游戲企業(yè)為了增強(qiáng)玩家粘性及提高市場占有率,經(jīng)常通過收集游戲用戶的個人數(shù)據(jù),例如手機(jī)號碼、郵箱地址、微信/微博賬號等信息,利用這些玩家信息進(jìn)行短信、郵箱或者whatsapp推送游戲的相關(guān)信息,推送的內(nèi)容包括但不限于游戲節(jié)點、活動或者福利,以增強(qiáng)玩家粘性,吸引玩家充值。
游戲企業(yè)在進(jìn)行上述操作中涉及對玩家個人數(shù)據(jù)的收集、使用的合規(guī)問題。同時,如果游戲企業(yè)的廣告推送是委托第三方處理的,還將涉及數(shù)據(jù)委托處理的合規(guī)問題。此外,如果游戲企業(yè)在海外國家/地區(qū)發(fā)行游戲,但服務(wù)器放在境內(nèi)或者第三國,在進(jìn)行上述玩家信息采集中會涉及玩家數(shù)據(jù)跨境回傳服務(wù)器,此時數(shù)據(jù)使用中還將涉及數(shù)據(jù)出境安全評估問題。
針對上述問題,筆者通過研究大陸、港澳臺、歐盟及東南亞等各國/地區(qū)的個人信息保護(hù)的法律規(guī)定,總結(jié)、歸納出各國/地區(qū)在玩家數(shù)據(jù)收集環(huán)節(jié)、游戲企業(yè)利用數(shù)據(jù)環(huán)節(jié)、委托第三方進(jìn)行玩家數(shù)據(jù)處理環(huán)節(jié)、玩家數(shù)據(jù)出境環(huán)節(jié)及違規(guī)罰則問題上的規(guī)定,并集結(jié)成系列文章,以供游戲企業(yè)及感興趣的讀者參考。
本篇為游戲網(wǎng)推涉及玩家數(shù)據(jù)合規(guī)之香港篇。
一、 收集環(huán)節(jié)
《個人資料(隱私)條例》附表1:
1. 第1原則——收集個?資料的?的及?式
(1) 除非——
(a)個?資料是為了直接與將會使?該資料的資料使?者的職能或活動有關(guān)的合法?的?收集;
(b)在符合(c)段的規(guī)定下,資料的收集對該?的是必需的或直接與該?的有關(guān)的;
及(c)就該?的??,資料屬?夠但不超乎適度,否則不得收集資料。
(2) 個?資料須以——
(a) 合法;及
(b) 在有關(guān)個案的所有情況下屬公平,的?法收集;
(3) 凡從或?qū)哪?收集個?資料,?該?是資料當(dāng)事?,須采取所有切實可?的步驟,以確保——
(a) 他在收集該資料之時或之前,以明確或暗喻?式?獲告知——(由2012年第18號第2條修訂)
(i) 他有責(zé)任提供該資料抑或是可?愿提供該資料?及
(ii) (如他有責(zé)任提供該資料)他若不提供該資料便會承受的后果;及
(b) 他——
(i) 在該資料被收集之時或之前,獲明確告知—— ( 由2012 年第18號第2條修訂)
(A) 該資料將會?于什么?的(須?般地或具體地說明該等?的);及
(B) 該資料可能移轉(zhuǎn)予什么類別的?;及
(ii) 在該資料?次?于它們被收集的?的之時或之前,獲明確告知—— (由2012年第18號第2條修訂)
(A) 他要求查閱該資料及要求改正該資料的權(quán)利;
(B) 處理向有關(guān)資料使?者提出的該等要求的個?的姓名(或職銜)及其地址,(由2012 年第18號第40條代替)
但在以下情況屬例外:該資料是為了在本條例第8部中指明為個?資料就其?獲豁免?不受第6保障資料原則的條?所管限的?的?收集,?遵守本款條?相當(dāng)可能會損害該?的。
二、使用環(huán)節(jié)(自身使用)
《個人資料(隱私)條例》第6A部:
35A. 第6A部的釋義 (1) 在本部中——
同意(consent)就在直接促銷中使?個?資料??,或就提供個?資料以供在直接促銷中使???,包括表示不反對該項使?或提供;
回應(yīng)途徑(response channel)指由資料使?者根據(jù)第35C(2)(c)或35J(2)(c)條向資料當(dāng)事?提供的途徑;
直接促銷(direct marketing)指透過直接促銷?法——
(a) 要約提供貨品、設(shè)施或服務(wù),或為該等貨品、設(shè)施或服務(wù)可予提供?進(jìn)?廣告宣傳;或
