前一段时间,滴滴被网络安全审查并因违法违规收集用户个人信息被下架,引起了众多的关注,现在国家对有关数据合规、数据安全的重视已经显而易见,相关法律法规体系正在逐步建立和完善,本期内容将从《数据安全法》出发,解读现行数据安全体系对游戏企业的影响。
《数据安全法》于2021年6月10日审议通过,并将于2021年9月1日起正式施行,这是数据领域的重要立法,意味着我国的数据安全法律体系已见雏形,待《个人信息保护法》审议通过,将形成《网络安全法》《数据安全法》《个人信息保护法》三部法律并驾齐驱的数据保护与网络安全法律框架。
然而,数据领域的立法脚步并非始于《数据安全法》,在此之前我国就已出台大量的法律法规及规范性文件,它们像“毛细血管”一样对数据安全进行细化规定。本文将介绍我国现行的数据安全法律体系,并重点分析现行数据安全法律体系对游戏企业的影响,以降低数据安全危机与风险。
在《数据安全法》正式颁布前,我国已出台了数据保护相关法律法规及规范性文件,形成了数据保护体系的雏形。因此,《数据安全法》的颁布是对我国现有数据保护体系的补充与完善,并不意味着以前的法律法规及规范性文件就此失效,企业仍需遵循相关法律法规及规范性文件的规定。我们列举部分重要法律法规及规范性文件以供参考:
(一)法律层面有《民法典》《网络安全法》《数据安全法》等
《民法典》(2021年1月1日实施)第六章“隐私权和个人信息保护”,对隐私权和个人信息定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。
《网络安全法》(2017年6月1日实施)第四章“网络信息安全”对个人信息保护问题作了专章规定,在界定“个人信息”的定义和范围的基础上,确立了对个人信息收集和保管的基本规则,并针对不同的主体规定了相应等级的信息安全保护义务和法律责任。
《数据安全法》(2021年9月1日实施)明确了数据安全制度、数据分类分级保护制度、数据交易管理制度,并对国家核心数据保护、重要数据出境管理等内容进行了特别规定。
(二)法规层面有《网络安全审查办法》《网络信息内容生态治理规定》等
《网络安全审查办法》(2020年6月1日实施)规定关键信息基础设施运营者采购网络产品和服务的安全审查机制,其中,关键信息基础设施运营者主要包括电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业的重要网络和信息系统的运营者。近日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知,最新的征求意见稿将普通运营者的数据处理活动纳入网络安全审查范围,不再局限于上述的关键信息基础设施运营者,同时掌握大量个人信息的企业赴国外上市必须主动申报网络安全审查,网络安全审查也将重点考察重要数据安全及出境的风险。征求意见稿的发布将网络安全问题重新抛向大众视野,企业应重点关注拟修订内容。
《网络信息内容生态治理规定》(2020年3月1日实施),规定了网络信息内容生产者、网络信息内容服务平台和网络信息内容服务使用者在网络信息服务中应当承担的法律责任。
(三)规范和标准层面有《信息安全技术个人信息安全规范》《个人信息安全影响评估指南》等
《信息安全技术个人信息安全规范》(2020年10月1日实施),对个人信息及个人敏感信息的收集、储存、使用作出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权利,同时对于个人信息保护的热点问题,例如人脸识别信息的收集处理等进行了回应。
《个人信息安全影响评估指南》(2021年6月1日实施)规定了个人信息安全评估的原理、评估的实施流程,并以附录的方式给出了评估示例、评估要点及参考方法。
(四)围绕APP专项治理工作制定的一系列标准、指南和规范
自2019年开始,有关部门连续两年开展了APP违法违规收集使用个人信息专项治理工作,围绕专项治理工作发现的突出问题和难点问题制定了一系列标准、指南和规范,比如《App违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》《常见类型移动互联网应用程序必要个人信息范围规定》等。这些标准及指南对APP收集个人信息进行了细致地规定,对企业自查自纠具有相当的参考价值。
