Loading
2018-11-02 15:16:00
Everyone has the right to the protection of personal data concerning him or her. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
互聯(lián)網(wǎng)下商品和服務(wù)的數(shù)字化改變?nèi)蚪?jīng)濟的同時,也帶來了海量的個人數(shù)據(jù)處理及流動。在高度保護個人隱私的歐洲,將保護個人數(shù)據(jù)寫進歐洲共同憲法結(jié)構(gòu)的一部分,載于“歐盟基本權(quán)利憲章”(the EU Charter of Fundamental Rights)第8條。從1995年的數(shù)據(jù)保護指令(95/46/EC指令)[1],到2016年制定的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)和警察指令(2016/680號指令)[2],歐盟通過立法保護個人數(shù)據(jù)已有20多年的歷史。
GDPR取代了95/46/EC指令,歷經(jīng)4年多的討論后于2016年4月27日通過,并于2018年5月25日正式生效。作為一項已經(jīng)生效的法規(guī),GDPR在歐盟范圍內(nèi)具有普遍約束力和適用性。GDPR要求全球的公司在處理歐盟主體的個人數(shù)據(jù)時遵守GDPR的規(guī)定,它制定了高度的個人數(shù)據(jù)保護標準,規(guī)定了廣泛的適用范圍、責成數(shù)據(jù)控制者及處理者嚴苛的義務(wù)以及嚴厲的處罰措施,因此GDPR也被稱為“史上最嚴格數(shù)據(jù)保護法規(guī)”。
在GDPR生效后不久,F(xiàn)acebook和Google就遭到用戶Maximillian Schrems起訴,被控指強迫用戶接受其隱私數(shù)據(jù)收集,訴請金額高達39億歐元[3]。今年四五月份,韓國大型多人在線游戲《仙境傳說》就直接關(guān)停了歐盟地區(qū)服務(wù)器[4]。美國華盛頓州一家游戲開發(fā)商優(yōu)步娛樂(Uber Entertainment)旗下的一款2012年上線的游戲Super Monday Night Combat(周一格斗之夜),也因為無法符合GDPR的要求而選擇下架[5]。
隨著全球數(shù)字經(jīng)濟的發(fā)展,各國日益重視數(shù)據(jù)安全和隱私保護。包括中國在內(nèi),許多國家在近幾年均加強了網(wǎng)絡(luò)安全與數(shù)據(jù)保護的立法工作。雖然各國在立法上存在著差異,但在重要的數(shù)據(jù)保護原則方面,尤其在世界某些地區(qū),原則上已幾乎趨同。對于面對歐盟市場的中國出海游戲公司而言,全球視角下的個人信息安全合規(guī)、數(shù)據(jù)處理問題尤為重要。然而面對如此重視隱私保護的歐盟市場,游戲公司選擇花費高額成本進行GDPR隱私保護合規(guī),還是選擇放棄巨大的歐盟市場,是游戲公司在游戲出海時必須做出的抉擇。
一、游戲公司什么行為受GDPR管轄?
根據(jù)GDPR第2.1條的規(guī)定,GDPR適用于完全或部分以自動化手段對個人的數(shù)據(jù)進行處理的活動,以及雖然以非自動化手段對個人數(shù)據(jù)進行處理,但對建立了/擬建立個人數(shù)據(jù)存檔系統(tǒng)的情形。
(一)個人數(shù)據(jù)指什么?
