玩家信息泄露頻發,游戲公司應如何數據合規?

來源: 游戲葡萄 作者: 游戲葡萄 發布時間:2020-04-27 10:46

  文/諾誠游戲法

  近期,關于游戲用戶信息泄露的消息不斷傳來。

  《命運神界·夢境鏈接》對“詐騙短信”問題進行了回應,表示是代理運營團隊擅自侵害玩家隱私的不法行為。

  好游快爆平臺部分玩家收到與手游推廣相關的垃圾廣告短信、騷擾電話。

  TapTap大量用戶反饋個人隱私被泄露,被手游推廣相關的電話和短信頻頻騷擾。后TapTap發布公告稱已排除數據庫泄露的可能,公司未向任何第三方透露過用戶個人信息,同時也未發現有可能導致用戶個人信息泄露的技術漏洞。TapTap表示已向上海市公安局徐匯分局虹梅派出所進行了報案。

  游戲玩家數據泄露事件愈加頻繁,受影響用戶不斷擴大,少則數千萬,多達數千萬乃至億。本文將談談游戲用戶數據泄露的法律風險,以及面對用戶信息泄露,公司應如何應對用戶數據泄露事件。

  玩家的數據是如何泄露的?

  1、黑客攻擊

  去年9月,一名黑客聲稱入侵移動社交游戲公司 Zynga。其從超過2.18億個Words with Friends玩家帳戶中竊取了數據。數據泄露影響所有之前注冊游戲的安卓和 iOS 游戲玩家。此事被披露后,Zynga 承認數據泄露。

  2、網站漏洞

  某科技公司員工發現某游戲網站平臺存在漏洞,掃描網站漏洞,再聯合可登陸該網站篡改權限的人士,利用navicat軟件鏈接該網站數據庫等方法,獲取了該網站69萬多條玩家信息,這些玩家信息包括了用戶名、手機號和密碼等。

  3、公司員工私自出售

  此前京東12G用戶數據包在市面流通,數據多達數千萬條。經查,用戶數據泄漏罪魁禍首是京東物流的員工,泄漏的用戶數據包括用戶姓名、電話、地址、何時下單、所購貨物等信息,最高售價僅1.5元/條。

  4、通過不法渠道購買

  據國外媒體 The Register 獨家報道,Dream Market 的暗網市場出售 6.2 億用戶信息,交易通過比特幣轉賬,打包售價不高于 2 萬美元。

  被泄露的玩家數據都被用在哪?

  1、推廣游戲

  游戲玩家是不是會經常遇到這樣的情況?接到一個電話,對方自稱是游戲顧問,邀請你玩某款游戲;或收到短信,告知你成功預約某款游戲成功,該游戲是你從未玩過也未預約過的游戲,同時告訴你可領取游戲禮包,并附上游戲鏈接。


z28.jpg

  據業內了解,若有精準的游戲玩家數據,短信推廣轉化率在0.04%-0.08%之間。一條短信的成本能壓縮到0.04元,在理想情況下,一款游戲的CPA能控制在50元。而就買量而言,蘋果CPA買量成本在100-250元之間,安卓在60-90元之間。相比于買量,獲取玩家數據進行推廣游戲成本節約了數倍之多。

  2、游戲詐騙

  “聯盟電玩”案件中,游戲用戶信息泄露就被用于詐騙。2017年1月份以來,被告人謝某等人共同出資購買了“聯盟電玩”游戲平臺,平臺有“捕魚”、“搖錢樹”等種游戲。謝某等人從網上購買了20余萬條含有公民姓名、電話號碼等個人信息的數據,用于發短信宣傳“聯盟電玩”游戲平臺,獲取更多玩家資源。

  游戲玩家通過微信轉賬給客服充值上分,客服通過游戲平臺的后臺軟件來監控整個游戲平臺玩家的情況,并通過平臺的設置來控制玩家游戲的輸贏,屬于利用游戲平臺從事詐騙活動。

  玩家數據泄露的法律風險

  1、游戲平臺泄露玩家信息的法律風險

  游戲平臺未盡到安全管理義務,經監管部門責令采取改正措施而拒不改正,致使游戲用戶信息泄露,具有以下情形,則會涉嫌拒不履行信息網絡安全管理義務罪。

  (1)泄露行蹤軌跡信息、通信內容、征信信息、財產信息500條以上;

