個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務

  21世紀經濟報導 記者諸未靜 蔡姝越 吳立洋、實習生張曉鳳 上海 廣州報導

  我國《個人資訊保護法》於2021年11月1日起施行。法律明確了個人資訊處理活動中的權利義務邊界,以「告知—同意」為核心原則對平臺進行個人資訊處理予以規范。

  為了解企業在個人資訊保護方面的落實情況,南方財經合規科技研究院基於《個人資訊保護法》與《APP違法違規收集使用個人資訊行為認定方法》的相幹條款,對平臺的個人資訊保護合規進行系列測評。測評含告知、撤回同意、第三方處理者單獨告知、敏感個人資訊、未成年人個人資訊、數據可攜帶權、資訊控制權、個人保護資訊負責人這8大方面共18個測評項,測評總分為100分。

  需要特別說明的是,與此前社交資訊類、娛樂類、電商生活類APP測評標準不同,由於大多數遊戲不含有個性化推薦選項,本次20款手遊APP測評中並未設置這一方面的測評項。而依據近期不斷升級的遊戲未成年人保護機制,本次測評提高了遊戲未成年人個人資訊保護的分值比重。

  依據用戶量與功能差異等因素,測評選取了20款手遊類APP進行個人資訊保護合規實測。結果顯示,《陰陽師》《王者榮耀》《和平精英》《當個創世神》《LOL手遊》《夢幻西遊》《哈利波特魔法覺醒》7款APP得分在80分以上,對個人資訊進行了高等級保護。《劍與遠征》《少年三國志:零》《明日方舟》等13款APP得分在60分至80分,合規程度處於中等級。《江南百景圖》在20款手遊類APP中得分最低,為62分。

個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務 交友軟體 第1張

  (圖說:20款手遊APP個人資訊保護合規測評。制圖:張曉鳳。)

  從高頻合規問題來看,15款手遊類APP存在個人資訊授權撤回同意步驟過於繁瑣的問題,《開心消消樂》《當個創世神》《球球大作戰》等遊戲甚至無法在APP內撤回個人資訊。此外,《摩爾莊園》《夢幻西遊》《江南百景圖》等15款APP在新用戶註冊後並未立即在彈窗中給出第三方SDK服務商目錄。

  得肯定的是,在未成年人資訊保護方面,19款受測手遊類APP設有專門的未成年人隱私保護專章,詳細說明了未成年人的個人資訊處理規則。而合規科技研究員在查閱《原神》APP內提供的隱私政策時發現,米哈遊僅給出了未成年人保護政策的相幹章節,在章節中並未對如何保護未成年人的個人資訊作出具體說明。

  顯著問題1:撤回同意步驟繁瑣,僅有5款回撤步驟少於4步

  《劍與遠征》關閉照片權限需5步,《球球大作戰》等完全沒有回撤選項

  撤回同意主要是指用戶在授予APP相幹個人資訊的采集、處理權限後,能否在APP內實現對相幹授權同意的撤回。《個人資訊保護法》第十五條規定:「基於個人同意處理個人資訊的,個人有權撤回其同意。個人資訊處理者應當提供便捷的撤回同意的方式。」

  結合日常手遊APP使用經驗,測評員將該法條拆分為「是否提供撤回自主同意相幹功能」與「撤回同意是否便捷」兩個子測評項,前者主要查驗APP是否在設置、隱私協議等頁面提供停止個人資訊相幹授權的門路,後者參照《APP違法違規收集使用個人資訊行為認定方法》關於「如進入APP主界面後,需多於4次點擊等操作才能拜訪到,則可被認定為‘未公開收集使用規則’」進行界定,即打開APP後如經過四次點擊後仍無法進行個人資訊授權情況的修改,則視為不便捷。

  合規科技研究員在測評20款手遊類APP時發現,僅《王者榮耀》《和平精英》《陰陽師》《LOL手遊》《原神》等5款APP的撤回同意步驟小於4次點擊。研究員實測發現,《LOL手遊》內個人資訊撤回步驟皆控制在4步以內。以關閉「定位服務」為例,其撤回路徑為「設置(圖標)」-「其他」-「定位服務(開/關)」,僅3步便可直接跳轉至系統設定界面。在《原神》的撤回消息提示時,其撤回路徑為「派蒙(頭像)」-「設置(圖標)」-「消息」-「開關」,控制在4步之內。

個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務 交友軟體 第2張

  (圖說:《LOL手遊》中的個人資訊撤回步驟較為清晰明確,點擊「設置(圖標)」-「其他」,便可撤回照片、麥克風、定位服務、通知等系統功能。截圖時間為11月12日。)

