首次開啟APP的彈窗中設計。
4. 個人信息可攜帶權亟待落實
對于用戶的個人信息可攜帶權,APP應在隱私政策明確列明《個人信息保護法》中賦予用戶的權利,并提供實現路徑。企業應為此提供專門的聯系方式獲取或在APP內設計直接獲取導出按鈕。
測評補充說明
測評時間:11月9日至11月11日
APP所測版本(括號內為隱私政策更新或生效時間):
IOS版:王者榮耀3.71.1.6(2021.10.29)、和平精英1.15.13(2021.10.29)、開心消消樂1.100.2(2020.12.14)、陰陽師1.7.33(2021.11.01)、摩爾莊園1.1.21101303(2021.04.20)、我的世界1.24.19.14583(2021.11.01)、球球大作戰14.2.9[700164013](沒有公布更新或生效時間)、LOL手游v2.5.1.5047(2021.10.29)、原神
CNRELiOS2.2.0_R4705718_S4715326_D4715326(2021.09.17)、劍與遠征lilith_official:1.75.01 v1.76.02.198751 6516 76.01 F(2021.08.10)、斗羅大陸:武魂覺醒1.0.147(2021.07.19)、哈利波特魔法覺醒1.0.20451(2021.11.01)、三國志幻想大陸2.3.1(2021.05.19)、少年三國志:零1.0.10028(2021.07.28)、江南百景圖1.5.3(2021.09.13)
安卓版:夢幻西游1.346.0(2021.11.01)、小花仙4.0.9(2021.09.28)、閃耀暖暖2.0.870258-2(2021.10.29)、戀與制作人1.16.0923[287-457316](2021.10.29)、明日方舟1.6.01(2020.11.11)
出品:南方財經全媒體集團合規科技研究院
統籌:曹金良
研究員:諸未靜 蔡姝越 吳立洋 張曉鳳(實習生)
更多內容請下載21財經APP
這個周末,自認為做的最正確的決定,就是在《夢幻西游》手游從渠道服跳到了官服。一個明顯的感受是客服響應快,態度也很好,而渠道服則經常出現客服不回復的情況。
需要特別注意,很多安卓應用軟件商店上的很多都是渠道版,官服《夢幻西游》手游版本就是在官方網站內下載的。最好的辦法就是進去官網主頁面,掃描二維碼進行下載。或者蘋果手機就在蘋果App Store商店內下載IOS版本。
夢幻和其他游戲不一樣,這游戲只要你上手玩,最好以“年”為單位來計算。既然上手時間成本長,那新手入門就不得不說到買賣賬號了。
《夢幻西游》手游官服的優勢在于可以保障SDK賬號的交易安全和價格公平。而有一些渠道服的SDK賬號在進行游戲交易時會遇到一些限制,比如無法使用藏寶閣等交易渠道。
而且官服賬號可以跨平臺,無論是華為、小米、蘋果還是iPad,都可以輕松切換,讓你的游戲體驗更加流暢。
綜上,一款你需要玩幾年甚至十幾年的游戲,最好選個人多的,更穩定的服務器。而官服是玩《夢幻西游》手游的最佳選擇。相較于渠道服,官服玩家人數更多,交易更加安全、服務器更穩定、游戲體驗更流暢。