来源|零壹财经

作者|达先生

11月1日，《个人信息保护法》正式生效。

根据新法律，许多参与收集和使用个人信息的平台都更新了信息使用政策。进入11月后，用户在打开所有客户端和app时都能看到醒目的提醒，了解信息使用协议的相关变更，需要再次查看确认。

《个人信息保护法》的实施，标志着我国个人信息保护立法体系进入新的发展阶段，对维护公民信息权益、发展数字经济具有重要意义。

《个人信息保护法》第五条要求，应当遵循合法、正当、必要和诚实信用的原则处理个人信息，不得以误导、欺诈、胁迫等方式处理个人信息。

实施后，部分平台出现了引起公众争议的第三方信息共享列表，要求用户同意将账户信息、身份信息、生物特征信息、充值记录、使用的机型等信息共享给平台的其他服务。如果用户不同意查看这个列表，就无法使用平台的正常服务。

WeGame

腾讯提供的一站式游戏服务平台WeGame是第一个引发舆论热议的。

《个人信息保护法》生效后，相关用户注意到，通过WeGame平台启动游戏，会提示“请仔细阅读并核对，同意以下所有协议”。所有协议中有四个协议，分别是《腾讯游戏用户协议》、《隐私保护指南》、《儿童隐私保护指南》和《腾讯游戏第三方信息共享清单》。

在规定实施前，如果用户已经同意并勾选的隐私保护指引被取消，需要再次勾选，也就是说更新的隐私保护指引中有规定，再次勾选也是题中应有之义。

新增加的腾讯游戏第三方信息共享列表显示，“为了确保腾讯游戏的稳定运行和实现相关功能，我们可能会与第三方共享您的个人信息。如果我们与任何第三方共享您的个人信息，我们将敦促该第三方根据我们与您在《腾讯游戏隐私保护指南》中的协议收集和使用您的个人信息，并采取适当的安全技术和管理措施来确保您的个人信息安全。”

这份榜单列出的“第三方”游戏名单，几乎涵盖了腾讯拥有或合作的所有游戏，包括一些知名游戏，如《穿越火线》、《地下城与勇士》、《QQ飞车》、《QQ炫舞》等。，昵称为“腾讯四大经典小说”，以及一些不太知名的游戏，如《大计划之下》、《核桃日记》、《全民神仙》、《全球行动》等。

这意味着无论用户想玩腾讯的哪一款游戏，只要是通过WeGame启动的游戏，用户都必须同意共享列表，将用户主游戏的所有数据共享给所有第三方游戏。

需要分享哪些数据？根据腾讯游戏隐私保护指南，腾讯将收集和使用用户在微信和QQ之间的好友关系、用户的实名身份信息、充值记录、消费记录、照片或存储的文件、麦克风、摄像头、地理位置信息、面部识别特征、手机号码等。，无论用户是否确认，都将与第三方共享。

《腾讯游戏隐私保护指引》中提到了收集这些信息的目的。对于实名认证、与用户互动、未成年人保护等需求，信息共享的必要性只是简单的一句话“保证腾讯游戏稳定运行，实现相关功能”。

如果用户不同意，不查看这个腾讯游戏第三方信息共享列表，他想玩的游戏就无法启动。

腾讯隐私保护平台显示，“我们的一些服务可能需要您提供特定的个人敏感信息，以实现特定的功能。如果您选择不提供此类信息，您可能无法正常使用服务中的某些功能，但不会影响您使用服务中的其他功能。如果您自愿提供您的个人敏感信息，则意味着您同意我们将根据本政策中规定的目的和方式处理您的个人敏感信息。”

但当用户选择同意收集但不分享信息时，结果就是游戏无法开始。

腾讯隐私保护平台显示，“除非您明确授权，否则我们不会与合作伙伴共享可用于识别您个人身份的信息(如您的姓名或电子邮件地址)。”

但是，明确授权和强制授权之间永远不能划等号。

根据《个人信息保护法》第二章第十六条规定，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；但提供产品或服务所需的个人信息处理除外。

