以游戏公司为例讲透隐私管理概念集​

作者 | 陈峻

审校 | 重楼

众所周知，网络游戏公司存储着诸如账号、支付信息、社交互动记录等玩家大量敏感数据。一旦发生数据泄露，玩家对于该游戏公司的信任度将严重受损，甚至玩家会因此而整体流失。例如，2020年的《英雄联盟》（League of Legends，LOL）开发商Riot Games就因遭受黑客攻击而名利双受挫。而就算未发生数据泄漏，倘若游戏公司滥用玩家数据，例如未经同意地共享给第三方，也可能导致诸如被应用商店下架、以及商业合作终止等后果。

相反，如果网络游戏公司能够对用户隐私予以合理的管理与保护，则能够合理增强玩家的黏性。例如，微软在《我的世界》（Minecraft）中明确地标注了用户数据地用途，而获得了家长和教育工作者的广泛认可。

不过，初创的游戏公司往往不如大厂那样有雄厚的资源与实力，能够在玩家隐私管理上面面俱到。与此同时，初创公司的信息安全从业者经常会被诸如：隐私框架、隐私计划、隐私评估、隐私策略、隐私声明、隐私协议等概念弄的晕头转向、不知所措。下面，我将和大家深入探讨概念之间的区别，以及不同概念里包含的、可作为落地参考的具体内涵。

隐私框架（Privacy Framework）

从定义上说，隐私框架是一个结构化、系统化的方法论，用于指导企业或组织如何设计、实施和管理隐私保护。它通常基于行业标准或法律法规（如GDPR、ISO 27701、NIST隐私框架），提供通用的原则和最佳实践。

就目前的游戏运营环境而言，制定与完善隐私框架对于网络游戏公司是一项必要且紧迫的任务。如开头所述，它不仅关系到公司的法律合规、用户信任、声誉品牌，也对公司的业务安全和可持续发展有着相当重要的影响。因此管理层应当高度重视，推动隐私管理框架的制定和实施，为公司的长远发展保驾护航。常言道：知易行难，真正在实践中，我们应该在隐私管理计划中包含哪些方面，以供管理层审阅和在公司内推行呢？

一般而言，一套完整的隐私框架通常会包括：

隐私管理的组织架构，包括：A.C字头管理层、IT、法务、HR、内审、业务部门代表等。隐私默认设计（Privacy by Design），即：A.在设计阶段将最小化收集、去标识化、权限管控等隐私保护，嵌入到产品或服务的开发和运营过程中；数据全生命周期等管控目标，包括：A.收集、存储、使用、传输、删除等；制定透明的隐私政策（见下文）；实施风险管理，部署技术防护措施；演练应急响应方案（见下文）；开展员工意识培训，营造企业合规文化；进行内部持续监督，以及通过审计实现改进与调整。

此外，鉴于游戏行业的特殊性，隐私框架也应按需考虑：

对未成年人隐私的保护；以及海外玩家在使用游戏时引发的个人数据跨境等问题。

通过上述隐私框架，管理层可以从宏观上了解到，隐私管理是游戏产品、乃至公司运营的第一道安全防线，而隐私管控的缺失则可能导致核心游戏产品与服务的一夜消亡，甚至遭致天价的罚款与法律诉讼。

隐私计划（Privacy Program）

从定义上说，隐私计划是基于公司或组织管理层认可的隐私框架，进行具体隐私管理的实践，包含有具体的行动、资源分配和时间表，用于落实隐私保护的措施。隐私计划往往涉及到跨团队的协作，阶段性目标的设立，而且具有较强的落地可执行性。

一般而言，一套完整的隐私计划通常会包括：

参照隐私框架落实隐私保护团队的成员角色，如A.数据保护官/办公室（DPO）、技术支持团队、法务团队、HR团队、审计团队等；定义各部门职责，如：A.研发部、运营部、客户部等；制定对内的隐私策略，对外的隐私声明与协议（见下文）；制定隐私数据各个生命周期的详细处理流程；定义数据（包括个人信息）的分类分级标准，如：A.绝密、限制/个人、内部使用、公开；开展隐私影响评估（PIA，见下文）；建立隐私投诉与处理机制；制定隐私计划实施的时间表与沟通方式、分配资源策略；制定持续监督与定期评估机制；制定个人数据泄漏事件管理（见下文）的具体实施计划；跟踪法律法规，持续改进流程措施。当然，如果游戏产品供海外玩家使用或为其提供服务的话，则需要在隐私计划中增加数据跨境传输影响评估（TIA，见下文）。此外，由于隐私计划强调的是可执行性，因此就个人数据泄漏事件管理而言，通常会包括：

a.事件响应团队的成员角色；

b.定义各部门职责；

c.事件管理策略与流程，包括：A.事件发现、报告、评估、响应、恢复、总结与整改；

d.内、外部沟通、协调、上报及危机处理；

e.法律法规要求、监管机构联系方式；

f.报告、调查、总结与通知模版。

隐私评估（Privacy Assessment）

从定义上说，隐私评估是对公司或组织的各项数据处理活动，开展可能造成个人影响的风险分析，以识别隐私漏洞，进而制定改进措施。通常，此类评估是通过问卷、审计或技术工具开展的、基于场景的诊断性合规评估活动。而且它具有定期性（如每年）和按需触发（如新功能上线前或数据泄露事件后）的特点。既然是基于场景的，那么游戏公司时常开展的隐私评估类型有：数据保护影响评估（DPIA）、第三方供应商评估、以及数据跨境传输影响评估（TIA）等。其中，

数据保护影响评估通常会包括：数据处理活动描述，包括：A.处理目的，数据类型，处理方式，处理对象，处理系统和技术措施；风险评估，包括：A.风险识别（含括数据全生命周期），风险分析（含括可能性与影响程度），风险等级评定（预定义评估矩阵）；风险应对措施，分高、中、低表述。第三方供应商评估通常会包括：是否已有隐私管理框架；是否具备隐私能力及资格；数据处理活动是否有记录；是否能够或完成PIA；个人数据使用规范；数据主体权利实现能力；数据留存和处置策略；数据安全防护能力；分包商管理实践；数据泄露事件管理能力。数据跨境传输影响评估通常会包括：传输的目的、范围、目标地区；适用的法规及要求；传输风险识别与评估；风险缓解措施；隐私声明与同意机制。隐私策略（Privacy Policy）

从定义上说，隐私策略是组织内部的管理文件，用来规定员工如何处理个人数据，其中包含了各种技术上、流程上和行为上的强制性要求。也就是说，其作用主要在于规范员工的日常行为，防范内部的法律风险，促进内部的合规协作。因此，它可以被分为“公司对员工的隐私规范”和“员工对公司的行为规范”这两个维度。其中：

隐私规范包括：员工个人数据将如何被公司合理处理、存储和传输，以满足相关的法律法规的要求。

行为规范包括：工作中涉及到的个人数据定义，被员工处理时应遵守的基本原则，以及工作事务中的具体行为准则。一般而言，一套完整的隐私策略通常会包括：

策略的目的、适用范围与法律依据；职责的划分，包括：A.管理层、隐私管理部门、业务部门、技术部门、普通员工等；个人数据收集的范围与方式；个人数据使用的目的与限制，包括：A.权限分级、申请与审批、变更与撤销等；个人数据存储的期限与保护；个人数据的内部共享与外部披露；员工的具体权利、责任、义务，包括参加：A.新员工培训、定期培训、专项培训；内部监督与内外部审计；

违规的界定与惩戒。通过上述隐私策略，员工可以从细节上明确“能做什么、不能做什么”。例如，在HR系统上线前，禁止使用真实的员工数据开展测试；离职员工个人数据应及时被归档或删除。其实，企业的隐私策略会与安全策略关联，因此常被作为公司信息安全策略的一部分。

隐私声明（Privacy Notice）

从定义上说，隐私声明是一类对外发布的公开文档，被用来向用户、客户或公众说明企业或组织是如何在产品与服务的运营中，收集、使用、共享和保护隐私的。例如，对个人数据的收集，需遵循最小化原则；对个人数据的存储，应做好安全保护；以及对个人数据的使用，要遵守共享规范等。

