“游戏无罪？童年万岁！”——浅谈游戏行业未成年人保护

吴月琴 何鑫 

2021年6月1日，伴随着第71个国际儿童节的到来，新修订的《未成年人保护法》（以下简称“《未保法》”）正式生效，其中引人瞩目的是新增了对未成年人个人信息保护的条款，明确保护未成年人个人信息，并对网络处理未成年人个人信息提出合规要求。

同日，北京青少年法律援助与研究中心就腾讯公司运营的“王者荣耀”游戏侵害未成年人权益，向北京市第一中介人民法院提起公益诉讼。公益组织对游戏行业的关注，正凸显了未成年人这一特殊群体之于游戏企业的重要程度。基于此，本文拟分析游戏行业未成年人个人信息保护等相关六大问题，并提出合规建议。

一、保护规则和用户协议问题

《儿童个人信息网络保护规定》（以下简称“《保护规定》”）要求网络运营者应设置专门的儿童个人信息保护规则和用户协议。[1]而更精细化的问题是，游戏企业是否需要设置面向未成年人版本的保护规则和用户协议，还是仅需在通用文本中嵌入专章即可？

对此，游戏企业可具体结合发行游戏的主要受众区分，对于主要受众为未成年人的游戏，游戏企业应尽可能提供专门的未成年人个人信息保护文本。对于主要受众并非未成年人的游戏，则在通用文本中嵌入专门章节即可。

此外，鉴于年满十四周岁的未成年人，《个人信息安全规范》明确企业可由其明示同意的方式获得授权。[2]因此，对于保护规则和用户协议的用语，我们所熟知的“清晰易懂”等要求应当与未成年人的认知能力相匹配。同时，根据未成年人的认知能力，可以设计易于儿童理解和引起其兴趣的保护规则与用户协议（如漫画、动画等形式）结合文字提供。

二、未成年人玩家识别问题

识别游戏玩家中的未成年人群体是开展合规工作的前提。对于主推国内市场的游戏企业来说，基于未成年人防沉迷的相关要求，其可以通过建立用户实名注册系统，同时对接公安部身份查询中心实现对未成年人玩家的识别。在此有两点需要提示，第一，在进行实名验证过程中，游戏企业应当在必要范围内要求玩家提供个人信息。通常来说，进行实名认证仅提供姓名与身份证号即可，但部分游戏企业存在超出必要限度收集个人信息的情况，如要求玩家提供身份证照片以进行实名验证，由于涉及人脸信息，该种收集存在着一定合规风险。第二，在进行实名验证后，对于玩家提供的个人信息，若无继续处理的必要，应及时删除或匿名化处理，仅保留是否为未成年人的标签即可。

而对于有出海计划的游戏企业来说，若游戏发行国一方面未落实类似实名认证的强制要求，另一方面对未成年人个人信息保护提出较高要求，则此时对于游戏企业来说则面临如何识别未成年人玩家的问题。对此，游戏企业应首先确认发行国对于儿童识别的具体要求，如美国《儿童在线隐私保护法案》（COPPA）则根据服务是否面向儿童进行区分，对服务经营者提出了用户的识别筛选要求等。其次，选择适当的方式要求玩家提供个人信息以便进行未成年人玩家的识别。其中，游戏企业可结合发行国相关要求与行业普遍实践确定验证方式，如输入生日信息或直接选择是否为未成年人等。最后，与前述相一致，在验证之后，对于无继续处理必要的个人信息，应采取删除等当地要求的其他措施对个人信息进行处置。

三、监护人有效授权获取问题

对于不满十四周岁的未成年人，《未保法》等均要求处理其个人信息应当征得其父母或其他监护人同意。[3]对于游戏企业来说，则面临着如何确保屏幕面前点击同意的是小朋友的监护人而不是“机智”的小朋友的难题。

《个人信息告知同意指南（征求意见稿）》建议游戏企业可以采取短信验证、电话验证、邮箱验证、超链接验证等措施进行验证。参考域外经验，COPPA实施细则提出可以由监护人签署同意表、进行人脸识别、回答知识性问题等方式验证监护人身份，从而确保获得监护人的有效授权。