“個人數(shù)據(jù)”是指已識別到的或可被識別的自然人(“數(shù)據(jù)主體”)的所有信息。可被識別的自然人是指其能夠被直接或間接識別的自然人,尤其是通過姓名、身份證號碼、定位數(shù)據(jù)、在線身份等識別數(shù)據(jù),或通過該自然人的物理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的一項或多項要素予以識別。
需要注意的是,GDPR保護的不是機構(gòu)或法人的數(shù)據(jù),保護的是個人的數(shù)據(jù),而且是歐盟內(nèi)主體的個人數(shù)據(jù)。由于游戲公司面向玩家,收集、處理的數(shù)據(jù)是玩家的數(shù)據(jù),因此判斷處理的是否是歐盟內(nèi)主體的個人數(shù)據(jù)就尤為重要。
對于歐盟內(nèi)主體的概念,GDPR中所稱歐盟內(nèi)主體指的是“data subject in the Union”,指的是在歐盟區(qū)域內(nèi)的數(shù)據(jù)主體,所以國籍并不是確定是否為歐盟內(nèi)主體的一個標準。比如說,如果一個歐洲人在中國境內(nèi)游學的時候,在中國境內(nèi)購買了手機并下載了游戲軟件,游戲公司在中國境內(nèi)對這個歐洲人的數(shù)據(jù)的收集則不用受到GDPR的約束。
(二)游戲公司不可避免處理個人數(shù)據(jù)
GDPR中所稱數(shù)據(jù)處理(process),不單單指數(shù)據(jù)的使用,處理包含很寬泛的內(nèi)容,例如收集、使用或者披露數(shù)據(jù)給第三方,或者對個人的數(shù)據(jù)的分析、處理等均可視為對數(shù)據(jù)的處理。
游戲公司發(fā)行、運營游戲過程中,不可避免需要收集玩家姓名、身份證號碼、電子郵件、電話號碼、用戶名和密碼、賬戶ID、角色名稱、個人資料圖片、聊天記錄、虛擬交易及交易記錄、個人喜好等部分或全部信息。同時,游戲公司還可能會使用cookie和/或其他類似技術(shù),自動收集玩家游戲的設(shè)備、軟件、IP地址、位置信息等部分信息。此外,根據(jù)玩家點擊次數(shù)、目標網(wǎng)頁、瀏覽的網(wǎng)頁和訂單、在特定網(wǎng)頁上花費的時間、玩家玩的游戲內(nèi)容和進度以及玩家在游戲中與其他玩家之間的互動,可監(jiān)測用戶的個人喜好和行為習慣等信息。與此同時,游戲公司還涉及到大量的數(shù)據(jù)傳輸、授權(quán)等數(shù)據(jù)處理行為,例如玩家在使用第三方服務(wù)平臺(例如Facebook,微信,谷歌)時,游戲公司可能會獲得第三方服務(wù)平臺所產(chǎn)生或分享的信息,例如玩家登錄第三方服務(wù)平臺的昵稱、登錄時間等。部分游戲還可能會收集游戲好友列表、群列表信息,以及聲紋、指紋等生物識別信息等。
因此我們看出,由于GDPR對于“個人數(shù)據(jù)”(Personal Data)的定義十分寬泛,也許在實務(wù)解讀中會對上述列舉的某些數(shù)據(jù)是否屬于GDPR項下的個人數(shù)據(jù)存有爭議,但是不可否認的是,任何一款游戲都無法避免對玩家個人數(shù)據(jù)的處理。
另外,針對特殊種類的個人數(shù)據(jù),例如種族或民族出身、政治觀點、宗教或哲學信仰、工會會員資格的個人數(shù)據(jù),涉及經(jīng)處理可識別特定個人的基因數(shù)據(jù)、生物學數(shù)據(jù),涉及健康、性生活、性取向的數(shù)據(jù),這些個人與基本權(quán)利和自由相關(guān)的敏感個人數(shù)據(jù),由于對其處理可能對數(shù)據(jù)主體的基本權(quán)利和自由產(chǎn)生重大風險,因此受到特別保護,原則上禁止被處理。若游戲公司有必要處理上述數(shù)據(jù),需要特別注意GDPR規(guī)定的適用范圍。
二、GDPR的適用范圍
GDPR與95/46/EC指令的不同之處在于,只要處理的是涉及歐盟內(nèi)主體的數(shù)據(jù),不論處理數(shù)據(jù)的行為是否發(fā)生在歐盟境內(nèi),均需要適用GDPR的規(guī)定。因此GDPR確定的“長臂管轄”的原則,對境內(nèi)公司面向歐盟內(nèi)主體發(fā)行游戲,不論是否是否在歐盟設(shè)立分支機構(gòu)或營業(yè)場所,不論服務(wù)器是否架設(shè)在歐盟,不論是否在歐盟處理數(shù)據(jù),均要接受GDPR的管轄。
(一)在歐盟設(shè)立營業(yè)場所
針對在歐盟地區(qū)設(shè)立了營業(yè)場所的游戲公司,無論游戲公司向玩家收集、處理數(shù)據(jù)的行為是否發(fā)生在歐盟地區(qū),均要適用GDPR的規(guī)定。
