游戏用户低龄化，未成年人个人信息泄漏的危害初露端倪

　　近年来，数字游戏市场规模不断扩大。2019年数字游戏市场规模达到2573亿元，到2020年末，这一市场规模达2786亿元。据估计到2024年，数字游戏市场规模约4000亿元。数字游戏繁荣的一大因素是未成年人用户数量急剧增加。据2020年4月发布的《中国互联网络发展状况统计报告》，我国19岁以下的网民已经达到了2.1亿，约占全体网民的23.2%。数字游戏产品或服务的运营者为了获得更广泛的收益和影响力，不断下探游戏用户的年龄阶层。随着未成年人成为数字游戏中不可忽视的消费群体，涉及未成年人权益保护的话题热度居高不下，其中未成年人个人信息保护，已成为社会和国家普遍关注的问题。

　　2020年国内知名游戏平台TapTap因涉嫌泄露用户个人信息，被立案调查。无独有偶，作为全球领先的高性能游戏硬件、软件及系统品牌，雷蛇在2020年9月也被外媒曝出泄露客户个人信息，涉及到的客户数量超过10万名。尽管雷蛇官方随即发布道歉声明并表示，泄露的客户个人信息并未包含信用卡号或密码等敏感数据，但这一事件仍然不可避免地引发了公众对于雷蛇的不满和批评。

　　上述事件中的用户不乏未成年，而未成年个人信息若被泄露，则会引发无穷的后果，轻则因营销电话骚扰、垃圾短信和广告邮件的轰炸而导致个人生活安宁被破坏，重则被不法分子利用，未成年及其父母的财产安全和人身安全都就此沦陷失守。据福建省漳州市反诈骗中心所述，仅2020年5月份，就接到了14起“虚构绑架型诈骗”。在这类诈骗案件中，骗子往往利用从不法渠道获取的未成年个人信息，向其父母打电话，虚构孩子被绑架的事实，以此要挟父母支付巨额赎金。除此之外，还可能发生不法分子利用未成年个人信息诱骗其发送裸照、裸体视频，进行裸聊、做猥亵动作等侵犯未成年人身权利的犯罪行为。据《“女童保护”2018年性侵儿童案例统计及儿童防性侵教育调查报告》显示，2018年全年媒体公开报道的317起性侵未成年的案例中，网友作案39起，其中有16起是在网络聊天平台、社交视频平台中。

　　为了遏制未成年人个人信息泄露事件的发生，立法机关和行政机关近年来出台了各种举措。本文就近期密集出台的未成年人个人信息保护立法与相关的行政监管情况进行了梳理，同时针对立法要求提出了企业处理未成年人个人信息时需要采取的合规措施，希望能为面向未成年人提供游戏产品或服务的运营者们提供一定的借鉴和参考，避免“踩雷”。

响应公众关切，行政机关紧锣密鼓整治问题APP

　　屡次发生的未成年个人信息泄露事件和违法犯罪案件，引发了公众对于未成年人信息安全的担忧。为了有效维护网络空间秩序和公民的个人信息权益，从中央到地方的国家机关积极响应公众关切，接连开展专项整治行动，不断对侵害用户权益的APP提出通报批评和整改要求。

　　2020年7月28日，工信部发布《关于开展纵深推进APP侵害用户权益专项整治行动的通知》集中整治APP服务提供者、软件工具开发包（SDK）提供者和应用分发平台等主体有关四个方面违规问题，其中重点整治APP、SDK违规处理用户个人信息的问题。

　　2020年9月13日，国家计算机病毒应急处理中心在“净网2020”专项行动中发现，多款游戏类移动应用违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。被点名的游戏有14款，包括《汤姆猫跑酷》《宾果消消消》《我的安吉拉》《我的汤姆猫》《植物大战僵尸2》《开心消消乐》《和平精英》《天天飞车》《贪吃蛇大作战》《神庙逃亡2》等。

　　2020年7月，工信部发布第三批侵害用户权益的APP时，《倩女幽魂》的游戏助手软件《倩女手游助手》就榜上有名。2020年10月26日，工信部通报了第五批侵害用户权益的共计131款APP，西瓜输入法、看看视频、作业答案大全、良品铺子、百果园、瓜子二手车、晋江文学城等知名APP都名列其中，而这些APP几乎都存在违规收集或使用个人信息的情况。被查出问题的APP均被要求限期整改，否则将采取全面下架、停止接入以及纳入电信业务经营不良名单或失信名单等措施，依法严厉处置。

