《法人》全媒体记者 姚瑶
12月1日,《中华人民共和国反电信网络诈骗法》(下称“反电诈法”)正式施行。该法对电信、金融、互联网等多领域发布了详细的治理规定,将对包括游戏平台在内的多类型网络平台产生深远影响。
随着数字化时代的到来以及数字经济的蓬勃发展,数据信息不仅成为个人生活的重要组成部分,也成为商业运营的重要资源。随着网络游戏产业的快速发展,围绕游戏账号、游戏装备等网络虚拟财产的交易逐渐增多,互联网用户的个人信息保护问题成为焦点。游戏服务商掌握大量用户个人信息,在反电信网络诈骗个人信息保护方面,游戏服务商需要更明确的合规指引。
“我玩过的所有游戏都被要求实名认证,无论是端游还是手游,都需要填写姓名、身份证号。不认证身份,就不能体验游戏。我和朋友们平时玩的游戏很多,经常担心游戏平台泄露我的个人信息。”12月3日,游戏玩家顾明告诉 《法人》记者,国内游戏平台早就开始要求用户实名认证,无论何种类型游戏,不进行实名认证,就无法体验游戏服务。
记者在不同手机系统应用商城下载游戏并注册登录发现,多数手机游戏在注册账号时,必须填写姓名及身份证号码,进行实名认证后方可登录并体验游戏服务。而个别游戏,可暂时不进行实名认证,以“游客”身份查看部分游戏内容,但若想体验完整的游戏服务,也必须进行实名认证。
反电诈法第二十一条规定,电信业务经营者、互联网服务提供者为用户提供即时通讯、网络交易、网络游戏、网络直播发布、广告推广服务,在与用户签订协议或者确认提供服务时,应当依法要求用户提供真实身份信息,用户不提供真实身份信息的,不得提供服务。
12月1日,北京策略律师事务所合伙人袁权对记者表示,上述条款明确规定了互联网服务提供者在提供服务时,必须要求用户提供真实身份信息。因此,网络游戏服务商在提供网络游戏时,要求用户提供真实身份信息成为一个必选项。网络游戏服务商在提供游戏服务过程中必然会收集和处理大量的个人信息和数据,这些个人信息和数据一旦遭遇泄露或者滥用,将会加剧电信网络诈骗发生的风险。
袁权认为,网络游戏服务商应加强个人信息保护,严格遵守《中华人民共和国个人信息保护法》(下称“个信保护法”)关于收集、处理个人信息的规定,严格依法建立企业内部防范机制,如各项个人信息保护和相关管理制度,规范个人信息处理,完善内部数据流转利用的操作规程。
天达共和律师事务所数据合规业务牵头合伙人申晓雨在接受记者采访时表示,对网络游戏的实名授权认证要求,除反电诈法外,也有其他制度依据。例如,国家新闻出版署于2019年颁布并实施的《关于防止未成年人沉迷网络游戏的通知》,其中明确规定,实施实行网络游戏用户账号实名注册制度。因此,可以理解为反电诈法在上述规定外,从反电信诈骗的角度对游戏服务商重新强调了实名制要求。
反电诈法第二十九条规定,个人信息处理者应当依照个信保护法等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。
就互联网游戏行业来看,游戏服务商提供网络游戏服务时,不可避免地要收集、处理个人信息,但具体应该收集哪些信息,成为游戏用户关注的重点。上海兰迪律师事务所律师田磊在接受记者采访时表示,游戏服务商应当仅收集验证玩家年龄的必要身份信息。
田磊认为,作为游戏服务商,对玩家进行实名认证,主要是防止未成年人加入网络游戏。因此在收集个人信息的过程当中,没有必要收集与公民年龄无关的个人信息。为了保护未成年人,游戏平台要求对玩家进行实名认证,这给游戏服务商收集个人信息提供了制度基础,同时也意味着对游戏服务商的监管提出了更高要求。
“网络游戏服务商作为互联网服务提供者,同时也是个人信息的处理者,既有履行‘反诈骗’责任,落实网络平台主体职责,又负有履行‘信息保护’的责任,保障用户合法权益的职责,新法的颁布施行对其经营行为提出了明确的要求。”袁权认为,网络游戏服务商基于存在“被动违法”而承担民事责任的可能性,对上述主体的合规性要求更高。
反电诈法第四十一条规定,电信业务经营者、互联网服务提供者违反该法规定,有包括“未落实国家有关规定确定的反电信网络诈骗内部控制机制”“未履行对涉诈互联网账号和应用程序,以及其他电信网络诈骗信息、活动的监测识别和处置义务”等情形之一的,由有关主管部门责令改正。情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可由有关主管部门责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对其直接负责的主管人员和其他直接责任人员,处一万元以上二十万元以下罚款。
“从处罚情节看是相对多样的,从处罚力度看是相对严厉的。这对网络游戏服务商等互联网企业提出了更严格更高的要求,同时也可以看出反电诈法对于预防电信网络诈骗行为从源头预防的立法目的。”袁权对记者说。
袁权还认为,作为网络游戏服务商等互联网企业,在反电诈法实施后,其法定义务被明确化,因此在不履行相关义务的情况下,被追究刑事责任将有更多的依据。因此,上述企业要谨防刑事风险。
伽马数据报告显示,2022 年 10 月,中国游戏市场规模达197.68 亿元,环比增长 4.66%;中国移动游戏市场实际销售收入 135.55 亿元,环比由负转正;中国客户端游戏市场实际销售收入达54.12 亿元,环比增长 7.56%,同比增长 20.7%。在如今游戏市场环境下,游戏服务商手中掌握大量用户个人信息,在反电信网络诈骗个人信息保护方面,游戏服务商需要更明确的合规指引。
虽然个信保护法和反电诈法均对“个人信息保护”有所规定,但强调的重点不同。袁权表示,个信保护法注重“信息保护”,而反电诈法强调“反诈骗”,规定了电信治理、金融治理、互联网治理、综合措施和法律责任等重点领域的主体行为要求,为预防或避免电信网络诈骗从多方面进行规范,使电信网络诈骗的路径被封堵。
对此,申晓雨表示,根据个信保护法,游戏服务商应属于个人信息处理者,即使反电诈法没有实施,也需要履行个信保护法及其配套制度中个人信息处理者的个人信息保护义务。对于游戏服务商而言,个信保护法中存在较多原则性规定,而反电诈法的实施为其更好地履行个信保护法义务,提供了在反电信网络诈骗个人信息保护方面更明确的合规指引。
“反电诈法是一部以电信诈骗这一特殊场景为规制对象的综合性法律,该法适用于反电信网络诈骗的个人信息保护要求,实际上是对个信保护法中要求的细化。换言之,是就反电信网络诈骗这一具体场景提出的具体要求。” 申晓雨说。