2022年國家網(wǎng)絡(luò)安全宣傳周｜游族網(wǎng)絡(luò)：信息安全保護方案實踐研究

2022年09月08日 10:48

9月5日至11日是“2022年國家網(wǎng)絡(luò)安全宣傳周”。中國互聯(lián)網(wǎng)協(xié)會圍繞“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”的主題，開展“互聯(lián)中國夢——共筑網(wǎng)絡(luò)安全防線”活動?；ヂ?lián)網(wǎng)企業(yè)積極響應(yīng)，結(jié)合工作實踐，以問題為導(dǎo)向，從保護個人隱私、防范電信網(wǎng)絡(luò)詐騙、保障數(shù)據(jù)安全等方面，多角度、多層面、多形式地分享網(wǎng)絡(luò)安全成果與良好經(jīng)驗，共同探索網(wǎng)絡(luò)安全問題的解決途徑，為我國網(wǎng)絡(luò)安全領(lǐng)域建設(shè)提供新思路、新方法，形成多方協(xié)作共同維護網(wǎng)絡(luò)安全的強大合力。

游族網(wǎng)絡(luò)

信息安全保護方案實踐研究

游族網(wǎng)絡(luò)根據(jù)公司信息科技戰(zhàn)略和業(yè)務(wù)戰(zhàn)略，建立完善的信息安全管理體系，確保管理要求被有效地實施和執(zhí)行；定期開展信息安全風(fēng)險評估，進行信息安全風(fēng)險的識別、分析、評價、處置、持續(xù)監(jiān)控；不斷提升公司的信息安全技術(shù)能力、管理能力及人員安全意識和能力，從而實現(xiàn)對公司核心信息資產(chǎn)的有效保護；充分識別國家信息安全相關(guān)法律法規(guī)以及行業(yè)主管部門或行業(yè)協(xié)會的監(jiān)管要求、指引和建議，定期進行管理要求適用性評價，并通過管理制度要求的更新，落實到日常工作。

公司成立了建立跨部門、跨業(yè)務(wù)、跨系統(tǒng)的數(shù)據(jù)隱私保護團隊，橫跨合規(guī)管理、產(chǎn)品評審、安全保障、內(nèi)部審計等多部門。具體分工情況如下：

管理層級	數(shù)據(jù)安全保護職責(zé)	隱私保護職責(zé)
首席科技官	統(tǒng)籌和負責(zé)數(shù)據(jù)安全與隱私保護工作
數(shù)據(jù)安全管理團隊（職能平臺-信息化中心-信息安全部）	負責(zé)制定和維護數(shù)據(jù)的分級定義，對機密、絕密數(shù)據(jù)的申請?zhí)崛∵M行數(shù)據(jù)安全風(fēng)險評估，并提出數(shù)據(jù)安全措施建議	負責(zé)進行個人數(shù)據(jù)處理進行個人信息安全影響評估并提出措施建議；對個人數(shù)據(jù)的處理制定訪問控制策略措施；對個人數(shù)處理各環(huán)節(jié)人員用戶個人信息保護相關(guān)知識、技能和安全責(zé)任培訓(xùn)；每年至少一次檢查和監(jiān)督整改
數(shù)據(jù)所有部門	部門負責(zé)人對跨部門、外部機構(gòu)的數(shù)據(jù)提取需求審批；部門人員根據(jù)《數(shù)據(jù)安全管理規(guī)程》對各自數(shù)據(jù)執(zhí)行安全管控
數(shù)據(jù)管理部門	數(shù)據(jù)中心負責(zé)系統(tǒng)中的數(shù)據(jù)安全管控，包括訪問控制、權(quán)限管理；運維中心負責(zé)數(shù)據(jù)備份及恢復(fù)測試	負責(zé)系統(tǒng)中的數(shù)據(jù)安全管控，包括訪問控制、權(quán)限管理；根據(jù)內(nèi)部或外部機構(gòu)等的數(shù)據(jù)提取需要，執(zhí)行取數(shù)操作和向外部傳輸數(shù)據(jù)的操作等；負責(zé)個人敏感信息數(shù)據(jù)的去標識化處理

同時，公司致力于信息安全技術(shù)的自主研發(fā)，打造各項安全能力，積極建立從數(shù)據(jù)收集、存儲、訪問、處理、共享到刪除的數(shù)據(jù)管理制度。

隱私信息保護方案實踐研究

為不斷提升游族網(wǎng)絡(luò)整體數(shù)據(jù)安全與隱私保護水平，公司成立了跨部門、跨業(yè)務(wù)、跨系統(tǒng)的數(shù)據(jù)隱私保護團隊，在前端產(chǎn)品研發(fā)、后臺數(shù)據(jù)管理等各環(huán)節(jié)將隱私保護作為重要的衡量指標，建立從數(shù)據(jù)收集、存儲、訪問、處理、共享到刪除的數(shù)據(jù)管理制度，隱私保護機制具體包括合規(guī)管理、產(chǎn)品評審、安全保障、內(nèi)部審計等內(nèi)容。

制定并公開《用戶隱私條款》（以下簡稱“條款”），條款堅持以下原則：權(quán)責(zé)一致原則；目的明確原則；選擇同意原則；最少夠用原則；確保安全原則；主體參與原則；公開透明原則。針對海外用戶個人隱私信息保護，公司制定并落實GDPR、CCPA、COPPA用戶個人信息隱私的全流程保護，在海外服務(wù)的過程中確保海外用戶的個人隱私安全。

公司盡可能減少個人信息的收集，確保不收集無關(guān)的個人信息。公司只會在達成《用戶隱私條款》所述目的的最短期限內(nèi)存儲用戶的個人信息，除非需要延長保留期或受到法律的允許。除《用戶隱私條款》當中列明的特殊情況之外，公司不會與游族網(wǎng)絡(luò)以外的任何公司、組織和個人分享用戶的個人信息。用戶有權(quán)訪問、修改和更正個人信息（除法律法規(guī)規(guī)定的例行情況除外），并可提出刪除個人信息的請求，公司在相應(yīng)刪除請求后將不再保留相關(guān)信息。

2021年11月中旬，公司引入App隱私合規(guī)平臺，QA部門人員對每一款上線的App進行合規(guī)性測試，確保公司App不存在任何對用戶隱私違規(guī)采集以及其他違反工信部合規(guī)的問題，確保每一款游戲APP符合合規(guī)標準。

推進SDK隱私合規(guī)專項

2021年2月至6月，針對監(jiān)管部門與公司網(wǎng)絡(luò)安全部門提出的隱私合規(guī)要求，結(jié)合第三方檢測機構(gòu)與游戲線上反饋結(jié)果進行更新，包括針對SuperSDK內(nèi)核、統(tǒng)計模塊、功能模塊、渠道模塊與廣告模塊等功能進行更新，包括漏洞專項修復(fù)、測試流程自動化、隱私合規(guī)功能優(yōu)化等內(nèi)容。

App隱私功能調(diào)整專項

2021年11月至12月，根據(jù)11月1日正式生效的《個人信息保護法》相關(guān)要求，公司推進App隱私功能調(diào)整專項，包括整改未成年人的隱私條款獨立成文；雙清單整理嵌入（收集個人信息清單、與第三方共享個人信息清單）；隱私協(xié)議歷史版本+簽署留痕；撤回權(quán)限功能；投訴舉報功能。