广东广悦律师事务所

2021年8月30日，国家新闻出版署下发《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》，要求严格落实网络游戏用户账号实名注册和登录要求，不得以任何形式向未实名注册和登录的用户提供游戏服务。《通知》一出便获得腾讯、网易、米哈游等多家游戏企业的积极响应，且在2021年9月23日，中国音像与数字出版协会游戏出版工作委员会与213家游戏企业联合发起《网络游戏行业防沉迷自律公约》，坚决落实实名认证要求。

（图片来源于中国音数协游戏工委公众号）

随着游戏实名制的进一步推广，企业在游戏运营的过程中将迎来个人信息“量”的骤增，与此同时还有这样的声音存在，为了进一步落实防沉迷要求，保护未成年人，游戏企业应该同步配套落实“人脸识别”的政策，在实践中有些企业为了落实未成年人的保护政策，健康管理的需要，也配套上线了人脸识别验证系统。

这一规范要求与举措，在对游戏企业提出切实落实防沉迷要求下，也将给游戏企业带来在个人信息收集、处理与存储过程的“质”的挑战。

一、严格的个人信息保护要求与游戏企业在个人信息保护方面的挑战

2021年，个人信息保护和数据安全的两部重要法律《数据安全法》、《个人信息保护法》在今年颁布并相继施行，意味着在我国个人信息保护已经逐渐步入有法可依、有法必依的阶段，个人信息保护和数据安全已经成为举国关注的重要议题。监管机构近年来不断对侵害个人信息权益的问题进行专项整治行动；用户个人在权益保护方面的意识也逐渐增强。如根据9月23日工业和信息化部信息通信管理局发布的2021年最新一批《关于侵害用户行为的APP通报》显示，其中就有部分的游戏类应用，因违规收集个人信息、超范围收集个人信息或强制、频繁、过度索取信息权限而被要求限时整改。

在实践中，目前仍有大量的游戏企业在用户个人信息保护方面意识薄弱，从而易诱发严重的个人信息保护危机：

1.个人信息收集处理的程序不规范

有部分游戏企业未能意识到用户个人信息收集、处理的合规要求，在收集、使用信息时未告知用户或者在未取得用户同意的情况下即进行用户信息收集。经我们了解，发现很多游戏企业目前并没有配备隐私政策，或者所配备的隐私政策非常简单，与法律规定不符。

2.个人信息安全的挑战

在实名制要求下，游戏企业收集了大量了用户信息，这些信息大多具有高度可识别性。但是对于大部分中小型游戏企业而言，其是否有足够的能力和意识，对所收集的这些用户信息进行妥善、安全的存储和保管，目前仍是严峻的问题。一旦这些个人信息泄漏，将有可能造成较为严重的后果。

3.个人信息的违规使用

除了妥善的存储和保管个人信息的能力存疑外，鉴于个人信息极大的商业价值，有部分企业会将收集到的个人信息用作其他的用途，实施游戏买量、公会推广甚至出售其他人等滥用和违法使用个人信息的行为。

因此，如何正确的收集、使用、存储因游戏实名制要求带来的大量个人信息，将成为游戏企业的必修课。

二、游戏实名制要求下，个人信息保护的合规要求

（一）实名制要求的个人信息内容

在对实名制所带来的个人信息进行合规之前，我们先必须了解，由于实名制的要求，游戏企业收集到了哪些个人信息。

《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》，严格落实网络游戏用户账号实名注册和登录要求，不得以任何形式向未实名注册和登录的用户提供游戏服务。对于完成实名制注册和登录要求，在实践中，一般要求用户需要提供个人的真实姓名和身份证信息予以验证。

因此，在实名制的要求下，游戏企业至少拥有了用户的真实姓名和个人身份证号码。除此之外，基于不同游戏公司的账号注册要求以及用户的游戏充值行为，游戏公司进而还可能收集到该用户的手机号码、充值缴费的银行卡记录、消费订单记录等信息。

另外，为了进一步完善防沉迷系统，实现保护未成年保护的目的，有些企业还采取了更严格的健康保护系统，对疑似未成年人的用户采取人脸识别的方式进行验证，在这一过程中，游戏企业还会收集到用户的相关人脸信息。

（截图来源于腾讯健康系统规定）

（二）游戏企业个人信息处理合规要求

2021年8月20日《个人信息保护法》正式公布，并将于2021年11月1日施行。该法从整体上规定了个人信息处理规则、个人在信息处理活动中的权利以及个人信息处理者的义务等内容，将成为今后个人信息权益保护与个人信息处理活动规范的最重要指引。

鉴于《个人信息保护法》对于个人信息分为个人信息以及敏感个人信息，并针对不同的信息类型提出了不同的合规要求，因此在明确游戏企业个人信息处理的合规要求之前，我们先来明确游戏企业所涉及的个人信息的类别。

