【必读】政策合规要求

隐私政策声明及审核规范

1. 政策说明

根据《常见类型移动互联网应用程序必要个人信息范围规定》要求,为切实保证广大玩家个人信息安全,加强 App 隐私合规把控,我司响应国家政策,依规加强推进游戏用户隐私政策协议相关工作。

2. 隐私政策要求

  • 《隐私政策协议》中的主体公司名称须与 APP 开发、发行或运营主体保持一致。
  • 《隐私政策协议》内包含链接,请保证链接可正常跳转。
  • 《隐私政策协议》内必须明确注明应用获取权限用途、数据存储/共享规则及用户权利。

防沉迷政策及审核规范

1. 政策说明

根据《国家新闻出版署关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》要求,各游戏出版及运营单位、游戏厂商需在 2021 年 9 月 1 日落实该项规定。

2. 防沉迷政策要求

2.1 严格落实网络游戏用户账号实名注册和登录要求。

  • 所有网络游戏必须接入国家新闻出版署网络游戏防沉迷实名验证系统
  • 所有网络游戏用户必须使用真实有效身份信息进行游戏账号注册并登录网络游戏
  • 网络游戏企业不得以任何形式(含游客体验模式)向未实名注册和登录的用户提供游戏服务。

2.2 严格限制向未成年人提供网络游戏服务的时间。

  • 所有网络游戏企业仅可在周五、周六、周日和法定节假日每日 20 时至 21 时向未成年人提供 1 小时网络游戏服务,其他时间均不得以任何形式向未成年人提供网络游戏服务。

游戏权限获取政策及审核规范

1. 政策说明

根据苹果 App Store《App Store 审核指南》及其他主流渠道相关合规要求,要求游戏应用谨慎获取用户权限并使用,同时需要在应用内隐私政策内容中明确说明权限用途、数据存储/共享规则及用户权利(如 GDPR、CCPA 合规)。

2. 权限获取要求

  • 最小必要原则:仅申请与游戏核心功能直接相关的权限,非必要权限一律不申请。
  • 透明告知原则:每次申请权限前需通过弹窗明确告知用户用途,并在隐私政策中详细说明。
  • 按需触发原则:权限申请需在用户主动使用相关功能时触发,禁止应用启动时批量申请。
  • 用户可控原则:用户可随时在系统设置中关闭权限,且不影响非相关功能的使用。

违规示例&整改建议

1. 同意隐私协议前获取用户信息

表现形式: 用户在同意我们的隐私弹窗前,游戏有获取个人信息(如应用列表、Android Id、申请动态权限等),隐私弹窗如下图:

prolicy

问题本质: sdk 会在初始化的时候,弹出有自己的隐私协议弹窗(如上图),用户同意隐私协议后, sdk 才会初始化完成,并且会通知游戏。如果游戏有获用户个人信息的行为,应该在 sdk 初始化完成后再进行获取的操作。

解决办法:将信息获取的操作放在 sdk 初始化成功之后

2. 频繁获取用户信息

表现形式:

  • 可见的频繁获取:频繁申请动态权限,如存储权限、电话权限等。
  • 不可见的频繁获取:频繁获取 Android Id、IMEI、传感器列表等。

问题本质: 频繁获取用户信息本质上是游戏在一定时间内进行了多次获取信息的代码调用,我们市面上应用市场检测的规则一般为一秒内存在两次或者以上相同信息获取就视为频繁获取。

解决办法:

  • 将所有频繁获取的操作删除。
  • 调整相同信息的获取频率,让相同信息的获取时间间隔保持一秒以上。
  • 首次获取到信息后保存下来,后续获取相同信息时从存储中提取而不再从手机获取(推荐该方式)

3. 强制获取用户信息

表现形式: 需要用户同意授权某权限或者某信息才能进入游戏。

本质问题: 游戏需要特定的权限,如果用于不授权可能会存在游戏体验问题,所以强制获取权限或者信息,不给权限不能进入游戏。

解决办法: 修改游戏内逻辑,改成获取不到权限或者信息等也能正常进入游戏。

补充事项: 如需申请权限,如 Manifest.permission.WRITE_EXTERNAL_STORAGE 等权限,请在实际使用时再调用申请,不可提前申请,并弹窗说明用途。

4. 自启动和关联启动

表现形式: 用户在手机使用过程中,没有触发游戏相关事件,游戏突然自启动或者在后台启动。

本质问题: 在非必要或无合理应用场景下,游戏或者游戏内 sdk 存在自启动或者关联启动(如开机自启动、锁屏关联启动等)

解决方法:

  • 如果是第三方推送服务 sdk 触发了自启动相关合规问题,请联系第三方 sdk 修改(该问题比较常见,多数的处理结果为删除第三方 sdk 在 AndroidManifest.xml 清单文件内的相关自启动广播或者是升级第三方 sdk)
  • 如果是游戏方自己在 AndroidManifest.xml 清单文件注册了相关自启动广播,请将广播相关自启动项删除。

5. 收集个人信息未明示

表现形式: 游戏获取了相关个人信息或权限,但是在隐私文案里没有申明获取信息的主体,获取信息的内容等。

本质问题: 隐私协议的文案没有完整申明相关的个人信息获取或权限申请。

解决方法: 向我方提供完整的游戏获取个人信息和申请权限清单,如果有接入第三方 sdk,也需要提供第三方 sdk 完整的个人信息和申请权限获取清单,我们的《用户协议》和《隐私政策》会整理记录相关内容。