值得肯定的是,在未成年人信息保护方面,19款受测手游类APP设有专门的未成年人隐私保护专章,详细说明了未成年人的个人信息处理规则。
21世纪经济报道 记者诸未静 蔡姝越 吴立洋、实习生张晓凤 上海 广州报道
我国《个人信息保护法》于2021年11月1日起施行。法律明确了个人信息处理活动中的权利义务边界,以“告知—同意”为核心原则对平台进行个人信息处理予以规范。
为了解企业在个人信息保护方面的落实情况,南方财经合规科技研究院基于《个人信息保护法》与《APP违法违规收集使用个人信息行为认定方法》的相关条款,对平台的个人信息保护合规进行系列测评。测评含告知、撤回同意、第三方处理者单独告知、敏感个人信息、未成年人个人信息、数据可携带权、信息控制权、个人保护信息负责人这8大方面共18个测评项,测评总分为100分。
需要特别说明的是,与此前社交资讯类、娱乐类、电商生活类APP测评标准不同,由于大多数游戏不含有个性化推荐选项,本次20款手游APP测评中并未设置这一方面的测评项。而依据近期不断升级的游戏未成年人保护机制,本次测评提高了游戏未成年人个人信息保护的分值比重。
依据用户量与功能差异等因素,测评选取了20款手游类APP进行个人信息保护合规实测。结果显示,《阴阳师》《王者荣耀》《和平精英》《我的世界》《LOL手游》《梦幻西游》《哈利波特魔法觉醒》7款APP得分在80分以上,对个人信息进行了高等级保护。《剑与远征》《少年三国志:零》《明日方舟》等13款APP得分在60分至80分,合规程度处于中等级。《江南百景图》在20款手游类APP中得分最低,为62分。
(图说:20款手游APP个人信息保护合规测评。制图:张晓凤。)
从高频合规问题来看,15款手游类APP存在个人信息授权撤回同意步骤过于繁琐的问题,《开心消消乐》《我的世界》《球球大作战》等游戏甚至无法在APP内撤回个人信息。此外,《摩尔庄园》《梦幻西游》《江南百景图》等15款APP在新用户注册后并未立即在弹窗中给出第三方SDK服务商目录。
值得肯定的是,在未成年人信息保护方面,19款受测手游类APP设有专门的未成年人隐私保护专章,详细说明了未成年人的个人信息处理规则。而合规科技研究员在查阅《原神》APP内提供的隐私政策时发现,米哈游仅给出了未成年人保护政策的相关章节,在章节中并未对如何保护未成年人的个人信息作出具体说明。
显著问题1:撤回同意步骤繁琐,仅有5款回撤步骤少于4步
《剑与远征》关闭照片权限需5步,《球球大作战》等完全没有回撤选项
撤回同意主要是指用户在授予APP相关个人信息的采集、处理权限后,能否在APP内实现对相关授权同意的撤回。《个人信息保护法》第十五条规定:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”
结合日常手游APP使用经验,测评员将该法条拆分为“是否提供撤回自主同意相关功能”与“撤回同意是否便捷”两个子测评项,前者主要检验APP是否在设置、隐私协议等页面提供停止个人信息相关授权的途径,后者参照《APP违法违规收集使用个人信息行为认定方法》关于“如进入APP主界面后,需多于4次点击等操作才能访问到,则可被认定为‘未公开收集使用规则’”进行界定,即打开APP后如经过四次点击后仍无法进行个人信息授权情况的修改,则视为不便捷。
合规科技研究员在测评20款手游类APP时发现,仅《王者荣耀》《和平精英》《阴阳师》《LOL手游》《原神》等5款APP的撤回同意步骤小于4次点击。研究员实测发现,《LOL手游》内个人信息撤回步骤皆控制在4步以内。以关闭“定位服务”为例,其撤回路径为“设置(图标)”-“其他”-“定位服务(开/关)”,仅3步便可直接跳转至系统设置界面。在《原神》的撤回消息提示时,其撤回路径为“派蒙(头像)”-“设置(图标)”-“消息”-“开关”,控制在4步之内。
