□ 本报记者 韩丹东
□ 本报实习生 关楚瑜
“只是玩个游戏而已,为什么要让我开通那么多权限呢?!”福建泉州的黎先生最近玩一款名为“××瓶子”的小游戏,发现这款游戏竟然要求玩家授权电话通讯录、定位、访问相册、短信和存储等权限才能玩,“这简直比查户口还查得详细了”。
吐槽网络游戏过度索取权限的何止黎先生一人。多位游戏玩家近日接受《法治日报》记者采访时说,很多网络游戏,特别是小游戏,都存在过度索取权限的问题,比如玩个消除类小游戏,相机、麦克风、定位、通讯录等都得授权,不同意就无法玩游戏。
“玩个游戏,隐私都被扒光了。”一位玩家如是说。
为何玩个游戏要玩家开通那么多权限?过度索取权限可能会对玩家产生哪些影响?这一乱象何以屡禁不止?带着这些问题,记者展开了调查。
网游过度索取权限
违规收集个人信息
“一些大型网游都不需要开通这么多权限,反而一些休闲类小游戏要求开通各种权限。而且一旦被获取存储权限,往往很快就会弹出各种广告,有的还自动下载到‘我的文件管理’。游戏没玩尽兴,垃圾得清理一大堆。”黎先生颇为无奈地抱怨道。
记者调查发现,部分游戏在申请访问权限时会明确说明开通各项权限的作用。如当下一款热门英雄竞技手游,其隐私权限设置中,每个权限的右侧都有说明信息:开通麦克风权限可以体验对局语音、语音转文字等游戏功能;开通定位权限可体验荣耀战区、附近的人等游戏功能。
而一些免安装的小程序游戏,存在大量索取与游戏无关内容权限的情况,且没有任何相关说明。在“××秒玩小游戏”App中,有许多不用安装打开即可玩的小游戏,记者试玩了其中十几款,这些游戏几乎都要索取玩家手机的一批权限,不同意便不能进入游戏。
一款名为“××模特”的小程序游戏的隐私政策中这样写道:“在您使用本软件网络服务,本软件自动接收并记录您手机上的信息,包括但不限于您的健康数据、使用的语音、访问日期和时间、软硬件特征信息及您需求的网页等数据。”
据了解,这是一款化妆类小游戏,在该游戏的隐私政策中并没有注明获取这些权限信息的作用是什么,且“健康数据”等与游戏体验本身也没有任何关联。上述App内,类似的小程序游戏还有很多,隐私政策中多有这一项。
记者注意到,该App内还有部分免安装的精品游戏,但想玩这些游戏必须得允许该App访问玩家设备上的应用,包括照片、音视频及文件,不然就无法进入游戏。
实际上,网游过度索取权限问题已极为普遍。在工信部近年来陆续通报的侵害用户权益行为的App名单中,游戏类软件多次在列,且软件所涉及的问题几乎绕不开“App强制、频繁、过度索取权限”和“违规收集个人信息”两大类。
今年3月21日,工信部通报了最新一批侵害用户权益行为的App共计55款,其中涉及7款游戏产品,主要问题就是过度索取权限、违规收集信息等。
今年1月,海南省网信办就群众反映强烈的App非法获取、超范围收集、过度索取权限等违法违规现象,对省内用户量大、与民众生活密切相关的各类应用程序进行技术检测,结果显示,《画线火柴人》17款网络游戏类App均不同程度存在强制索取用户权限、未列明索取权限目的及超范围收集个人隐私信息等行为。
3月27日,重庆市通信管理局和四川省通信管理局通报了2023年第三期川渝两地侵害用户权益App名单,某游戏类App“违规收集个人信息、违规使用个人信息、App强制、频繁、过度索取权限、App频繁自启动和关联启动”,成为被通报的典型违规案例之一。
应遵循最小化原则
获取运行必要权限
如何衡量一款游戏是否过度索取权限呢?
