暖暖环游世界
4月6日,工信部通报了下架侵害用户权益的APP名单,60款APP未按照工信部要求完成整改,工信部将对这60款APP进行下架。其中包括叠纸游戏旗下《暖暖环游世界》、三七互娱旗下《屠龙破晓》、英雄互娱旗下《一起来跳舞》以及玩美的《全民千炮捕鱼》等多款游戏产品。
据查,目前以上游戏在华为应用商店、应用宝、TapTap等渠道应用商店均已处于下架状态。
游戏产品下架原因
根据工信部于3月11日公布的《关于侵害用户权益行为的APP通报(2021年第3批 总第12批)》显示,本次被下架的游戏产品违规问题主要在于:(1)违规收集个人信息;(2)APP强制、频繁、过度索取权限;(3)违规使用个人信息。下文将一一进行阐述。
1、违规收集个人信息
违规收集个人信息方面,主要在于私自收集个人信息和超范围收集个人信息。
私自收集个人信息,即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。
早在2020年,球球大作战就因私自收集个人信息而被通报。据查,在已禁止其相机访问权限的情况下,在游戏中点击上传照片,未获得用户授权访问相机权限,用户依旧可以上传照片。该种未获得用户授权同意,就开始收集个人信息的行为属于私自收集个人信息。
超范围收集个人信息,即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等。
如在游戏产品中并位置权限所对应的应用场景,游戏APP向用户索权位置权限,则属于超范围收集个人信息。
2、APP强制、频繁、过度索取权限
强制索取权限,即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。
如在《屠龙破晓》中,用户首次登陆时,则向用户索要访问“设备上的照片、媒体内容和文件权限”以及“获取设备信息”权限,当用户拒绝授权后,《屠龙破晓》将会提供用户“读写Sim卡是必要的权限,如不授予该权限将无法正常游戏”。根据国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅四部分最新发布的《常见类型移动互联网应用程序必要个人信息范围规定》,明确了网络游戏类的基本功能服务为“提供网络游戏产品和服务”,必要个人信息为:注册用户移动电话号码,《屠龙破晓》将读写Sim卡权限作为必要权限向用户索取的行为,则属于强制索权。
频繁申请权限,即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。
当用户明确表示不同意APP访问权限后,用户每次重新打开APP时,均询问是否同意APP访问收集该类权限,就属于频繁索取权限。
过度索取权限,即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。
如在《全民千炮捕鱼》中,用户首次登陆APP时,在无合理应用场景下,就向用户索取位置权限,该种情形则属于过度索取权限。
3、违规使用个人信息
违规使用个人信息主要在于将用户信息私自共享给第三方及强制用户使用定向推送功能两方面。
私自共享给第三方,即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、搜索使用习惯、常用软件应用列表等。
游戏公司对用户个人信息的使用应在用户的授权范围内,若用户未同意游戏公司将其姓名、联系方式、身份证号等个人信息共享给第三方,游戏公司擅自进行共享,则属于违规使用个人信息。
强制用户使用定向推送功能,即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。
强制用户使用定向推送功能也是互联网产品常见的问题,悟饭游戏厅、蓝舞者等多款产品均因强制用户使用定向推送功能而被通报。互联网产品使用个性化展示信息服务的,应为用户提供简单直观的退出或关闭个性化展示模式的选项。
合规建议
1、坚持最小必要原则收集用户个人信息
游戏产品不得收集与 App 所提供服务无关的个人信息,不得申请与 App 所提供服务无关的系统权限(即使用户可选择拒绝)。遵循最小必要原则,仅收集/申请与 App 业务功能有直接关联的个人信息类型/系统权限,并且在用户触发相关应用场景时方索要权限。不得因用户拒绝提供最小必要信息之外的个人信息而拒绝提供服务。
2、收集个人信息前需获得用户的明确授权
App 收集个人信息前向用户明示收集信息的目的、方式和范围,并征得用户同意。目前获得用户授权的方式主要有两种:一是要求用户同意隐私政策,二是以弹窗的形式索要权限。游戏产品应在用户首次登陆时以弹窗等显著的方式主动提示用户阅读隐私政策,展示隐私政策的主要或核心内容,帮助用户理解收集个人信息的范围和规则进而做出决定。
3、尊重用户的选择,不得频繁索取权限
游戏产品收集个人信息的频率应在 App 实现业务功能所必需的合理范围内。当用户拒绝权限申请后,除非该系统权限是用户主动触发的功能所必要,否则不应频繁申请或提示缺少相关权限,干扰用户正常使用。
4、严格按照用户的授权使用个人信息
游戏公司在使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得用户同意。游戏公司向第三方提供用户个人信息,应当征得用户同意,并与个人信息接收方订立安全协议,明确各方个人信息保护责任,要求个人信息接收方依法保护。
写在最后
而随着一系列的法律规定、政策的出台,互联网产品侵犯用户个人信息的处罚也越来越重,将会被予以罚款、约谈、警告、甚至是下架处罚。游戏企业应高度重视用户隐私和数据合规问题,以防因隐私问题导致游戏下架。任何游戏数据合规法律问题,可扫描下方二维码添加诺诚律师团队微信联系。
· The End ·