(图说:《LOL手游》中的个人信息撤回步骤较为清晰明确,点击“设置(图标)”-“其他”,便可撤回照片、麦克风、定位服务、通知等系统功能。截图时间为11月12日。)
而其余的16款样本,皆存在个人信息撤回步骤大于4次或者完全没有回撤选项的问题。当测评员想要关闭《剑与远征》的照片权限时,其路径为“我(游戏内头像)”-“设置”-“隐私权限”-“照片权限”-“前往设置”,撤回步骤共计5步。
更严重的问题是,《球球大作战》《明日方舟》《江南百景图》《哈利波特魔法觉醒》等APP完全没有提供回撤选项。举例而言,在《开心消消乐》的APP内,包括“隐私设置”多个路径都找不到麦克风和地理位置的回撤选项。《明日方舟》《江南百景图》等多款APP的设置中,也几乎不涉及任何关于系统权限和个人信息处理相关的选项。
(图说:《球球大作战》中的“语音设置”中,选择关闭语音后,并不会跳转到系统设置页面关闭麦克风授权。截图时间为11月12日。)
显著问题2:仅有5款在初次开启后的弹窗中给出第三方SDK服务商目录
《原神》《球球大作战》等9款无明确处理方式,《明日方舟》未提供信息类型
大部分APP在实际运行中为了保证相关功能的实现或数据分析等其他商业目的,往往会向第三方合作者提供用户的个人信息。这些第三方应用、服务嵌入App中,不知不觉地收集个人信息,存在诸多隐患。
《个人信息保护法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”近日,工信部信息通信管理局就《关于开展信息通信服务感知提升行动的通知》进行解读,其中提到,为了让用户清晰掌握个人信息在APP、SDK(软件开发工具包)及其他第三方间的共享情况,工信部要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
鉴于实测的可操作性,本次测评主要考察APP的SDK信息披露和单独同意情况。在具体测评中,本次测评将法规要求划分为“是否列明第三方处理者相关信息”与“是否获取用户单独同意”两项,前者主要检验APP是否在隐私协议或单独名单中完整列举其所包含的第三方信息处理者及其目的、处理方式联系方式等;后者则检验APP是否通过初次开启后弹窗等方式,明确提出存在向第三方处理者提供用户信息的情况,并给出相关名单链接征求用户同意。
结果显示,20款受测APP中,仅有《王者荣耀》《和平精英》《阴阳师》《我的世界》《LOL手游》这5款在初次开启后的弹窗中明确向用户展示第三方处理者提供用户信息的情况,并给出第三方SDK类服务商目录。
值得一提的是,相比于南财合规科技研究院系列测评中已完成的社交资讯、娱乐、电商类APP,此次样本中的20款手游均在隐私政策中列明了单独的SDK服务商目录。
不过,《原神》《球球大作战》《剑与远征》《闪耀暖暖》《恋与制作人》《斗罗大陆:武魂觉醒》《小花仙》《少年三国志·零》《江南百景图》等无明确列明处理方式。《明日方舟》未提供第三方个人信息处理者收集的信息类型和处理方式。
显著问题3:数据可携带权难落实,仅阴阳师等4款同时提供个人信息副本和转移服务
《阴阳师》《原神》等7家仅提供个人信息副本,《我的世界》《梦幻西游》4款提供个人信息转移服务
数据的可携带权是在《个人信息保护法》三审稿中加入的条款,其第四十五条规定,“个人有权向个人信息处理者查阅、复制其个人信息……个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
与该概念相关的法规最早落实于欧盟2018年颁布的《通用数据保护条例》,初衷是大批信息垄断与不充分竞争的格局,促进信息共享流动,但在具体实践中存在适用范围不明确,不同数据模式之间难以互通,数据安全缺乏有力保障等难点,目前各国都还在摸索其具体落实途径。
本次测评从推动制度与规则建设的角度出发,主要考察APP是否在隐私协议中对数据可携带权的相关要求做出规定,具体检验其“是否提供用户获得个人信息副本的途径”与“是否提供个人信息转移的服务”。此外,少量APP直接提供了生成个人信息服务的功能按钮,该方式也计为得分。
