游戲企業為了增強玩家粘性及提高市場占有率,經常通過收集游戲用戶的個人數據,例如手機號碼、郵箱地址、微信/微博賬號等信息,利用這些玩家信息進行短信、郵箱或者whatsapp推送游戲的相關信息,推送的內容包括但不限于游戲節點、活動或者福利。
游戲企業在進行上述操作中涉及對玩家個人數據的收集、使用的合規問題。同時,如果游戲企業的廣告推送是委托第三方處理的,還將涉及數據委托處理的合規問題。此外,如果游戲企業在海外國家/地區發行游戲,但服務器放在境內或者第三國,在進行上述玩家信息采集中會涉及玩家數據跨境回傳服務器,此時數據使用中還將涉及數據出境安全評估問題。
針對上述問題,筆者通過研究大陸、港澳臺、歐盟及東南亞等各國/地區的個人信息保護的法律規定,總結、歸納出各國/地區在玩家數據收集環節、游戲企業利用數據環節、委托第三方進行玩家數據處理環節、玩家數據出境環節及違規罰則問題上的規定,并集結成系列文章,以供游戲企業及感興趣的讀者參考。
本篇為游戲網推涉及玩家數據合規之馬來西亞篇。
01 收集環節
《個人資料保護法》:參見《2010年個人資料保護法》一文。
一般原則
資料使用者不得處理個人資料,除非獲得資料當事人的同意。使用敏感的個人資料有個別的義務,而且受到法令第40 條的規限。資料當事人是指資料里的個人。
告知和選擇原則
如果資料使用者有意處理資料當事人的個人資料,必須在處理資料前對某些事項提出書面通知。
為了避免違反此原則,資料使用者必須向資料當事人告知以下事項:
> 資料當事人的個人資料被處理以便使用;
> 搜集和處理資料的目的;
> 關于該個人資料來源的任何信息;
> 資料當事人要求取覽和糾正的權利,以及如何聯絡 資料使用者詢問或提出申訴的權利;
> 資料使用者要把資料披露給的人/種類的人;
> 資料當事人限制處理其個人資料的選擇;
> 資料當事人是否義務性或自愿供應其個人資料;
> 如資料當事人是義務性提供其個人資料,如果資料當事人不提供其個人資料的后果是什么。
02 使用環節(自身使用)
《個人資料保護法》:參見《2010年個人資料保護法》一文。
一般原則
資料使用者不得處理個人資料,除非獲得資料當事人的同意。使用敏感的個人資料有個別的義務,而且受到法令第40 條的規限。資料當事人是指資料里的個人。
告知和選擇原則
如果資料使用者有意處理資料當事人的個人資料,必須在處理資料前對某些事項提出書面通知。
為了避免違反此原則,資料使用者必須向資料當事人告知以下事項:
> 資料當事人的個人資料被處理以便使用;
> 蒐集和處理資料的目的;
> 關于該個人資料來源的任何信息;
> 資料當事人要求取覽和糾正的權利,以及如何聯絡 資料使用者詢問或提出申訴的權利;
> 資料使用者要把資料披露給的人/種類的人;
> 資料當事人限制處理其個人資料的選擇;
> 資料當事人是否義務性或自愿供應其個人資料;
> 如資料當事人是義務性提供其個人資料,如果資料當事人不提供其個人資料的后果是什么。
資料當事人可要求資料使用者停止或不要開始為了直銷而處理其資料。如果資料當事人滿意地認為資料使用者沒有遵照請求,資料當事人可向資料保護專員提出投訴。資料保護專員可規定資料使用者遵照請求。如資料使用者不遵守,將觸犯法令,而可被罰款高達200,000令吉或監禁高達2年,或兩者兼施。
“直銷”是指以任何廣告方式或行銷材料向特定的個人進行通訊。不遵照此權利的資料使用者將違反法令。
03 使用環節(委托第三方處理)
《個人資料保護法》:參見《2010年個人資料保護法》一文。
一般原則
資料使用者不得處理個人資料,除非獲得資料當事人的同意。使用敏感的個人資料有個別的義務,而且受到法令第40 條的規限。資料當事人是指資料里的個人。
告知和選擇原則
如果資料使用者有意處理資料當事人的個人資料,必須在處理資料前對某些事項提出書面通知。
為了避免違反此原則,資料使用者必須向資料當事人告知以下事項:
> 資料當事人的個人資料被處理以便使用;
> 蒐集和處理資料的目的;
> 關于該個人資料來源的任何信息;
> 資料當事人要求取覽和糾正的權利,以及如何聯絡資料使用者詢問或提出申訴的權利;
> 資料使用者要把資料披露給的人/種類的人;
> 資料當事人限制處理其個人資料的選擇;
> 資料當事人是否義務性或自愿供應其個人資料;
> 如資料當事人是義務性提供其個人資料,如果資料當事人不提供其個人資料的后果是什么。
04 數據出境
《個人資料保護法》:參見《2010年個人資料保護法》一文。
個人資料不得輸出到國外,除非是部長指定和在憲報上公布的國家,或是該輸出乃屬于法令的例外情況。
> 資料當事人同意其資料輸出;
> 資料的輸出是必要的,以履行資料當事人與資料使用者之間的合同;
> 資料的輸出是必要的,以履行資料使用者與第三方之間的合同,而且資料的輸出是資料當事人所要求的或是為了資料當事人的利益;
> 資料的輸出是為了法律程序、爭取法律意見、行使法律權利;
> 資料使用者合理地認為資料的輸出會緩和對資料當事人造成的不利反應;
> 如資料使用者保證該個人資料不會以違反任何法律的方式處理;
> 資料的輸出是為了保障資料當事人的重要利益;
> 資料的輸出是為了保障部長所決定的公眾利益。
05 違規責罰
《個人資料保護法》:參見《2010年個人資料保護法》一文。
投訴:
任何人如果認為資料使用者涉及投訴人的個人資料的行為、做法或請求可能違反了法令,可以書面向資料保護專員提出投訴。
> 專員可進行調查/拒絕調查;
> 如調查證明該行為、做法或請求違法,專員將發出執法通知;
> 如資料使用者不遵守,將構成罪行,可能被罰款高達200,000令吉或監禁不超過2年,或兩者兼施。
刑事罪行:
不遵守法令的條文可構成刑事罪行,而受到罰款及監禁。
> 違反7大原則中的任何一項:罰款不超過300,000令吉和/或2年監禁或兩者兼施;
> 違法搜集、披露及銷售資料:罰款不超過500,000令吉和/或3年監禁或兩者兼施。
如法人團體被裁定觸犯罪行,該法人團體的負責人將被視為個人觸犯罪行。某些辯護理由適用。如果有關的負責人可以證明以下事實,則可能不被裁決觸犯法令:
> 有關的罪行是在該負責人不知情或同意下犯下;
> 該負責人已采取一切合理的防范措施和采取盡職行動,預防該罪行的發生不過該負責人要證明上述,必須承擔沉重的責任。