如上文所述,数据安全法律体系包含大量的法律、法规、标准、指南等文件,法律通常构建制度的框架,而配套的法规政策将会对框架予以细化。因此,《数据安全法》只是法律层面的新规定,并不意味着企业在数据治理上只需适用这一项规定。企业在日常经营中除需要遵守《数据安全法》的规定,还应该遵守其他数据保护相关规定。
有鉴于此,我们将结合《数据安全法》及其他相关法律法规及规范性文件,对企业在数据治理中需重点关注的事项进行提示。
(一) 《数据安全法》中的原则性规定
1.企业在收集和使用数据时应遵循合法、正当、必要性原则。企业经由用户知悉并授权后可对用户的任意数据进行收集利用,其收集和使用数据应当遵循数据收集和处理的“最小必要限度”。如收集和使用的数据中涉及个人信息的,还应该遵循关于个人信息保护的特别规定。
2.企业应依法依规进行数据交易,具体而言:(1)涉及个人信息的数据交易必须取得个人信息主体的授权同意。(2)数据交易应记录数据来源,并做好记录留存。(3)数据交易的各方都应该有保障数据安全的技术条件。
3.企业需对数据进行分级管理,根据重要数据具体目录,对企业列入目录的数据进行重点保护。目前各行业、领域的重要数据目录还未制定和公布,企业可在数据目录公布后予以重点关注。
4.企业需加强数据保护的制度设计及风险监测,定期开展风险评估。企业可以参考《信息安全技术 个人信息安全规范》《信息安全技术大数据安全管理指南》以及《信息安全技术即时通信服务数据安全指南(征求意见稿)》等规范性文件进行具体的制度设计。
(二)游戏行业数据保护相关规定
除《数据安全法》的一般性规定外,存在部分规范性文件对游戏行业数据保护予以特别规定。
1.《常见类型移动互联网应用程序必要个人信息范围规定》(2021年5月1日实施)
根据网信办、工信部、公安部、市场监督管理局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》第5条第18项:“网络游戏类,基本功能服务为‘提供网络游戏产品和服务’,必要个人信息为:注册用户移动电话号码。”
第3条:“本规定所称必要个人信息,是指保障APP基本功能服务正常运行所必需的个人信息,缺少该信息APP即无法实现基本功能服务本规定所称必要个人信息。”
第4条:“APP不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。”
根据上述规定,企业运营的游戏APP涉及的必要个人信息为注册用户移动电话号码。因此根据该规定,除移动电话号码外,企业不得因用户不同意提供非必要信息,而拒绝向其提供游戏产品和服务。
但是,这一规定与游戏行业实名制、未成年保护的相关规定有所冲突,2019年10月25日,国家新闻出版署印发《关于防止未成年人沉迷网络游戏的通知》第一条规定:“实行网络游戏用户账号实名注册制度,所有网络游戏用户均需使用有效身份信息方可进行游戏账号注册。自本通知施行之日起,网络游戏企业应建立并实施用户实名注册系统,不得以任何形式为未实名注册的新增用户提供游戏服务。”
虽然二者在法律效力上属于同一层次,但是《关于防止未成年人沉迷网络游戏的通知》这一通知是专门针对未成年人沉迷游戏所作出的特殊规定,网络游戏企业为了符合监管的要求,要求用户进行实名注册才能继续提供游戏内容,我们认为不应视为违反《常见类型移动互联网应用程序必要个人信息范围规定》,企业可以向相应的监管部门予以解释。
2.《信息安全技术 个人信息告知同意指南(征求意见稿)》
根据全国信息安全标准化技术委员会发布的《信息安全技术 个人信息告知同意指南(征求意见稿)》附录A“未成年人个人信息的告知同意”-A.2.1核验未成年人身份的方式,“对于未成年人而言,有关游戏、社交以及教育等产品或服务是他们使用可能性较大的。此时宜采用验证强度较高的方式进行核验,例如要求个人信息主体输入生日信息(精确到年月日)、身份证号、或采取其他合理的方式进行身份验证,但上述措施不应超过必要限度(例如不应要求未成年人上传其手持身份证的照片)”。
这一规定也与上文所述《关于防止未成年人沉迷网络游戏的通知》这一通知的精神相符合,然而需要注意的是,企业运营的游戏产品在收集未成年用户的个人信息时,应采用较高强度的方式(如身份证号等)验证未成年人身份,但注意采取方式不要超过必要限度。
3.《信息安全技术 个人信息安全规范》(2020年10月1日实施)