(b)為慈善、?化、公益、康體、政治或其他?的索求捐贈或貢獻(xiàn);
直接促銷?法 (direct marketing means)指——
(a) 藉郵件、圖?傳真、電?郵件或其他形式的傳訊,向指名特定??送交資訊或貨品;或
(b) 以特定??為致電對象的電話通話;
35C. 資料使?者將個?資料?于直接促銷前,須采取指明?動
(1) 除第35D條另有規(guī)定外,資料使?者如擬在直接促銷中,使?某資料當(dāng)事?的個?資料,須采取第(2)款指明的每?項?動。
(2) 資料使?者須——
(a) 告知有關(guān)資料當(dāng)事?——
(i) 該資料使?者擬如此使?有關(guān)個?資料;及
(ii)該資料使?者須收到該當(dāng)事?對該擬進(jìn)?的使?的同意,否則不得如此使?該資料;
(b) 向該當(dāng)事?提供關(guān)于該擬進(jìn)?的使?的以下資訊——
(i) 擬使?的個?資料的種類;及
(ii) 該資料擬就什么類別的促銷標(biāo)的?使?;及
(c) 向該當(dāng)事?提供?個途徑,讓該當(dāng)事?可在無需向該資料使?者繳費的情況下,透過該途徑,傳達(dá)該當(dāng)事?對上述的擬進(jìn)?的使?的同意。
(3) 不論個?資料是否由有關(guān)資料使?者從有關(guān)資料當(dāng)事?收集的,第(1)款均適?。
(4) 根據(jù)第(2)(a)及(b)款提供的資訊,須以易于理解的?式呈示,如屬書?資訊,則亦須以易于閱讀的?式呈示。
(5) 除第35D條另有規(guī)定外,資料使?者未經(jīng)采取第(2)款指明的每?項?動,?在直接促銷中,使?某資料當(dāng)事?的個?資料,即屬犯罪,?經(jīng)定罪,可處罰款$500,000及監(jiān)禁3年。
(6) 在為第(5)款所訂罪??提起的法律程序中,被控告的資料使?者如證明??已采取所有合理預(yù)防措施,并已作出?切應(yīng)作出的努?,以避免犯該罪?,即可以此作為免責(zé)辯護(hù)。
(7) 凡有法律程序為第(5)款所訂罪??提起,在該程序之中,有關(guān)資料使?者負(fù)有舉證責(zé)任,證明由于第35D條,本條并不適?。
三、使用環(huán)節(jié)(委托第三方處理)
《個人資料(隱私)條例》第6A部:
35J. 資料使?者在提供個?資料前,須采取指明?動。
(1) 資料使?者如擬將某資料當(dāng)事?的個?資料提供予另??,以供該?在直接促銷中使?,該資料使?者須采取第(2)款指明的每?項?動。
(2) 資料使?者須——
(a) 以書?告知有關(guān)資料當(dāng)事人——
(i) 該資料使?者擬如此提供有關(guān)個?資料;及
(ii) 該資料使?者須收到該當(dāng)事?對該擬進(jìn)?的提供的書?同意,否則不得如此提供該資料;
(b) 向該當(dāng)事?提供關(guān)于該擬進(jìn)?的提供的以下書?資訊——
(i) (如該資料是擬為得益?提供的)該資料是擬如此提供的;
(ii) 擬提供的個?資料的種類;
(iii) 該資料擬提供予什么類別的??;及
(iv) 該資料擬就什么類別的促銷標(biāo)的?使?;及
(c) 向該當(dāng)事?提供?個途徑,讓該當(dāng)事?可在無需向該資料使?者繳費的情況下,透過該途徑,以書?傳達(dá)該當(dāng)事?對上述的擬進(jìn)?的提供的同意。
(3) 不論個?資料是否由有關(guān)資料使?者從有關(guān)資料當(dāng)事?收集的,第(1)款均適?。
(4) 根據(jù)第(2)(a)及(b)款提供的資訊,須以易于理解和閱讀的?式呈示。
(5) 資料使?者未經(jīng)采取第(2)款指明的每?項?動,?將某資料當(dāng)事?的個?資料提供予另??,以供該?在直接促銷中使?,即屬犯罪,?經(jīng)定罪——
(a) 在該資料是為得益?提供的情況下,可處罰款 $1,000,000及監(jiān)禁5年;或
(b) 在該資料并非是為得益?提供的情況下,可處罰$500,000及監(jiān)禁3年。
(6) 在為第(5)款所訂罪??提起的法律程序中,被控告的資料使?者如證明??已采取所有合理預(yù)防措施,并已作出?切應(yīng)作出的努?,以避免犯該罪?,即可以此作為免責(zé)辯護(hù)。