1.游戏企业所收集个人信息的分类

《个人信息保护法》第四条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

第二十八条规定：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

除《个人信息保护法》的原则性规定之外，《信息安全技术个人信息安全规范》国标 GB/T 35273—2020对于个人信息以及敏感个人信息进行了详细的列举。

（截图来源于《信息安全技术个人信息安全规范》国标 GB/T 35273—2020）

如前文所述，游戏企业在实名制要求下，游戏企业所收集的用户的真实姓名、手机号码等属于个人信息，个人身份证信息、银行卡、充值记录、人脸信息等属于敏感个人信息。

2.关于个人信息处理的合规要求

根据《个人信息保护法》，敏感个人信息比个人信息处理原则更为严格，敏感个人信息，除满足法律关于个人信息保护的基本要求外，还需要满足额外的要求。经过我们汇总，个人信息保护法律关于个人信息处理的具体原则和要求如下。

三、游戏企业如何落实个人信息保护制度

游戏实名制的压力之下，面对着纷繁复杂的个人信息规范格局与日渐收紧的监管政策，游戏企业应该提高个人信息保护的意识，建立企业个人信息保护的规范。基于游戏行业的现状以及个人信息保护方面的相关法律规定和要求，我们为游戏企业在实名制要求下，完善落实个人信息保护制度，提供以下的建议和意见：

（一）完善“告知+同意”的流程

根据《个人信息保护法》规定，收集、使用个人信息，应符合“告知+同意”的原则，且必须符合以下要求：

1.取得个人的明确同意；

2.基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出；

3.个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知“个人信息的处理目的、处理方式，处理的个人信息种类、保存期限”等；

4.法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

因此，游戏企业在进行实名制之前，必须明确告知用户个人信息收集的处理目的、处理要求，并取得用户的同意，且由于其中涉及身份证等敏感信息，应针对该部分信息取得用户的单独同意。

（截图来源于开心消消乐）

（二）不得将收集的信息用于防沉迷之外的其他用途

鉴于游戏企业收集个人实名制信息，是基于《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》这一规定的要求，因此，其实名制信息的收集，应当仅用于满足防沉迷和未成年人保护的需要，不得将其用于该目的之外的其他用途。

如果游戏企业需要将该部分信息用于之外的其他用户，应明确告知用户，且取得用户的同意，同时该目的必须满足最小必要的原则。

（三）落实信息存储的安全机制和保障措施

《个人信息保护法》第九条规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。游戏企业可采取以下措施保障所收集个人信息的安全，防止未经授权的访问及个人信息泄露、篡改和丢失：

1.制定内部管理制度和操作流程；

2.对收集的个人信息进行分类管理；

3.采取相应的加密、去标识化等安全措施；

4.合理确定员工个人信息处理的操作权限，并定期对员工进行安全教育和培训；

（四）第一时间对个人信息进行“去标识化”处理

加密、去标识化是个人信息安全保障的重要方式之一，结合《个人信息保护法》、《信息安全技术个人信息安全规范》等相关规定的要求，游戏企业可按照以下方式对收集的个人信息做“去标识化”的处理。

1.收集个人信息后，游戏企业宜立即进行去标识化处理；

2.游戏企业应采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储，分开进行授权权限管理；

3.如涉及通过界面展示个人信息的（如显示屏幕、纸面），宜对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。

（五）在符合法规规定的存储期限和要求后及时进行匿名化或者删除处理

游戏企业所收集的个人信息不宜永久保存，应根据相关法律的规定，及时主动的删除个人信息或对个人信息进行匿名化处理：

1.已经满足法律所规定的最短存储期限的要求；

2.游戏产品已经停止运营，且法定的保存期限届满；

3.用户账号注销或者撤回授权之后。

目前关于网络游戏行业对于个人信息的存储期限，暂无明确直接的规定，但根据《网络游戏管理暂行办法》（已失效），其中规定了网络游戏用户的购买记录的保存要求：保存期限自用户最后一次接受服务起，不得少于180日。对于存储期限的要求，可以参照此规定。

（六）“人脸验证”机制的特殊合规要求

鉴于“人脸”信息属于敏感个人信息，因此如果游戏企业采取“人脸”验证的方式的，需要特别注意以下的合规要求：

1.“人脸”等个人信息的采集，必须严格限制“人脸”验证的范围和目的，不宜扩大验证范围和频率，也不得将该验证信息用于游戏健康管理之外的其他目的；

2.在验证过程中，需要特别遵守以下要求：

（1）仅存储个人生物识别信息的摘要信息；

（2）在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；

（3）在使用面部识别特征等实现识别身份、认证等功能后应立即删除。

END

声明：本微信文章仅为交流探讨之目的，不得视为广悦数据合规研究院或其律师出具的正式法律意见，任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流，可以通过电子邮件与我们联系，E-mail：hlw@wjngh.cn 。