◎文 《法人》杂志全媒体记者 白馗 李辽

网络游戏是许多人日常生活的一部分，在中国的市场规模超过4000亿元。随着网络游戏蓬勃发展及用户的大幅增加，其背后的数据合规问题逐渐浮出水面，引发公众和监管机构的广泛关注。

▲CFP

今年以来，全国公开通报了42款违规游戏应用，其中6款已经被下架。在这些被通报的应用中，不乏一些深受玩家喜爱的知名游戏。这些游戏主要存在违规收集和使用个人数据、数据处理机制不透明等违规情况，不仅侵犯了用户权益，也严重影响了整个网络游戏行业的健康发展。

数据合规问题频发

游戏行业在中国已经发展了20余载，但数据合规问题始终如影随形。当前，游戏企业在数据合规方面面临严格的监管环境，主要由国家网信办、工信部、公安机关以及国家市场监管总局等机构负责。这些监管机构依据个人信息保护法、网络安全法、消费者权益保护法、数据安全法以及《关键信息基础设施安全保护条例》等法律法规，对游戏企业的数据使用行为进行规范和监督。

根据智合安控APP安全合规可信平台的统计数据，自2019年起，在不足5年的时间里，因违规收集个人信息、频繁且过度索取权限、不当使用个人信息等问题，工信部和网信办等已公开通报近700款游戏APP，占所有被通报APP的10%。同时，近百款游戏APP遭到下架处理，占所有下架APP的9%。

广悦律师事务所主任、中国游戏产业研究院专家智库特约专家、广东省游戏产业协会专家杨杰曾有近20年的游戏行业法律服务从业经验。近日，他接受《法人》记者采访时称，游戏企业的技术部门对收集用户数据有强烈的需求，这往往成为数据不合规行为产生的根源。“在游戏产业整个链条中，数据被视为重要生产力。数据越多，越有利于为游戏企业提供精准的数据分析，从而优化产品和服务。”

精准的广告推荐，是提升用户转化率的关键手段。一些游戏企业通过收集用户的浏览记录、游戏行为、位置信息及消费习惯等多维度的个人数据，实现对用户行为的深入洞察。北京畅春互联科技有限公司为监管单位提供数据安全风险评估解决方案，该公司总经理陈泓汲介绍，这些数据能够为游戏企业构建用户画像，精准地向目标受众推送广告，进而实现成本效益的优化。但他强调，如果此类数据收集行为未经用户同意，可能触犯现有的数据保护法律法规。

智合安控（北京）科技有限公司合规总监白铭凯称，为了快速响应用户需求并持续优化游戏产品，技术人员必须尽可能收集用户信息，包括玩家上网浏览记录等。“可以说，游戏的迭代和创新需要不断有大量数据进行喂养。因此，游戏企业对数据的渴求巨大且迫切。”

游戏企业普遍法律意识不强，是导致数据不合规的重要原因。“大多数游戏公司属于民营企业，在合规方面的投入往往取决于合规问题对企业运营的实际影响。”据杨杰所述，目前只有少数大型企业和上市公司建立了完善的数据合规体系，而大多数游戏企业不仅缺乏这样的体系，也缺少专业的法务人员，导致企业内部员工对于个人信息保护法中“最小必要原则”的理解不够深入。

例如，为了增强玩家的代入感，一些游戏公司会开发与现实天气同步的功能。如果北京天气晴朗，北京玩家在游戏中也会体验到晴天；如果上海下雨，上海玩家的游戏页面也是雨天。“在这种情况下，一些游戏企业可能认为收集用户位置信息理所当然，但实际收集信息的精度应当有所限制，是否精确到城市的具体区域或具体建筑物要仔细斟酌。”杨杰说，如果游戏中包含这样的功能，收集用户所在城市的信息合理，符合最小必要原则，但收集信息的精度应当止步于城市层面，无需进一步精确到用户所在的具体建筑物，以免违反最小必要原则。

在获取玩家数据方面，游戏企业为了实现对玩家的定向推送，需要收集大量玩家数据。这些数据又从哪儿来？杨杰解释，主要有两种来源。“一种来源于企业自身开发的游戏。例如一家企业开发了多款游戏，当某款游戏接近尾声，玩家可能会流失。此时，企业可能会向玩家推送通知，告知他们企业新推出的另一款游戏，并邀请他们体验。这种做法可能存在法律风险，因为用户可能并未授权游戏企业向他们发送其他游戏的通知。”

另一种来源是，如果游戏企业只有一款游戏，缺乏足够的用户数据积累，他们可能会通过非法渠道购买用户数据，或者在某些应用程序中设置数据收集点，截取所有经过的数据。在这个过程中，用户往往并不知情。“这种购买用户数据的行为涉嫌违法。”杨杰说。

此外，广悦律师事务所高级合伙人张昌倩律师还提到数据处理过程中的违规现象。例如，一家大型游戏企业可能拥有多个子公司，子公司A负责收集玩家数据，子公司B进行数据分析，然后数据被子公司C使用。她解释说，从法律角度来看，这种行为不合规。“游戏公司在未经用户授权同意的情况下，即使是集团内部，也不能将数据流通给第三方。但在现实中，许多游戏企业都存在这样的问题，错误地认为只要集团收集了用户数据，就可以在集团内部共享和使用。”

