《网络游戏风险控制管理指南》

ICS点击此处添加ICS号

CCS点击此处添加CCS号

IASAC

中国互联网上网服务行业协会团体标准

T/XXXXXXX—XXXX

网络游戏风险控制管理指南

点击此处添加标准名称的英文译名

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

中国互联网上网服务行业协会  发布

T/XXXXXXX—XXXX

目次

前言............................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4基本原则.............................................................................1

5风险因素.............................................................................2

6风险识别.............................................................................3

7风险评估.............................................................................3

8风险应对.............................................................................4

附录A（资料性）网络游戏风险示例.............................................7

T/XXXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由中国互联网上网服务行业协会提出并归口。

本文件起草单位：

本文件主要起草人：

I

T/XXXXXXX—XXXX

单击或点击此处输入文字。

1范围

本标准规定了网络游戏常见风险因素评估和控制。

本标准适用于各类网络游戏开发及运营机构。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

《网络出版服务管理规定》

《关于防止未成年人沉迷网络游戏的通知》

《未成年人保护法》

GB50174-2017数据中心设计规范

GB/T20270-2006信息安全技术网络基础安全技术要求

GB/T22239-2019信息安全技术网络安全等级保护基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1网络游戏Onlinegames

网络游戏是指由软件程序和信息数据构成，通过互联网、移动通信网等信息网络提供的游戏产品和

服务。

3.2PaaS云服务商Platform-as-a-Service

为企业提供云计算服务的参与方。云服务商管理、运营、支撑云计算的计算基础设施及软件，为企

业提供高可用和分布式的互联网架构解决方案。

4基本原则

网络游戏风险控制管理的基本原则应包括但不限于：

a)遵守宪法、法律、行政法规；

b)保护未成年人优先；

c)遵循有利于保护公众健康及适度游戏的原则；

I

T/XXXXXXX—XXXX

d)依法维护网络游戏用户的合法权益；

e)弘扬民族文化、内容健康向上、寓教于乐。

5风险因素

进行网络游戏的风险控制管理时，首先要明确内、外部的风险因素，对风险相关的信息进行收集、

分析、整理与归纳。

内部因素

内部因素是导致网络游戏潜在风险的相关因素，涉及网络游戏内在结构或要素出现问题产生的内生

风险、网络游戏活动行为主体（企业）资质风险等方面的相关因素。

网络游戏风险内部因素包括但不限于：

a)游戏设置风险，包括网络游戏的系统设置、界面设置和功能玩法设置，

具体内容包括但不限于：

——网络游戏内未按要求设置防沉迷系统、实名认证系统、健康游戏提醒、用户协议等；

——网络游戏内含有违规内容或玩法，如老虎机、炸金花、上下分等；

——棋牌类网络游戏提供虚拟货币反向兑换人民币或用户间赠予、转让、交易虚拟货币的服务；

——棋牌类网络游戏从游戏对局的输赢中抽取佣金分成。

b)宣传推广风险，指游戏企业虚假广告、夸大宣传、误导用户等的行为。

c)网络安全风险，指游戏企业机房路由器、交换机、服务器、带宽传输、云服务器等不符合GB/T

20270-2006等对信息安全设施的要求或出现故障。

d)隐私安全风险，指游戏企业在处理、储存及使用用户个人资料及其他数据时，未遵守有关隐

私权的政策法规及其他法律责任。

e)人员专业性不足，指员工对行业新规、个人信息及商业信息保护相关法律缺乏认知。

外部因素

外部因素是导致网络游戏与开发、运营、维护、服务的协调顺畅受到影响的网络游戏外生风险因素。

网络游戏风险外部因素包括但不限于：

a)资质风险，指网络游戏运营企业在产品上线运营前应依据《网络出版服务管理规定》

等通知规定取得各项资质许可。

b)网络安全风险，指电力供应、自然灾害、甚至网络黑客恶意攻击等因素引起故障，干

扰互联网的正常运营和信息安全。

c)支付渠道安全风险，指游戏企业未能与足够的第三方支付渠道维持关系，或该等渠道

的服务恶化导致渠道失效。

I

T/XXXXXXX—XXXX

d)未成年保护，指未成年人心智发展尚未成熟，很容易受暴力、血腥、色情等不良网络

内容的影响。

未成年保护

未成年保护需重点关注，新修订的《未成年人保护法》新增“网络保护”专章，规定网络产品和服

务提供者不得向未成年人提供诱导其沉迷的产品和服务。网络游戏服务提供者应当针对未成年人使用其

服务设置相应的时间管理、权限管理、消费管理等功能。

6风险识别

通过识别网络游戏运营企业、产品等的风险源、影响范围、事件及其原因和潜在的后果等，生成一