  而其餘的16款樣本,皆存在個人資訊撤回步驟大於4次或者完全沒有回撤選項的問題。當測評員想要關閉《劍與遠征》的照片權限時,其路徑為「我(遊戲內頭像)」-「設置」-「隱私權限」-「照片權限」-「前往設置」,撤回步驟共計5步。

  更嚴重的問題是,《球球大作戰》《明日方舟》《江南百景圖》《哈利波特魔法覺醒》等APP完全沒有提供回撤選項。舉例而言,在《開心消消樂》的APP內,包括「隱私設置」多個路徑都找不到麥克風和地理位置的回撤選項。《明日方舟》《江南百景圖》等多款APP的設置中,也幾乎不涉及任何關於系統權限和個人資訊處理相幹的選項。

個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務 交友軟體 第3張

  (圖說:《球球大作戰》中的「語音設置」中,選擇關閉語音後,並不會跳轉到系統設定頁面關閉麥克風授權。截圖時間為11月12日。)

  顯著問題2:僅有5款在初次開啟後的彈窗中給出第三方SDK服務商目錄

  《原神》《球球大作戰》等9款無明確處理方式,《明日方舟》未提供資訊類型

  大部分APP在實際運行中為了保證相幹功能的實現或數據分析等其他商業目的,往往會向第三方合作者提供用戶的個人資訊。這些第三方應用、服務嵌入App中,不知不覺地收集個人資訊,存在諸多隱患。

  《個人資訊保護法》第二十三條規定:「個人資訊處理者向其他個人資訊處理者提供其處理的個人資訊的,應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人資訊的種類,並取得個人的單獨同意。」最近,工信部資訊通訊管理局就《關於開展資訊通訊服務感知提升行動的通知》進行解讀,其中提到,為了讓用戶清晰掌握個人資訊在APP、SDK(軟體開發工具包)及其他第三方間的共享情況,工信部要求企業在二級菜單中列出APP與第三方共享的用戶個人資訊基本情況,包括與第三方共享的個人資訊種類、使用目的、使用場景和共享方式等。

  鑒於實測的可操作性,本次測評主要考察APP的SDK資訊披露和單獨同意情況。在具體測評中,本次測評將法規要求劃分為「是否列明第三方處理者相幹資訊」與「是否獲取用戶單獨同意」兩項,前者主要查驗APP是否在隱私協議或單獨名單中完整列舉其所包含的第三方資訊處理者及其目的、處理方式聯繫方式等;後者則查驗APP是否通過初次開啟後彈窗等方式,明確提出存在向第三方處理者提供用戶資訊的情況,並給出相幹名單鏈接征求用戶同意。

  結果顯示,20款受測APP中,僅有《王者榮耀》《和平精英》《陰陽師》《當個創世神》《LOL手遊》這5款在初次開啟後的彈窗中明確向用戶展示第三方處理者提供用戶資訊的情況,並給出第三方SDK類服務商目錄。

  值得一提的是,相比於南財合規科技研究院系列測評中已完成的社交資訊、娛樂、電商類APP,此次樣本中的20款手遊均在隱私政策中列明了單獨的SDK服務商目錄。

  不過,《原神》《球球大作戰》《劍與遠征》《閃爍暖暖》《戀與制作人》《鬥羅大陸:武魂覺醒》《小花仙》《少年三國志·零》《江南百景圖》等無明確列明處理方式。《明日方舟》未提供第三方個人資訊處理者收集的資訊類型和處理方式。

  顯著問題3:數據可攜帶權難落實,僅陰陽師等4款同時提供個人資訊副本和轉移服務

  《陰陽師》《原神》等7家僅提供個人資訊副本,《當個創世神》《夢幻西遊》4款提供個人資訊轉移服務

  數據的可攜帶權是在《個人資訊保護法》三審稿中加入的條款,其第四十五條規定,「個人有權向個人資訊處理者查閱、復制其個人資訊……個人請求查閱、復制其個人資訊的,個人資訊處理者應當及時提供。個人請求將個人資訊轉移至其指定的個人資訊處理者,符合國家網信部門規定條件的,個人資訊處理者應當提供轉移的門路。」

  與該概念相幹的法規最早落實於歐盟2018年頒布的《通用數據保護條例》,初衷是大批資訊壟斷與不充分競爭的格局,促進資訊共享流動,但在具體實踐中存在適用範圍不明確,不同數據模式之間難以互通,數據安全缺乏有力保障等難點,目前各國都還在摸索其具體落實門路。

  本次測評從推進制度與規則建設的角度出發,主要考察APP是否在隱私協議中對數據可攜帶權的相幹要求做出規定,具體查驗其「是否提供用戶獲得個人資訊副本的門路」與「是否提供個人資訊轉移的服務」。此外,少量APP直接提供了生成個人資訊服務的功能按鈕,該方式也計為得分。

