在过去一年的时间里,隐私成为了最热门的关键词之一,但似乎我们很少去关注游戏的隐私问题。近期微博用户 @Hackl0us 一条微博,让腾讯游戏安全中心陷入了一场关于隐私的风波……
《无限法则》疑似收集 SS 服务器配置信息事件回顾
导火索是腾讯自主研发的一款游戏《无限法则》(Ring of Elysium,简称 ROE),其隐私协议中有明确提到可能会收集用户的 ShadowSocks 服务器配置信息。目前,这款游戏仅在 Steam 上线。
ShadowSocks,包括其衍生的 ShadowSocksR 都属于一种网络代理协议,能够突破网络审查(俗称翻墙),并且提供比较安全的加密访问,由于比较敏感,笔者这里就不再多说了。而《无限法则》隐私协议中所提到的“ShadowSocks 服务器配置信息”可能包含的是,服务器 IP、用户名、秘密、端口、加密方式等敏感内容。 在该博主曝光这条信息之后,腾讯游戏安全中心很快进行了回应。根据其回应的内容,之所以会收集此类信息是为了检测外挂,并举例一款知名手机雷达挂,正式通过 ShadowSocks 实现代理。至于为何会在隐私协议中有检测说明,腾讯游戏安全中心如下回应如下: 为了尊重用户知情权,并遵守 GDPR 的隐私披露要求,我们在隐私条款中如实披露了这个处理方式。但没有进行更详细的技术原理介绍,导致广大玩家的误解,在此向大家致歉。
这件事发酵很快,甚至在 Steam 上引起了很大的反响。在 1 月 19 日到 1 月 21 日之间,《Ring of Elysium》Steam 游戏主页上出现了大量的负面评论,大部分都是关于腾讯反外挂系统收集 ShadowSocks 服务器配置信息甚至个人信息的抗议,甚至部分评论直接从隐私层面上升到了政府言论上。
还有一个值得注意的点就是,在腾讯游戏安全中心对此事发表回应之后,很多 ROE 玩家表示游戏中出现外挂的情况突然增多了。玩家一度认为此次隐私风波发生之后,反外挂系统关掉了该特性所致。但在腾讯游戏安全中心的回应中明确表示“这是一项预埋方案,由于该手机雷达外挂暂未染指 ROE,所以相关功能并未开启(即未扫描和收集用户使用 shadowsocks 的任何数据)”。 那么,外挂系统突然增多,貌似并非反作弊系统变动所致。所以问题在哪里?这个与本文主题相关性不大,暂不深究。
由于 GDPR 的要求,《无限法则》游戏的隐私条款中就明确指出了可能收集 ShadowSocks 服务器信息;而针对国内情况,GDPR 并不生效,是否存在收集此类信息的情况产生。微博网友给出了一张截图,似乎在表明英雄联盟客户端存在读取 ShadowSocksR 程序的行为。此图真实性未知,目前腾讯游戏安全中心暂未进行回应。
关于隐私:有些事情是原则性问题
这件事发生之后,网络上出现了很多的讨论。有因为在游戏中遇到外挂,而归咎于博主故意搞事情的;有持“那么在意隐私,就把微信、QQ 也卸载了,还玩什么游戏”之类言论的吃瓜群众;有一致支持《无限法则》的玩家;当然也有对隐私有忧患意识而支持博主的……而这些基本可以代表绝大多数人对隐私的态度了吧。
收集 SS 配置信息用以检测外挂,但不得不承认这种做法有点“宁可错杀一千不可放过一个”。使用 SS 协议的软件有太多,而且电脑上运行代理软件并非就可认为使用外挂,这种方式未免考虑欠妥。笔者相信经历这件事情之后,腾讯游戏反外挂系统一定会采取新的措施检测外挂,只是时间问题。 至少在游戏这件事情上,隐私条款从来不会成为决定游戏质量的关键因素,《无限法则》亦是如此。有些事情是原则问题,涉及隐私用户有足够的知情权。GDPR 条例的颁布,让很多原本习以为常的隐私侵权行为不再合法,用户也能够更加主动的授权、处理自己的个人数据。 尤其在 GDPR 实施之后,很多企业甚至在隐私政策上针对国内外分别采取了不同的策略。笔者没办法直接下结论,国内的隐私环境究竟是更好或者更坏。但对于自己的隐私数据问题,理应享受足够的知情权;而企业在获取一些权益的时候也同样该承担对应的责任。从这方面,笔者更期待“国内版的 GDPR”诞生。这不仅仅是游戏领域,对于所有涉及用户信息的行业都是有益处的。