游戏防沉迷在法律和监管力度上已足够完善,但在现实中,部分游戏厂商未加有力执行,以至于给系统留下了漏洞。
文 "财经E法 刘畅编辑|朱弢
来源:财经E法
小麒(化名)今年11岁了。他喜欢踢足球,喜欢买薯片,去年一年身高长了6厘米。父母开始频繁记录他的穿衣尺码,争取在购买时做到有余量,“不然半年前买的衣服现在就不能穿了”。
但对他的母亲,济南长清区某初中的一位数学教师王敏(化名)来说,最近一段时间有更值得关注的事情。
“孩子天天玩游戏,”王敏说:“他爷爷之前淘汰的手机被他拿过去,下了好几个网游,还和同学一起联机玩。”
让王敏不解的是,小麒连身份证都没有,是如何避开去年8月底国家出台的防沉迷新规的,“不是都要实名认证吗?这些孩子是怎么玩的呢?是不是一些游戏平台有漏洞呢?”。
3月14日,国家互联网信息办公室对《未成年人网络保护条例(征求意见稿)》再次公开征求意见。这份《征求意见稿》新增网络沉迷防治章节。
《征求意见稿》对于未成年人用户的身份信息认证、合理限制未成年人的网络消费行为等方面做出明确规定。
结合《未成年人保护法》和国家新闻出版署的相关规定,游戏防沉迷在法律上已足够完善。但在现实中,这一系统仍有可能被绕开,比如,部分电商平台存在买卖、租用游戏账号的行为,玩家可借助购买的账号,可避开实名认证的要求。还有一些商家提供技术服务,可以“骗过”人脸识别。
虽然,售卖账号对象并非专门针对未成年人,但事实上给未成年人规避防沉迷系统留下了漏洞,同时也违反了游戏实名制的规定。
游戏账号随处可买
财经E法发现,在部分电商平台,卖号、租号现象并不鲜见,其中相当一部分账号均经过实名认证,且有“完善”的“售后服务”,可以确保买家长期稳定进行游戏。
在某电商平台搜索几个热门网游的名字+账号,便可出现大量账号出售、出租信息,价格从几元到上万元不等。财经E法联系其中几户商家,发现只要点开店铺客服聊天窗口,对话框内即会跳出一个蓝色链接,链接是一个选号网页,在平台外部独立运行,上面清晰标注着不同账号内包含的装备、人物、等级等。一旦选定某个账号,即可联系客服在淘宝上完成下单。
据商家客服介绍,目前提供的账号种类分为“自抽号/科技号”和“正常号”两大类。前者意为通过外挂、签到等方式在游戏内“过关斩将”完成通关,使得账号中拥有大量进行抽卡抽角色的资源,供购买的玩家自行抽奖的账号;后者即普通玩家不玩之后的“退坑号“。
通过在某电商平台购买一个“自抽号”,来自长春的高中生孙书楷(化名)可以直接无限制地玩游戏。
“别告诉我家里人。”他央求记者,“我玩游戏就是为了放松下,不影响学习。”
照现行法规,所有游戏账号都要进行实名认证,供买卖的账号原有的持有者是什么人呢?
