Loading
2018-11-02 15:16:00
Everyone has the right to the protection of personal data concerning him or her. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
互聯網下商品和服務的數字化改變全球經濟的同時,也帶來了海量的個人數據處理及流動。在高度保護個人隱私的歐洲,將保護個人數據寫進歐洲共同憲法結構的一部分,載于“歐盟基本權利憲章”(the EU Charter of Fundamental Rights)第8條。從1995年的數據保護指令(95/46/EC指令)[1],到2016年制定的《通用數據保護條例》(General Data Protection Regulation, GDPR)和警察指令(2016/680號指令)[2],歐盟通過立法保護個人數據已有20多年的歷史。
GDPR取代了95/46/EC指令,歷經4年多的討論后于2016年4月27日通過,并于2018年5月25日正式生效。作為一項已經生效的法規,GDPR在歐盟范圍內具有普遍約束力和適用性。GDPR要求全球的公司在處理歐盟主體的個人數據時遵守GDPR的規定,它制定了高度的個人數據保護標準,規定了廣泛的適用范圍、責成數據控制者及處理者嚴苛的義務以及嚴厲的處罰措施,因此GDPR也被稱為“史上最嚴格數據保護法規”。
在GDPR生效后不久,Facebook和Google就遭到用戶Maximillian Schrems起訴,被控指強迫用戶接受其隱私數據收集,訴請金額高達39億歐元[3]。今年四五月份,韓國大型多人在線游戲《仙境傳說》就直接關停了歐盟地區服務器[4]。美國華盛頓州一家游戲開發商優步娛樂(Uber Entertainment)旗下的一款2012年上線的游戲Super Monday Night Combat(周一格斗之夜),也因為無法符合GDPR的要求而選擇下架[5]。
隨著全球數字經濟的發展,各國日益重視數據安全和隱私保護。包括中國在內,許多國家在近幾年均加強了網絡安全與數據保護的立法工作。雖然各國在立法上存在著差異,但在重要的數據保護原則方面,尤其在世界某些地區,原則上已幾乎趨同。對于面對歐盟市場的中國出海游戲公司而言,全球視角下的個人信息安全合規、數據處理問題尤為重要。然而面對如此重視隱私保護的歐盟市場,游戲公司選擇花費高額成本進行GDPR隱私保護合規,還是選擇放棄巨大的歐盟市場,是游戲公司在游戲出海時必須做出的抉擇。
一、游戲公司什么行為受GDPR管轄?
根據GDPR第2.1條的規定,GDPR適用于完全或部分以自動化手段對個人的數據進行處理的活動,以及雖然以非自動化手段對個人數據進行處理,但對建立了/擬建立個人數據存檔系統的情形。
(一)個人數據指什么?
“個人數據”是指已識別到的或可被識別的自然人(“數據主體”)的所有信息。可被識別的自然人是指其能夠被直接或間接識別的自然人,尤其是通過姓名、身份證號碼、定位數據、在線身份等識別數據,或通過該自然人的物理、生理、遺傳、心理、經濟、文化或社會身份的一項或多項要素予以識別。
需要注意的是,GDPR保護的不是機構或法人的數據,保護的是個人的數據,而且是歐盟內主體的個人數據。由于游戲公司面向玩家,收集、處理的數據是玩家的數據,因此判斷處理的是否是歐盟內主體的個人數據就尤為重要。
對于歐盟內主體的概念,GDPR中所稱歐盟內主體指的是“data subject in the Union”,指的是在歐盟區域內的數據主體,所以國籍并不是確定是否為歐盟內主體的一個標準。比如說,如果一個歐洲人在中國境內游學的時候,在中國境內購買了手機并下載了游戲軟件,游戲公司在中國境內對這個歐洲人的數據的收集則不用受到GDPR的約束。
(二)游戲公司不可避免處理個人數據