　　响应中央机构，各地亦积极开展专项行动，治理侵犯未成年人个人信息的不法行为。上海市公安机关近日集中开展了“净网2020”专项行动，先后对上海市349款APP就是否存在安全隐患、是否合法合规运营等问题开展了专项检查，发现部分使用APP的企业存在未履行备案义务、超范围采集公民个人信息等违规行为。具体包括未经同意擅自拍摄、录音、读取通讯录、编辑通讯录、拨打电话等行为，问题APP所属公司被处以警告的行政处罚并责令其限期改正。

　　针对泄露儿童个人信息等违法行为，河南网信办联合河南省公安厅、河南省通信管理局专门印发《河南省儿童个人信息网络保护专项行动方案》，重点整治违反法律法规或双方约定，以及超出目的范围或必要期限收集、储存、使用、转移、披露儿童个人信息；通过制作、发布、传播信息侵害儿童个人信息安全的各类违法行为。河南网信办将对落实儿童个人信息安全管理责任不到位，存在较大安全风险隐患的网络运营者，进行约谈，责令其整改；对问题严重或已发生安全事件的，注销网站备案、停止接入等；对组织和个人制作、发布、传播侵害儿童个人信息安全的，依法依规处置，构成犯罪的，移交公安机关立案查处。

　　各级行政机关紧锣密鼓开展的专项整治行动，实际上是在对包括游戏厂商在内的所有互联网企业传递一个信息，即随着公众对于个人信息安全保护意识的增强，行政机关也无法再对企业侵犯个人信息的行为“睁一只眼闭一只眼”，对于公民个人信息的保护已然成为网信办、通信管理局、公安机关执法的一个重点，对于未成年的个人信息保护更是重中之重。如今实名制已成数字游戏的必经程序，游戏产品或服务的运营者更应当确保自身在法律允许的范围内，得到用户充分授权的情况下处理个人信息，否则可能面临警告、责令整改、责令下架等行政责任，情节严重的，甚至可能要承担刑事责任。

奠定制度基石，立法机关步线行针，织就法律保护网

　　从2016年颁布《中华人民共和国网络安全法》（以下简称“《网络安全法》”）以来，立法机关对公民个人信息保护的重视程度日益凸显，频频出台相关法律法规，并且针对未成年人提出了特别保护的基本原则和一系列具体细则，有条不紊地为未成年的个人信息织就了一张保护网。

　　第一，确立未成年人个人信息特别保护原则。

　　2016年11月7日颁布的《网络安全法》作为网络空间治理的基础性法律，不仅确立了网络产品和服务安全、网络运行安全、关键信息基础设施安全、网络数据安全、网络信息安全等各方面的重要制度，还进一步明确了公民个人信息的处理规则。

　　同时，《网络安全法》首次新增了对未成年人权益特别保护的规定。《网络安全法》中特别增加了第十三条未成年人保护专款，从鼓励有利于未成年人健康成长的网络产品和服务到依法严惩危害未成年人权益的行为，最终目的是“为未成年人提供安全健康的网络环境”。

　　第二，完善未成年人个人信息保护具体规则。

　　为落实对未成年个人信息保护的细则，我国后续出台了一系列法律法规加以明确。2019年10月1日正式施行的《儿童个人信息网络保护规定》针对中国境内通过网络收集、存储、使用、转移、披露不满十四周岁的儿童个人信息行为进行规范。

　　《儿童个人信息网络保护规定》作为我国首部规定儿童个人信息网络保护的专门立法，在以下五大制度的设计上体现出了对儿童个人信息进行特殊保护的理念：一、设置儿童信息保护规则、用户协议和专人负责儿童个人信息网络保护的要求；二、设置内部访问权限要求；三、设置安全评估的要求；四、规定了不得披露儿童个人信息；五、新增了删除权的特别规定。

　　2020年10月17日公布，并于2021年06月01日开始实施的《中华人民共和国未成年人保护法（修订版）》（下文简称“《未成年人保护法》”）增设“网络保护”专章，对网络保护的理念、网络环境管理、相关企业责任、网络信息管理、个人网络信息保护、网络沉迷防治等做出全面规范，力图实现对未成年人的线上线下全方位保护。