财经E法调查发现,大部分电商平台上出售的账号均使用虚拟身份证进行实名验证,相应的邮箱也为机器自动注册生成,自然不存在所谓的“失主”。
财经E法购买一款热门网游的“自抽号”并完成付款后,客服随即发来一段包含有登陆账号、密码和邮箱密码的文字,并让财经E法按照账号密码登录。
第一次登录失败了,客服立即又发来一组信息,除了登录密码外其他均维持不变。
“这都是随机生成的。”客服介绍。
某热门游戏的账号安全设置界面,只要使用商家提供的邮箱号和密码,就可以修改验证安全手机,进而完成对账号绑定。
另一商家的客服也在首次登录失败后同样更新了相关信息。不同的是,这家客服更换的是账户(即邮箱)和邮箱密码,游戏登录本身的密码并未变更。
在进行了多次信息变更后,上述账号均能顺利进入游戏并实现长时间(1小时以上)在线。
为了验证账户密码的来源,记者登录了认证邮箱,发现邮箱内邮件全部为为了修改邮箱、手机等身份信息而发来的验证码。
商家提供的验证邮箱,可见其中有多个登录验证码信息,证明被不止一次使用过。
“这个邮箱肯定不止你一个人登录。”客服表示:“买我们家账号的人都会登陆以便修改购买账号的个人信息。所以我们才建议,在购买成功后最好把手机号变成你本人的。”
客服明确表示,也有部分账号是其他玩家之前用过的账号,但“也不用担心会被找回”,“绝对保证安全,不会找回、找回包赔”,即使不玩了,还可以卖回给商家。
一旦把手机号变更为买家的,则安全验证也要通过买家的手机,无疑加大了“失主”的找回难度。
另一位商家表示,他们提供的邮箱是未经实名的,邮箱的安全认证手机可以更换,他们也可提供帮助绑定的服务。只要完成购买并向其提供买家手机号,就可以完成账号、邮箱和手机的绑定,而且“终身售后,找回包赔”,“十分安全”。若买家身份信息不够实名标准(即未成年),商家会提供一组认证信息,买家自行填入即可完成认证。
租号的逻辑与买号类似,只是价格要低些。财经E法查询发现,某电商平台上的租号服务根据游戏、等级不同价格也有所不同,且多为套餐形式出售,比如10小时、30小时、一周不等。如某款游戏的周租套餐为325元。
一位此前做过租售账号生意的人士对财经E法透露,对于虚拟身份证,只要确保身份证号符合编排规则即可,“写一个程序就能做到大量生成,很简单”。
而另外一些真实身份证等信息则是部分“工作室”性质的账号交易企业通过从多种渠道购得,“连身份证上的照片都能买来”,那些成年人的身份证号往往价格更高贵些。
当财经E法试图询问身份证信息的交易渠道时,对方含糊表示“你懂的,就是那些办法,现在这种信息不如以前好买,但也能搞来”,并拒绝透露进一步的细节。
另一方面,由于本身就游走在灰色地带,各大电商和游戏账号交易平台上的买卖账号行为并无保障。
小麒向财经E法讲述了自己一次买号被骗的经历:去年10月,经同学介绍,他在一款名为“交易猫”的游戏账号交易平台上找到了原神账号的一位卖家。对方告诉他,由于要购买用他人身份信息认证的账号,交易“风险太大”,只能双方互加QQ。小麒没想到在加了QQ并按对方要求转账800元后,对方直接将他拉黑。
孙书楷表示,随着目前各游戏平台对防沉迷政策的贯彻和对买卖号打击力度的加大,实名认证的方式也在发生变化,“以前大多数游戏都以邮箱为最高验证权限,但现在慢慢都改成了身份证乃至人脸识别”。数月前,孙书楷的一个同学买了一年多的账号被原来的持有者找回,引发了纠纷,“号是对方的,但号里的绝大部分装备和等级都是我这个同学一点点练出来的”。
最终,他的这位同学选择“硬杠”:“这个账号的邮箱是他的,我同学选择一直冻结账号,对方解除了他又继续冻,这样谁也上不去游戏。”
那么,随着人脸识别等认证力度的加大,能否堵上租售游戏账号的漏洞?
人脸识别,也有破解之法
人脸识别,被认为是目前游戏防沉迷系统最有效、有力的防线,它通过对生物特征的认证识别,最大程度避免了买号行为带来的认证难问题。
但财经E法调查发现,目前游戏平台的人脸识别认证,仍有“空隙”可钻。
循着某平台上的相关信息,财经E法联系上一名自称可以“包过各大游戏人脸识别”的卖家。对方称,由于现在平台管得紧,打击力度也在增加,“建议使用电话交流”。电话中这名卖家表示,只要向他提供身份证上的本人正面照,他所在的工作室就可以通过一种名为“三色合成动态视频”的AI技术制作虚拟脸部表情,通过人脸信息核验。
卖家进一步解释,这种技术就是利用三种色彩,通过对照片所在环境的光线进行捕捉,最终获得一个人脸动态图像,可以通过目前人脸识别系统中诸如“眨眼”“点头”“张嘴”等生物动作要求。
卖家自信满满地称,目前的人脸识别算法大都是对眼睛、鼻子、嘴、耳朵以及头部的活动来实现认证,“我们业内叫‘三点’或‘五点’验证,了解它的原理,就能攻破它”。
对方表示,按照这个办法,只需要备好身份证照片,再按照“操作教程”下载一个插件,就可以确保摄像头在人脸验证环节不会启动,取而代之的是他们根据照片制作的一个视频,“程序要求眨眼,它看到的就是眨眼视频;要求点头,看到的就是点头。”这位卖家还表示,他还可以出售身份证信息。
但这种办法也有“不足”,即对部分需不定期启动人脸识别的游戏平台,每次都要找商家“破解”。这位卖家表示,首次破解价格为150元,后续每次为30元。
卖家提供的演示视频显示,在摄像头并未工作的情况下,人脸认证就已完成。
有没有“一劳永逸”的办法呢?
