游戏行业的各位假期过爽了吗?
是时候恢复工作状态了哦(喂喂
近日,知名游戏引擎Unity官方突然发布了一则重要的安全更新通知,披露了一个高危漏洞。
这个漏洞波及范围极广,从2017年的老版本到最新的6000系列,几乎“一网打尽”。
可以说,只要各位游戏用的是官方版本的Unity,大概率就已经中招了。
那么问题来了:
如果假装看不见,偷个懒不更新,会有什么后果?
法律上,又需要承担什么样的责任呢?
*本文仅为笔者个人观点,不视为任何法律建议或法律意见。
一、这个漏洞到底有多“毒”?
本次(CVE-2025-59489)是一个“提权”漏洞。
简单来说,黑客可以利用这个漏洞,在玩家的电脑或手机上“为所欲为”。
例如,偷偷运行一段恶意代码,或者直接把你游戏应用能读取到的信息全部偷走。
漏洞涉及的运行平台,从安卓、Win、Linux、MacOS一个不落(iOS用户大胜利):
而涉及的Unity版本,最早甚至可以到2017年的:
Unity官方给出的危险评级是“高危”,而CVSS评分高达8.4(满分10分)。
虽然官方宣称“目前【尚无证据】表明该漏洞已被利用,也未对用户或客户造成任何影响”,但考虑到这是一个横跨了近8年的漏洞,且今年6月就被报告,这么大一个明显的“后门”开着,谁又能保证不出事呢?
而Unity给出的意见也是“All developers with affected projects must take action.(所有受影响项目的开发者都 必须 采取行动)“
二、Unity官方的“药方”
好在亡羊补牢,为时未晚。
Unity官方给出了两种修复方案:
更新Unity版本
最彻底的办法是,升级全部人(起码是打包机器上)的Unity到官方发布的“已修复版本”,然后重新打包、上架游戏。
简单粗暴,药到病除。
修复补丁
但如果项目太大,或部分依赖的插件、资源版本强行绑定某个版本,又或者项目是用老旧的2017/2018版本研发的,甚至连源代码都丢失了导致无法重建项目,Unity也给了一个“微创手术”方案:
用官方的二进制补丁工具(Unity Binary Patch tool),只把有问题的那个运行时库给替换掉。
具体修复方式可以参考以下链接:
两种方案,总有一款适合各位的项目。
三、不修有哪些法律责任?
“哎呀,新版本都来不及研发,哪有时间打补丁啊”
“这是Unity的漏洞,出问题不罚Unity难道还罚我?”
“我的游戏都不更新只是纯开着服务器了(或只是单机游戏),怎么还要我修复?”
按我对项目组的理解,相信上面的声音也不会少
(正在阅读本文章的你,是否也是这样想的?)
但是嘛
还真有可能罚
行政责任
《中华人民共和国网络安全法》第二十二条
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
意思是,当产品有安全漏洞时,任何开发商都需要立马着手进行修复,而且还是“持续”提供安全维护服务,只要服务器开着、还有人在玩或还在商城上架,就要提供安全维护。
如果不修复,将可能面对公司承担五十万元以下罚款,直接负责人(老板、制作人)承担十万元以下罚款的处罚
第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款: (一)设置恶意程序的; (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (三)擅自终止为其产品、服务提供安全维护的。
如果用Unity构建的游戏/应用还包括收集用户个人信息甚至敏感个人信息的内容,一旦这个漏洞被利用,还可能导致相关个人信息被泄露、利用的后果,则还还可能会违反《中华人民共和国个人信息保护法》中的保护义务。
后果则是
对公司最高五千万元或者上一年度营业额百分之五以下罚款、停业甚至吊销相关业务许可或者吊销营业执照,对直接负责的主管人员和其他直接责任人员最高处一百万元以下罚款
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,…… ,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,…… ,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
民事责任
同时,因没有修复漏洞而导致用户损失、个人信息泄露的,还可能会构成因违反《民法典(侵权责任编)》和《个人信息保护法》的规定,而要向受影响用户赔偿损失。
《民法典》
第一千一百九十七条 网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
《个人信息保护法》
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的(注:因为没有及时打补丁,所以难以证明“没有过错”),应当承担损害赔偿等侵权责任。 前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
刑事责任
完了吗?
还没有
我国《刑法》第二百八十六条之一还约定了“拒不履行信息网络安全管理义务罪”
第二百八十六条之一 【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金: (一)致使违法信息大量传播的; (二)致使用户信息泄露,造成严重后果的; (三)致使刑事案件证据灭失,情节严重的; (四)有其他严重情节的。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
在极端情况下(例如收到了《责令整改通知书》后还不改),因有黑客利用这个漏洞,致使用户信息泄露并造成严重后果的,那公司的相关负责人
就真的可能要去“踩缝纫机”了
四、出海了就没事?
“我的游戏只发海外,只有海外用户,国内这些法规管不到我吧?”
实际上,在Unity正式公告后没多久,一些知名海外游戏例如《MARVEL SNAP》、《Among US》就直接马上发布了修复补丁。
而微软更是激进到直接下架了多款受影响游戏,并建议用户先卸载部分正在准备更新补丁的游戏,其中甚至包括《炉石传说》。
为什么连微软都这么“应激”?
原因在于
海外的法律,尤其是涉及数据安全的,只会更严格,罚得更狠。
比如,欧盟的GDPR,号称是“史上最严”的数据保护条例。如果因为漏洞导致用户信息泄露,就属于严重违规。
一旦认定被罚,罚款上限可是“2000万欧元”或“全球年营业额的4%”,哪个高罚哪个。
对很多公司来说,这基本等于直接罚到破产。
再比如,美国加州的数据隐私法案 CCPA/CPRA。
它最厉害的地方在于,允许用户发起“集体诉讼”。
一旦发生数据泄露,每个受影响的用户,都可以索赔100到750美元的法定赔偿金。
想象一下,如果游戏在加州有几十万用户,那赔偿金额,将会是一个“无法忽视”的天文数字。
所以,如果各位的项目涉及出海,尤其涉及欧美地区运营的,更建议尽快打补丁。
五、最后
放完假了,是时候收收心工作了
就从给项目打补丁开始吧
涉及到安全漏洞问题,可不能掉以轻心了
起码不要“明年再说”
北京市隆安(广州)律师事务所律师、隆安湾区人工智能法律研究中心高级顾问。具有近十年互联网法律实务经验,曾先后为创业板上市互联网企业、全国互联网综合实力 50 强企业、互联网快时尚零售独角兽等互联网企业提供法律服务,擅长办理互联网类企业诉讼与合规业务,擅于通过计算机技术手段深度挖掘证据。
您可以通过以下方式联系我: 电子邮箱:liboyang@lslby.com 微信号:legal-lby