根据全国信息安全标准化技术委员会发布的《信息安全技术 个人信息安全规范》附录A.1“个人信息示例”及附录B“个人敏感信息示例”,虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息属于“个人财产信息”,而“个人财产信息”属于“个人敏感信息”。
企业应特别注意,在收集、使用、存储、共享游戏类兑换码等虚拟财产信息时,应遵循个人敏感信息保护特别规定,具体内容可参考《信息安全技术 个人信息安全规范》的规定。
4.《信息安全技术 网络音视频服务数据安全指南(征求意见稿)》
根据全国信息安全标准化技术委员会发布的《信息安全技术 网络音视频服务数据安全指南(征求意见稿)》9.1“数据共享”,“网络音视频服务运营者向第三方共享用户个人信息时,应遵循GB/T 35273—2020中9.2和9.5的要求。在以下典型服务场景下:b) 游戏直播场景下,为实现游戏内一键开播或直播平台关联游戏账号等功能,运营者与游戏厂商共享用户数据(如用户个人常用设备信息、操作日志)时,宜共建独立的数据库存储前述数据,并采取严格的授权访问机制。”
虽然在目前游戏直播场景下,一般开展游戏直播时,直播平台运营者与游戏厂商进行账号共享的情况相对较少,但是直播运营企业与游戏厂商如达成合作,存在共享用户数据的情况,应共建独立的数据库存储用户数据,同时建立严格的授权访问机制,以保护用户数据的安全。
根据《信息安全技术 数据出境安全评估指南(征求意见稿)》,数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。该《指南》进一步明确了数据出境包括以下情形:
(1)向本国境内、但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;(2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
如游戏企业存在海外业务,应首先评估是否存在数据出境的情况,如存在,我们建议对以下内容予以特别关注:
(一)关键信息或重要数据出境应当履行行政前置手续
根据《数据安全法》第31条规定,如涉及到关键信息或重要数据需要出境的,为确保数据的安全,应当根据《网络安全法》或我国网信部门等国家机构制定的法律法规依法履行行政前置手续,例如开展数据安全评估工作以获得批准同意等。根据《数据安全法》第36条,非经我国主管机关批准,任何境内的企业和个人均不得向外国司法或者执法机构提供存储于我国境内的数据。
虽然《数据安全法》仅规定了关键信息或重要数据出境的行政前置手续。但是除关键信息或重要数据之外的其他数据出境,按照目前的立法趋势和监管态度,建议企业仍然应保持审慎的态度,密切关注行业监管动态,及时咨询主管部门以保证数据出境的合规性。
(二)个人信息出境应获得个人信息主体同意
根据《信息安全技术 数据出境安全评估指南(征求意见稿)》的规定,涉及个人信息出境的,网络运营者应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区并经其同意,明令禁止个人信息未经个人信息主体同意即出境。
同时《个人信息保护法(草案)》规定,个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式等事项,并取得个人的单独同意。
尽管上述规定尚未颁布实施,我们仍建议企业遵照执行,以降低合规风险。如企业存在用户个人信息出境的,可在用户协议及隐私政策中列明拟出境的信息,以获得用户的授权同意。
(三)数据出境前应进行出境安全自评估
《信息安全技术 数据出境安全评估指南(征求意见稿)》规定了安全自评估与主管部门评估两种评估模式,《个人信息和重要数据出境安全评估办法(征求意见稿)》也列举了网络运营者应报请行业主管或监管部门组织安全评估的情形。鉴于安全评估是衡量数据出境合规性的重要措施,我们建议企业在数据出境前进行安全自评估,建立数据出境安全自评估工作组,根据评估结果修正、完善数据出境计划,以确保出境安全。具体的安全评估要点可参考《信息安全技术数据出境安全评估指南(征求意见稿)》。
精彩文章推荐
专业解读|滴滴遭App下架和网络安全审查,给企业数据合规的启示
......
声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。