夜雨聆风
超半数是游戏!海南通报20款违规APP,游戏行业个人信息合规红线全梳理
「解构真实战场,设计合规证据」
不为理想辩护,只为生存设计!
大家好,我是光头律师。
3月30日,海南省互联网信息办公室召开新闻通气会,通报了2026年第一季度移动互联网应用程序违法违规收集使用个人信息专项治理结果。
20款APP因存在非法获取、超范围收集、未明示收集用途等违规行为被责令限期整改。
我仔细核对了通报清单,一个非常值得警惕的现象浮出水面:
20款被点名的APP中,11款为游戏类应用,占比超55%,覆盖三国策略、3D桌球、射击竞速、像素冒险、休闲益智等多个热门小游戏品类,几乎囊括了当下休闲游戏赛道的主流玩法。
本次被海南省网信办通报的11款违规游戏分别为:
1. 召唤三国-三国策略
2. 台球游戏大师-专业3D物理桌球
3. 青春少女大冒险
4. 城市交通司机
5. 放松你的大脑
6. 音乐精灵派对
7. 反恐射击
8. 史莱姆日记
9. 公路竞速王
10. 沙盒生存挑战
11. 忍者传奇-像素火影
这些游戏,到底踩了哪些法律红线?
根据通报内容,上述游戏均不同程度存在非法获取个人信息、超范围收集个人信息、未明示收集用途三类核心违规行为。
而这三类行为,恰恰是《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规明令禁止的高频违规场景,更是各地网信办专项治理的重点打击对象。
光哥我给大家拆解一下每类违规对应的法律问题,不管是游戏开发者、运营者,还是普通玩家,都能一眼看懂:
1、未明示收集用途:直接侵犯用户知情权,违反“公开透明”核心原则
很多被点名的小游戏,要么没有完整的隐私政策,要么把隐私政策藏在用户根本找不到的角落,要么在隐私政策里用晦涩难懂的话术模糊收集用途。
用户根本不知道自己的什么信息被收集了、被拿去做了什么。
更有甚者,连收集信息的基本告知都没有,直接在后台偷偷收集,这已经完全突破了法律的底线。
2、超范围收集个人信息:违反“最小必要”原则,是游戏行业最高发的违规行为
国家网信办等四部门发布的《常见类型移动互联网应用程序必要个人信息范围规定》,早已给游戏行业划下了硬标准:
网络游戏类APP的必要个人信息,仅为注册用户的移动电话号码(基础服务)。
换句话说,除了用户注册账号时需要的手机号,其他任何信息:
包括你的位置信息、通讯录、相册存储、通话记录、设备精准信息等,都不属于“必要个人信息”。
游戏运营者无权强制收集,更不能以“不同意就不让用游戏”的方式捆绑索要。
这次被点名的很多都是单机休闲类游戏,甚至连用户注册功能都没有。
却依然索要各种非必要权限,收集与游戏服务完全无关的个人信息,这是典型的超范围收集,属于明确的违法行为。
3、非法获取个人信息:违反“告知-同意”核心规则,情节严重可涉嫌刑事犯罪
非法获取个人信息,常见的场景包括:
未经用户同意,在后台偷偷收集用户的设备信息、行为数据;
通过捆绑同意、一揽子同意的方式,强迫用户一次性授权所有权限;
用户拒绝非必要权限后,直接退出游戏、拒绝提供服务等。
这里必须提醒大家:
非法获取个人信息,绝不仅仅是“整改”这么简单。
如果非法获取、出售、向他人提供公民个人信息,情节严重的,将涉嫌《刑法》第253条的侵犯公民个人信息罪,最高可判处七年有期徒刑,并处罚金。
为什么小游戏成了个人信息违规的重灾区?
