2022年09月08日 10:48
9月5日至11日是“2022年国家网络安全宣传周”。中国互联网协会围绕“网络安全为人民,网络安全靠人民”的主题,开展“互联中国梦——共筑网络安全防线”活动。互联网企业积极响应,结合工作实践,以问题为导向,从保护个人隐私、防范电信网络诈骗、保障数据安全等方面,多角度、多层面、多形式地分享网络安全成果与良好经验,共同探索网络安全问题的解决途径,为我国网络安全领域建设提供新思路、新方法,形成多方协作共同维护网络安全的强大合力。
游族网络
信息安全保护方案实践研究
信息安全保护方案实践研究
游族网络根据公司信息科技战略和业务战略,建立完善的信息安全管理体系,确保管理要求被有效地实施和执行;定期开展信息安全风险评估,进行信息安全风险的识别、分析、评价、处置、持续监控;不断提升公司的信息安全技术能力、管理能力及人员安全意识和能力,从而实现对公司核心信息资产的有效保护;充分识别国家信息安全相关法律法规以及行业主管部门或行业协会的监管要求、指引和建议,定期进行管理要求适用性评价,并通过管理制度要求的更新,落实到日常工作。
公司成立了建立跨部门、跨业务、跨系统的数据隐私保护团队,横跨合规管理、产品评审、安全保障、内部审计等多部门。具体分工情况如下:
管理层级 | 数据安全保护职责 | 隐私保护职责 |
首席科技官 | 统筹和负责数据安全与隐私保护工作 | |
数据安全管理团队(职能平台-信息化中心-信息安全部) | 负责制定和维护数据的分级定义,对机密、绝密数据的申请提取进行数据安全风险评估,并提出数据安全措施建议 | 负责进行个人数据处理进行个人信息安全影响评估并提出措施建议;对个人数据的处理制定访问控制策略措施;对个人数处理各环节人员用户个人信息保护相关知识、技能和安全责任培训;每年至少一次检查和监督整改 |
数据所有部门 | 部门负责人对跨部门、外部机构的数据提取需求审批;部门人员根据《数据安全管理规程》对各自数据执行安全管控 | |
数据管理部门 | 数据中心负责系统中的数据安全管控,包括访问控制、权限管理;运维中心负责数据备份及恢复测试 | 负责系统中的数据安全管控,包括访问控制、权限管理;根据内部或外部机构等的数据提取需要,执行取数操作和向外部传输数据的操作等;负责个人敏感信息数据的去标识化处理 |
同时,公司致力于信息安全技术的自主研发,打造各项安全能力,积极建立从数据收集、存储、访问、处理、共享到删除的数据管理制度。
隐私信息保护方案实践研究
为不断提升游族网络整体数据安全与隐私保护水平,公司成立了跨部门、跨业务、跨系统的数据隐私保护团队,在前端产品研发、后台数据管理等各环节将隐私保护作为重要的衡量指标,建立从数据收集、存储、访问、处理、共享到删除的数据管理制度,隐私保护机制具体包括合规管理、产品评审、安全保障、内部审计等内容。
制定并公开《用户隐私条款》(以下简称“条款”),条款坚持以下原则:权责一致原则;目的明确原则;选择同意原则;最少够用原则;确保安全原则;主体参与原则;公开透明原则。针对海外用户个人隐私信息保护,公司制定并落实gdpr、ccpa、coppa用户个人信息隐私的全流程保护,在海外服务的过程中确保海外用户的个人隐私安全。
公司尽可能减少个人信息的收集,确保不收集无关的个人信息。公司只会在达成《用户隐私条款》所述目的的最短期限内存储用户的个人信息,除非需要延长保留期或受到法律的允许。除《用户隐私条款》当中列明的特殊情况之外,公司不会与游族网络以外的任何公司、组织和个人分享用户的个人信息。用户有权访问、修改和更正个人信息(除法律法规规定的例行情况除外),并可提出删除个人信息的请求,公司在相应删除请求后将不再保留相关信息。
2021年11月中旬,公司引入app隐私合规平台,qa部门人员对每一款上线的app进行合规性测试,确保公司app不存在任何对用户隐私违规采集以及其他违反工信部合规的问题,确保每一款游戏app符合合规标准。
推进sdk隐私合规专项
2021年2月至6月,针对监管部门与公司网络安全部门提出的隐私合规要求,结合第三方检测机构与游戏线上反馈结果进行更新,包括针对supersdk内核、统计模块、功能模块、渠道模块与广告模块等功能进行更新,包括漏洞专项修复、测试流程自动化、隐私合规功能优化等内容。
app隐私功能调整专项
2021年11月至12月,根据11月1日正式生效的《个人信息保护法》相关要求,公司推进app隐私功能调整专项,包括整改未成年人的隐私条款独立成文;双清单整理嵌入(收集个人信息清单、与第三方共享个人信息清单);隐私协议历史版本 签署留痕;撤回权限功能;投诉举报功能。