北京盈科(上海)律师事务所律师谢连杰认为,可以从权限类型、权限范围、权限数量、权限使用目的四个方面进行考量。如游戏软件读取通讯录联系人、短信等,权限超出了其功能需求的范围,读取与游戏无关的权限,或者请求的权限数量过多,请求的权限与其功能使用目的不符等,都属于过度索取权限。
“衡量游戏软件是否过度索取权限,需要综合考虑各种因素,但有个原则必须遵循,即最小化权限原则,游戏软件应当只请求必要的权限,且不能滥用权限。”谢连杰说。
谢连杰说,过度索取权限可能会对用户产生一系列不良影响,比如游戏软件要求用户授权通讯录、定位等信息,用户一旦授权,可能导致个人隐私泄露;过度索取权限也可能导致系统安全风险,恶意软件可以利用获取的权限进行攻击和篡改,给用户带来安全风险;还有些应用设置了必须充值才能使用某些功能,用户不慎授权可能导致不必要的费用支出。
游戏过度索取权限涉嫌违反哪些法律规定?
北京外国语大学教授姚金菊说,过度索取权限,非提供服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围收集个人信息,涉嫌违反个人信息保护法、网络安全法和数据安全法的有关规定。同时,如果该行为导致自然人人格尊严受到侵害或人身、财产安全受到危害的,则违反民法典有关人身权和财产权的规定。
“通过索取权限,游戏软件可能直接获取已识别或可识别的个人信息,并对其进行收集、存储、使用、加工、传输、公开、删除等处理。个人信息保护法规定,处理个人信息应当具有明确、合理的目的,应当与处理目的直接相关,采取对个人权益影响最小的方式。”姚金菊说,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集,因此,游戏软件应当基于明确、合理的目的,严格有限地获取维持游戏正常运营所必要的权限。
建立健全监管体系
专项整治强化惩处
监管部门反复强调禁止过度索取权限,并不断曝光违规游戏软件,为何这一问题仍然屡禁不止?
在泰和泰(重庆)律师事务所律师朱杰看来,违法行为屡禁不止,主要有三个方面原因:
丰厚的利润带来极大的诱惑。用户权限的获取,本质上是为了获取用户的个人信息。这些个人信息无论是游戏运营商自行加工处理,还是直接提供给他人,都能够转化成巨大的利益。
违规行为的处罚力度不强,威慑力不足。对于这类违规行为,监管部门的处罚措施主要包括限期整改、下架、行政处罚等,这些措施并不足以抵消掉违规行为所带来的利润。
监管措施的定期整改,覆盖面不够大,持续度不够长,使得一些违规厂商存在侥幸心理,或采取临时整改的方式应付监管。
“游戏运营商之所以过度索取权限,是为了大量收集个人信息,深度挖掘用户消费习惯等,以谋取更多利益。对于屡次违反规定或因过度索取权限造成严重后果、恶劣影响的游戏软件及其运营商,应当直接顶格处罚。”朱杰说,只有将长效机制纳入监管体系并加强处罚措施,才能让违规厂商令行禁止。
“现在的问题不是法律规定的处罚力度不够,而是相应的执法处罚还没全面跟上。”谢连杰建议,启动游戏行业个人信息保护的专项整治。
有玩家建议,加大对过度索取权限的游戏运营商的惩戒力度,不仅要对违规游戏软件进行整改、下架处理,对游戏运营商这一主体也要作出相应惩处,屡教不改的应限制其今后产品上架;要进一步压实平台责任,平台应对违规游戏软件进行重点监管,并畅通举报渠道,回应群众诉求。
北京韬安律师事务所律师司斌斌也提出,进一步落实平台或应用商店的责任。正规应用商店上架的游戏软件,一般需接入其SDK(软件开发工具包),可由平台默认设置为严格的形式,且不允许随意修改,如游戏软件运行确需索取更多的用户权限,则需要游戏开发商和平台共同核实确认。“出现问题,监管部门可以考虑对游戏运营商和平台进行双重处罚,推动责任双重落实。”
多位专家提出,用户也要提升安全防范意识,保护个人信息,选择正规平台下载游戏软件,尽量不要从浏览器或来源不明的游戏商店进行下载,详细阅读《隐私协议》《用户协议》,不轻易授权;发现过度索取权限问题,积极举报,共同维护网游环境。(来源:法治日报)
来源:法治日报