來源 ｜ 零壹財經(jīng)作者 ｜ 大先生

11月1日，《個人信息保護法》正式施行。

新法之下，涉及到個人信息的采集與使用的諸多平臺都更新了其信息使用政策，用戶在進入11月之后打開各個客戶端、APP均能看到醒目提醒，了解信息使用協(xié)議的相關(guān)更改，并需要重新勾選確認(rèn)。

《個人信息保護法》的施行，標(biāo)志著我國個人信息保護立法體系進入新的發(fā)展階段，對公民信息權(quán)益的維護以及數(shù)字經(jīng)濟的發(fā)展具有重要意義。

《個人信息保護法》第五條要求，處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。

施行之后，一些平臺卻出現(xiàn)了引發(fā)輿論爭議的《第三方信息共享清單》，要求用戶必須同意將賬戶信息、身份信息、生物識別信息、充值記錄、使用機型等信息共享至該平臺其它服務(wù)中。用戶不同意勾選此清單，則無法使用該平臺的正常服務(wù)。

WeGame

最早引發(fā)輿論熱議的是騰訊提供的一站式游戲服務(wù)平臺WeGame。

《個人信息保護法》正式施行后，相關(guān)用戶注意到，通過WeGame平臺啟動游戲，會提示“請詳細閱讀并勾選同意下方所有協(xié)議”，“所有協(xié)議”中包含四條，分別為《騰訊游戲用戶協(xié)議》、《隱私保護指引》、《兒童隱私保護指引》、《騰訊游戲第三方信息共享清單》。

法規(guī)實施前，用戶如果已同意并勾選的《隱私保護指引》被取消，需要重新勾選，這意味著《隱私保護指引》有條款更新，重新勾選也是題中應(yīng)有之義。

而新增的《騰訊游戲第三方信息共享清單》中顯示，“為保障騰訊游戲的穩(wěn)定運行并實現(xiàn)相關(guān)功能，我們可能向第三方共享您的個人信息。如我們與任何第三方共享您的個人信息，我們將督促該第三方按照我們在《騰訊游戲隱私保護指引》中與您的約定收集和使用您的個人信息，并采取適當(dāng)?shù)陌踩�技術(shù)和管理措施保障您的個人信息安全。”

該清單列舉的“第三方”游戲列表幾乎囊括了騰訊旗下或合作的所有游戲，其中既有被戲稱為“騰訊四大名著”的穿越火線、地下城與勇士、QQ飛車、QQ炫舞等知名度較高的游戲，也有鴻圖之下、胡桃日記、全民斬仙、全球行動等知名度較低游戲。

這意味著，不管用戶想要游玩的是騰訊旗下的哪個游戲，只要通過WeGame啟動該游戲，必須同意該共享清單，將用戶在主要游玩游戲的所有數(shù)據(jù)共享給第三方所有游戲。

需要共享的是什么數(shù)據(jù)？根據(jù)《騰訊游戲隱私保護指引》，在用戶使用騰訊游戲服務(wù)的過程中， 騰訊會收集和使用用戶的微信與QQ的好友關(guān)系、用戶的實名身份信息、充值記錄、消費記錄、照片或存儲文件、麥克風(fēng)、攝像頭、地理位置信息、面部識別特征、手機號碼等，這些信息將被共享至第三方，無論用戶是否確認(rèn)游玩了這些第三方游戲。

這些信息的收集目的，在《騰訊游戲隱私保護指引》中有提及，出于實名認(rèn)證、與用戶互動以及未成年保護等需求，但信息共享的必要性則只是簡單的一句“為保障騰訊游戲的穩(wěn)定運行并實現(xiàn)相關(guān)功能”。

如果用戶不同意并不勾選此《騰訊游戲第三方信息共享清單》，則想要游玩的游戲無法啟動。

騰訊隱私保護平臺顯示，“我們的部分服務(wù)可能需要您提供特定的個人敏感信息來實現(xiàn)特定功能。若您選擇不提供該類信息，則可能無法正常使用服務(wù)中的特定功能，但不影響您使用服務(wù)中的其他功能。若您主動提供您的個人敏感信息即表示您同意我們按本政策所述目的和方式來處理您的個人敏感信息�！�

然而在用戶選擇了同意收集卻不同意共享信息的情況下，結(jié)果是游戲無法啟動。

騰訊隱私保護平臺顯示，“我們不會向合作伙伴分享可用于識別您個人身份的信息（例如您的姓名或電子郵件地址），除非您明確授權(quán)�！�

但明確授權(quán)和強制授權(quán)之間，永遠畫不上等號。

根據(jù)《個人信息保護法》第二章第十六條之規(guī)定，個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

而回到《騰訊游戲第三方信息共享清單》，個人信息的強制共享是否屬于騰訊游戲提供產(chǎn)品或服務(wù)所必需的數(shù)據(jù)？
這個問題的答案暫且按下不表。

11月12日，WeGame更新新版本后，有用戶反映，安裝了WeGame后，通過電腦進程監(jiān)控工具，發(fā)現(xiàn)有程序掃描電腦內(nèi)文件的多個進程，而該程序的數(shù)字簽名為Tencent Technology（shenzhen）company Limited，讀取的進程包括桌面快捷方式以及更新當(dāng)日乃至更早的用戶打開文件記錄，這些進程可以統(tǒng)稱為用戶的“行為”。