个全面的风险清单，作为风险评估的基础。

识别要求

风险识别的要求包括但不限于：

a)建立风控团队，实现产品从开发到运营到推广全流程风险识别。

b)产品开发初期对项目风险进行分析，创建风险清单，做好风险应对计划。

c)产品运营的过程中不断地、持续地监控风险变化。

d)产品宣传阶段做好数据收集，关注风险变化。

e)根据产品情况、历史数据做好风险分析，更新风险清单。

风险清单

为保证风险识别的全面性、准确性和系统性，可构建符合需求的风险清单，列出一些便于识别风险

的角度，包括但不限于以下方面：

——根据法律法规识别，即通过对与网络游戏相关的法律法规、通知规定等约束机制的梳理，发现

可能存在的风险。

——根据管理目标识别，即通过对网络游戏的管理目标进行分析，发现可能影响各类目标实现的风

险因素。

——根据以往发生的案例识别，即通过对网络游戏行业相关的案例梳理，发现可能存在的风险。

7风险评估

风险评估是指基于风险发生的可能性和后果，以及风险管理措施的效果及效率，对识别出的风险进

行等级划分。

基本原则

I

T/XXXXXXX—XXXX

网络游戏风险评估的基本原则包括但不限于：

a)对各种已识别或关注的风险情况进行监控。

b)基于已知风险和历史数据表现，判断其是否具有风险。

c)所有参与评估的人员应签署保密协议，以保证项目信息的安全。

d)首要保障网络游戏稳定运营。

评估方法

网络游戏风险评估的要求包括但不限于：

a)根据风险识别的结果，对照风险清单对风险情况进行评定，明确风险对网络游戏产品及其运

营企业的影响程度；

b)采用风险等级划分形式进行评估，具体等级划分的层次及计分方法可根据实际情况设定实施

细则。

8风险应对

根据风险评估的结果，针对风险或风险事件采取相应的措施，将风险控制在可承受的范围或解决风

险。风险应对包括选择风险应对措施、制定和实施风险应对计划等环节。

风险应对措施

风险应对措施是根据网络游戏风险评估结果所制定的相应措施，可包括但不限于：

a)针对资质风险，网络游戏运营企业在产品上线运营前应依据《网络出版服务管理规定》等通知

规定取得各项资质许可。

b)针对内部网络安全风险，网络游戏运营企业应保证机房安全达到GB50174中C级以上的相关要

求，网络基础安全应满足GB/T20270、GB/T22239等标准的相关技术要求。

c)针对外部网络安全风险，网络游戏运营企业应加强数据安全建设，加强身份认证和权限管理，

同时对自身的云计算服务使用、管理和技术措施进行监管，满足一级等保要求。

d)针对隐私安全风险，网络游戏运营企业应遵循合法、正当、必要的原则，明示收集、使用用户

个人信息的目的、方式和范围等，若因业务需要向第三方共享时需经被收集者同意，严格管理

收集到的信息切实维护用户权益。

e)针对游戏设置风险，网络游戏运营企业应积极响应《关于防止未成年人沉迷网络游戏的通知》

等要求设置实名注册系统、用户协议、隐私条款等，同时严禁开发或运营含有违规内容及玩法

的产品，并采取有效措施防止为赌博活动提供便利。

f)针对支付渠道安全风险，网络游戏运营企业应提供多种支付方式，采取安全可信的自有支付平

台或第三方支付平台，保证整个支付流程安全、可靠。

I

T/XXXXXXX—XXXX

g)针对宣传推广风险，网络游戏运营企业应本着真实不虚假的原则，不对游戏的性能、功能、游

戏用户评价等作夸大、虚构性描述，误导消费者。

h)针对人员专业性不足，网络游戏运营企业应对员工(尤其是有机会获取大量用户信息的员工和

游戏技术开发人员)进行安全背景调查；对员工进行法制教育，增强其对关于侵犯个人信息罪、

侵犯商业秘密罪、侵犯计算机信息系统/数据类犯罪的相关法律责任的了解；核心员工签署保

密协议等。

风险应对计划

制定和实施网络游戏风险应对计划的内容可包括：

a)需要应对的风险清单。风险清单最初在风险识别过程中形成。应对计划的风险清单包括：已识

别的风险、风险的描述、原因等，以及它们可能怎样影响产品。

b)形成一致意见的应对措施。在风险应对计划过程中，要选择好适当的应对策略，就策略形成一

致意见，同时还要预计在已经采取了计划的对策之后仍将残留或继发的风险。

c)实施所选应对策略采取的具体行动。

d)明确风险管理人和分配给他们的责任。

e)应急方案和要求实施方案的引发因素。

风险监督和检查

针对网络游戏运营企业及产品的风险监督和检查应包括但不限于以下内容：

a)对企业及产品的资质进行审核确认，确保与国家企业信用信息公示系统一致无过期风险。

b)监测产品是否在显著位置展示版号、软著等信息，是否设置实名认证系统、防沉迷系统、用户

协议、个人信息保护政策、健康游戏提醒等并在专门页面标明。

c)监测产品的内容、玩法及宣传推广不含违规内容。

沟通与记录

网络游戏风险控制管理过程的每个阶段都要与利益相关方进行有效沟通和协商，以保证利益相关方

能够充分了解面临的风险及影响，正确理解风险管理决策的依据，并根据相关信息做出恰当决策，有效

执行风险控制管理。

8.4.1沟通要求

沟通的内容应包括但不限于：

a)针对风险本身、风险成因、风险后果以及处理风险措施相

关的问题；

b)进一步分析风险和调整风险应对措施；

c)明确实施风险控制管理过程中的职责；

I

T/XXXXXXX—XXXX

d)确保利益相关方理解决策和支持应对计划。

8.4.2记录要求

在网络游戏风险控制管理过程中，记录是实施和改进风险管理过程的基础。

开展记录工作宜注意：

——建立和维护记录所需的成本和工作量；

——获取记录的方法、读取记录的容易程度和储存媒介；

——记录保留期限管理；

——记录详尽可追溯。

记录内容可包括但不限于：

——引发风险的原因；

——风险的描述；

——选择风险应对措施的原因，包括所获得的结果；

——负责改进和实施计划的人员。

I

T/XXXXXXX—XXXX

A

A