  (2)泄露通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的用戶信息5000條以上;

  (3)泄露其他用戶信息5萬條以上;

  (4)對絕大多數用戶日志未留存或者未落實真實身份信息認證義務;

  (5)二年內經多次責令改正拒不改正;

  (6)致使信息網絡服務被主要用于違法犯罪。

  一旦構成犯罪的,將面臨三年以下有期徒刑、拘役或者管制,并處或者單處罰金:

  2、購買玩家信息的法律風險

  通過向他人購買的方式非法獲取游戲玩家信息,將會涉嫌侵犯公民個人信息罪。根據《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,“公民個人信息”,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。但是經過處理無法識別特定個人且不能復原的除外。


z27.jpg

  有些人認為,如果只購買游戲玩家手機號碼,不購買其他該玩家信息,就屬于無法識別特定個人,那么就不會構成犯罪。事實上并非如此,在一例侵犯公民個人信息案件中,法院已明確認定單獨的手機號碼構成用戶信息。法院認為:無論是識別特定自然人身份,還是反映特定自然人活動情況,都應當是能夠單獨或者與其他信息結合所具有的功能,不應要求是相應個人信息單獨所具有的功能。涉案電話號碼雖然無法單獨識別公民個人身份,但本身能夠與特定自然人直接關聯,且結合其他信息能夠識別公民個人身份,屬于公民個人信息的范疇。

  游戲公司數據合規建議

  1、等級保護措施

  根據《網絡安全法》第二十一條的規定,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。

  游戲公司涉及玩家用戶數據較多,一般是三級等保要求,應采取有效的等保措施:

  (1)制定內部安全管理制度和操作規程,嚴格身份認證和權限管理;

  (2)采取技術措施,防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為;

  (3)采取技術措施,監測、記錄網絡運營狀態、網絡安全事件;

  (4)采取數據分類、重要數據備份和加密認證等措施;

  (5)對重要系統和數據庫進行容災備份。

  2、公司人員管理

  (1)建議公司設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;

  (2)與接觸用戶數據的員工簽署保密協議;

  (3)定期對公司人員進行網絡安全教育、技術培訓和技能考核。

  3、健全個人信息安全事件的應急處置制度

  (1)公司應制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。

  (2)發生個人信息安全事件后,個人信息控制者應根據應急響應預案進行以下處置:

  A、記錄事件內容,包括但不限于:發現事件的人員、時間、地點,涉及的個人信息及人數,發生事件的系統名稱,對其他互聯系統的影響,是否已聯系執法機關或有關部門;

  B、評估事件可能造成的影響,并采取必要措施控制事態,消除隱患;

  C、及時涉及個人信息主體的類型、數量、內容、性質等總體情況,事件可能造成的影響,已采取或將要采取的處置措施,事件處置相關人員的聯系方式等內容進行上報;

  D、將安全事件及時告知用戶。

  (3)制定輿論公關危機的處理機制,及時處理數據合規產生的公關危機。

  隨著監管部門對于隱私保護的要求越來越高,游戲行業數據合規的要求也逐漸提高。游戲公司應當及時厘清數據合規的要求,健全數據保護措施,完善數據保護的相關協議。

  寫在最后

  近年來,數據合規的問題越來越引起國家的重視。中央網信辦、工業和信息化部、公安部、市場監管總局四部門早已聯合開展全國互聯網安全專項整治工作,對落實網絡安全義務不到位,大量公民個人信息被竊取的網絡安全事件,以及非法獲取、出售或提供個人信息等行為,依據情節嚴重程度,采取約談主要負責人、停業整頓、關閉網站、注銷備案等措施。游戲企業應采取積極主動的合規措施,有效避免游戲數據泄露事件發生。


北京pk10牛牛是 福建快3下载 重庆幸运农场选一技巧 1991年上证指数 11选5任四最牛玩法 快乐12网上怎么投注 陕西十一选五遗漏手机版 山西11选5预测软件 好彩1走势图 天津十一选五玩法规则 初级股票入门视频 陕西快乐10分胆拖中奖规则 广东快乐十分彩结果 长投股票分析师 3d试机号下栽 腾讯分分彩官方开奖网址多少 甘肃十一选五直选走势图