GDPR中所稱數據處理(process),不單單指數據的使用,處理包含很寬泛的內容,例如收集、使用或者披露數據給第三方,或者對個人的數據的分析、處理等均可視為對數據的處理。
游戲公司發行、運營游戲過程中,不可避免需要收集玩家姓名、身份證號碼、電子郵件、電話號碼、用戶名和密碼、賬戶ID、角色名稱、個人資料圖片、聊天記錄、虛擬交易及交易記錄、個人喜好等部分或全部信息。同時,游戲公司還可能會使用cookie和/或其他類似技術,自動收集玩家游戲的設備、軟件、IP地址、位置信息等部分信息。此外,根據玩家點擊次數、目標網頁、瀏覽的網頁和訂單、在特定網頁上花費的時間、玩家玩的游戲內容和進度以及玩家在游戲中與其他玩家之間的互動,可監測用戶的個人喜好和行為習慣等信息。與此同時,游戲公司還涉及到大量的數據傳輸、授權等數據處理行為,例如玩家在使用第三方服務平臺(例如Facebook,微信,谷歌)時,游戲公司可能會獲得第三方服務平臺所產生或分享的信息,例如玩家登錄第三方服務平臺的昵稱、登錄時間等。部分游戲還可能會收集游戲好友列表、群列表信息,以及聲紋、指紋等生物識別信息等。
因此我們看出,由于GDPR對于“個人數據”(Personal Data)的定義十分寬泛,也許在實務解讀中會對上述列舉的某些數據是否屬于GDPR項下的個人數據存有爭議,但是不可否認的是,任何一款游戲都無法避免對玩家個人數據的處理。
另外,針對特殊種類的個人數據,例如種族或民族出身、政治觀點、宗教或哲學信仰、工會會員資格的個人數據,涉及經處理可識別特定個人的基因數據、生物學數據,涉及健康、性生活、性取向的數據,這些個人與基本權利和自由相關的敏感個人數據,由于對其處理可能對數據主體的基本權利和自由產生重大風險,因此受到特別保護,原則上禁止被處理。若游戲公司有必要處理上述數據,需要特別注意GDPR規定的適用范圍。
二、GDPR的適用范圍
GDPR與95/46/EC指令的不同之處在于,只要處理的是涉及歐盟內主體的數據,不論處理數據的行為是否發生在歐盟境內,均需要適用GDPR的規定。因此GDPR確定的“長臂管轄”的原則,對境內公司面向歐盟內主體發行游戲,不論是否是否在歐盟設立分支機構或營業場所,不論服務器是否架設在歐盟,不論是否在歐盟處理數據,均要接受GDPR的管轄。
(一)在歐盟設立營業場所
針對在歐盟地區設立了營業場所的游戲公司,無論游戲公司向玩家收集、處理數據的行為是否發生在歐盟地區,均要適用GDPR的規定。
GDPR規定的營業場所為Establishment,這個定義實際上是非常廣泛的,并非要求具備在歐盟地區設立分支機構或具有法律人格的子公司等法律形式上的營業場所,而是從實質上關注游戲公司是否通過日常、穩定的安排并且真實有效地在歐盟開展營業活動。例如雖然在歐盟未設立任何場所或機構,但是可能有一個專門的歐洲代表或代理人,有專門的辦公室,這種情形公司也需要考慮GDPR合規的問題。
針對沒有在歐盟地區設立營業場所的機構,如果游戲公司發行、運營游戲,想向向歐盟內用戶提供商品或相關服務,不論是否涉及到付款,均要受到GDPR的約束。
在確定游戲公司是否向歐盟玩家提供商品或服務時,應確定游戲公司對歐盟玩家提供服務的預期是否明顯。當游戲公司使用歐盟地區的語言或者貨幣,使得歐盟玩家可以通過歐盟地區的語言或貨幣購買游戲公司的商品和服務,或者在游戲頁面上經常提及歐盟地區的玩家等情形,可以認定游戲公司存在對歐盟玩家提供服務的預期,需要受到GDPR的約束。
不過,若僅僅是因為在歐盟的用戶可訪問游戲公司的網站、電子郵件地址或其他聯系方式,或者使用其他國家普遍使用的語言,不足以確認有該意向或預期。
例如,中國境內游戲公司,在歐盟不設營業場所,但提供專門法文、德文等頁面,同時支持用歐元進行結算,支持歐盟玩家下載、注冊游戲軟件,則該游戲公司屬于面向歐盟境內的數據主體提供商品或服務,需要適用GDPR。
(三)監測歐盟內主體的個人數據