测评发现,《阴阳师》《原神》《江南百景图》《少年三国志:零》等7款游戏在隐私政策中明确了用户对其个人信息的“复制权”。例如,若要在《原神》中获取个人信息副本时,可以通过应用内“账户界面(游戏等级)-账户-用户中心”界面,进入“米哈游通行证账号系统”界面,进行查询并获取副本。
但可携带权的另一维度——个人信息的转移服务,执行的情况则不容乐观。受测的20款APP中仅有《阴阳师》《我的世界》《梦幻西游》《哈利波特魔法觉醒》这4款APP在隐私政策中提到为用户提供将个人信息转移的服务。
令人惊喜的是,合规科技研究员在实际测评过程中发现,受测手游类APP所属的公司中,网易、腾讯、阿里特别设置了独立的个人信息保护平台,即用户可以在专属的平台网页上寻找单一APP的隐私政策。在网易提供的个人信息保护平台中,向用户提供了查阅、复制、撤回、转移等处理个人信息方式的操作路径以及咨询的联络方式。
(图说:网易用户个人信息服务平台。截图时间为11月12日。)
而腾讯旗下的隐私保护平台上,除了对腾讯旗下产品的整体隐私政策做出了详细说明,也给出了旗下部分产品(如《王者荣耀》)的产品隐私管理指引。
(图说:腾讯隐私保护平台。截图时间为11月12日。)
灵犀互娱的母公司阿里也设置有专门的隐私保护平台,不过并未将旗下手游产品的隐私政策纳入其中。
(图说:阿里隐私平台。截图时间为11月12日。)
显著进步:20款手游均承诺会征得监护人同意后再对未成年人的信息进行收集
《儿童/青少年个人信息保护政策》对于未成年用户和其监护人来说,不仅具有告知他们游戏公司将如何处理未成年人私人信息的效能,也是他们用以监督游戏公司规范化保护未成年人的一道准则。
游戏公司应如何妥善保管未成年人的个人信息?《个人信息保护法》第三十一条中明确指出,“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”
今年7月,长期关注未成年人保护的南方财经合规科技研究院以保护未成年人为出发点,借由模拟未成年人手游使用情景的方式,从事前同意、防沉迷系统应用、游戏充值退款、事后补救等方面对市面上未成年人高频使用的20款手游APP进行测试和打分。
测评结果显示,20款APP在未成年人个人隐私保护方面主要存在监护人缺乏知情权、没有设置单独的未成年人保护章节、客服反馈效率低下等问题。而以上提及的问题在本次测评中均有一定程度的改善。
首先是收集未成年人的个人信息时是否取得监护人的同意的问题。《中华人民共和国未成年人保护法》第五章网络保护总第七十一中明确指出,未成年人的父母或者其他监护人应当提高网络素养,规范自身使用网络的行为,加强对未成年人使用网络行为的引导和监督。此次测评结果显示,20款APP均在隐私政策的开头或未成年人保护章节中对监护人应履行的监督义务作出了详细说明,并表示会在会征得其监护人的同意后再对未成年人的信息进行收集。
是否有专门的未成年人信息处理规则,也是本次测评对各厂商的未成年人个人信息保护的考察项之一。此次受测的20款手游类APP中,全部设置了单独的未成年人保护章节。令人欣慰的是,其中有19款APP单独撰写了儿童个人信息保护专章。值得一提的是,米哈游旗下《原神》手游APP内2021年9月17日更新的隐私政策中虽然仅列出了未成年人保护章节,且章节中没有对如何保护未成年人的个人信息作出具体说明,但其在官网2021年11月1日更新的隐私政策的附件中,详细列出了儿童信息及隐私保护政策。雷霆游戏的《摩尔庄园》在官网更新的隐私政策及青少年隐私政策生效时间为2021年8月4日,但测评员在APP内寻找到的隐私政策的更新和生效时间都为2021年4月20日。
(图说:《原神》APP内9月17日更新的隐私政策在未成年人保护章节中并未对如何保护未成年人的个人信息作出具体说明。截图时间为11月12日。)
