2024年9月30日,国务院正式发布《网络数据安全管理条例》(下称《条例》),该条例将于2025年1月1日起实施。
《条例》于2021年11月14日开始征求意见,历经了近3年,终于发布正式版本。正式版本与征求意见稿存在大量修订内容,比此前版本更贴合了近年的法律趋势和环境现状。
作为数据密集型行业的代表之一,《条例》的发布,意味着游戏公司将迎来新一轮的合规挑战。
接下来,就让我们一起看看,游戏公司在面对《条例》,应该注意什么。
*本文仅为笔者个人观点,不视为任何法律建议或法律意见。
一、数据管理义务加强
《条例》第二章“一般规定”部分主要涉及了网络数据处理者的数据管理义务,“网络数据处理者”的官方定义,是指在“网络数据处理活动中自主决定处理目的和处理方式的个人、组织”,也就是一般而言,游戏公司都属于“网络数据处理者”。
第二章中值得注意的内容,包括以下几点:
再次突出“等保”
第九条中规定了,“网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求”加强数据保护,且注明了前提是“在网络安全等级保护的基础上”。
意味着“等保”将会成为游戏上线(即开始处理用户数据)前的必备工作。
数据交换需要单独的合同或条款约定
第十二条规定了
网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。
游戏研发和运营公司存在大量的数据交换行为,甚至部分合作模式下,双方都能查阅用户数据库中的用户个人数据信息。
常规的游戏合作合同中,可能仅对相关数据归属方进行了约定,而缺少了《条款》所述的必要内容。
考虑到通常数据处理模式为一方收集用户个人信息,然后共享给另一方查阅、使用,符合“数据提供”的定义。因此可以考虑增加相应合同条款,甚至专门拟定一份《数据处理附件》,约定数据处理的具体细则,约束双方行为。
可“爬虫”,但不能“强爬”
第十八条约定了
网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
游戏运营时,可能要到其他网站收集用户评价、下载信息等数据进行市场分析,必然会涉及自动化工具收集数据的过程(俗称”爬虫“)。
以往对“爬虫”的合法性一直处于模糊地带,本条的发布意味着开了一个小口子,没有进行“一刀切”。
在“爬虫”前,需要评估对网络服务的影响,而就具体操作而言,个人认为不“拖库”,不爬崩别人网站,仅对公开信息进行收集和处理,行为风险程度就不算高,不会简单被认定侵权。
AI训练素材排敏
第十九条约定了
提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
这条有两个含义:
1. 训练数据安全保管,避免泄露;
2. 训练过程中,数据内容正确处理;
整体核心其实就是“数据排敏”,在收集AI训练数据时,就要做到排除敏感数据和敏感信息,避免在训练的过程中泄露数据,或被训练成模型数据,导致输出敏感信息。
对于打造个人专属模型(如个人助手等),当无法避免处理个人数据时,需要考虑专属LoRA模型,避免数据整体训练大模型后,个人数据被其他用户输出。
二、个人信息保护措施细化
第三章“个人信息保护”主要涉及了“个人信息保护”相关措施(有点废话),其中核心内容都在《个人信息保护法》中出现过,以下再强调一些值得注意的内容:
未成年人保护
第二十一、二十二条中,都特别注明了未成年人信息保护的内容。
第二十一条约定了,面向收集未成年人个人信息时“应当制定专门的个人信息处理规则”;
第二十二条约定了,“处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;”
两条结合来看,即要求游戏公司除了正常的《隐私政策》外,还应当另外制定一份《未成年人隐私政策》供未成年用户同意勾选。
当用户身份信息验证表明其低于14岁时,还需要父母或其他监护人同意才能完成注册过程。
题外话:
这里其实有个Bug。
收集未满14岁用户的个人信息需要监护人同意,但获取年龄信息的过程其实已经属于“数据收集”(数据处理)。
游戏公司也可以考虑先做一个前端验证,未满14岁则需要开始监护人验证过程,满了14岁才会开始传输身份证数据,尽量来避免这个Bug。
快捷撤回同意
第二十三条约定了用户可以随时要求变更个人数据和撤回同意、销号等,网络数据处理者应当及时处理,提供便捷办法,不得设置不合理条件阻碍变更。
部分运营公司用户SDK可能仍存在只能收集(注册账号)和展示(显示注册信息)的功能,缺少变更、修订、删除用户信息的功能。因此可以考虑增加SDK的相关功能,或设置表单、客服或其他便捷方式,允许用户变更自己的个人信息。
但本条并没有特别约定账号的核心个人信息,如绑定的手机、身份证信息等,是否可以快捷变更。
如认为属于一揽子可变更信息的,则可能变相出现“允许用户卖号(改绑改实名)”以及“成年人改未成年后申请退款”等情况,对游戏公司颇为不利。
游戏公司也可以考虑变更策略和变更审查方案,在避免违反“快捷变更”的前提下,探索“合理变更”的可能性。
爬虫脱敏或匿名化