　　《未成年人保护法》对未成年人个人网络信息保护做出了详细的规定，不仅明确了网络产品和服务提供者对未成年人的提示义务和保护义务，还规定了未成年人及其父母更正、删除未成年人个人信息的权利。此外，还强调网络产品和服务提供者通过网络收集、使用、保存未成年人个人信息的，应当符合国家有关规定，且经过未成年人及其父母或者其他监护人同意。

　　2020年10月21日，全国人大法工委公开就《中华人民共和国个人信息保护法（草案）》（下文简称“《个人信息保护法（草案）》”）征求意见。草案健全了个人信息处理规则，完善了个人信息跨境提供规则，明确个人信息处理活动中个人的权利和处理者义务，并明确履行个人信息保护职责的部门。

　　第三，明确违法处理未成年人个人信息的法律责任。

　　违法处理未成年人个人信息的，不仅会面临未成年人及父母提起的民事诉讼，承担侵权损害赔偿责任，还可能面临相关部门作出的责令整改、消除隐患、警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、关闭网站、吊销营业执照或者吊销相关许可证等一系列行政处罚，情节严重的，甚至会被追究刑事责任。具体而言：

　　《儿童个人信息网络保护规定》规定，游戏产品或服务的运营者落实儿童个人信息安全管理责任不到位，导致较大安全风险或者发生安全事件的，将由网信部门依据职责进行约谈，并需及时采取措施进行整改，消除隐患。构成犯罪的，依法追究其刑事责任。

　　《未成年人保护法》规定，违法处理未成年人个人信息的，公安、网信、电信、新闻出版、广播电视、文化和旅游等有关部门按照职责分工责令改正，给予警告，没收违法所得，并处罚款；拒不改正或者情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销营业执照或者吊销相关许可证。

　　《个人信息保护法（草案）》更是特别规定了法律责任专章，对于违法处理个人信息或未依法采取安全保护措施的，由相关部门责令改正，没收违法所得，给予警告；拒不改正的，并处罚款；对直接负责的主管人员和其他直接责任人员处罚款。情节严重的，由相关部门责令改正，没收违法所得,并处罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处罚款。同时，违法者还会被记入信用档案，予以公示。此外，个人信息权益遭受侵害的，还可以向信息处理者提起侵权损害赔偿之诉，受害者人数众多的，检察院和相关部门还可以提起民事公益诉讼。

　　2020年12月30日，最高法召开发布会发布首批司法解释。最高法副院长贺小荣表示，个人信息被滥用问题日益严重，为了加强个人信息保护，根据民法典第1034条等规定，增加了“个人信息保护纠纷”案由，同时为了全面保护未成年人健康成长，还专门增加了“未成年人保护民事公益诉讼”案由，配合修订后《未成年人保护法》的施行。

　　《中华人民共和国刑法》规定，拒不履行信息网络安全管理义务罪惩罚游戏产品或服务的运营者涉嫌泄露未成年人个人信息等犯罪行为；侵犯公民个人信息罪惩罚游戏产品或服务的运营者或个人出售或提供个人信息等犯罪行为。

　　由上述法律法规可知，我国越来越重视公民的个人信息安全，未成年人作为弱势群体，更是应当对其着重加强保护。那么反映到数字游戏产业，势必给游戏服务提供者增加了相应的注意义务与管理责任。

为免不慎“踩雷”，游戏企业合规构建势在必行

　　为了规制侵犯未成年个人信息权益的乱象，近年来我国通过严格而频繁的行政监管行动，与初成体系并逐渐完善的法律保障制度，为未成年人的个人信息保护织就一张越来越严密的法网。而之前一路高歌猛进、一心拓展市场的游戏产品或服务的运营者若不够谨慎周全，则难免会行差踏错，踩到侵犯未成年个人信息这颗“地雷”。为了应对愈发完善的法律制度及日益严格的行政监管，游戏产品或服务的运营者必须积极采取措施，主动搭建合规制度，尽可能降低企业运营过程中的法律风险。针对未成年人的个人信息保护，我们提出了如下合规建议，希望能为游戏企业在搭建相关合规制度时提供些许参考。