四、數(shù)據(jù)出境
《個人資料(隱私)條例》第1部:
2. 釋義
(1) 在本條例中,除?意另有所指外——
有關(guān)資料使?者 (relevant data user)——
(a) 就?項視察??,指使?某個?資料系統(tǒng)的資料使?者,?該系統(tǒng)是該項視察的對象;
(b) 就?項投訴??,指該項投訴所指明的資料使?者;
(c) 就——
(i) 由?項投訴引發(fā)的調(diào)查??,指該項投訴所指明的資料使?者;(ii) 其他調(diào)查??,指屬該項調(diào)查的對象的資料使?者;
(d) 就執(zhí)?通知??,指獲送達(dá)該通知的資料使?者;
資料使?者 (data user),就個?資料??,指獨?或聯(lián)同其他?或與其他?共同控制該資料的收集、持有、處理或使?的?;
《個人資料(隱私)條例》第6部:
33. 禁?除在指明情況外將個?資料移轉(zhuǎn)至?港以外地? (尚未實施) (1) 除——
(a) 其收集、持有、處理或使?是在?港進(jìn)?的個?資料;或
(b) 其收集、持有、處理或使?是由主要業(yè)務(wù)地點是在?港的?所控制的個?資料,
外,本條不適?于任何個?資料。
(2) 除非符合以下條件,否則資料使?者不得將個?資料移轉(zhuǎn)至?港以外的地?——
(a) 該地?是為本條的施??在第(3)款下的公告中指明的;
(b) 該使?者有合理理由相信在該地?有與本條例?體上相似或達(dá)致與本條例的?的相同的?的之法律正在?效;
(c) 有關(guān)的資料當(dāng)事?已以書?同意該項移轉(zhuǎn);
(d) 該使?者有合理理由相信在有關(guān)個案的所有情況下——
(i) 該項移轉(zhuǎn)是為避免針對資料當(dāng)事?的不利?動或減輕該等?動的影響?作出的;
(ii) 獲取資料當(dāng)事?對該項移轉(zhuǎn)的書?同意不是切實可?的;及 (iii) 如獲取書?同意是切實可?的,則資料當(dāng)事?是會給予上述同意的;
(e) 該資料憑借第8部下的豁免獲豁免?不受第3保障資料原則所管限;或(由2012年第18號第2條修訂)
(f) 凡假使該資料在?港以某?式收集、持有、處理或使?,便會屬違反本條例下的規(guī)定,該使?者已采取所有合理的預(yù)防措施及已作出所有應(yīng)作出的努?,以確保該資料不會在該地?以該?式收集、持有、處理或 使?。(由2012年第18號第2條修訂)
(3) 凡專員有合理理由相信在?港以外的某地?有與本條例?體上相似或達(dá)致與本條例的?的相同的?的之法律正在?效,他可藉憲報公告,為本條的施?指明該地?。
(4) 凡專員有合理理由相信在第(3)款下的公告所指明的某地?,已不再有與本條例?體上相似或達(dá)致與本條例的?的相同的?的之法律正在?效,他須藉廢除或修訂該公告,令該地?停?被為本條的施??指明。
(5) 為免?疑問,現(xiàn)聲明——
(a) 就第(1)(b)款??,資料使?者如屬在?港成?為法團(tuán)的公司,即為主要業(yè)務(wù)地點是在?港的資料使?者;
(b) 第(3)款下的公告是附屬法例;及
(c) 本條的施?不損害第50條的概括性。
五、違規(guī)罰則
《個人資料(隱私)條例》第6部:
35C. 資料使?者將個?資料?于直接促銷前,須采取指明?動
(1) 除第35D條另有規(guī)定外,資料使?者如擬在直接促銷中,使?某資料當(dāng)事?的個?資料,須采取第(2)款指明的每?項?動。
(2)資料使?者須——
(a)告知有關(guān)資料當(dāng)事?——
(i)該資料使?者擬如此使?有關(guān)個?資料;及
(ii)該資料使?者須收到該當(dāng)事?對該擬進(jìn)?的使?的同意,否則不得如此使?該資料;
(b)向該當(dāng)事?提供關(guān)于該擬進(jìn)?的使?的以下資訊——
(i) 擬使?的個?資料的種類;及
(ii) 該資料擬就什么類別的促銷標(biāo)的?使?;及
(c)向該當(dāng)事?提供?個途徑,讓該當(dāng)事?可在無需向該 資料使?者繳費的情況下,透過該途徑,傳達(dá)該當(dāng)事?對上述的擬進(jìn)?的使?的同意。
