网络游戏行业的数据合规

中国《数据安全法》及《个人信息保护法》两部数据合规领域的重磅级法律接连于2021年发布，为企业的数据处理活动装上“安全阀”，使用户的个人信息权益有了“安全锁”，并与《网络安全法》共同构建起中国网络及数据安全的法律体系。“三驾马车”的架构下，游戏行业作为收集使用大量用户信息的数据处理主体，也面临着合规挑战。

监管规范

除“三法并驾齐驱”的法律大框架外，还有一系列细则新规、标准指南，对数据合规要求予以细化，其中部分涉及到对游戏行业的特别规定。

如2019年施行的《儿童个人信息网络保护规定》进一步为儿童体验游戏产品时的个人信息安全提供保障；随后发布的《App违法违规收集使用个人信息行为认定方法》为游戏企业如何避免App被认定存在违法违规收集使用个人信息的行为提供了参考；2021年出台的《常见类型移动互联网应用程序必要个人信息范围规定》对游戏产品可收集的必要个人信息范围予以了界定等。

基本原则

游戏企业在处理个人信息时应遵循合法正当、公开透明、最小必要等原则。游戏企业原则上均需经用户充分知悉并授权同意后，方可对其个人信息进行收集和使用。

游戏企业在收集到用户个人信息后，应当立即进行去标识化处理，并采取技术和管理措施，将用于恢复识别特定主体的信息与去标识化的信息分开存储。在用户同意的范围内，按照实现处理目的所需的最短时限存储用户个人信息，超出必要存储时限后，应予以删除或做匿名化处理。

企业需加强数据保护的制度设计及风险监测，定期开展风险评估。游戏企业可以参考《信息安全技术 个人信息安全规范》《信息安全技术大数据安全管理指南》等规范性文件进行具体制度设计。

特殊情形

除上述基本原则外，根据游戏行业的收集用户个人信息的特别情形，还需特别关注以下问题：

最小必要个人信息的范围界定。
根据《常见类型移动互联网应用程序必要个人信息范围规定》第四条及第五条第十八项，网络游戏类App的基本功能服务为“提供网络游戏产品和服务”，必要个人信息为“注册用户移动电话号码”，App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。

根据上述规定，除移动电话号码外，游戏企业理论上不得因用户不同意提供其他个人信息，而拒绝向其提供游戏产品和服务，例如用户的个人爱好、地理位置、教育程度等非必要个人信息，否则涉嫌违反最小必要原则。

不过，这一规定似乎与国家新闻出版署印发的《关于防止未成年人沉迷网络游戏的通知》内容有所出入，该通知第一条指出：“实行网络游戏用户账号实名注册制度，所有网络游戏用户均需使用有效身份信息方可进行游戏账号注册”。二者虽然在法律效力上属于同一级别，但由于后者是针对防止未成年人沉迷游戏的专门性特殊规定，游戏企业为符合监管要求，强制用户进行实名注册才能继续体验游戏服务，原则上不应被视为违反《常见类型移动互联网应用程序必要个人信息范围规定》。

未成年用户等敏感个人信息的合规。
游戏企业处理的敏感个人信息一般包括用户身份证；虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息；不满十四周岁未成年人的个人信息等。

该等敏感个人信息的处理需适用更严格的合规要求，包括应当告知用户（或其监护人）处理敏感个人信息的必要性以及对个人权益的影响，并在取得其单独同意后方进行处理；处理前应事先进行个人信息保护影响评估，并对评估报告和处理情况记录应当至少保存三年；处理不满十四周岁未成年人个人信息的，还应当制定专门的个人信息处理规则等。

部分游戏企业未就不满十四周岁未成年人的个人信息处理形成专门的《隐私政策》，或是仅通过《隐私政策》取得处理敏感个人信息的“一揽子”同意，或是擅自向关联企业共享用户的虚拟财产情况并做进一步市场营销分析的行为，均属于违规处理用户敏感个人信息的行为。

广悦律师事务所主任杨杰