　　第一，处理未成年人个人信息合规措施。

　　在对未成年人个人信息的保护上，《未成年人保护法》及《儿童个人信息网络保护规定》将未成年人以十四周岁为节点，分为两个阶段分别进行规定，对于不满十四周岁未成年人（下文简称“儿童”）的个人信息予以更加严格和全面的保护，这也意味着企业在处理儿童个人信息时需要更加审慎周全。下面我们根据前文所述法律以及近年来行政监管的重点，分别就处理未成年人个人信息与儿童个人信息应当采取的合规措施进行简要说明。

　　1.处理未成年人个人信息合规措施。

　　企业处理未成年的个人信息时，应当遵循合法、正当、必要的基本原则。对未成年人个人信息处理的合规化需要践行至个人信息处理的各个细节。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。在下文中将把“使用、加工、传输、提供”这四个环节概况为“利用”。针对游戏产品或服务的运营者，在对未成年人个人信息采取合规举措的过程中尤其要注意收集、存储、利用、管理这四个环节。下表针对未成年人个人信息不同的处理环节，指出了相应的法律要求，以及违法处理的法律责任：

表一：处理未成年人个人信息合规措施

　　2.处理儿童个人信息的特殊合规措施。

　　未成年人群体本就处于弱势地位，其中的儿童由于年龄更小、社会阅历更浅、心智发育更不成熟，因而属于弱势中的弱势，因此法律为其设置了更加严格的保护规则，主要体现在规则设定、专岗设置、告知及授权同意、存储及管理五个方面，违法处理的法律责任与一般未成年人并无不同，在此就不赘述了。下表将针对处理儿童个人信息的特殊法律要求列明如下：

表二：处理儿童个人信息的特殊合规措施

　　第二，设置涉未成年人个人信息事件的安全保障措施。

　　根据《未成年人保护法》《儿童个人信息网络保护规定》与《个人信息保护法（草案）》的规定，企业要为未成年人的权益保护承担多方位的义务和责任，仅在前文所述的处理环节中采取合规措施并不能安枕无忧，还需要为未成年人的信息安全设置丰富的保障措施，主要体现为建立并公开投诉和举报渠道、制定未成年人个人信息安全事件应急预案等。

　　1.建立并公开投诉和举报渠道。

　　为了及时受理、处理涉及未成年人个人信息的投诉和举报，游戏产品或服务的运营者应当建立便捷、合理、有效的投诉和举报渠道，公开投诉、举报方式等信息，并履行相应的义务。

　　一方面，游戏产品或服务的运营者负有更正、删除未成年人个人信息的义务。根据《未成年人保护法》第七十二条规定，未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的，游戏产品或服务的运营者应当及时采取措施予以更正、删除。若游戏产品或服务的运营者未提供有效的更正、删除个人信息及注销用户账号功能，或注销用户账号设置不合理条件，则属违法行为。

　　另一方面，游戏产品或服务的运营者还负有保障未成年人身心健康，制止针对未成年人实施违法犯罪行为的义务。根据《未成年人保护法》第八十条的规定，游戏产品或服务的运营者发现用户发布、传播含有危害未成年人身心健康内容的信息的，应当立即停止传输相关信息，采取删除、屏蔽、断开链接等处置措施，保存有关记录，并向网信、公安等部门报告。游戏产品或服务的运营者发现用户利用其网络服务对未成年人实施违法犯罪行为的，应当立即停止向该用户提供网络服务，保存有关记录，并向公安机关报告。

　　2.制定未成年人个人信息安全事件应急预案。

　　游戏产品或服务的运营者应当提前制定未成年人个人信息安全事件应急预案，在发生可能影响未成年人个人信息安全的事件时，主动实施应急预案，采取补救措施，立即向主管部门报告，并告知可能受影响的儿童及其监护人。

　　结合《儿童个人信息网络保护规定》第二十一条与《个人信息保护法（草案）》第五十条的规定，游戏产品或服务的运营者发现未成年人个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的未成年人及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。

结语

　　随着未成年人游戏用户规模的扩大与年龄阶层的下沉，游戏从业者在为未成年人提供网络服务的同时，也应更注重未成年人个人信息的保护。我国立法对未成年人的保护越来越全面和深入，执法检查越发严格和频繁，游戏产品或服务的运营者也应顺应时代的发展和国家机关的要求，及时调整隐私保护规则，并完善内部管理制度和安全保障措施，努力避开国家机关为未成年人个人信息保护设置的重重“地雷”，走上合规经营之路。