“也有。”这位卖家说:“这就是第二种破解法——未成年覆盖法。”
这一办法是针对“腾讯成长守护平台”推出的。
具体操作方式是,向卖家购买“即将成年的”未成年人的身份信息。一般来说,由于这类信息较为稀缺,价格都比较高,“目前价格都在400元以上”;等平台弹出需要人脸认证的信息时,使用卖家提供的未成年人人脸信息进行验证,让平台认定这个账号为未成年,此即为“覆盖”。
待该未成年人“成年(即年满十八岁)”后,再登录这个账号,并将此前未成年人认证过的人脸识别信息删除,随即进入游戏,就可以认证买家的个人信息,从而不受限制地游玩。
但卖家也承认,随着平台的警觉,这个办法也变得不那么“保险”了:“比如系统升级维护什么的,删不了。”
卖家提供的应对人脸识别各类要求的动图文件。
孙书楷告诉财经E法,他有一个“精于此道”的同学发现,自2021年10月底以来,只要经过人脸验证的账号都无法被删除,“覆盖法”的实行遇到了困难。“除非是新注册一个号,没经过人脸验证的那种”。
对那些一心渴望游戏的孩子而言,他们也会选择使用家人的人脸信息完成验证。
王敏告诉财经E法,小麒就曾经试图先后用“障眼法”骗孩子爷爷和爸爸完成验证。具体办法是,先打开钉钉或其他学习类软件的人脸识别功能,告诉家长老师在上面布置作业,但需家长人脸验证才能登录。等家长扫脸后,再从后台切换游戏的人脸验证,谎称此前的识别没通过,需要再验证一次。
“我发现后问他从哪里学的,他说是同学教的。”王敏很生气。
北京师范大学互联网发展研究院院长助理、网络法治国际中心执行主任吴沈括指出,身份信息目前最常见的渠道来源有三种,一是通过大数据爬取,二是非法收购(买卖),三是关联方的数据共享。
目前,相当一部分游戏已开启强制人脸识别功能。以腾讯为例,其在2020年公开表示,已在《王者荣耀》《和平精英》等100款移动游戏内开启人脸识别验证,以此针对性解决“孩子冒用家长身份信息绕过监管”的问题。
财经E法实测发现,《王者荣耀》《fifa online4》等腾讯旗下游戏在进入后均会不定期弹出人脸识别界面。
但也有部分游戏对此暂无强制规定。如《幻塔》《原神》《明日方舟》等,经实测,在认证时仍以身份证信息为最高级别,暂不需强制人脸识别。
2021年年底以来,有网友爆料,更新《明日方舟》《原神》等游戏的版本后,在新增加的用户协议条款或测试协议中出现了人脸识别的相关内容,但截至目前,这些游戏尚未启动强制人脸识别功能。
《原神》母公司米哈游在其更新的用户协议中表明,“可能在部分游戏或针对部分用户启用人脸识别验证”。
“至少这说明,人脸识别是个大趋势,未来多数游戏很可能都会有此措施。”孙书楷认为。
漏洞为何难堵?
