2025 年 1 月 17 日,美国联邦贸易委员会(Federal Trade Commission, FTC)宣布对《原神》(Genshin Impact)的开发商 Cognosphere Pte.Ltd 及其子公司 Cognosphere LLC(即 米哈游)处以 2000 万美元(约合人民币 1.45 亿元)的罚款,并禁止其在未经父母同意的情况下向 16 岁以下的青少年销售游戏内抽奖箱。FTC 指出米哈游采集和处理儿童数据的行为违反《儿童在线隐私保护法》(Children’s Online Privacy Protection Act, COPPA),而其充钱和抽奖的机制有误导未成年用户的成分,违反了《联邦贸易委员会法》(FTC Act)第 5 条。
案件事实
原神(Genshin Impact)是一款由米哈游开发和运营的在线视频游戏。该游戏自 2020 年 9 月发布以来,因其动漫风格的卡通图形和吸引儿童及青少年的内容而广受欢迎。《原神》包含了吸引儿童的视觉内容,如动漫风格的卡通图形和鲜艳的动画效果。例如,在游戏中,玩家会与 Paimon 这一儿童化的非玩家角色(NPC)共同冒险,Paimon 作为游戏的向导角色,外形和语言风格都显得非常儿童化。Paimon 不仅是游戏的吉祥物,还作为游戏图标出现在官网、各种社交媒体账户及应用商店(如苹果 App Store)中。此外,米哈游还积极与网络红人合作,通过社交媒体向其受众宣传和推广《原神》。这都显示了米哈游有向儿童推广原神的意图,基于此,FTC 在 2022 年对米哈游展开了调查。
《原神》收集了大量玩家的个人信息。由本身大量的玩家是未成年,原神所处理的数据包括了大量 COPPA 定义下的 “儿童信息”,即 13 岁以下个人的信息,然而原神从未透过任何方式告知家长或试图获得家长同意,违反了 COPPA 的规定。此外,米哈游还运营着一个社交网络服务平台——“HoYoLAB”,并向《原神》的玩家推广,作为一个讨论游戏的平台。米哈游将 HoYoLAB 账户与玩家的《原神》账户关联,通过持久性标识符将两者联系起来,以便发放游戏登录奖励。在多个案例中,米哈游发现 HoYoLAB 用户为儿童。部分用户在 HoYoLAB 的社交媒体发布中明确表示或通过发布带有儿童形象或声音的照片、视频或音频文件,表明他们为 13 岁以下的儿童。尽管米哈游在某些情况下采取了有限的纠正措施,例如删除相关帖子并“静音”用户,但其并未删除已收集的个人信息,也没有为这些信息寻求可验证的父母同意。因此,尽管米哈游明确知道某些用户未满 13 岁,仍继续收集、使用并披露这些用户的个人信息。因此认定原神违反了 COPPA 规定。
除了 COPPA 违规外,FTC 指出《原神》是一款可以免费下载并游玩的游戏,主要通过销售虚拟货币来盈利,玩家可以使用这些虚拟货币购买基于运气的奖品机会。这些奖品属于“盲盒”类型,玩家通过支付一定费用开启后才能揭晓奖品,这类奖品被称为“盲盒奖品”。被告广泛宣传并在《原神》中显著展示特定的“五星”奖品,玩家可以通过打开盲盒获得这些奖品。然而,调查结果显示任何盲盒中出现这些宣传的奖品的几率非常低,玩家通常需要购买数十个盲盒,即花费数百到数千美元才能获得一个五星奖品。米哈游 未能充分披露玩家获得这些稀有奖品的真实几率,且误导玩家关于获取这些奖品所需花费的巨额开支。FTC 认定在《原神》内,玩家通过虚拟货币购买盲盒的行为被认为是一种不正当的商业行为,因为其广告和展示方式误导了玩家,使他们未能正确理解获得稀有奖品的可能性和所需花费,违反 FTC Act 第 5 条(15 U.S.C. § 45(a)),禁止在商业活动中进行不正当和欺骗性的行为。
判决结果
米哈游同意支付 2000 万美元(约合人民币 1.45 亿元)的罚款,并实施多项限制措施,包括在生效日起六个月内不得允许与儿童或青少年用户关联的账户在未获得家长明确同意的情况下使用法定货币或加密货币进行游戏内消费,并必须向家长清晰披露视频游戏的性质、虚拟货币的使用情况及相关机制;必须提供法定货币直接购买数字内容或商品的选项,且购买成本必须明确标示;不得虚假陈述任何游戏内内容或相关机制的实际情况,并需在提供数字内容或商品时向消费者提供必要的信息。此外,YoHoverse (米哈游品牌) 必须遵守《儿童在线隐私保护法》(COPPA),包括在网站上张贴数据收集通知、获得可验证的家长同意,并实施中立的年龄验证机制以识别用户年龄,未提供年龄信息的用户个人信息将在一年内删除。同时,YoHoverse 必须保存相关的记录十年。
合规分析
相信对关注游戏行业和隐私合规的朋友们来说,2022 年 FTC 对 Epic Games 的《Fortnite》(堡垒之夜)处以 2.75 亿美元罚款的案件仍然记忆犹新。此次的原神案件与当年的 Fortnite 案件有不少相似之处,接下来,我们将通过对比两者,分析游戏公司出海美国时的隐私合规要求。
1.受众
在这两个案件中,游戏设计和后期的宣传都表明,游戏公司已经在设计阶段考虑到了儿童作为潜在受众,并通过不同的手段吸引他们成为玩家。下图对比了《原神》和《Fortnite》在目标受众方面的相似之处:
ㅤ | 原神 | Fortnite |
游戏逻辑 | 原神游戏中卡通角色设计、视觉内容、童音,存在针对儿童用户设计的逻辑 | 包括各种游戏模式包括像其他受儿童欢迎的机制
作 |