如果掃描用戶電腦進程視為反作弊計劃的一環(huán)，騰訊作為游戲運營方，有權(quán)處理玩家的“開掛”、“作弊”行為，用戶下載并安裝WeGame后，作為合法合規(guī)玩家，在游戲啟動前接受騰訊的本地文件掃描，洗脫“開掛”、“作弊”行為的嫌疑尚且說得過去。在沒有啟動任何游戲準(zhǔn)備的情況下，掃描系統(tǒng)進程，獲取用戶近期“行為”，是為了營銷更加“精準(zhǔn)”嗎？

另一面，網(wǎng)友還反映，WeGame應(yīng)用啟動后，在WeGame的進程中搜索“steam”字符串，搜索結(jié)果中存在一個UserConfigStore．Software．Valve．Steam．Apps的字符串，意為訪問Steam軟件的用戶存儲配置。進程中還存在WeGame專有動態(tài)鏈接庫函數(shù)——ReportSteamGames，這些字符串和函數(shù)的存在，該網(wǎng)友推斷WeGame以使用注冊表的方式確認(rèn)用戶電腦中Steam軟件的存在，然后用其它方式獲取用戶的Steam賬戶信息、游戲信息，然后返回并報告。

這并不是一個民族企業(yè)勇于抗擊境外軟件的感人故事，相反，在筆者根據(jù)網(wǎng)友反映的操作方式進行確認(rèn)之后，只覺毛骨悚然，“3Q大戰(zhàn)”的壯烈情境浮現(xiàn)在眼前。

如果強制要求用戶將個人信息共享給騰訊旗下的其它游戲是為了“更好的服務(wù)”，那么掃描用戶電腦進程的目的是什么？WeGame的正常運行，有必要確認(rèn)“競品軟件”是否存在，以及獲取并報告用戶在“競品軟件”的用戶信息以及游戲庫存？沒有充足的理由來說明騰訊這一舉動的正當(dāng)性。

根據(jù)《個人信息保護法》第一章第六條之規(guī)定，處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

掃描用戶的近期文件打開記錄和其它進程，是否屬于實現(xiàn)處理目的的最小范圍內(nèi)？

騰訊會議

另一把火，燒在了騰訊會議上。

這款以線上溝通為主要功能的軟件，在《個人信息保護法》施行之后，更新了隱私保護協(xié)議，同樣新上架了《第三方共享信息清單及SDK目錄》，其中將用戶的設(shè)備信息（IMEI號、Serial Number、IMSI、User ID、Android ID等）、手機Region設(shè)置、設(shè)備型號、手機電量、手機操作系統(tǒng)版本及語言等，共享至各大應(yīng)用市場的運營公司。

設(shè)備信息用于假設(shè)用戶出現(xiàn)使用bug，主動上傳設(shè)備型號及操作系統(tǒng)版本幫助開發(fā)者定位問題尚且可以理解，獲取用戶手機電量目的是為怕用戶開會的時候手機沒電？ 

《個人信息保護法》正式施行后，人民日報投稿題為《個人信息保護法正式施行，互聯(lián)網(wǎng)產(chǎn)業(yè)或迎大變局》的視頻，其中解讀表示，一款導(dǎo)航APP，所需要的必要信息范圍只有用戶當(dāng)前位置、出發(fā)位置、目的位置三項，除了這三項必要信息之外，如果還獲取用戶的手機型號、照片信息，就屬于違法違規(guī)。

而以這個示例對比，騰訊會議所需要的必要信息范圍只有用戶音源輸入與輸出裝置，以及提升用戶體驗的剪貼板粘貼會議信息等，設(shè)備型號、手機電量、各類設(shè)置沒有收集的必要，更沒有共享至第三方平臺的必要性。

同樣，延伸至WeGame，用戶游玩某一款游戲，為了提升游玩體驗，為了實現(xiàn)某些功能，在明確了信息收集目的的情況下以及獲得用戶授權(quán)的情況下，處理和使用信息合理合法。但信息共享必須同意并勾選，才能使用不需要信息共享就能使用的功能，這種脅迫式簽約，有違消費者“告知同意權(quán)”，有違《個人信息保護法》的立法初衷及實施目的。

新法規(guī)施行前，普通用戶經(jīng)常會遇到“我在某個APP搜索了某種產(chǎn)品，其它APP開始推薦相關(guān)廣告”的跨平臺廣告推薦，這種行為很明顯是沒有得到用戶的充分同意。而新法規(guī)施行后，部分平臺用“補票”的方式，推出《第三方信息共享清單》，以要求、脅迫、騙取用戶授權(quán)，重回新法規(guī)施行前的狀態(tài)，這豈不是開歷史的倒車？

盡管本文以騰訊的做法為主要展示，但截至發(fā)稿前，已有多個平臺采用了同樣的方式要求用戶簽署授權(quán)《第三方信息共享清單》。共享可以，但“不簽署就不能使用正常功能”的行為要不得。