腾讯隐私平台“除非明确授权,否则不会与合作伙伴共享可用于识别您个人身份的信息(如姓名或电子邮件地址)。”但是明确的许可和强制许可之间决不能划等号。根据《个人信息保护法》第二章第16条,个人信息处理程序不得以个人不同意处理个人信息或撤回同意为由拒绝提供产品或服务。个人信息处理是提供产品或服务所必需的情况除外。
p>而回到《腾讯游戏第三方信息共享清单》,个人信息的强制共享是否属于腾讯游戏提供产品或服务所必需的数据?
这个问题的答案暂且按下不表。
11月12日,WeGame更新新版本后,有用户反映,安装了WeGame后,通过电脑进程监控工具,发现有程序扫描电脑内文件的多个进程,而该程序的数字签名为Tencent Technology(shenzhen)company Limited,读取的进程包括桌面快捷方式以及更新当日乃至更早的用户打开文件记录,这些进程可以统称为用户的“行为”。
如果扫描用户电脑进程视为反作弊计划的一环,腾讯作为游戏运营方,有权处理玩家的“开挂”、“作弊”行为,用户下载并安装WeGame后,作为合法合规玩家,在游戏启动前接受腾讯的本地文件扫描,洗脱“开挂”、“作弊”行为的嫌疑尚且说得过去。在没有启动任何游戏准备的情况下,扫描系统进程,获取用户近期“行为”,是为了营销更加“精准”吗?
另一面,网友还反映,WeGame应用启动后,在WeGame的进程中搜索“Steam”字符串,搜索结果中存在一个U的字符串,意为访问Steam软件的用户存储配置。进程中还存在WeGame专有动态链接库函数——ReportSteamGames,这些字符串和函数的存在,该网友推断WeGame以使用注册表的方式确认用户电脑中Steam软件的存在,然后用其它方式获取用户的Steam账户信息、游戏信息,然后返回并报告。
这并不是一个民族企业勇于抗击境外软件的感人故事,相反,在笔者根据网友反映的操作方式进行确认之后,只觉毛骨悚然,“3Q大战”的壮烈情境浮现在眼前。
如果强制要求用户将个人信息共享给腾讯旗下的其它游戏是为了“更好的服务”,那么扫描用户电脑进程的目的是什么?WeGame的正常运行,有必要确认“竞品软件”是否存在,以及获取并报告用户在“竞品软件”的用户信息以及游戏库存?没有充足的理由来说明腾讯这一举动的正当性。
根据《个人信息保护法》第一章第六条之规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
扫描用户的近期文件打开记录和其它进程,是否属于实现处理目的的最小范围内?
腾讯会议
另一把火,烧在了腾讯会议上。
这款以线上沟通为主要功能的软件,在《个人信息保护法》施行之后,更新了隐私保护协议,同样新上架了《第三方共享信息清单及SDK目录》,其中将用户的设备信息(IMEI号、Serial Number、IMSI、User ID、Android ID等)、手机Region设置、设备型号、手机电量、手机操作系统版本及语言等,共享至各大应用市场的运营公司。
设备信息用于假设用户出现使用bug,主动上传设备型号及操作系统版本帮助开发者定位问题尚且可以理解,获取用户手机电量目的是为怕用户开会的时候手机没电?
《个人信息保护法》正式施行后,人民日报投稿题为《个人信息保护法正式施行,互联网产业或迎大变局》的视频,其中解读表示,一款导航APP,所需要的必要信息范围只有用户当前位置、出发位置、目的位置三项,除了这三项必要信息之外,如果还获取用户的手机型号、照片信息,就属于违法违规。
而以这个示例对比,腾讯会议所需要的必要信息范围只有用户音源输入与输出装置,以及提升用户体验的剪贴板粘贴会议信息等,设备型号、手机电量、各类设置没有收集的必要,更没有共享至第三方平台的必要性。
同样,延伸至WeGame,用户游玩某一款游戏,为了提升游玩体验,为了实现某些功能,在明确了信息收集目的的情况下以及获得用户授权的情况下,处理和使用信息合理合法。但信息共享必须同意并勾选,才能使用不需要信息共享就能使用的功能,这种胁迫式签约,有违消费者“告知同意权”,有违《个人信息保护法》的立法初衷及实施目的。
新法规施行前,普通用户经常会遇到“我在某个APP搜索了某种产品,其它APP开始推荐相关广告”的跨平台广告推荐,这种行为很明显是没有得到用户的充分同意。而新法规施行后,部分平台用“补票”的方式,推出《第三方信息共享清单》,以要求、胁迫、骗取用户授权,重回新法规施行前的状态,这岂不是开历史的倒车?
尽管本文以腾讯的做法为主要展示,但截至发稿前,已有多个平台采用了同样的方式要求用户签署授权《第三方信息共享清单》。共享可以,但“不签署就不能使用正常功能”的行为要不得。
打得一拳开,免得百拳来。
End.