合作明星/网红 | 米哈游雇佣了网红,并与受儿童欢迎的明星合作 | 请了大量受儿童欢迎的名人与游戏互动 |
广告/联名 | 通过 Youtube 和 TikTok 等社交媒体向其受众宣传和推广《原神》 | 跟 Nerf 枪、Super Soaker 水枪等其他流行的儿童玩具合作 |
2.隐私政策
在 FTC 对《Fortnite》的投诉中,Epic Games 声称其全球隐私政策不涉及儿童用户,不会故意收集儿童的个人信息,且要求家长在认为公司收集了其子女个人信息时与其联系。然而,FTC 案件的结论明确指出,是否向儿童提供服务应由客观因素决定,而非公司单方面的声明。
在原神案的投诉书中提及,米哈游 在 2022 年 12 月接收到 FTC 的调查通知后,立即在隐私政策中加入声明,强调原神并不向儿童提供服务。该声明如下:
Our Services are not marketed to, or intended for, children. Children for the purposes of our Services are (a) under the age of 13 years old or, if older (b) between 13 and 18 years old but under the age at which they can give valid digital consent to processing of their personal information under applicable data privacy laws. We strive to follow the different minimum age guidelines set by the laws of individual regions when determining the age that children can access certain features of our Services.Children are not permitted to use these Services, and we do not knowingly collect any personal information from children. Though our Services are not intended for children as the primary audience, we may collect age information before allowing a user to proceed for certain Services. If we learn that we have inadvertently gathered personal information about a child that is not subject to an exemption under applicable privacy law, we will take measures to promptly remove that information from our records.
然而,《原神》的隐私政策内容与《Fortnite》案件中的问题高度相似。尽管米哈游声称不向儿童提供服务,但这一声明并未有效规避风险,反而表明其在儿童数据保护方面存在不足,可能会导致 FTC 进一步的审查和处罚。
3.付款机制
除了 COPPA 对于儿童数据保护的内容外,本案另一重要问题是原神的氪金机制含有误导儿童的成分。在游戏及其营销材料中,米哈游将英雄角色分为“4 星”和“5 星”,其中 5 星英雄显著更强大且更受玩家青睐。大多数 5 星英雄以及许多 4 星英雄无法直接购买,玩家必须使用游戏内虚拟货币购买称为“愿望”的战利品箱来获取。米哈游向玩家出售可以用来购买战利品箱的虚拟货币,但这一过程涉及复杂的货币交易和不同的汇率,使玩家很难明确知道自己实际花费了多少,以及获得稀有战利品箱奖励的成本。此外,米哈游未提供开出 5 星角色的真实概率,导致一些玩家可能花费数百甚至数千美元追逐这些奖励。FTC 认为,此不透明的机制存在误导用户的成分,因此违反了 FTC Act,此结论与 《Fortnite 》案中黑暗模式(Dark Pattern)的判定逻辑非常相似。
合规启示
对于任何面向儿童的网站或在线服务,必须确保在收集、使用或披露儿童个人信息之前获得可验证的父母同意,这是是最基本的合规要求。企业应该以客观因素来判断是否有儿童用户,万万不可为了规避一时的风险而停步于所谓的“表面合规”。在过去的两年内,我们看到欧美的监管对儿童一青少年数据保护的关注日益增长,企业采取完善合规方案的需要只是时间的问题。长远来看,为儿童提供服务的企业需要有让用户自由选择的年龄验证机制、家长同意机制等。
Kaamel
Kaamel 是一个全球一站式隐私合规服务平台,总部位于美国硅谷,中国总部设在北京。该平台致力于为全球企业提供简便且可信赖的隐私合规解决方案,尤其在企业国际化过程中,帮助其有效解决隐私合规问题。Kaamel提供包括自动化隐私风险检测和隐私管理中心在内的一站式服务,支持企业在不同发展阶段做出适当的隐私合规决策。随着监管力度的不断加强,我们欢迎您随时咨询。如需进一步了解,请通过下面的二维码或后台信息与我们联系。
Kaamel 对游戏合规的部分监测样例:
