玩家信息泄露频发,游戏公司应如何数据合规?

来自 游戏葡萄 2020-04-24
专栏

[ 游戏葡萄原创专稿,未经允许请勿转载 ]

玩家信息泄露频发,游戏公司应如何数据合规?

文/诺诚游戏法

近期,关于游戏用户信息泄露的消息不断传来。

《命运神界·梦境链接》对“诈骗短信”问题进行了回应,表示是代理运营团队擅自侵害玩家隐私的不法行为。

好游快爆平台部分玩家收到与手游推广相关的垃圾广告短信、骚扰电话。

TapTap大量用户反馈个人隐私被泄露,被手游推广相关的电话和短信频频骚扰。后TapTap发布公告称已排除数据库泄露的可能,公司未向任何第三方透露过用户个人信息,同时也未发现有可能导致用户个人信息泄露的技术漏洞。TapTap表示已向上海市公安局徐汇分局虹梅派出所进行了报案。

游戏玩家数据泄露事件愈加频繁,受影响用户不断扩大,少则数千万,多达数千万乃至亿。本文将谈谈游戏用户数据泄露的法律风险,以及面对用户信息泄露,公司应如何应对用户数据泄露事件。

玩家的数据是如何泄露的?

1、黑客攻击

去年9月,一名黑客声称入侵移动社交游戏公司 Zynga。其从超过2.18亿个Words with Friends玩家帐户中窃取了数据。数据泄露影响所有之前注册游戏的安卓和 iOS 游戏玩家。此事被披露后,Zynga 承认数据泄露。

2、网站漏洞

某科技公司员工发现某游戏网站平台存在漏洞,扫描网站漏洞,再联合可登陆该网站篡改权限的人士,利用navicat软件链接该网站数据库等方法,获取了该网站69万多条玩家信息,这些玩家信息包括了用户名、手机号和密码等。

3、公司员工私自出售

此前京东12G用户数据包在市面流通,数据多达数千万条。经查,用户数据泄漏罪魁祸首是京东物流的员工,泄漏的用户数据包括用户姓名、电话、地址、何时下单、所购货物等信息,最高售价仅1.5元/条。

4、通过不法渠道购买

据国外媒体 The Register 独家报道,Dream Market 的暗网市场出售 6.2 亿用户信息,交易通过比特币转账,打包售价不高于 2 万美元。

被泄露的玩家数据都被用在哪?

1、推广游戏

游戏玩家是不是会经常遇到这样的情况?接到一个电话,对方自称是游戏顾问,邀请你玩某款游戏;或收到短信,告知你成功预约某款游戏成功,该游戏是你从未玩过也未预约过的游戏,同时告诉你可领取游戏礼包,并附上游戏链接。

z28.jpg

据业内了解,若有精准的游戏玩家数据,短信推广转化率在0.04%-0.08%之间。一条短信的成本能压缩到0.04元,在理想情况下,一款游戏的CPA能控制在50元。而就买量而言,苹果CPA买量成本在100-250元之间,安卓在60-90元之间。相比于买量,获取玩家数据进行推广游戏成本节约了数倍之多。

2、游戏诈骗

“联盟电玩”案件中,游戏用户信息泄露就被用于诈骗。2017年1月份以来,被告人谢某等人共同出资购买了“联盟电玩”游戏平台,平台有“捕鱼”、“摇钱树”等种游戏。谢某等人从网上购买了20余万条含有公民姓名、电话号码等个人信息的数据,用于发短信宣传“联盟电玩”游戏平台,获取更多玩家资源。

游戏玩家通过微信转账给客服充值上分,客服通过游戏平台的后台软件来监控整个游戏平台玩家的情况,并通过平台的设置来控制玩家游戏的输赢,属于利用游戏平台从事诈骗活动。

玩家数据泄露的法律风险

1、游戏平台泄露玩家信息的法律风险

游戏平台未尽到安全管理义务,经监管部门责令采取改正措施而拒不改正,致使游戏用户信息泄露,具有以下情形,则会涉嫌拒不履行信息网络安全管理义务罪。

(1)泄露行踪轨迹信息、通信内容、征信信息、财产信息500条以上;

(2)泄露通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息5000条以上;

(3)泄露其他用户信息5万条以上;

(4)对绝大多数用户日志未留存或者未落实真实身份信息认证义务;

(5)二年内经多次责令改正拒不改正;

(6)致使信息网络服务被主要用于违法犯罪。

一旦构成犯罪的,将面临三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

2、购买玩家信息的法律风险

通过向他人购买的方式非法获取游戏玩家信息,将会涉嫌侵犯公民个人信息罪。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。但是经过处理无法识别特定个人且不能复原的除外。

z27.jpg

有些人认为,如果只购买游戏玩家手机号码,不购买其他该玩家信息,就属于无法识别特定个人,那么就不会构成犯罪。事实上并非如此,在一例侵犯公民个人信息案件中,法院已明确认定单独的手机号码构成用户信息。法院认为:无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能,不应要求是相应个人信息单独所具有的功能。涉案电话号码虽然无法单独识别公民个人身份,但本身能够与特定自然人直接关联,且结合其他信息能够识别公民个人身份,属于公民个人信息的范畴。

游戏公司数据合规建议

1、等级保护措施

根据《网络安全法》第二十一条的规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

游戏公司涉及玩家用户数据较多,一般是三级等保要求,应采取有效的等保措施:

(1)制定内部安全管理制度和操作规程,严格身份认证和权限管理;

(2)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;

(3)采取技术措施,监测、记录网络运营状态、网络安全事件;

(4)采