來源 | 零壹財經
作者 | 大先生
11月1日,《個人資訊保護法》正式施行。
新法之下,涉及到個人資訊的採集與使用的諸多平臺都更新了其資訊使用政策,使用者在進入11月之後開啟各個客戶端、APP均能看到醒目提醒,瞭解資訊使用協議的相關更改,並需要重新勾選確認。
《個人資訊保護法》的施行,標誌著我國個人資訊保護立法體系進入新的發展階段,對公民資訊權益的維護以及數字經濟的發展具有重要意義。
《個人資訊保護法》第五條要求,處理個人資訊應當遵循合法、正當、必要和誠信原則,不得透過誤導、欺詐、脅迫等方式處理個人資訊。
施行之後,一些平臺卻出現了引發輿論爭議的《第三方資訊共享清單》,要求使用者必須同意將賬戶資訊、身份資訊、生物識別資訊、充值記錄、使用機型等資訊共享至該平臺其它服務中。使用者不同意勾選此清單,則無法使用該平臺的正常服務。
WeGame
最早引發輿論熱議的是騰訊提供的一站式遊戲服務平臺WeGame。
《個人資訊保護法》正式施行後,相關使用者注意到,透過WeGame平臺啟動遊戲,會提示“請詳細閱讀並勾選同意下方所有協議”,“所有協議”中包含四條,分別為《騰訊遊戲使用者協議》、《隱私保護指引》、《兒童隱私保護指引》、《騰訊遊戲第三方資訊共享清單》。
法規實施前,使用者如果已同意並勾選的《隱私保護指引》被取消,需要重新勾選,這意味著《隱私保護指引》有條款更新,重新勾選也是題中應有之義。
而新增的《騰訊遊戲第三方資訊共享清單》中顯示,“為保障騰訊遊戲的穩定執行並實現相關功能,我們可能向第三方共享您的個人資訊。如我們與任何第三方共享您的個人資訊,我們將督促該第三方按照我們在《騰訊遊戲隱私保護指引》中與您的約定收集和使用您的個人資訊,並採取適當的安全技術和管理措施保障您的個人資訊保安。”
該清單列舉的“第三方”遊戲列表幾乎囊括了騰訊旗下或合作的所有遊戲,其中既有被戲稱為“騰訊四大名著”的穿越火線、地下城與勇士、QQ飛車、QQ炫舞等知名度較高的遊戲,也有鴻圖之下、胡桃日記、全民斬仙、全球行動等知名度較低遊戲。
這意味著,不管使用者想要遊玩的是騰訊旗下的哪個遊戲,只要透過WeGame啟動該遊戲,必須同意該共享清單,將使用者在主要遊玩遊戲的所有資料共享給第三方所有遊戲。
需要共享的是什麼資料?根據《騰訊遊戲隱私保護指引》,在使用者使用騰訊遊戲服務的過程中, 騰訊會收集和使用使用者的微信與QQ的好友關係、使用者的實名身份資訊、充值記錄、消費記錄、照片或儲存檔案、麥克風、攝像頭、地理位置資訊、面部識別特徵、手機號碼等,這些資訊將被共享至第三方,無論使用者是否確認遊玩了這些第三方遊戲。
這些資訊的收集目的,在《騰訊遊戲隱私保護指引》中有提及,出於實名認證、與使用者互動以及未成年保護等需求,但資訊共享的必要性則只是簡單的一句“為保障騰訊遊戲的穩定執行並實現相關功能”。
如果使用者不同意並不勾選此《騰訊遊戲第三方資訊共享清單》,則想要遊玩的遊戲無法啟動。
騰訊隱私保護平臺顯示,“我們的部分服務可能需要您提供特定的個人敏感資訊來實現特定功能。若您選擇不提供該類資訊,則可能無法正常使用服務中的特定功能,但不影響您使用服務中的其他功能。若您主動提供您的個人敏感資訊即表示您同意我們按本政策所述目的和方式來處理您的個人敏感資訊。”
然而在使用者選擇了同意收集卻不同意共享資訊的情況下,結果是遊戲無法啟動。
騰訊隱私保護平臺顯示,“我們不會向合作伙伴分享可用於識別您個人身份的資訊(例如您的姓名或電子郵件地址),除非您明確授權。”
但明確授權和強制授權之間,永遠畫不上等號。
根據《個人資訊保護法》第二章第十六條之規定,個人資訊處理者不得以個人不同意處理其個人資訊或者撤回同意為由,拒絕提供產品或者服務;處理個人資訊屬於提供產品或者服務所必需的除外。
而回到《騰訊遊戲第三方資訊共享清單》,個人資訊的強制共享是否屬於騰訊遊戲提供產品或服務所必需的資料?