第二十四条再次提及了“爬虫”的内容,认为当爬虫不可避收集到个人信息时,需要进行脱敏或匿名化处理,可见,官方再一次肯定了“爬虫”是可操作的。
然后如何判断“爬虫”结果存在个人信息,游戏公司可以考虑设置算法,审查爬虫结果。
目前AI技术大力发展,游戏公司也可以考虑结合本地 AI (使用在线AI可能存在侵犯个人信息或违规传输个人信息的问题)来进行处理。
重要数据处理者义务
当网络数据处理者处理1000万人(应为在库总计)以上个人信息时,则成为重要数据处理者,需承担更多的责任与义务。
需要设计预案;在与他方合作处理个人信息时,需要提前评估;每年还需要向以上有关主管部门报送风险评估报告。
三、网络数据允许跨境的情况细化
部分个人数据传输不需要申请评估
第三十五条约定了,只要符合以下情况之一,即可向境外传输个人信息:
(一)通过国家网信部门组织的数据出境安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)符合国家网信部门制定的关于个人信息出境标准合同的规定;
(四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
(六)为履行法定职责或者法定义务,确需向境外提供个人信息;
(七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
(八)法律、行政法规或者国家网信部门规定的其他条件。
第四五六七项即为无需前置审批出境的情况。
此外,第三十七条也约定了,我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,也可以按照其规定执行。
这两条优化了数据出境评估的审批情况,当游戏公司遇到要和境外公司、个人合作,需要提供公司内部员工的个人信息时,无需再进行评估。
但提供游戏用户个人信息时,仍需要进行出境评估。
题外话:“墙塌了”
对比21年征求意见稿,正式版本删除了以下内容:
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
《征求意见稿》
部分人将其解读为“墙将在25年解除”。
但个人认为,这并不正确。
正式版本中,这条的内容改成了:
第三十九条 国家采取措施,防范、处置网络数据跨境安全风险和威胁。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支持或者帮助。
在表述上,只是进行了一定模糊处理,但核心内容依然没有变化。
同样会采取措施来“防范数据跨境安全风险和威胁”;
同样不允许任何人提供“避开措施的程序和工具”。
过往的表述说实话有点直白,当前的描述“恰到好处”。
四、平台义务
除了游戏研发、运营等直接处理用户数据的角色外,游戏平台也被设置了相应的义务。
游戏违规,平台遭殃
第四十条规定了平台有义务督促上架产品遵守数据安全义务,如第三方违规时,平台也要承受处罚:
第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。
因此第四十一条授予了平台拥有核验权,当发现上架产品存在违规内容时,可以直接予以采取警示、不予分发、暂停分发或者终止分发等措施。当平台采取以上方式终止合作时,可不被认定违约。
鼓励使用国家网络身份认证公共服务
第四十三条提及了,国家推动网络身份认证公共服务建设,引导用户使用,鼓励网络平台服务提供者支持用户使用。
此前国家网络身份认证公共服务,即“网证”“网号”讨论得沸沸扬扬,有兴趣的读者朋友也可以浏览:
以后身份认证不用输入身份证了?| 《国家网络身份认证公共服务管理办法(征求意见稿)》发布
虽然仅仅是征求意见稿,但考虑到近期官方对网络误解信息进行辟谣,以及本次《条例》中再次提及相关内容,可见“网证”“网号”的上线必然是板上钉钉。
虽然目前仍不是强制性规定,但游戏平台、运营方也可以开始提前考虑如何接入相关认证API,考虑预留功能接口,以早日尝鲜。
五、总结
监管、处罚部分值得讨论得不多,只需要了解网信、公安、国安是监管单位,以及处罚是最高200万元即可,也是常态处罚范围了。
《网络数据安全管理条例》的出台,无疑对游戏行业提出了更高的数据安全要求。然而,这不应该被视为单纯的合规负担,而是推动行业良性发展的重要契机。
游戏公司应该积极应对,将数据安全保护融入业务发展的全过程,既保障用户权益,也为公司的长远发展奠定坚实基础。
在数字化浪潮中,数据安全将成为企业核心竞争力的重要组成部分。那些能够在新规实施前做好充分准备的游戏公司,不仅能够顺利度过合规过渡期,还有望在未来的市场竞争中占据先机。
因此,游戏公司应当未雨绸缪,及早开始合规准备工作,以积极主动的态度迎接数据安全新时代的到来。
北京市隆安(广州)律师事务所律师、隆安湾区人工智能法律研究中心高级顾问。具有近十年互联网法律实务经验,曾先后为创业板上市互联网企业、全国互联网综合实力 50 强企业、互联网快时尚零售独角兽等互联网企业提供法律服务,擅长办理互联网类企业诉讼与合规业务,擅于通过计算机技术手段深度挖掘证据。
您可以通过以下方式联系我: 电子邮箱:liboyang@lslby.com 微信号:legal-lby