上述措施在一定程度上可以为前述有效授权问题提供参考，但有些措施则可能存在有效性的疑虑，如电话验证，若不通过人工方式验证则其有效性将大打折扣，而通过人工方式验证，则可能产生大量不必要的经营成本。我们认为，游戏企业可结合商业实际从上述措施中选取可行且切实有效的验证措施，如识别出未成年人玩家后即要求其填写监护人邮箱，然后通过发送确认链接方式获取授权等。此外，需要提醒的是，对于基于验证目的收集的个人信息，如验证后无继续保留的必要，则应及时进行删除或匿名化处理。

四、特殊保护措施问题

对于未满十四岁未成年人个人信息进行保护所应采取的特殊措施，《未保法》、《保护规定》等在企业内部管理层面提出了更高的保护要求。综合现有法律法规及标准要求，我们建议游戏企业应在现有的内部管理体系上做到以下几点：

（1） 设专人负责儿童个人信息保护工作；

（2） 严格实施儿童个人信息访问控制制度，严格限制无权限的访问、处理，同时落实审批制度并进行记录；

（3） 采取技术措施，避免违法复制或下载儿童个人信息；

（4）建立未成年人监护人投诉及行权机制，确保及时响应监护人投诉行权，如涉及第三方的，积极向监护人提供协助。

五、游戏平台内容管理问题

北京青少年法律援助与研究中心对腾讯公司的一项指控则为“游戏人物信息涉及过于暴露，网站及社区存在大量色情、低俗等不适宜未成年人阅读的内容。”[4]可见，内容管理是目前游戏企业开展未成年人保护合规工作的重要内容。

对此我们建议，首先，游戏企业应当对其提供游戏类型及内容进行评估，并进行适龄提示。对于主要面向未成年人提供的游戏，应当避免出现色情、暴力等危害未成年人身心健康的内容。其次，对于主要面向成年人提供的游戏，应当结合未成年人玩家的识别结果，对不适宜向未成年人展示的内容进行屏蔽，同时应在游戏介绍页面对可能影响未成年人身心健康的内容以显著方式进行提示。最后，对于存在社交或聊天功能的游戏，可以通过设置敏感词屏蔽等措施，过滤不良信息，同时保存有关记录，必要时向有关部门报告。

六、未成年人防沉迷问题

《关于防止未成年人沉迷网络游戏的通知》等法规对防止未成年人沉迷网络游戏向游戏企业提出要求，除前述的实名认证、内容管理等要求外，游戏企业还应遵守并做到以下内容：

（1）限制未成年人游戏时长，工作日每日累计不超过1.5小时，法定节假日每次累计不超过3小时；

（2）落实“游戏宵禁”，在每日22时至次日8时不向未成年人玩家提供游戏服务；

（3）可以设置无需实名注册的游客体验模式，但体验时间不得超过1小时，每次体验间隔不少于15天，且游客模式下不提供充值或消费服务；

（4）限制未成年人消费额度，不提供与其民事行为能力不符的付费服务。建议游戏企业以适当方式在未成年人玩家进行付费时向其监护人告知。同时应在游戏内消费界面提示消费应理性合理；

（5）积极与家长、学校及社会组织开展合作，加强对未成年人引导，保护其身心健康。

结语

作为从小学一直在打游戏到现在的资深玩家，笔者始终认为，游戏从不带有什么原罪。对于孩子来说，游戏与汽车模型、玩偶或者其他玩具一样，都只是他们的童年玩伴。真正存在问题的，可能是家长引导的缺位、学校教育的缺位或者是游戏企业工作的缺位等等，所以重要的是如何让包括游戏企业在内的社会各界在其职责范围内承担责任，给孩子们营造一个安全、和谐的游戏环境，让他们能在游戏中快乐、在快乐中学习、在学习中成长。

[1] 参见《保护规定》第八条。

[2] 参见《个人信息安全规范》5.4 d)

[3] 参见《未成年人保护法》第七十二条。

[4] 《社会组织对腾讯公司提起未成年人保护民事公益诉讼》，https://mp.weixin.qq.com/s/Pmz0twsCA-FoY3mSJ-a7jA。