实名制要求下，游戏企业如何落实个人信息保护制度

实名制要求下，游戏企业如何落实个人信息保护制度

《你的法律》是手游那点石与光悦杨杰律师团队联合推出的游戏相关法律知识栏目。 本专栏聚焦当前游戏市场最受关注的法律问题。 由杨杰律师团队牵头。 资深律师提供法律解释。

在《游戏法律法规》第101期中，杨杰律师团队将为您带来——《实名制要求下游戏企业如何落实个人信息保护制度》。

2021年8月30日，国家新闻出版总署发布《关于进一步严格管理有效防止未成年人沉迷网络游戏的通知》，要求严格执行网络游戏用户账号实名注册和登录要求，禁止以任何形式向不实名人士举报。 游戏服务是为注册、登录的用户提供的。 《通知》一出，就得到了腾讯、网易、米哈游等多家游戏公司的积极响应。 2021年9月23日，中国音像数字出版协会游戏出版工作委员会联合213家游戏企业联合推出《通知》《网络游戏行业防沉迷自律公约》，坚决落实实名认证要求。

（图片来自中国音乐与数字协会游戏工作委员会公众号）

随着游戏实名制的进一步推广，企业在游戏运营过程中会看到个人信息“量”骤增。 与此同时，这样的声音依然存在。 为进一步落实防沉迷要求，保护未成年人，游戏公司应同步落实“人脸识别”政策。 实践中，一些企业为了落实未成年人保护政策和健康管理需求，也推出了人脸识别验证系统。

这一规范要求和措施在要求游戏企业有效落实防沉迷要求的同时，也将给游戏企业在收集、处理和存储个人信息的过程中带来“质的”挑战。

一、严格的个人信息保护要求以及游戏企业个人信息保护面临的挑战

2021年，两部关于个人信息保护和数据安全的重要法律——《数据安全法》和《个人信息保护法》在这一年相继颁布实施，这意味着我国的个人信息保护逐渐进入了一个新的阶段。法律和法律依据。 在法律合规阶段，个人信息保护和数据安全已成为国家关注的重要问题。 近年来，监管机构持续开展针对侵犯个人信息权行为的专项整治行动； 个人用户的维权意识也逐渐增强。 例如，根据工业和信息化部信息通信管理局9月23日发布的最新一批2021年《APP关于侵犯用户行为的通知》，其中部分应用程序中包含收集个人信息的游戏应用程序。违反规定、超出范围的。 收集个人信息或者强行、频繁、过度索取信息权限并被要求限期改正。

实践中，仍然存在大量游戏公司对用户个人信息保护意识淡薄，极易诱发严重的个人信息保护危机：

1、个人信息收集、处理程序不规范

一些游戏公司未能实现用户个人信息收集、处理的合规要求，在收集、使用信息时未告知用户或未经用户同意而收集用户信息。 经过我们的了解，我们发现目前很多游戏公司都没有隐私政策，或者他们的隐私政策非常简单，不符合法律规定。

2、个人信息安全的挑战

在实名制要求下，游戏公司收集了大量的用户信息，其中大部分信息具有很强的可识别性。 然而，对于大多数中小游戏公司来说，是否有足够的能力和意识来正确、安全地存储和保存所收集的用户信息仍然是一个严重的问题。 这些个人信息一旦泄露，可能会造成严重后果。

3. 非法使用个人信息

除了对能否妥善存储和保管个人信息的质疑之外，鉴于个人信息巨大的商业价值，一些公司会将收集到的个人信息用于其他目的，例如游戏购买、公会推广甚至出售给其他人。 滥用和非法使用个人信息。

因此，如何正确收集、使用和存储游戏实名制要求带来的大量个人信息将成为游戏公司的必修课。

2、游戏实名制要求下的个人信息保护合规要求

（一）实名制要求的个人信息内容

在遵守实名制带来的个人信息之前，我们首先要了解游戏公司因实名制的要求而收集了哪些个人信息。

《关于进一步严格管理有效防止未成年人沉迷网络游戏的通知》严格执行网络游戏用户账号实名注册登录要求，不得向未注册登录的用户提供任何形式的游戏服务用他们的真实姓名。 为了完成实名注册和登录要求，实践中一般需要用户提供真实姓名和身份证信息进行验证。

因此，在实名制的要求下，游戏公司至少拥有用户的真实姓名和个人身份证号码。 此外，根据不同游戏公司的账户注册要求以及用户的游戏充值行为，游戏公司还可能收集用户的手机号码、充值支付的银行卡记录、消费订单记录等信息。

此外，为了进一步完善防沉迷系统，达到保护未成年人的目的，一些公司还采取了更为严格的健康防护制度，并利用人脸识别来验证疑似未成年人的用户。 在此过程中，游戏公司也会收集用户的相关面部信息。

（截图来自腾讯健康系统规定）

（二）游戏企业个人信息处理合规要求

《个人信息保护法》于2021年8月20日正式公布，并将于2021年11月1日起施行。该法全面规定了个人信息处理规则、个人在信息处理活动中的权利以及个人信息的义务处理器。 它将成为未来个人信息权益保护和规范个人信息处理活动最重要的指引。

鉴于《个人信息保护法》将个人信息分为个人信息和个人敏感信息，并对不同类型的信息提出了不同的合规要求，在明确游戏企业处理个人信息的合规要求之前，我们首先明确一下游戏公司涉及的个人信息的类别。

一、游戏公司收集的个人信息的分类

《个人信息保护法》第四条规定：个人信息是指以电子或者其他方式记录的与识别出或者可识别的自然人有关的各种信息，不包括匿名信息。

第二十八条规定：个人敏感信息是指一旦泄露或者被非法使用，容易导致自然人人格尊严受到侵犯或者危及人身、财产安全的个人信息，包括生物识别、宗教信仰、特定身份、医疗信息等。健康、金融。 十四周岁以下未成年人的账号、行踪等信息以及个人信息。