在相关游戏合规案件和各地网信办的通报中,休闲小游戏、单机游戏一直是个人信息违规的高发品类,核心原因无非这4点:
1、中小团队合规意识严重缺位
很多休闲小游戏的开发运营团队规模较小,没有专门的合规岗位和法务人员。
甚至很多开发者根本不了解《个人信息保护法》《必要个人信息范围规定》等法律法规,觉得“小游戏用户量小,不会被查到”。
直接照搬网上的模板隐私政策,完全不匹配自身的游戏业务,从一开始就埋下了违规隐患。
2、广告变现驱动下的过度收集
绝大多数休闲小游戏的核心盈利模式是广告变现,为了实现广告的精准推送,很多运营者就把主意打到了用户的个人信息上。
通过过度收集用户的位置信息、设备信息、行为数据,甚至越权获取通讯录、社交关系等敏感信息,构建用户画像,卖给广告商或者用于精准广告投放。
把用户的个人信息当成了变现的“筹码”,完全无视法律红线。
3、对“告知-同意”规则的认知存在根本性误区
很多游戏运营者有一个错误的认知:“只要我把收集内容写在隐私政策里,用户点了同意,我就不违法”。
但实际上,法律要求的同意,是“充分知情、自愿、明确、具体”的同意。
就算用户签了字,如果你收集的信息和游戏服务没有直接关联,超出了必要范围,依然属于违法违规行为。
更不用说很多游戏用的是一揽子同意,用户不勾选就不能玩游戏,这种捆绑式的同意,本身就是无效的。
4、对常态化治理的趋势抱有侥幸心理
从2019年开始,国家网信办就联合多部门持续开展APP违法违规收集使用个人信息专项治理,至今已经进入了常态化、全覆盖、技术化的监管阶段,不是“一阵风”式的整治。
任何“不会查到我”的侥幸心理,最终都会付出惨痛的代价。
游戏运营者必看的5条合规红线,一条都不能踩
结合本次通报和现行法律法规,我给所有游戏开发、运营团队梳理了5条不可突破的合规红线,哪怕是中小团队、单人开发的小游戏,也必须严格遵守:
1、严守“最小必要”硬标准,非必要绝对不收集
严格对照《常见类型移动互联网应用程序必要个人信息范围规定》,只收集实现游戏服务所必需的最少信息。
不需要注册的单机游戏,无权强制收集用户手机号;
不需要定位、社交功能的游戏,绝对不能申请位置、通讯录权限;
哪怕是需要申请存储权限,也只能在用户上传头像、保存截图等具体场景下申请,不能一打开游戏就索要全部权限。
2、严格落实“告知-同意”规则,杜绝无效同意
必须以清晰、易懂、显著的方式,在用户首次使用游戏时,主动展示隐私政策。
必须针对不同的权限、不同的信息收集场景,分别取得用户的明确同意。
不能以用户不同意非必要权限为由,拒绝提供核心游戏服务。
3、隐私政策不能“摆样子”,必须做到“专属、真实、可落地”
绝对不能直接照搬网上的模板隐私政策,必须针对自身游戏的业务场景,制定专属的隐私政策,写清楚每一项信息收集的具体用途,不能用模糊化、笼统化的表述。
隐私政策必须放在用户容易找到的位置,比如游戏登录页、“我的”页面的显著位置,确保用户随时可以查阅。
4、做好个人信息全流程安全防护,杜绝数据泄露
必须采取必要的技术和管理措施,对收集的用户个人信息进行加密存储、分级管理,建立健全数据安全管理制度,防止用户个人信息泄露、篡改、丢失。
绝对不能未经用户同意,向第三方出售、提供用户的个人信息,哪怕是和广告商合作,也必须严格审核第三方的资质,签订数据处理协议,明确双方的合规责任。
5、主动开展合规自查,提前整改隐患
现在各地网信办的专项治理已经常态化,与其等被通报、被处罚,不如主动开展合规自查。
建议游戏运营团队定期对照法律法规和监管要求,对游戏的权限申请、信息收集、隐私政策、数据安全等进行全面的合规审计,发现隐患及时整改,从源头规避合规风险。
给普通玩家的3条提醒,守护好你的个人信息
1. 下载游戏请通过手机官方应用商店,不要点击陌生链接、陌生弹窗下载来路不明的游戏安装包,避免下载到恶意程序。
2. 安装、使用游戏时,不要无脑点击“同意”“允许”,一定要看清楚游戏申请的权限,和游戏服务无关的权限,直接拒绝。
绝大多数情况下,拒绝非必要权限,完全不会影响游戏的正常使用。
3. 如果发现游戏存在违法违规收集个人信息的行为,或者没有隐私政策、强制索要权限、不给权限就不让用等情况。
可以通过12377网络违法和不良信息举报中心、当地网信办的举报渠道进行投诉举报,依法维护自己的个人信息权益。
最后,给整个行业提个醒
本次海南省网信办的通报,还有一个非常关键的信号:
通报明确提出,下一步的专项治理,将紧密结合海南自贸港封关后可能剧增的跨境数据流动与用户隐私保护需求,全面规范APP行业秩序,构建高效便捷安全的数据跨境流动机制。
海南自贸港封关之后,跨境数据流动将更加频繁,游戏行业作为数字经济的重要组成部分。
不管是国产游戏出海,还是境外游戏引进,数据跨境合规、个人信息保护都将成为核心的监管重点。
这次的通报,不仅是对海南本地运营者的警示,更是给整个游戏行业敲响了警钟:
个人信息保护没有“法外之地”,不管是头部大厂还是中小团队,不管是重度网游还是休闲小游戏,合规都是经营的底线。
本期文章推荐
新规解读|个人信息保护监督委员会来了:3 大机制筑牢数据安全防线
如果喜欢,还请点赞、“在看”和关注吧
欢迎分享,让更多人学习网络法知识
丁炜
———————————-
志和智律师事务所
副主任、管委会委员、高级合伙人
重庆市律协数字经济专委会委员
渝中区律协数字经济专委会副主任
九龙坡区知识产权调解员
2024重庆十佳律师(服务民营企业)
手机/微信:13708326791
主要业务方向:企业法律服务,主要包括互联网、游戏、直播、数字金融、数据(个人信息保护)合规、知识产权等法律服务。
曾为多家游戏、直播、互联网金融、电子通信等互联网科技企业提供过常规顾问、商业模式评估及合规管控、专项非诉、网络刑事案件辩护以及民商行政诉讼纠纷处理等法律服务。
团队成员具备法律、互联网、知识产权等从业经验和复合型知识,熟悉国内外互联网等数字经济相关法律法规、监管政策、行业动态,致力于为国内外科技型企事业单位提供专业法律服务。
