“玩個遊戲，隐私都被扒光了”，網遊過度索取權限問題調查

“隻是玩個遊戲而已，為什麼要讓我開通那麼多權限呢？！”福建泉州的黎先生最近玩一款名為“××瓶子”的小遊戲，發現這款遊戲竟然要求玩家授權電話通訊錄、定位、通路相冊、短信和存儲等權限才能玩，“這簡直比查戶口還查得詳細了”。

吐槽網絡遊戲過度索取權限的何止黎先生一人。多位遊戲玩家近日接受《法治日報》記者采訪時說，很多網絡遊戲，特别是小遊戲，都存在過度索取權限的問題，比如玩個消除類小遊戲，相機、麥克風、定位、通訊錄等都得授權，不同意就無法玩遊戲。

“玩個遊戲，隐私都被扒光了。”一位玩家如是說。

為何玩個遊戲要玩家開通那麼多權限？過度索取權限可能會對玩家産生哪些影響？這一亂象何以屢禁不止？帶着這些問題，記者展開了調查。

網遊過度索取權限

違規收集個人資訊

“一些大型網遊都不需要開通這麼多權限，反而一些休閑類小遊戲要求開通各種權限。而且一旦被擷取存儲權限，往往很快就會彈出各種廣告，有的還自動下載下傳到‘我的檔案管理’。遊戲沒玩盡興，垃圾得清理一大堆。”黎先生頗為無奈地抱怨道。

記者調查發現，部分遊戲在申請通路權限時會明确說明開通各項權限的作用。如當下一款熱門英雄競技手遊，其隐私權限設定中，每個權限的右側都有說明資訊：開通麥克風權限可以體驗對局語音、語音轉文字等遊戲功能；開通定位權限可體驗榮耀戰區、附近的人等遊戲功能。

而一些免安裝的小程式遊戲，存在大量索取與遊戲無關内容權限的情況，且沒有任何相關說明。在“××秒玩小遊戲”App中，有許多不用安裝打開即可玩的小遊戲，記者試玩了其中十幾款，這些遊戲幾乎都要索取玩家手機的一批權限，不同意便不能進入遊戲。

一款名為“××模特”的小程式遊戲的隐私政策中這樣寫道：“在您使用本軟體網絡服務時，本軟體自動接收并記錄您手機上的資訊，包括但不限于您的健康資料、使用的語音、通路日期和時間、軟硬體特征資訊及您需求的網頁等資料。”

據了解，這是一款化妝類小遊戲，在該遊戲的隐私政策中并沒有注明擷取這些權限資訊的作用是什麼，且“健康資料”等與遊戲體驗本身也沒有任何關聯。上述App内，類似的小程式遊戲還有很多，隐私政策中多有這一項。

記者注意到，該App内還有部分免安裝的精品遊戲，但想玩這些遊戲必須得允許該App通路玩家裝置上的應用，包括照片、音視訊及檔案，不然就無法進入遊戲。

實際上，網遊過度索取權限問題已極為普遍。在工信部近年來陸續通報的侵害使用者權益行為的App名單中，遊戲類軟體多次在列，且軟體所涉及的問題幾乎繞不開“App強制、頻繁、過度索取權限”和“違規收集個人資訊”兩大類。

今年3月21日，工信部通報了最新一批侵害使用者權益行為的App共計55款，其中涉及7款遊戲産品，主要問題就是過度索取權限、違規收集資訊等。

今年1月，海南省網信辦就群衆反映強烈的App非法擷取、超範圍收集、過度索取權限等違法違規現象，對省内使用者量大、與群眾生活密切相關的各類應用程式進行技術檢測，結果顯示，《畫線火柴人》17款網絡遊戲類App均不同程度存在強制索取使用者權限、未列明索取權限目的及超範圍收集個人隐私資訊等行為。

3月27日，重慶市通信管理局和四川省通信管理局通報了2023年第三期川渝兩地侵害使用者權益App名單，某遊戲類App“違規收集個人資訊、違規使用個人資訊、App強制、頻繁、過度索取權限、App頻繁自啟動和關聯啟動”，成為被通報的典型違規案例之一。

應遵循最小化原則

擷取運作必要權限

如何衡量一款遊戲是否過度索取權限呢？

北京盈科（上海）律師事務所律師謝連傑認為，可以從權限類型、權限範圍、權限數量、權限使用目的四個方面進行考量。如遊戲軟體讀取通訊錄聯系人、短信等，權限超出了其功能需求的範圍，讀取與遊戲無關的權限，或者請求的權限數量過多，請求的權限與其功能使用目的不符等，都屬于過度索取權限。

“衡量遊戲軟體是否過度索取權限，需要綜合考慮各種因素，但有個原則必須遵循，即最小化權限原則，遊戲軟體應當隻請求必要的權限，且不能濫用權限。”謝連傑說。

謝連傑說，過度索取權限可能會對使用者産生一系列不良影響，比如遊戲軟體要求使用者授權通訊錄、定位等資訊，使用者一旦授權，可能導緻個人隐私洩露；過度索取權限也可能導緻系統安全風險，惡意軟體可以利用擷取的權限進行攻擊和篡改，給使用者帶來安全風險；還有些應用設定了必須充值才能使用某些功能，使用者不慎授權可能導緻不必要的費用支出。

遊戲過度索取權限涉嫌違反哪些法律規定？

北京外國語大學教授姚金菊說，過度索取權限，非提供服務所必需或無合理應用場景，特别是在靜默狀态下或在背景運作時，超範圍收集個人資訊，涉嫌違反個人資訊保護法、網絡安全法和資料安全法的有關規定。同時，如果該行為導緻自然人人格尊嚴受到侵害或人身、财産安全受到危害的，則違反民法典有關人身權和财産權的規定。

“通過索取權限，遊戲軟體可能直接擷取已識别或可識别的個人資訊，并對其進行收集、存儲、使用、加工、傳輸、公開、删除等處理。個人資訊保護法規定，處理個人資訊應當具有明确、合理的目的，應當與處理目的直接相關，采取對個人權益影響最小的方式。”姚金菊說，收集個人資訊，應當限于實作處理目的的最小範圍，不得過度收集，是以，遊戲軟體應當基于明确、合理的目的，嚴格有限地擷取維持遊戲正常營運所必要的權限。

建立健全監管體系

專項整治強化懲處

監管部門反複強調禁止過度索取權限，并不斷曝光違規遊戲軟體，為何這一問題仍然屢禁不止？

在泰和泰（重慶）律師事務所律師朱傑看來，違法行為屢禁不止，主要有三個方面原因：

豐厚的利潤帶來極大的誘惑。使用者權限的擷取，本質上是為了擷取使用者的個人資訊。這些個人資訊無論是遊戲營運商自行加工處理，還是直接提供給他人，都能夠轉化成巨大的利益。

違規行為的處罰力度不強，威懾力不足。對于這類違規行為，監管部門的處罰措施主要包括限期整改、下架、行政處罰等，這些措施并不足以抵消掉違規行為所帶來的利潤。

監管措施的定期整改，覆寫面不夠大，持續度不夠長，使得一些違規廠商存在僥幸心理，或采取臨時整改的方式應付監管。

“遊戲營運商之是以過度索取權限，是為了大量收集個人資訊，深度挖掘使用者消費習慣等，以謀取更多利益。對于屢次違反規定或因過度索取權限造成嚴重後果、惡劣影響的遊戲軟體及其營運商，應當直接頂格處罰。”朱傑說，隻有将長效機制納入監管體系并加強處罰措施，才能讓違規廠商令行禁止。

“現在的問題不是法律規定的處罰力度不夠，而是相應的執法處罰還沒全面跟上。”謝連傑建議，啟動遊戲行業個人資訊保護的專項整治。

有玩家建議，加大對過度索取權限的遊戲營運商的懲戒力度，不僅要對違規遊戲軟體進行整改、下架處理，對遊戲營運商這一主體也要作出相應懲處，屢教不改的應限制其今後産品上架；要進一步壓實平台責任，平台應對違規遊戲軟體進行重點監管，并暢通舉報管道，回應群衆訴求。

北京韬安律師事務所律師司斌斌也提出，進一步落實平台或應用商店的責任。正規應用商店上架的遊戲軟體，一般需接入其SDK（軟體開發工具包），可由平台預設設定為嚴格的形式，且不允許随意修改，如遊戲軟體運作确需索取更多的使用者權限，則需要遊戲開發商和平台共同核實确認。“出現問題，監管部門可以考慮對遊戲營運商和平台進行雙重處罰，推動責任雙重落實。”

多位專家提出，使用者也要提升安全防範意識，保護個人資訊，選擇正規平台下載下傳遊戲軟體，盡量不要從浏覽器或來源不明的遊戲商店進行下載下傳，詳細閱讀《隐私協定》《使用者協定》，不輕易授權；發現過度索取權限問題，積極舉報，共同維護網遊環境。

（來源：法治日報）

[ 編輯： 李 鑫 ]