除了《个人信息保护法》的原则性规定外，《信息安全技术个人信息安全规范》国家标准GB/T 35273-2020详细列出了个人信息和个人敏感信息。

（截图来自《信息安全技术个人信息安全规范》国家标准GB/T 35273-2020）

如上所述，在游戏公司实名制要求下，游戏公司收集的用户真实姓名、手机号码等属于个人信息，而个人身份证信息、银行卡、充值记录、面部信息等. 是敏感的个人信息。

2. 个人信息处理合规要求

根据《个人信息保护法》，敏感个人信息比个人信息处理原则更为严格。 除了满足个人信息保护法律的基本要求外，敏感个人信息还需要满足额外的要求。 经过我们的总结，个人信息保护法关于个人信息处理的具体原则和要求如下。

三、游戏公司如何实施个人信息保护制度

在游戏实名制的压力下，面对复杂的个人信息监管格局和日益收紧的监管政策，游戏企业应增强个人​​信息保护意识，建立企业个人信息保护标准。 根据游戏行业现状以及相关法律法规和个人信息保护要求，我们为游戏企业完善实名制要求下的个人信息保护制度实施提供以下建议和意见：

（一）完善“告知+同意”流程

根据《个人信息保护法》规定，个人信息的收集、使用应当遵循“告知+同意”的原则，并须符合以下要求：

1、取得个人明确同意；

2、如果基于个人同意处理个人信息，该同意应是个人在充分知情的情况下自愿、明确地做出的；

三、个人信息处理者在处理个人信息前，应当以显着的方式、以清晰易懂的语言，真实、准确、完整地告知个人“处理个人信息的目的和方式、处理的个人信息类型、保存期限”。 ”。 等待;

4、法律、行政法规规定处理个人信息需要征得个人同意或者书面同意的，从其规定。

因此，游戏企业在实施实名制之前，必须明确告知用户收集个人信息的目的和处理要求，并征得用户的同意。 由于涉及身份证等敏感信息，这部分信息应单独征得用户的同意。

（快乐消消乐截图）

（二）所收集的信息不得用于防沉迷以外的目的

鉴于游戏公司收集个人实名信息是基于《关于进一步严格管理有效防止未成年人沉迷网络游戏的通知》的要求，因此，实名信息的收集仅应用于满足防沉迷和未成年人保护的要求。 不得将其用于保护人类所需以外的任何目的。

游戏公司如需要将这部分信息用于其他用户，应明确告知用户并征得用户同意。 同时，目的必须满足最低限度的必要原则。

（三）落实信息存储的安全机制和保障措施

《个人信息保护法》第九条规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施，保证所处理的个人信息的安全。 游戏企业可以采取以下措施，确保所收集的个人信息的安全，防止个人信息被未经授权的访问以及泄露、篡改和丢失：

1、制定内部管理制度和操作规程；

2、对收集的个人信息进行分类和管理；

3、采取适当的加密、去标识化等安全措施；

4、合理确定员工处理个人信息的操作权限，定期对员工进行安全教育和培训；

（四）尽快对个人信息进行“去标识化”

加密和去标识化是保障个人信息安全的重要方式之一。 结合《个人信息保护法》、《信息安全技术个人信息安全规范》等相关规定的要求，游戏企业可以采用以下方式收集个人信息。 进行“去识别化”处理。

1、游戏公司收集个人信息后应立即进行去标识化处理；

2、游戏公司应采取技术和管理措施，将可用于恢复个人的信息与去标识化信息分开存储，授权权限分开管理；

3、如涉及通过界面（如显示屏、纸张）展示个人信息，应对展示的个人信息采取去标识化等措施，降低展示过程中个人信息泄露的风险。

（五）符合法律法规规定的保存期限和要求后，及时对信息进行匿名化或删除。

游戏公司收集的个人信息不应永久保存。 个人信息应当按照相关法律规定及时主动删除或匿名化处理：

1、已达到法律规定的最短储存期限要求；

2、游戏产品已停止运营且已超过法定保留期限；

3、用户账户注销或撤销授权后。

目前，网络游戏行业对个人信息的存储期限尚无明确、直接的规定。 但根据《网络游戏管理暂行办法》（已失效），规定了网络游戏用户购买记录的存储要求：存储期限自用户开始算起不得少于180天从上次收到服务时算起。 贮存期限要求参照本规定。

（六）“人脸验证”机制的特殊合规要求

由于“人脸”信息属于敏感个人信息，游戏公司若采用“人脸”验证，需要特别关注以下合规要求：

1、“人脸”等个人信息的收集必须严格限定“人脸”验证的范围和目的。 不宜扩大验证范围和频率，且验证信息不得用于游戏健康管理以外的其他目的；

2.在验证过程中，需要遵守以下要求：

（一）仅存储个人生物识别信息的概要信息；

（二）直接在采集终端中使用个人生物识别信息实现身份识别、认证等功能；

（3）使用人脸识别功能实现身份识别、认证等功能后应立即删除。

【关于我们】

广悦律师事务所互联网与数字经济部是广悦律师事务所专门为互联网和数字经济提供法律服务而设立的部门。 我们的团队专注于投融资并购、数字产品合规评估、侵权纠纷解决等，致力于提供定制化、优质、全方位的法律服务。 团队自成立以来，已为100多家国内外互联网企业提供了股权设计、投融资并购、数字产品合规评估、侵权纠纷解决等创新业务解决方案。 客户类型包括综合互联网公司、网络游戏公司、互联网直播公司、互联网广告公司、互联网营销公司、电子商务公司、互联网金融公司等各类互联网公司。