神补刀，《深圳经济特区数据条例》火速出台，最高可罚5000万

【GameLook专稿，转载请注明出处】

图片来源： pixabay

GameLook报道/用户在裸奔——这的确是移动互联网时代的尴尬，「用户数据隐私问题」也成为时刻悬在互联网公司头上的达摩克利斯之剑。而近日刷屏的滴滴事件，又让这一重要议题重回公众视野。

7月4日，国家网信办发布公告，经检测核实，“滴滴出行”APP存在严重违法违规收集使用个人信息问题，要求下架整改。次日继续对“运满满”“货车帮”“BOSS直聘”实施网络安全审查，审查期间三款应用停止新用户注册。

不到一天时间，《深圳经济特区数据条例》正式公布，并将于明年1月1日起实施。这也是国内首次立法针对App“不全面授权就不让用”、个人信息收集任性、强制个性化广告推荐、大数据“杀熟”等问题，并给予重罚。

看来，曾被开发商忽视的用户隐私、数据安全等应用合规性问题，真的已经到了不得不重视的地步。

深圳率先重拳出击，应用合规刻不容缓

7月6日，深圳市人大常委会网站公布《深圳经济特区数据条例》（以下简称《条例》），明确针对APP强制授权、个人信息收集任性、强行个性化广告推荐等问题作出规定，而这也是国内数据领域首部基础性、综合性立法。

简单来说，《条例》主要关于以下五点：

1.个人数据处理规则以“告知—同意”为前提，不得对撤回同意进行不合理限制或者附加不合理条件。

2.用户有权拒绝被画像和被推荐，数据处理者应当以易获取的方式向其提供拒绝的有效途径。同时，除为了维护未满十四周岁未成年人的合法权益且征得其监护人明示同意外，不得向其进行个性化推荐。

3.《条例》对处理生物识别数据作出更严格的规定，即“人脸识别”不能强制使用。除了该生物识别数据为处理个人数据目的所必需且不能替代外，应当同时提供处理其他非生物识别数据的替代方案。

4.公共数据应当在法律、法规允许范围内最大限度地开放，不得收取任何费用。

5.针对国内大数据“杀熟”乱象，违反规定最高可罚五千万元。

众所周知，深圳一直都是国内互联网企业的重要聚集地之一，腾讯自不用说，包括中手游、创梦天地等多家老牌游戏公司同样坐落于此。如今《条例》的推出，自然值得整个游戏圈的高度重视。

首当其冲、《条例》规定，数据处理者不得以自然人不同意处理其个人数据为由，拒绝向其提供相关核心功能或者服务。也就是说，过去屡屡让用户头疼“不同意全面授权，就无法使用该APP”的状况终于将成为过去式。

其次，进行用户画像也应向用户说明具体用途和主要规则。在被拒绝用户画像或者基本用户画像推荐个性化产品、服务后，也应当以易获取的方式向用户提供拒绝的有效途径。此外，《条例》还将未满十四岁未成年人的个人数据视作敏感个人数据。

今年苹果IDFA新政的落地，已经在游戏业引起了不小的“地震”：短时间内iOS买量价格飙升，Android广告投放大幅度增长。

而后为了避免生物识别数据被滥用，《条例》也对处理生物识别数据，即　“人脸识别”、“指纹验证”、“声音解锁”等技术作出更严格的规定。

要知道，此前专门针对“孩子冒用家长身份信息绕过监管”等问题，多家厂商采用了人脸识别验证，以对疑似未成年人的用户进行甄别。但如今，《条例》提出“不能强制使用「人脸识别」”后，也对游戏公司在完成未成年人保护工作的同时，保护好其他成年玩家的唯一性、终身性、不可更改性的生物识别数据，提出了更高的要求。

除此之外，《条例》还指出“公共数据应当最大限度免费开放”，并对用户深恶痛绝的大数据“杀熟”做出了专门规定。

一直以来，不少APP通过数据分析，利用用户信息不对称“拆了东墙来补西墙”，将熟客身上获得的差价补贴新用户，多次成为社会舆论的焦点。《条例》同样将对这样的竞争乱象进行整治，违反且拒不改正的企业最高可罚五千万元，力度不可谓不大。

获用户肯定，天下苦APP强制授权久矣

隐私与数据安全，一直都是大众关注的焦点。《条例》的推出自然也不可避免地在国内用户间引起新一波热议。还不到一天，相关话题的讨论很快就登上知乎热榜前十。

“可以说是国内隐私保护立法的开山之作，也可以看出我们也越来越意识到隐私保护的重要性了。”不难发现，大多数评论基本是难以掩饰的喜悦，部分网友表述更是言简意赅“很难不支持，建议全国推广”。

也有网友表示，欧盟《通用数据保护条例》（GDPR）关于用户对收集信息的“同意”，早就做出了严格的要求。“如今《条例》在禁止「不全面授权就不让用」这点上，也和 GDPR 走在了类似的方向。”

“这类政策我会双手‘手动点赞’。”有网友再次谈起一直以来APP一揽子协议“不授权不让用”的痛点。在他看来，在这个万物互联的时代，随着用户暴露的信息越来越多，发生的网络安全事件也原来越多，人们的数据安全意识也越来越高。对“数据安全性”的愈发重视，自然也是高屋建瓴之势。

接连收到警示，开发者理应及早合规自审

其实在《条例》公告推出的前一天，国内手机厂商之一的VIVO就在其官方公众号发文，号召对开发者依据工信部信管函〔2020〕164号《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（下称《164号文》）、国信办秘字〔2021〕14号《常见类型移动互联网应用程序必要个人信息范围规定》（下称《14号文》）等文件要求，对旗下APP开展自查自纠。

去年7月，工信部正式发布《164号文》，就已要求各级主管部门对APP侵害用户权益的现象进行集中专项整治。截至6月8日，工信部已进行14批侵权行为的APP通报，而游戏类应用更是多次在榜，不得不重视。

与此同时，今年3月22日发布的《14号文》其实早有明确要求：APP不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。其中还提到，网络游戏类APP必要个人信息仅包含“注册用户移动电话号”一项。

不过与《14号文》相比，《条例》则进一步细化了对“同意授权”的定义，明确“数据处理者应当提供撤回同意的途径，不得对撤回同意进行不合理限制或者附加不合理条件”，避免滥用用户的同意、冷处理和强迫用户同意等可能性。

主管部门多次出手、舆论热议、渠道发出预警、深圳先行试点立法等等，接二连三的重锤落下，关于隐私合规的问题，显然已经到了游戏圈不得不重视的地步。

虽说国内游戏产品因普遍采用内购的营收方式，而在滥用权限等方面表现相对较好，但也并非在合规自审方面毫无隐患。尤其是从《条例》受到用户认可程度来看，全国推广已是必然。

这就意味着，在《条例》实施、乃至全国推广的空白期内，关于获取用户信息、买量等问题也都需要厂商尽快合规整改。在这个竞争白热化的市场中，一旦因为隐私安全等问题被禁止获取新用户3-6个月，无异于直接宣判游戏停运，切不可因小失大。