尚权推荐SHANGQUAN RECOMMENDATION

2024年末的演员被骗到境外电诈园区事件，再次提醒我们电诈活动仍然不可忽视。而实施电诈犯罪的一个重要基础就是要能获得大量公民个人信息。

当前，国内各方面均在不断合力强化个人信息保护的力度，除了对已经收集、传输、存储的个人信息落实责任、加强防护外，减少对个人信息非必要、不合理的收集、存储、传输、提供等处理行为，也非常重要。

根据工信部对侵害用户权益行为APP/SDK（软件开发工具包）的定期通报来看，近年来通报的违规重点就是，强制频繁过度索取权限、超范围收集个人信息这两种违反《个人信息保护法》第五、六条规定的处理个人信息必须恪守正当、必要、合理、最小范围等原则的行为。

然而2025年一开年，居然就看到有个“浓眉大眼”的，涉嫌过度收集、存储、传输、提供用户个人信息。

一、魔兽世界运营团队发布公告要求用户绑定网易账号方可继续登录战网

2025年1月1日，魔兽世界运营团队发布《关于调整暴雪游戏登录方式的公告》称：“为了进一步保障账号安全并提升登录体验，暴雪游戏国服运营团队将于2025年2月11日起调整暴雪游戏的登录方式。届时您需要将战网通行证与网易账号进行绑定，并使用该网易账号登录游戏。” 

1月4日，又发布《网易通行证绑定问题的进一步说明》称：“有部分玩家在绑定时遇到了实名验证失败等问题。此次登录方式的调整将涉及上千万玩家，目前处理压力较大。您可以参考该公告后的常见问题解决方法处理您遇到的问题。本次调整旨在配合管理要求，同时加强账号保护、解决国服战网频繁输入验证码等问题，并不会影响玩家的正常游戏体验。”

二、上述绑定要求涉嫌违反《个人信息保护法》之正当、必要、合理原则，强制过度收集个人信息

（一）绑定网易方可继续登录暴雪，涉及收集、存储、传输等处理个人信息的行为，但仅从公告内容看，其必要性与合理性均有明显欠缺

《个人信息保护法》第五条明确规定：“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”《个人信息保护法》第六条更规定：“处理个人信息应当具有明确、合理的目的，且与处理目的直接相关，并限于实现处理目的的最小范围，不得过度收集个人信息。”暴雪、网之易以及网易等相关各方均未详细公开此次要求绑定账号并收集、处理个人信息的具体理由，其合理性、必要性乃至合规性，均有很大疑问。

1月1日关于战网通行证与网易账号绑定的公告声称是“为了进一步保障账号安全并提升登录体验”，1月4日关于绑定的进一步说明则声称“本次调整旨在配合管理要求，同时加强账号保护、解决国服战网频繁输入验证码等问题”，均语焉不详，甚至自相矛盾。实际上，大多数时候，账号安全保护和登录体验改进这两者的价值和方向并不一致。

现在的国服战网账号，既有实名认证，也有登录两步验证（第二则公告中自己也提到国服战网需要频繁输入验证码），上述公告并未说明哪里有问题导致不安全？也未说明为何多绑定一个网易账号来登录战网就会比原登录更安全，这个额外账号登录机制又是如何解决安全问题的？

不仅如此，这次账号绑定及个人信息收集，还是强制性的。如果用户不同意绑定网易账号至战网账号，则在2月11日后将不能再继续登录暴雪国服战网并使用相关服务。这就违反了《个人信息保护法》第十六条：“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务”。

事实上，暴雪战网面向世界各地提供服务。目前其安全机制，在欧服、美服、亚服等，还未听说出现了什么重大问题，以至需要额外绑定第三方账号才能保证安全。因此，暴雪应当进一步说明，战网的这个安全问题是仅存在于国服？还是美服、欧服、亚服都存在，都需要解决？

（二）战网账号和网易账号之间个人信息的传输、提供及安全性问题

《个人信息保护法》第二十三条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”

战网账号和网易账号之间既然要绑定，那么就会涉及互相向对方（从《个人信息保护法》角度就是第三方）传输、提供个人信息。在绑定测试中，可看到这样的告知：“为了完成网易账号和暴雪战网通行证的绑定，网易公司和网之易公司可能向彼此传输您提供的账号所对应的个人信息，我们将在收集传输前向您申请许可，您可以在登录界面看到具体信息。鉴于历史原因，战网账号系统中的部分姓名由于填写格式的问题可能无法与网易系统中的姓名匹配， 故我们将以您在两个账号后台记录的身份证号为依据进行身份核验，并在核验通过后，在系统中自动选择该身份证号码匹配的正确姓名进行记录。”

那么，整个绑定、登录过程中是否涉及敏感个人信息的传输和提供？是否涉及向境外传输、提供个人信息？是否履行了《个人信息保护法》规定的“告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”“取得个人的单独同意”以及数据出境要求等相关法定义务？整个过程中涉及的个人信息的存储、传输、提供的安全性，是否有保障？

（三）战网账号和网易账号之间是共存还是替代，用户是否有选择权？

绑定网易账号后，战网账号是否还继续存在、有效？除登录外，用户使用暴雪战网的其他相关功能，如购买游戏时间、增值服务、申诉举报、注销账户等，是否也一并改为使用网易账号？

如果是替代关系，即如果战网账号已经完全被网易账号替代，没有其他用处，那么，是否应该根据《个人信息保护法》的要求，删除战网账号及其个人信息？（第四十七条第一项规定：有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要）

如果战网账号和网易账号两个账号需要同时存在，那么，在使用暴雪战网服务中，两者各自的功能是什么？冲突时是否存在优先级？

此外，对那些之前没有网易账号，仅是为了登录暴雪战网而去新注册网易账号的玩家，网易是否应当在隐私政策中说明并提供选择，允许用户申明自己的权利范围？因为，用户有权要求网易仅将其个人信息用于登录暴雪战网，未经其同意不得有其他用途。

三、前期绑定中，已出现若干安全问题

（一）官方提供的对忘记战网实名信息的玩家的绑定方法直接存在安全隐患。

在暴雪国服官方发布的常见问题解决方案中，提供了为所谓忘记战网实名信息的战网账号提供绑定服务的步骤。官方提供这一解决通道，也许是为了防止通过买卖而获得战网账号等确实不知道实名信息的玩家的流失。但是，如此操作，是不是实际上也给盗号者打开了方便之门？

此外，按照官方说法“并使用旧战网通行证的实名信息来完成新网易邮箱账号的实名登记及绑定”，这不仅是对实名登记认证的讽刺，而且还存在泄露原战网账号注册人实名信息的可能。从这个操作，完全看不出安全优先的宗旨和考量。 

（二）已绑定的部分玩家已实测出了安全漏洞

根据NGA等著名游戏论坛的信息，有绑定网易邮箱的部分玩家已实测总结出了部分安全问题，特别是，二次验证居然是能轻易绕开的。而且，在已登录设备的管理、注销上也存在漏洞：

当你没有绑定网易账号，还是通过原来的战网账号登录时，规则是这样的：你的账号每次登录新设备都需要短信验证；你可以通过战网安全中心，可以把所有设备踢下线；修改战网密码后，所有的设备会被踢下线。

但是，当你绑定了网易账号，通过这一“增强了”安全性的网易账号登录战网，又会是怎样的呢？答案是：可以绕开二次验证登录！登录设备的管理和注销上也是一团乱麻。玩家的体验和总结如下图：