2021年6月1日开始实行的新版《未成年人保护法》,第一次从法律层面确定了网游防沉迷、宵禁、统一身份认证系统以及适龄提示。如第75条规定,网络游戏经依法审批后方可运营,网络游戏服务提供者应要求未成年人实名注册,作出适龄提示,且不得在每日22:00至次日8:00向未成年人提供网络游戏服务。
2021年8月,国家新闻出版署下发通知,要求严格限制向未成年人提供网络游戏服务的时间,所有网络游戏企业仅可在周五、周六、周日和法定节假日每日20时至21时向未成年人提供1小时服务;严格落实网络游戏用户账号实名注册和登录要求,不得以任何形式向未实名注册和登录的用户提供游戏服务;加强防止未成年人沉迷网络游戏有关措施落实监督检查。
孙书楷认为,按照现在的技术手段,如果真的要推行全平台统一的实名认证是可以做到的。
也有业内人士表示,防沉迷系统中始终存在“漏网之孩”的原因,在于游戏公司自身的动力不足。
一位大型游戏公司前中层管理者对财经E法表示,未成年人市场对游戏公司的影响力被低估了:“有人说未成年人消费能力不足,不是游戏公司赚钱的主力军,这个说法就不对。”他指出,未成年玩家的庞大数量对游戏体验可以产生巨大影响,“付费玩家毕竟是少数,如果没有庞大的免费玩家群体,他们在大部分游戏里的体验能好吗?所以,没有未成年人用户,游戏性会大打折扣。”
这位业内人士指出,也正是因为这样的原因,多数游戏公司,尤其是中小游戏厂商,对防沉迷系统的呼应“并不积极”。
这种说法也为另一位学者认同。这位不愿具名的学者表示,防沉迷系统在法律和监管力度上已足够完善,关键在于部分游戏厂商是否有力执行。
“里面存在巨大的利益,让他们心甘情愿的配合?据我了解到的情况,不太可能。”这位学者表示,类似租售账号,以及破解人脸识别的手法其实并非新生事物,“老生常谈,但平台治理力度仍不到位,相当一部分平台还没有使出诸如人脸识别、统一完善身份验证系统等‘杀手锏’。这种现象在中小平台身上尤为显著。”
吴沈括介绍,从技术角度而言,网络行为分析方式成本相对较高,也可能带来诸如个人信息泄露、信息过度获取等次级风险;此外,在进行行为数据分析过程中,其精确性到底能到什么程度,也具有不确定因素。
“对于未成年人而言,随着其年龄增长及时更新相关个人信息是非常重要的,”吴沈括说,“此外,游戏对个人信息的搜集如何实现与现有个人信息保护要求的匹配也很重要——不能为了未成年人保护,损害个人信息保护的相关原则,这是一个协调的问题。”
中国电子技术标准化研究院网安中心测评实验室副主任何延哲向财经E法介绍,未成年身份信息的认证按程度分为“实名认证”和“实人认证”。前者一般指以身份证号加姓名的方式进行验证,后者即在前者基础上再加一个人脸识别验证。虚假身份证号的问题,随着国家统一实施未成年人网络游戏电子身份认证,已得到很大缓解,“常见游戏平台都接入了这个系统”。
另一方面,租售账号的行为之所以猖獗,是因为人脸识别(即实人验证)在部分游戏中尚未开始施行或施行力度不够,“第一次刷脸登上去以后就不再验证了”。要解决这一问题,只有在游戏中不定时出现人脸识别认证。
“但是要达到这样的效果,就意味着要对每一个登录账号都进行识别——毕竟,任何账号都可能是未成年人在玩。”何延哲说:“我相信,对那些玩游戏的成年人来说,一定非常反感。”他强调,生物识别技术对生物信息的搜集本身自带敏感性,“没有人愿意牺牲自己的人脸信息”,这也是隐私和个人信息保护之间不可调和的矛盾。
此外,人脸识别必然带来游戏平台运营成本的上升。截至目前,人脸识别统一信息平台尚未建立。受限于技术实力和成本,游戏公司自身往往无力部署类似机制,需求助第三方服务,其信息的合规性、完整性和识别效果尚待观察。
“游戏厂商出于成本考虑没动力做,玩家又不愿被‘识别’,所以这么多黑灰产就有了操作的空间,甚至形成了产业链。”何延哲总结。
