網遊過度索取許可權問題調查：玩個遊戲，隱私都被扒光了

　　“只是玩個遊戲而已，為什麼要讓我開通那麼多許可權呢？！”福建泉州的黎先生最近玩一款名為“××瓶子”的小遊戲，發現這款遊戲竟然要求玩家授權電話通訊錄、定位、訪問相冊、短信和存儲等許可權才能玩，“這簡直比查戶口還查得詳細了”。

　　吐槽網路遊戲過度索取許可權的何止黎先生一人。多位遊戲玩家近日接受《法治日報》記者採訪時説，很多網路遊戲，特別是小遊戲，都存在過度索取許可權的問題，比如玩個消除類小遊戲，相機、麥克風、定位、通訊錄等都得授權，不同意就無法玩遊戲。

　　“玩個遊戲，隱私都被扒光了。”一位玩家如是説。

　　為何玩個遊戲要玩家開通那麼多許可權？過度索取許可權可能會對玩家産生哪些影響？這一亂象何以屢禁不止？帶著這些問題，記者展開了調查。

　　網遊過度索取許可權

　　違規收集個人資訊

　　“一些大型網遊都不需要開通這麼多許可權，反而一些休閒類小遊戲要求開通各種許可權。而且一旦被獲取存儲許可權，往往很快就會彈出各種廣告，有的還自動下載到‘我的文件管理’。遊戲沒玩盡興，垃圾得清理一大堆。”黎先生頗為無奈地抱怨道。

　　記者調查發現，部分遊戲在申請訪問許可權時會明確説明開通各項許可權的作用。如當下一款熱門英雄競技手遊，其隱私許可權設置中，每個許可權的右側都有説明資訊：開通麥克風許可權可以體驗對局語音、語音轉文字等遊戲功能；開通定位許可權可體驗榮耀戰區、附近的人等遊戲功能。

　　而一些免安裝的小程式遊戲，存在大量索取與遊戲無關內容許可權的情況，且沒有任何相關説明。在“××秒玩小遊戲”App中，有許多不用安裝打開即可玩的小遊戲，記者試玩了其中十幾款，這些遊戲幾乎都要索取玩家手機的一批許可權，不同意便不能進入遊戲。

　　一款名為“××模特”的小程式遊戲的隱私政策中這樣寫道：“在您使用本軟體網路服務，本軟體自動接收並記錄您手機上的資訊，包括但不限于您的健康數據、使用的語音、訪問日期和時間、軟硬體特徵資訊及您需求的網頁等數據。”

　　據了解，這是一款化粧類小遊戲，在該遊戲的隱私政策中並沒有註明獲取這些許可權資訊的作用是什麼，且“健康數據”等與遊戲體驗本身也沒有任何關聯。上述App內，類似的小程式遊戲還有很多，隱私政策中多有這一項。

　　記者注意到，該App內還有部分免安裝的精品遊戲，但想玩這些遊戲必須得允許該App訪問玩家設備上的應用，包括照片、音視頻及文件，不然就無法進入遊戲。

　　實際上，網遊過度索取許可權問題已極為普遍。在工信部近年來陸續通報的侵害用戶權益行為的App名單中，遊戲類軟體多次在列，且軟體所涉及的問題幾乎繞不開“App強制、頻繁、過度索取許可權”和“違規收集個人資訊”兩大類。

　　今年3月21日，工信部通報了最新一批侵害用戶權益行為的App共計55款，其中涉及7款遊戲産品，主要問題就是過度索取許可權、違規收集資訊等。

　　今年1月，海南省網信辦就群眾反映強烈的App非法獲取、超範圍收集、過度索取許可權等違法違規現象，對省內用戶量大、與民眾生活密切相關的各類應用程式進行技術檢測，結果顯示，《畫線火柴人》17款網路遊戲類App均不同程度存在強制索取用戶許可權、未列明索取許可權目的及超範圍收集個人隱私資訊等行為。

　　3月27日，重慶市通信管理局和四川省通信管理局通報了2023年第三期川渝兩地侵害用戶權益App名單，某遊戲類App“違規收集個人資訊、違規使用個人資訊、App強制、頻繁、過度索取許可權、App頻繁自啟動和關聯啟動”，成為被通報的典型違規案例之一。

　　應遵循最小化原則

　　獲取運作必要許可權

　　如何衡量一款遊戲是否過度索取許可權呢？

　　北京盈科(上海)律師事務所律師謝連杰認為，可以從許可權類型、許可權範圍、許可權數量、許可權使用目的四個方面進行考量。如遊戲軟體讀取通訊錄聯繫人、短信等，許可權超出了其功能需求的範圍，讀取與遊戲無關的許可權，或者請求的許可權數量過多，請求的許可權與其功能使用目的不符等，都屬於過度索取許可權。

　　“衡量遊戲軟體是否過度索取許可權，需要綜合考慮各種因素，但有個原則必須遵循，即最小化許可權原則，遊戲軟體應當只請求必要的許可權，且不能濫用許可權。”謝連杰説。

　　謝連杰説，過度索取許可權可能會對用戶産生一系列不良影響，比如遊戲軟體要求用戶授權通訊錄、定位等資訊，用戶一旦授權，可能導致個人隱私洩露；過度索取許可權也可能導致系統安全風險，惡意軟體可以利用獲取的許可權進行攻擊和篡改，給用戶帶來安全風險；還有些應用設置了必須充值才能使用某些功能，用戶不慎授權可能導致不必要的費用支出。

　　遊戲過度索取許可權涉嫌違反哪些法律規定？

　　北京外國語大學教授姚金菊説，過度索取許可權，非提供服務所必需或無合理應用場景，特別是在靜默狀態下或在後臺運作時，超範圍收集個人資訊，涉嫌違反個人資訊保護法、網路安全法和數據安全法的有關規定。同時，如果該行為導致自然人人格尊嚴受到侵害或人身、財産安全受到危害的，則違反民法典有關人身權和財産權的規定。

　　“通過索取許可權，遊戲軟體可能直接獲取已識別或可識別的個人資訊，並對其進行收集、存儲、使用、加工、傳輸、公開、刪除等處理。個人資訊保護法規定，處理個人資訊應當具有明確、合理的目的，應當與處理目的直接相關，採取對個人權益影響最小的方式。”姚金菊説，收集個人資訊，應當限于實現處理目的的最小範圍，不得過度收集，因此，遊戲軟體應當基於明確、合理的目的，嚴格有限地獲取維持遊戲正常運營所必要的許可權。

　　建立健全監管體系

　　專項整治強化懲處

　　監管部門反覆強調禁止過度索取許可權，並不斷曝光違規遊戲軟體，為何這一問題仍然屢禁不止？

　　在泰和泰(重慶)律師事務所律師朱傑看來，違法行為屢禁不止，主要有三個方面原因：

　　豐厚的利潤帶來極大的誘惑。用戶許可權的獲取，本質上是為了獲取用戶的個人資訊。這些個人資訊無論是遊戲運營商自行加工處理，還是直接提供給他人，都能夠轉化成巨大的利益。

　　違規行為的處罰力度不強，威懾力不足。對於這類違規行為，監管部門的處罰措施主要包括限期整改、下架、行政處罰等，這些措施並不足以抵消掉違規行為所帶來的利潤。

　　監管措施的定期整改，覆蓋面不夠大，持續度不夠長，使得一些違規廠商存在僥倖心理，或採取臨時整改的方式應付監管。

　　“遊戲運營商之所以過度索取許可權，是為了大量收集個人資訊，深度挖掘用戶消費習慣等，以謀取更多利益。對於屢次違反規定或因過度索取許可權造成嚴重後果、惡劣影響的遊戲軟體及其運營商，應當直接頂格處罰。”朱傑説，只有將長效機制納入監管體系並加強處罰措施，才能讓違規廠商令行禁止。

　　“現在的問題不是法律規定的處罰力度不夠，而是相應的執法處罰還沒全面跟上。”謝連杰建議，啟動遊戲行業個人資訊保護的專項整治。

　　有玩家建議，加大對過度索取許可權的遊戲運營商的懲戒力度，不僅要對違規遊戲軟體進行整改、下架處理，對遊戲運營商這一主體也要作出相應懲處，屢教不改的應限制其今後産品上架；要進一步壓實平臺責任，平臺應對違規遊戲軟體進行重點監管，並暢通舉報渠道，回應群眾訴求。

　　北京韜安律師事務所律師司斌斌也提出，進一步落實平臺或應用商店的責任。正規應用商店上架的遊戲軟體，一般需接入其SDK(軟體開發工具包)，可由平臺默認設置為嚴格的形式，且不允許隨意修改，如遊戲軟體運作確需索取更多的用戶許可權，則需要遊戲開發商和平臺共同核實確認。“出現問題，監管部門可以考慮對遊戲運營商和平臺進行雙重處罰，推動責任雙重落實。”

　　多位專家提出，用戶也要提升安全防範意識，保護個人資訊，選擇正規平台下載遊戲軟體，儘量不要從瀏覽器或來源不明的遊戲商店進行下載，詳細閱讀《隱私協議》《用戶協議》，不輕易授權；發現過度索取許可權問題，積極舉報，共同維護網遊環境。