回到腾讯游戏的第三方信息共享列表，强制共享个人信息是否是腾讯游戏提供产品或服务的必备数据？

这个问题的答案暂时不能按。

11月12日，WeGame更新新版本后，有用户反映，安装WeGame后，通过电脑进程监控工具，发现一个程序扫描电脑中文件的多个进程，该程序的数字签名为腾讯科技(深圳)有限公司，读取的进程包括桌面快捷方式和用户在更新当天甚至更早打开文件的记录，可统称为用户的“行为”。

如果将扫描用户电脑的进程视为反作弊计划的一部分，腾讯作为游戏运营商，有权处理玩家的“开挂”和“作弊”行为。用户下载安装WeGame后，作为合法合规的玩家，可以在游戏开始前接受腾讯的本地文件扫描，洗清“开挂”和“作弊”行为的嫌疑，还是合理的。在没有开始任何游戏准备的情况下，扫描系统进程获取用户最近的“行为”是为了让营销更“精准”？

另一方面，网友也反映，WeGame应用启动后，我们在WeGame的进程中搜索“Steam”字符串，搜索结果中有一串userconfigstore . software . valve . Steam . apps，意思是访问Steam软件的用户存储配置。还有WeGame专有的动态链接库函数——进程中的ReportTeam名称。这些字符串和函数是存在的。该网友推断，WeGame利用注册表确认了用户电脑中Steam软件的存在，然后通过其他方式获取了用户的Steam账号信息和游戏信息，之后进行了回报和举报。

这不是一个民族企业勇敢对抗海外软件的感人故事。相反，笔者根据网友反映的操作方式进行确认后，只觉得毛骨悚然，“3Q大战”的英姿浮现在眼前。

如果为了“更好的服务”而强迫用户将个人信息分享给腾讯旗下的其他游戏，那么扫描用户电脑进程的目的是什么？为了WeGame的正常运行，需要确认“竞品软件”是否存在，获取并上报“竞品软件”中用户的用户信息和游戏库存？没有充分的理由来证明腾讯此举的正当性。

根据《个人信息保护法》第一章第六条规定，个人信息处理应当有明确、合理的目的，并且应当与处理目的直接相关，采用对个人权益影响最小的方法。个人信息的收集应限制在最小范围内以达到处理目的，不允许过度收集个人信息。

扫描用户最近的文件打开记录等过程是否在最小范围内达到处理目的？

腾讯大会

腾讯会上又烧了一把火。

这款以在线交流为主要功能的软件，在个人信息保护法实施后更新了隐私保护协议，还新推出了第三方共享信息列表和SDK目录，其中用户的设备信息(IMEI号、序列号、IMSI、用户ID、Android ID等)、手机地区设置、设备型号、手机电量、手机操作系统版本和语言等。共享给主要的应用程序。

设备的信息用来假设用户有使用bug，主动上传设备型号和操作系统版本帮助开发者定位问题无可厚非。获取用户手机电量的目的是怕用户手机在开会时没电？

《个人信息保护法》生效后，人民网提交了题为《个人信息保护法正式生效，互联网行业面临巨变》的视频。解读显示，一个导航APP只需要用户的当前位置、出发位置和目的位置。除了这三个必要信息，获取用户的手机型号和照片信息都是违法的。

和这个例子相比，腾讯会议的必要信息范围只有用户音频输入输出设备，以及剪贴板粘贴会议信息提升用户体验等。不需要收集设备型号，手机电量，各种设置，更不用分享给第三方平台。

同样，扩展到WeGame，用户玩某个游戏。为了提升播放体验，实现某些功能，在信息收集目的明确、用户获得授权的情况下，对信息进行处理和使用是合理合法的。但信息共享必须经过同意和检查，才能使用不需要信息共享就可以使用的功能。这种强制签字的行为违背了消费者的“知情同意权”和《个人信息保护法》的立法初衷和实施目的。

新规实施前，普通用户经常会遇到跨平台广告推荐“我在某APP搜索了某款产品，其他APP开始推荐相关广告”的情况，这显然没有得到用户的完全认同。新规实施后，部分平台以“补票”的方式推出第三方信息共享列表，以此来要求、胁迫、骗取用户授权，回到新规实施前的状态。这不是开历史倒车吗？

虽然本文主要展示的是腾讯的做法，但截至记者发稿时，已有多家平台采用同样的方式要求用户对第三方信息分享列表进行签字授权。可以，但是“不签名不能使用正常功能”的行为是不能接受的。

需要一拳来避免一百拳。

结束。