  測評發現,《陰陽師》《原神》《江南百景圖》《少年三國志:零》等7款遊戲在隱私政策中明確了用戶對其個人資訊的「復制權」。例如,若要在《原神》中獲取個人資訊副本時,可以通過應用內「帳戶界面(遊戲等級)-帳戶-用戶中心」界面,進入「米哈遊通行證帳號系統」界面,進行查詢並獲取副本。

  但可攜帶權的另一維度——個人資訊的轉移服務,執行的情況則不容樂觀。受測的20款APP中僅有《陰陽師》《當個創世神》《夢幻西遊》《哈利波特魔法覺醒》這4款APP在隱私政策中提到為用戶提供將個人資訊轉移的服務。

  令人驚喜的是,合規科技研究員在實際測評過程中發現,受測手遊類APP所屬的公司中,網易、騰訊、阿裡特別設置了獨立的個人資訊保護平臺,即用戶可以在專屬的平臺網頁上尋找單一APP的隱私政策。在網易提供的個人資訊保護平臺中,向用戶提供了查閱、復制、撤回、轉移等處理個人資訊方式的操作路徑以及咨詢的聯絡方式。

個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務 交友軟體 第4張

  (圖說:網易用戶個人資訊服務平臺。截圖時間為11月12日。)

  而騰訊旗下的隱私保護平臺上,除了對騰訊旗下產品的整體隱私政策做出了詳細說明,也給出了旗下部分產品(如《王者榮耀》)的產品隱私管理指引。

個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務 交友軟體 第5張

  (圖說:騰訊隱私保護平臺。截圖時間為11月12日。)

  靈犀互娛的母公司阿裡也設置有專門的隱私保護平臺,不過並未將旗下手遊產品的隱私政策納入其中。

個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務 交友軟體 第6張

  (圖說:阿裡隱私平臺。截圖時間為11月12日。)

  顯著進步:20款手遊均承諾會征得監護人同意後再對未成年人的資訊進行收集

  《兒童/青少年個人資訊保護政策》對於未成年用戶和其監護人來說,不僅具有告知他們遊戲公司將如何處理未成年人私人資訊的效能,也是他們用以監督遊戲公司規范化保護未成年人的一道準則。

  遊戲公司應如何妥善保管未成年人的個人資訊?《個人資訊保護法》第三十一條中明確指出,「個人資訊處理者處理不滿十四周歲未成年人個人資訊的,應當取得未成年人的父母或者其他監護人的同意。個人資訊處理者處理不滿十四周歲未成年人個人資訊的,應當制定專門的個人資訊處理規則。」

  今年7月,長期關註未成年人保護的南方財經合規科技研究院以保護未成年人為出發點,借由模擬未成年人手遊使用情景的方式,從事前同意、防沉迷系統應用、遊戲充值退款、事後補救等方面對市面上未成年人高頻使用的20款手遊APP進行測試和打分。

  專題頁:聚焦 | 20款手遊未成年人保護機制測評

  測評結果顯示,20款APP在未成年人個人隱私保護方面主要存在監護人缺乏知情權、沒有設置單獨的未成年人保護章節、客服反饋效率低下等問題。而以上提及的問題在本次測評中均有一定程度的改善。

  首先是收集未成年人的個人資訊時是否取得監護人的同意的問題。《中華人民共和國未成年人保護法》第五章網路保護總第七十一中明確指出,未成年人的父母或者其他監護人應當提高網路素養,規范自身使用網路的行為,加強對未成年人使用網路行為的引導和監督。此次測評結果顯示,20款APP均在隱私政策的開頭或未成年人保護章節中對監護人應履行的監督義務作出了詳細說明,並表示會在會征得其監護人的同意後再對未成年人的資訊進行收集。

  是否有專門的未成年人資訊處理規則,也是本次測評對各廠商的未成年人個人資訊保護的考察項之一。此次受測的20款手遊類APP中,全部設置了單獨的未成年人保護章節。令人欣慰的是,其中有19款APP單獨撰寫了兒童個人資訊保護專章。值得一提的是,米哈遊旗下《原神》手遊APP內2021年9月17日更新的隱私政策中雖然僅列出了未成年人保護章節,且章節中沒有對如何保護未成年人的個人資訊作出具體說明,但其在官網2021年11月1日更新的隱私政策的附件中,詳細列出了兒童資訊及隱私保護政策。雷霆遊戲的《摩爾莊園》在官網更新的隱私政策及青少年隱私政策生效時間為2021年8月4日,但測評員在APP內尋找到的隱私政策的更新和生效時間都為2021年4月20日。