針對沒有在歐盟地區設立營業場所的機構,如果游戲公司在發行、運營過程中,對玩家在歐盟發生的行為進行監控的,也要受到GDPR的約束。比如說,游戲公司為拓展歐盟業務,利用cookie或其他類似技術,對玩家在歐盟發生的網頁點擊次數、目標網頁、瀏覽的網頁、在特定網頁上花費的時間、游戲進度、游戲消費水平等數據進行監測,對玩家的個人偏好、行為和態度進行個性化分析或預測,可認定游戲公司對玩家在歐盟發生的行為進行監控。
基于此,作為一家出海游戲公司,只要面向歐盟玩家提供游戲服務,以及對歐盟的潛在游戲玩家進行追蹤、畫像和精準廣告推送,由于上述行為均涉及對歐盟內主體的個人數據處理,都要受到GDPR的約束。
三、違反GDPR可能造成的后果
自2018年5月25日GDPR開始實施以來,有許多報道都稱其為“史上最嚴格的個人數據保護法”,其中一個很重要的原因是因為GDPR規定了高額的罰金上限。
如果不遵守GDPR的規定,游戲公司可能面臨最高1000萬歐元或者上一財政年度全球營業總額2%的行政罰款(以孰高者為準),嚴重的違規行為可能面臨最高2000萬歐元或者上一財政年度全球營業總額4%的行政罰款(以孰高者為準)。同時,歐盟成員國能夠按照GDPR的規定和基本原則,對違反GDPR的行為制定刑事處罰規則,同時歐盟成員國可以規定沒收違反GDPR的所得利潤。
雖然GDPR規定了高額罰款金額,但并非所有違規行為都會面臨上述巨額的罰金。罰款應與違法行為的性質和程度相當,對于游戲公司擬進行的行為可能違反規定,或者違法行為性質輕微的,可以對游戲公司予以警告、譴責等處罰措施。罰款金額具體上限和標準應由監管機構在個案中考慮各種相關情形后根據具體情況確定,尤其應適當考慮違法行為的性質、嚴重程度和持續時間、是否故意、是否存在減輕損害采取的行動、責任程度或是否有既往違法行為、監管機構獲知違法行為的方式、游戲公司采取的措施、是否遵守行為規范以及是否有其他加重或減輕情節。
四、結語
歐盟制定GDPR的主旨在于,在促進自由貿易的前提下,在國際層面提供強有力的數據保護,在全球制定高度個人數據保護標準[6]。歐盟數據保護立法的改革是為了讓個人更好地控制他們的數據,增強消費者對數字經濟的信任,這與全球個人數據保護意識的覺醒有著密切的關系。
游戲公司在發行運營游戲過程中,幾乎每個環節都無法避免對用戶信息的收集、存儲、處理、分析,因為GDPR的高合規成本以及可能面臨的高額處罰而放棄廣闊的歐洲市場,終究不是長久之計。高度個人數據保護標準,也是游戲公司在未來打造核心競爭力、贏取玩家好感不可缺少的一環。
本期為游戲出海系列之隱私保護的第一篇。至于游戲公司在對歐盟內主體處理數據時,究竟如何適用GDPR,請見后續系列文章。
注:
[1] 95/46/EC指令已于2018年5月25日被GDPR廢止。
[2]在歐盟個人數據保護的立法上,分別由GDPR約束私人、商業領域的個人數據處理,由警察指令約束公共、執法領域的個人數據處理。
[3] Max Schrems filesfirst cases under GDPR against Facebook and Google,https://www.irishtimes.com/business/technology/max-schrems-files-first-cases-under-gdpr-against-facebook-and-google-1.3508177
[4]http://hqtime.huanqiu.com/article/a-XDHTCGC2177E6A0EA1082C
[5]https://en.wikipedia.org/wiki/Super_Monday_Night_Combat
[6] Exchanging andProtecting Personal Data in a Globalised World, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1540117243716&uri=CELEX:52017DC0007