(5)除第35D條另有規(guī)定外,資料使?者未經(jīng)采取第(2)款指明的每?項?動,?在直接促銷中,使?某資料當(dāng)事?的個?資料,即屬犯罪,?經(jīng)定罪,可處罰款$500,000及監(jiān)禁 3年。
35J. 資料使?者在提供個?資料前,須采取指明?動
(1) 資料使?者如擬將某資料當(dāng)事?的個?資料提供予另??,以供該?在直接促銷中使?,該資料使?者須采取第 (2)款指明的每?項?動。
(2)資料使?者須——
(a)以書?告知有關(guān)資料當(dāng)事?——
(i) 該資料使?者擬如此提供有關(guān)個?資料;及
(ii) 該資料使?者須收到該當(dāng)事?對該擬進(jìn)?的提供的書?同意,否則不得如此提供該資料;
(b)向該當(dāng)事?提供關(guān)于該擬進(jìn)?的提供的以下書?資訊——
(i)(如該資料是擬為得益?提供的)該資料是擬如此提供的;
(ii) 擬提供的個?資料的種類;
(iii) 該資料擬提供予什么類別的??;及
(iv) 該資料擬就什么類別的促銷標(biāo)的?使?;及
(c)向該當(dāng)事?提供?個途徑,讓該當(dāng)事?可在無需向該資料使?者繳費的情況下,透過該途徑,以書?傳達(dá)該當(dāng)事?對上述的擬進(jìn)?的提供的同意。
(4)資料使?者未經(jīng)采取第(2)款指明的每?項?動,?將某資料當(dāng)事?的個?資料提供予另??,以供該?在直接促銷中使?,即屬犯罪,?經(jīng)定罪 ——
(a)在該資料是為得益?提供的情況下,可處罰款 $1,000,000及監(jiān)禁5年;或
(b)在該資料并非是為得益?提供的情況下,可處罰款$500,000及監(jiān)禁3年。
《個人資料(隱私)條例》第6部:
33. 禁?除在指明情況外將個?資料移轉(zhuǎn)至?港以外地? (尚未實施) (1) 除——
(a) 其收集、持有、處理或使?是在?港進(jìn)?的個?資料;或
(b) 其收集、持有、處理或使?是由主要業(yè)務(wù)地點是在?港的?所控制的個?資料,外,本條不適?于任何個?資料。
(2) 除非符合以下條件,否則資料使?者不得將個?資料移轉(zhuǎn)至?港以外的地?——
(a) 該地?是為本條的施??在第(3)款下的公告中指明的;
(b) 該使?者有合理理由相信在該地?有與本條例?體上相似或達(dá)致與本條例的?的相同的?的之法律正在?效;
(c) 有關(guān)的資料當(dāng)事?已以書?同意該項移轉(zhuǎn);
(d) 該使?者有合理理由相信在有關(guān)個案的所有情況下——
(i) 該項移轉(zhuǎn)是為避免針對資料當(dāng)事?的不利?動或減輕該等?動的影響?作出的;
(ii) 獲取資料當(dāng)事?對該項移轉(zhuǎn)的書?同意不是切實可?的;及
(iii) 如獲取書?同意是切實可?的,則資料當(dāng)事?是會給予上述同意;
(e) 該資料憑借第8部下的豁免獲豁免?不受第3保障資料原則所管限;或 (由2012年第18號第2條修訂)
(f) 凡假使該資料在?港以某?式收集、持有、處理或使?,便會屬違反本條例下的規(guī)定,該使?者已采取所有合理的預(yù)防措施及已作出所有應(yīng)作出的努?,以確保該資料不會在該地?以該?式收集、持有、處理或使?。(由2012年第18號第2條修訂)
(3) 凡專員有合理理由相信在?港以外的某地?有與本條例?體上相似或達(dá)致與本條例的?的相同的?的之法律正在?效,他可藉憲報公告,為本條的施?指明該地?。
(4) 凡專員有合理理由相信在第(3)款下的公告所指明的某地?,已不再有與本條例?體上相似或達(dá)致與本條例的?的相同的?的之法律正在?效,他須藉廢除或修訂該公告,令該地?停?被為本條的施??指明。
(5) 為免?疑問,現(xiàn)聲明——
(a) 就第(1)(b)款??,資料使?者如屬在?港成?為法團(tuán)的公司,即為主要業(yè)務(wù)地點是在?港的資料使?者;
(b) 第(3)款下的公告是附屬法例;及+
(c) 本條的施?不損害第50條的概括性。