少有巨额判赔案例

虽然游戏企业数据不合规问题十分严重，但目前相关的诉讼或行政处罚案例很少。尽管广东广州互联网法院是全国首个专门处理个人信息案件的法院，但至今没有游戏企业因数据不合规而受到法律制裁的案例。另外，自2007年中国首个关于游戏企业的判决公布以来，尽管出现了众多判赔案例，但鲜有游戏企业因数据不合规而遭受重大罚款的案例。

为何此类判赔案例较少？杨杰说，游戏用户的个人信息保护意识普遍较弱，很多时候他们并未意识到个人信息已被滥用，往往是在遭遇电信诈骗或信用卡被盗刷时，才意识到个人信息安全问题。由于取证难度大、维权成本高，大多数用户在个人信息泄露或被违规使用时，往往选择协商解决，而非法律途径。当游戏公司面临用户投诉时，通常也选择协商处理。“由于缺乏重大判赔案例，游戏企业既未遭受商誉损失，也未面临巨额罚款，因此，数据不合规的后果似乎并不严重，这在一定程度上助长了企业的侥幸心理。”

早期，游戏应用中的用户电子协议通常被称作“一揽子授权”。企业将所有希望收集或使用的数据类型全部列明在用户电子协议中，用户一旦点击同意，企业便拥有了广泛的数据使用权限，甚至一些游戏企业在用户电子协议中默认勾选所有选项，用户无须手动勾选，即可直接接受协议。

2018年，随着欧盟《通用数据保护条例》 （GDPR）的生效，一些有“出海”业务的中国游戏企业开始重视数据合规问题。在腾讯、网易等游戏行业的领军企业开始采取数据合规措施后，其他中型企业也纷纷效仿，以提升自身的数据合规水平。

2021年是中国数据合规元年，个人信息保护法和数据安全法生效，几乎所有游戏企业都对用户电子协议进行了重大更新，以适应新的法律要求。那段时间，杨杰团队忙于协助一些游戏企业调整用户隐私协议。杨杰称，根据个人信息保护法要求，对于敏感个人信息的收集和使用，需要获得用户的单独授权。而过去，这些条款往往被包含在一份用户隐私协议中一揽子处理，用户在注册时点击同意后便不再关注。现在，涉及身份证号码、银行账户等敏感数据的收集和使用，企业需要通过弹窗单独提醒用户，告知用户使用规则，并让用户选择是否同意。此外，涉及支付信息等敏感数据的使用，企业在使用前也必须通过弹窗让用户作出选择。“然而，从游戏设计者的角度来看，他们并不愿意在用户操作过程中设置过多的干扰选项，因为每次弹窗都可能导致一部分用户流失。但在合规的趋势下，这是企业必须要做的。”

“除了对弹窗机制的调整外，游戏企业还需要构建数据合规的架构体系，明确数据处理的法律关系，无论是委托处理行为还是数据提供行为，都必须在确立行为模式后，根据不同的模式，遵循个人信息保护法的规定，判断是否需要获得用户的单独同意以及签署配套的协议。”张昌倩说，“此外，过去游戏公司在用户协议中常常笼统地声明将数据传输给第三方，这种做法在新的法律环境下不再适用。个人信息保护法要求企业必须明确指出数据传输的具体对象，即第三方的名称以及数据传输的目的和用途。这样的要求提高了透明度，增强了用户对自己数据去向的了解。”

无须收集具体个人信息

在与记者的深入交流中，杨杰称，尽管现在游戏企业对数据合规的重视程度有所提高，但还远远不够。陈泓汲也表达了类似的观点，他提到，一些游戏平台在数据保护技术和管理措施上的投入不足，直接影响了数据安全防护能力。

杨杰建议，游戏企业应当严格遵守个人信息保护法对数据处理各个环节的要求。特别是在数据收集环节，必须根据个人信息保护法第十三条的规定，确保用户知情同意。

另外，游戏企业在数据收集过程中最容易犯的错误是违反最小必要原则，即在没有实际需求的情况下，出于某种冲动去收集用户数据。在与多家游戏企业深入交流后，他发现，这些游戏企业实际上并不真正需要那些包含个人信息的高风险数据。“从商业角度来看，这些数据对企业而言没有实际价值。”

陈泓汲认为，在一款游戏的整个生命周期中，企业对数据的收集应当持有一种敬畏心，要考虑到数据的敏感性和对用户隐私的保护。另外，游戏企业的管理层和员工都应该系统学习相关法律法规，提高法律意识和数据合规意识；建立健全数据保护和管理制度，明确数据收集、存储、使用的各个环节的责任和要求。

他建议，为了提升数据保护技术水平，企业可以采用先进的加密和防护措施，确保数据安全，定期对数据处理活动进行内部审计和风险评估，及时发现和纠正不合规行为。

编审｜王 婧

责编｜惠宁宁

校对｜张波 张雪慧