值得一提的是，由于此类声明是以用户及公众为导向，因此其表述方式应该是明确、通俗、易懂，需避免出现法律术语。与此同时，随着公司业务变化与修订（如将设备ID和支付记录等用户数据，与新增的第三方及其所在地区共享），该声明需要得到动态更新。

一般而言，一套完整的隐私声明通常会包括：

个人数据收集的场景、范围，如：A.注册与登陆信息，游戏过程数据，设备与网络信息，玩家位置信息，第三方账号关联信息，游戏日志信息，装备支付信息等；

个人数据收集的方式，如：A.直接收集，自动收集，从第三方获取等；个人数据使用的目的，如：A.提供和优化游戏服务，账号管理与安全，客户服务与支持，营销与推广，数据分析与研究；个人数据存储的期限与地点，可对如下方面表述：A.账号信息，游戏数据，日志信息；个人数据安全保护，如：A.技术措施，管理措施，安全事件应对；个人数据的共享，可从如下方面表述：A.关联公司，第三服务提供商，广告合作伙伴，监管与法律要求；个人数据的披露，可从如下方面表述：A.法律规定，保护合法权益，紧急情况；个人数据主体权利，如：A.访问（查询）、更正和删除个人信息，撤回同意，注销账号，投诉与反馈；声明的更新与联系方式。

同样，此类申明需如实描述涉及到未成年人使用场景的隐私保护。最终，隐私申明将在游戏登录界面和官网页面显著位置，以链接的形式提供给用户、客户或公众实时查阅。

隐私协议（Privacy Agreement）

从定义上说，隐私协议是公司或组织与用户、第三方或合作伙伴签订的法律合同，以明确双方在隐私数据处理中的权利和义务，并且具有法律约束力。显然，网络游戏公司可以通过隐私协议来明确各方的法律责任，以规避法律风险。同时，有了这一纸协议，公司也能够更沉着地应对监管的审查，以维护业务运营的稳定。

一般而言，一套完整的隐私协议通常会包括：

乙方在使用游戏服务过程中，个人数据可能被收集的类型与范围；个人数据的使用目的；个人数据存储的期限与地点；个人数据的安全保护；个人数据的共享；个人信息的披露；乙方的权利；协议更新通知；保密条款，如保密信息的定义、限制、例外情况等；甲方的合法性陈述与保证。

同样，如果乙方与甲方游戏公司不在同一个司法辖区，则隐私协议也应当包含跨境传输的数据转移条款（如SCC）。而如果游戏公司需要规定“云服务商不得超过合同期限保留用户数据”，以及“限制隐私数据的二次销售”，那么隐私协议还可以含括了“处理合规性要求、主体权利、泄漏通知、责任赔偿、变更与终止、争议解决”等更为详细的数据处理协议（DPA）。

小结

至此，我已对上述6个概念进行了详细介绍，下面帮大家以表格的形式做个总结。

概念

受众

层级

核心作用

隐私框架

管理层

战略层

提供原则性指导

隐私计划

执行团队

战术层

制定实施方案和时间表

隐私评估

合规/技术团队

诊断层

识别风险并改进

隐私策略

内部员工

操作层

规范数据处理行为

隐私声明

用户/公众

对外沟通

透明化数据实践

隐私协议

用户/第三方

合同层

法律约定权利义务

综上所述，对于跨国网络游戏公司来说，厘清、制定与实践隐私框架、隐私计划、隐私评估、隐私策略、隐私声明和隐私协议，都是确保公司运营合规、保护用户隐私、维护公司声誉和提升竞争力的关键举措。而这些隐私方面的举措不仅有助于公司保护玩家的个人信息与隐私、遵守当地的法律法规，还能够提升公司的内部管理效率、增强用户的信任度和市场竞争力。而且，只有通过系统化的隐私管理，游戏公司才能更好地应对隐私层面的各项挑战与监管要求，进而实现可持续的发展。

作者介绍

陈峻（Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。