個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務 交友軟體 第7張

  (圖說:《原神》APP內9月17日更新的隱私政策在未成年人保護章節中並未對如何保護未成年人的個人資訊作出具體說明。截圖時間為11月12日。)

個人資訊保護合規測評④丨20款手遊APP:開心消消樂、球球大作戰無法在應用內撤回同意,僅4款提供個人資訊副本和轉移服務 交友軟體 第8張

  (圖說:摩爾莊園內的《雷霆遊戲用戶隱私政策》更新和生效時間為2021年4月20日。截圖時間為11月10日。)

  在本次測評中,有16款手遊APP內的兒童個人資訊保護政策中均提到設立了專門的未成年人保護團隊,可以通過專用電話、電子信箱、線下郵寄等方式進行聯繫。其中,騰訊、網易、樂元素、鷹角網路等公司旗下的遊戲在兒童個人資訊保護政策中聲明設有專門的兒童資訊保護負責人。而靈犀互娛旗下手遊《三國志幻想大陸》以及椰島遊戲旗下手遊《江南百景圖》的APP內的隱私政策和兒童個人資訊保護政策中均未提到相幹資訊。

  南財合規建議

  1. 加強未成年人個人資訊保護建設

  在網路高度發達的現代社會,未成年人個人資訊網路保護面臨重重挑戰。由於未成年人心智尚未成熟,個人資訊保護意識相對淡薄,加之智能設備的不斷普及,「觸網」年齡越來越低,未成年人的個人資訊很容易被過度采集。在隱私政策中,應明確未成年人的個人資訊收集範圍、類型、目的意圖等,並提高監護人的知情權,合理合規地獲取、存儲和使用未成年人個人資訊。在實際執行過程中,可建立專屬的未成年人個人隱私保護團隊,將責任落實到具體部門和負責人。

  2. APP內個人資訊撤回步驟應簡化、明確

  對於相機、位置資訊、麥克風等系統功能授權的撤回同意,APP內可設權限管理專區,並明確在何種場景下使用及用以哪些目的等。為實現便捷性的要求,關閉授權的點擊步驟不應超過4次,建議在應用內可直接關閉。

  3. 第三方SDK收集資訊應取得用戶單獨同意

  第三地契獨告知問題方面,目前大多數APP都在隱私政策中提供了第三方SDK資訊收集的單獨列表,應對當前未落實的處理方式進行明確告知。在取得個人的單獨同意上,可在首次開啟APP的彈窗中設計。

  4. 個人資訊可攜帶權亟待落實

  對於用戶的個人資訊可攜帶權,APP應在隱私政策明確列明《個人資訊保護法》中賦予用戶的權利,並提供實現路徑。企業應為此提供專門的聯繫方式獲取或在APP內設計直接獲取導出按鈕。

  •   測評補充說明

  測評時間:11月9日至11月11日

  APP所測版本(括號內為隱私政策更新或生效時間):

  IOS版:王者榮耀3.71.1.6(2021.10.29)、和平精英1.15.13(2021.10.29)、開心消消樂1.100.2(2020.12.14)、陰陽師1.7.33(2021.11.01)、摩爾莊園1.1.21101303(2021.04.20)、當個創世神1.24.19.14583(2021.11.01)、球球大作戰14.2.9[700164013](沒有公布更新或生效時間)、LOL手遊v2.5.1.5047(2021.10.29)、原神CNRELiOS2.2.0_R4705718_S4715326_D4715326(2021.09.17)、劍與遠征lilith_official:1.75.01 v1.76.02.198751 6516 76.01 F(2021.08.10)、鬥羅大陸:武魂覺醒1.0.147(2021.07.19)、哈利波特魔法覺醒1.0.20451(2021.11.01)、三國志幻想大陸2.3.1(2021.05.19)、少年三國志:零1.0.10028(2021.07.28)、江南百景圖1.5.3(2021.09.13)

  安卓版:夢幻西遊1.346.0(2021.11.01)、小花仙4.0.9(2021.09.28)、閃爍暖暖2.0.870258-2(2021.10.29)、戀與制作人1.16.0923[287-457316](2021.10.29)、明日方舟1.6.01(2020.11.11)

  出品:南方財經全媒體集團合規科技研究院

  統籌:曹金良

  研究員:諸未靜 蔡姝越 吳立洋 張曉鳳(實習生)

  更多內容請下載21財經APP

About 小秘書 33581 Articles
不用擔心找不到好對象,戀愛小秘書 - 娜米 會根據您的喜好和條件,幫您安排與理想對象一對一排約、聯誼、交友友活動,現在就加入娜米的LINE_ID:erostp