玩家信息泄露频发,游戏公司应如何数据合规?

文/ 呆嫖 2020-04-24 14:03:50

文/诺诚游戏法

近期,关于游戏用户信息泄露的消息不断传来。

《命运神界·梦境链接》对“诈骗短信”问题进行了回应,表示是代理运营团队擅自侵害玩家隐私的不法行为。

好游快爆平台部分玩家收到与手游推广相关的垃圾广告短信、骚扰电话。

TapTap大量用户反馈个人隐私被泄露,被手游推广相关的电话和短信频频骚扰。后TapTap发布公告称已排除数据库泄露的可能,公司未向任何第三方透露过用户个人信息,同时也未发现有可能导致用户个人信息泄露的技术漏洞。TapTap表示已向上海市公安局徐汇分局虹梅派出所进行了报案。

游戏玩家数据泄露事件愈加频繁,受影响用户不断扩大,少则数千万,多达数千万乃至亿。本文将谈谈游戏用户数据泄露的法律风险,以及面对用户信息泄露,公司应如何应对用户数据泄露事件。

玩家的数据是如何泄露的?

1、黑客攻击

去年9月,一名黑客声称入侵移动社交游戏公司 Zynga。其从超过2.18亿个Words with Friends玩家帐户中窃取了数据。数据泄露影响所有之前注册游戏的安卓和 iOS 游戏玩家。此事被披露后,Zynga 承认数据泄露。

2、网站漏洞

某科技公司员工发现某游戏网站平台存在漏洞,扫描网站漏洞,再联合可登陆该网站篡改权限的人士,利用navicat软件链接该网站数据库等方法,获取了该网站69万多条玩家信息,这些玩家信息包括了用户名、手机号和密码等。

3、公司员工私自出售

此前京东12G用户数据包在市面流通,数据多达数千万条。经查,用户数据泄漏罪魁祸首是京东物流的员工,泄漏的用户数据包括用户姓名、电话、地址、何时下单、所购货物等信息,最高售价仅1.5元/条。

4、通过不法渠道购买

据国外媒体 The Register 独家报道,Dream Market 的暗网市场出售 6.2 亿用户信息,交易通过比特币转账,打包售价不高于 2 万美元。

被泄露的玩家数据都被用在哪?

1、推广游戏

游戏玩家是不是会经常遇到这样的情况?接到一个电话,对方自称是游戏顾问,邀请你玩某款游戏;或收到短信,告知你成功预约某款游戏成功,该游戏是你从未玩过也未预约过的游戏,同时告诉你可领取游戏礼包,并附上游戏链接。

z28.jpg

据业内了解,若有精准的游戏玩家数据,短信推广转化率在0.04%-0.08%之间。一条短信的成本能压缩到0.04元,在理想情况下,一款游戏的CPA能控制在50元。而就买量而言,苹果CPA买量成本在100-250元之间,安卓在60-90元之间。相比于买量,获取玩家数据进行推广游戏成本节约了数倍之多。

2、游戏诈骗

“联盟电玩”案件中,游戏用户信息泄露就被用于诈骗。2017年1月份以来,被告人谢某等人共同出资购买了“联盟电玩”游戏平台,平台有“捕鱼”、“摇钱树”等种游戏。谢某等人从网上购买了20余万条含有公民姓名、电话号码等个人信息的数据,用于发短信宣传“联盟电玩”游戏平台,获取更多玩家资源。

游戏玩家通过微信转账给客服充值上分,客服通过游戏平台的后台软件来监控整个游戏平台玩家的情况,并通过平台的设置来控制玩家游戏的输赢,属于利用游戏平台从事诈骗活动。

玩家数据泄露的法律风险

1、游戏平台泄露玩家信息的法律风险

游戏平台未尽到安全管理义务,经监管部门责令采取改正措施而拒不改正,致使游戏用户信息泄露,具有以下情形,则会涉嫌拒不履行信息网络安全管理义务罪。

(1)泄露行踪轨迹信息、通信内容、征信信息、财产信息500条以上;

(2)泄露通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息5000条以上;

(3)泄露其他用户信息5万条以上;

(4)对绝大多数用户日志未留存或者未落实真实身份信息认证义务;

(5)二年内经多次责令改正拒不改正;

(6)致使信息网络服务被主要用于违法犯罪。

一旦构成犯罪的,将面临三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

2、购买玩家信息的法律风险

通过向他人购买的方式非法获取游戏玩家信息,将会涉嫌侵犯公民个人信息罪。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。但是经过处理无法识别特定个人且不能复原的除外。

z27.jpg

有些人认为,如果只购买游戏玩家手机号码,不购买其他该玩家信息,就属于无法识别特定个人,那么就不会构成犯罪。事实上并非如此,在一例侵犯公民个人信息案件中,法院已明确认定单独的手机号码构成用户信息。法院认为:无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能,不应要求是相应个人信息单独所具有的功能。涉案电话号码虽然无法单独识别公民个人身份,但本身能够与特定自然人直接关联,且结合其他信息能够识别公民个人身份,属于公民个人信息的范畴。

游戏公司数据合规建议

1、等级保护措施

根据《网络安全法》第二十一条的规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

游戏公司涉及玩家用户数据较多,一般是三级等保要求,应采取有效的等保措施:

(1)制定内部安全管理制度和操作规程,严格身份认证和权限管理;

(2)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;

(3)采取技术措施,监测、记录网络运营状态、网络安全事件;

(4)采取数据分类、重要数据备份和加密认证等措施;

(5)对重要系统和数据库进行容灾备份。

2、公司人员管理

(1)建议公司设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;

(2)与接触用户数据的员工签署保密协议;

(3)定期对公司人员进行网络安全教育、技术培训和技能考核。

3、健全个人信息安全事件的应急处置制度

(1)公司应制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

(2)发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:

A、记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;

B、评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;

C、及时涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式等内容进行上报;

D、将安全事件及时告知用户。

(3)制定舆论公关危机的处理机制,及时处理数据合规产生的公关危机。
随着监管部门对于隐私保护的要求越来越高,游戏行业数据合规的要求也逐渐提高。游戏公司应当及时厘清数据合规的要求,健全数据保护措施,完善数据保护的相关协议。

写在最后

近年来,数据合规的问题越来越引起国家的重视。中央网信办、工业和信息化部、公安部、市场监管总局四部门早已联合开展全国互联网安全专项整治工作,对落实网络安全义务不到位,大量公民个人信息被窃取的网络安全事件,以及非法获取、出售或提供个人信息等行为,依据情节严重程度,采取约谈主要负责人、停业整顿、关闭网站、注销备案等措施。游戏企业应采取积极主动的合规措施,有效避免游戏数据泄露事件发生。

诺诚游戏法团队致力于为游戏研发商、发行商、渠道商、投资者提供专业的游戏领域法律服务在游戏领域积累了丰富的法律实务经验。诺诚律师团队微信号:13913541030。

Alex Matveev
2022-06-06 16:27:13
不合规
审核中
@苏某某: 她在音乐方面的喜好,以及对天文的兴趣,也源于这部动画的影响。一直很喜欢爵士乐的她突然开始想
乐方面的喜好,以及对天文的兴趣,也源于这部动画的影响。一直很喜欢爵士乐的她突然开始想,没有系统了解过此类音乐的她怎么会喜欢上 呢?后来听完《美少女战士》原声带后才发现,“原来我在那么小的时候
评论全部加载完了~