(图说:摩尔庄园内的《雷霆游戏用户隐私政策》更新和生效时间为2021年4月20日。截图时间为11月10日。)
在本次测评中,有16款手游APP内的儿童个人信息保护政策中均提到设立了专门的未成年人保护团队,可以通过专用电话、电子邮箱、线下邮寄等方式进行联系。其中,腾讯、网易、乐元素、鹰角网络等公司旗下的游戏在儿童个人信息保护政策中声明设有专门的儿童信息保护负责人。而灵犀互娱旗下手游《三国志幻想大陆》以及椰岛游戏旗下手游《江南百景图》的APP内的隐私政策和儿童个人信息保护政策中均未提到相关信息。
南财合规建议
1. 加强未成年人个人信息保护建设
在网络高度发达的现代社会,未成年人个人信息网络保护面临重重挑战。由于未成年人心智尚未成熟,个人信息保护意识相对淡薄,加之智能设备的不断普及,“触网”年龄越来越低,未成年人的个人信息很容易被过度采集。在隐私政策中,应明确未成年人的个人信息收集范围、类型、目的意图等,并提高监护人的知情权,合理合规地获取、存储和使用未成年人个人信息。在实际执行过程中,可建立专属的未成年人个人隐私保护团队,将责任落实到具体部门和负责人。
2. APP内个人信息撤回步骤应简化、明确
对于相机、位置信息、麦克风等系统功能授权的撤回同意,APP内可设权限管理专区,并明确在何种场景下使用及用以哪些目的等。为实现便捷性的要求,关闭授权的点击步骤不应超过4次,建议在应用内可直接关闭。
3. 第三方SDK收集信息应取得用户单独同意
第三方单独告知问题方面,目前大多数APP都在隐私政策中提供了第三方SDK信息收集的单独列表,应对当前未落实的处理方式进行明确告知。在取得个人的单独同意上,可在首次开启APP的弹窗中设计。
4. 个人信息可携带权亟待落实
对于用户的个人信息可携带权,APP应在隐私政策明确列明《个人信息保护法》中赋予用户的权利,并提供实现路径。企业应为此提供专门的联系方式获取或在APP内设计直接获取导出按钮。
测评补充说明
测评时间:11月9日至11月11日
APP所测版本(括号内为隐私政策更新或生效时间):
IOS版:王者荣耀3.71.1.6(2021.10.29)、和平精英1.15.13(2021.10.29)、开心消消乐1.100.2(2020.12.14)、阴阳师1.7.33(2021.11.01)、摩尔庄园1.1.21101303(2021.04.20)、我的世界1.24.19.14583(2021.11.01)、球球大作战14.2.9[700164013](没有公布更新或生效时间)、LOL手游v2.5.1.5047(2021.10.29)、原神CNRELiOS2.2.0_R4705718_S4715326_D4715326(2021.09.17)、剑与远征lilith_official:1.75.01 v1.76.02.198751 6516 76.01 F(2021.08.10)、斗罗大陆:武魂觉醒1.0.147(2021.07.19)、哈利波特魔法觉醒1.0.20451(2021.11.01)、三国志幻想大陆2.3.1(2021.05.19)、少年三国志:零1.0.10028(2021.07.28)、江南百景图1.5.3(2021.09.13)
安卓版:梦幻西游1.346.0(2021.11.01)、小花仙4.0.9(2021.09.28)、闪耀暖暖2.0.870258-2(2021.10.29)、恋与制作人1.16.0923[287-457316](2021.10.29)、明日方舟1.6.01(2020.11.11)
出品:南方财经全媒体集团合规科技研究院
统筹:曹金良
研究员:诸未静 蔡姝越 吴立洋 张晓凤(实习生)
(作者:诸未静,蔡姝越,吴立洋,实习生张晓凤 编辑:曹金良)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。