這個問題的答案暫且按下不表。
11月12日,WeGame更新新版本後,有使用者反映,安裝了WeGame後,透過電腦程序監控工具,發現有程式掃描電腦內檔案的多個程序,而該程式的數字簽名為Tencent Technology(shenzhen)company Limited,讀取的程序包括桌面快捷方式以及更新當日乃至更早的使用者開啟檔案記錄,這些程序可以統稱為使用者的“行為”。
如果掃描使用者電腦程序視為反作弊計劃的一環,騰訊作為遊戲運營方,有權處理玩家的“開掛”、“作弊”行為,使用者下載並安裝WeGame後,作為合法合規玩家,在遊戲啟動前接受騰訊的本地檔案掃描,洗脫“開掛”、“作弊”行為的嫌疑尚且說得過去。在沒有啟動任何遊戲準備的情況下,掃描系統程序,獲取使用者近期“行為”,是為了營銷更加“精準”嗎?
另一面,網友還反映,WeGame應用啟動後,在WeGame的程序中搜索“steam”字串,搜尋結果中存在一個UserConfigStore.Software.Valve.Steam.Apps的字串,意為訪問Steam軟體的使用者儲存配置。程序中還存在WeGame專有動態連結庫函式——ReportSteamGames,這些字串和函式的存在,該網友推斷WeGame以使用登錄檔的方式確認使用者電腦中Steam軟體的存在,然後用其它方式獲取使用者的Steam賬戶資訊、遊戲資訊,然後返回並報告。
這並不是一個民族企業勇於抗擊境外軟體的感人故事,相反,在筆者根據網友反映的操作方式進行確認之後,只覺毛骨悚然,“3Q大戰”的壯烈情境浮現在眼前。
如果強制要求使用者將個人資訊共享給騰訊旗下的其它遊戲是為了“更好的服務”,那麼掃描使用者電腦程序的目的是什麼?WeGame的正常執行,有必要確認“競品軟體”是否存在,以及獲取並報告使用者在“競品軟體”的使用者資訊以及遊戲庫存?沒有充足的理由來說明騰訊這一舉動的正當性。
根據《個人資訊保護法》第一章第六條之規定,處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。收集個人資訊,應當限於實現處理目的的最小範圍,不得過度收集個人資訊。
掃描使用者的近期檔案開啟記錄和其它程序,是否屬於實現處理目的的最小範圍內?
騰訊會議
另一把火,燒在了騰訊會議上。
這款以線上溝通為主要功能的軟體,在《個人資訊保護法》施行之後,更新了隱私保護協議,同樣新上架了《第三方共享資訊清單及SDK目錄》,其中將使用者的裝置資訊(IMEI號、Serial Number、IMSI、User ID、Android ID等)、手機Region設定、裝置型號、手機電量、手機作業系統版本及語言等,共享至各大應用市場的運營公司。
裝置資訊用於假設使用者出現使用bug,主動上傳裝置型號及作業系統版本幫助開發者定位問題尚且可以理解,獲取使用者手機電量目的是為怕使用者開會的時候手機沒電?
《個人資訊保護法》正式施行後,人民日報投稿題為《個人資訊保護法正式施行,網際網路產業或迎大變局》的影片,其中解讀表示,一款導航APP,所需要的必要資訊範圍只有使用者當前位置、出發位置、目的位置三項,除了這三項必要資訊之外,如果還獲取使用者的手機型號、照片資訊,就屬於違法違規。
而以這個示例對比,騰訊會議所需要的必要資訊範圍只有使用者音源輸入與輸出裝置,以及提升使用者體驗的剪貼簿貼上會議資訊等,裝置型號、手機電量、各類設定沒有收集的必要,更沒有共享至第三方平臺的必要性。
同樣,延伸至WeGame,使用者遊玩某一款遊戲,為了提升遊玩體驗,為了實現某些功能,在明確了資訊收集目的的情況下以及獲得使用者授權的情況下,處理和使用資訊合理合法。但資訊共享必須同意並勾選,才能使用不需要資訊共享就能使用的功能,這種脅迫式簽約,有違消費者“告知同意權”,有違《個人資訊保護法》的立法初衷及實施目的。
新法規施行前,普通使用者經常會遇到“我在某個APP搜尋了某種產品,其它APP開始推薦相關廣告”的跨平臺廣告推薦,這種行為很明顯是沒有得到使用者的充分同意。而新法規施行後,部分平臺用“補票”的方式,推出《第三方資訊共享清單》,以要求、脅迫、騙取使用者授權,重回新法規施行前的狀態,這豈不是開歷史的倒車?
儘管本文以騰訊的做法為主要展示,但截至發稿前,已有多個平臺採用了同樣的方式要求使用者簽署授權《第三方資訊共享清單》。共享可以,但“不簽署就不能使用正常功能”的行為要不得。
打得一拳開,免得百拳來。
End.