GDPR規(guī)定的營業(yè)場所為Establishment,這個定義實際上是非常廣泛的,并非要求具備在歐盟地區(qū)設(shè)立分支機構(gòu)或具有法律人格的子公司等法律形式上的營業(yè)場所,而是從實質(zhì)上關(guān)注游戲公司是否通過日常、穩(wěn)定的安排并且真實有效地在歐盟開展營業(yè)活動。例如雖然在歐盟未設(shè)立任何場所或機構(gòu),但是可能有一個專門的歐洲代表或代理人,有專門的辦公室,這種情形公司也需要考慮GDPR合規(guī)的問題。
針對沒有在歐盟地區(qū)設(shè)立營業(yè)場所的機構(gòu),如果游戲公司發(fā)行、運營游戲,想向向歐盟內(nèi)用戶提供商品或相關(guān)服務(wù),不論是否涉及到付款,均要受到GDPR的約束。
在確定游戲公司是否向歐盟玩家提供商品或服務(wù)時,應(yīng)確定游戲公司對歐盟玩家提供服務(wù)的預(yù)期是否明顯。當游戲公司使用歐盟地區(qū)的語言或者貨幣,使得歐盟玩家可以通過歐盟地區(qū)的語言或貨幣購買游戲公司的商品和服務(wù),或者在游戲頁面上經(jīng)常提及歐盟地區(qū)的玩家等情形,可以認定游戲公司存在對歐盟玩家提供服務(wù)的預(yù)期,需要受到GDPR的約束。
不過,若僅僅是因為在歐盟的用戶可訪問游戲公司的網(wǎng)站、電子郵件地址或其他聯(lián)系方式,或者使用其他國家普遍使用的語言,不足以確認有該意向或預(yù)期。
例如,中國境內(nèi)游戲公司,在歐盟不設(shè)營業(yè)場所,但提供專門法文、德文等頁面,同時支持用歐元進行結(jié)算,支持歐盟玩家下載、注冊游戲軟件,則該游戲公司屬于面向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù),需要適用GDPR。
(三)監(jiān)測歐盟內(nèi)主體的個人數(shù)據(jù)
針對沒有在歐盟地區(qū)設(shè)立營業(yè)場所的機構(gòu),如果游戲公司在發(fā)行、運營過程中,對玩家在歐盟發(fā)生的行為進行監(jiān)控的,也要受到GDPR的約束。比如說,游戲公司為拓展歐盟業(yè)務(wù),利用cookie或其他類似技術(shù),對玩家在歐盟發(fā)生的網(wǎng)頁點擊次數(shù)、目標網(wǎng)頁、瀏覽的網(wǎng)頁、在特定網(wǎng)頁上花費的時間、游戲進度、游戲消費水平等數(shù)據(jù)進行監(jiān)測,對玩家的個人偏好、行為和態(tài)度進行個性化分析或預(yù)測,可認定游戲公司對玩家在歐盟發(fā)生的行為進行監(jiān)控。
基于此,作為一家出海游戲公司,只要面向歐盟玩家提供游戲服務(wù),以及對歐盟的潛在游戲玩家進行追蹤、畫像和精準廣告推送,由于上述行為均涉及對歐盟內(nèi)主體的個人數(shù)據(jù)處理,都要受到GDPR的約束。
三、違反GDPR可能造成的后果
自2018年5月25日GDPR開始實施以來,有許多報道都稱其為“史上最嚴格的個人數(shù)據(jù)保護法”,其中一個很重要的原因是因為GDPR規(guī)定了高額的罰金上限。
如果不遵守GDPR的規(guī)定,游戲公司可能面臨最高1000萬歐元或者上一財政年度全球營業(yè)總額2%的行政罰款(以孰高者為準),嚴重的違規(guī)行為可能面臨最高2000萬歐元或者上一財政年度全球營業(yè)總額4%的行政罰款(以孰高者為準)。同時,歐盟成員國能夠按照GDPR的規(guī)定和基本原則,對違反GDPR的行為制定刑事處罰規(guī)則,同時歐盟成員國可以規(guī)定沒收違反GDPR的所得利潤。
雖然GDPR規(guī)定了高額罰款金額,但并非所有違規(guī)行為都會面臨上述巨額的罰金。罰款應(yīng)與違法行為的性質(zhì)和程度相當,對于游戲公司擬進行的行為可能違反規(guī)定,或者違法行為性質(zhì)輕微的,可以對游戲公司予以警告、譴責等處罰措施。罰款金額具體上限和標準應(yīng)由監(jiān)管機構(gòu)在個案中考慮各種相關(guān)情形后根據(jù)具體情況確定,尤其應(yīng)適當考慮違法行為的性質(zhì)、嚴重程度和持續(xù)時間、是否故意、是否存在減輕損害采取的行動、責任程度或是否有既往違法行為、監(jiān)管機構(gòu)獲知違法行為的方式、游戲公司采取的措施、是否遵守行為規(guī)范以及是否有其他加重或減輕情節(jié)。
四、結(jié)語
歐盟制定GDPR的主旨在于,在促進自由貿(mào)易的前提下,在國際層面提供強有力的數(shù)據(jù)保護,在全球制定高度個人數(shù)據(jù)保護標準[6]。歐盟數(shù)據(jù)保護立法的改革是為了讓個人更好地控制他們的數(shù)據(jù),增強消費者對數(shù)字經(jīng)濟的信任,這與全球個人數(shù)據(jù)保護意識的覺醒有著密切的關(guān)系。
游戲公司在發(fā)行運營游戲過程中,幾乎每個環(huán)節(jié)都無法避免對用戶信息的收集、存儲、處理、分析,因為GDPR的高合規(guī)成本以及可能面臨的高額處罰而放棄廣闊的歐洲市場,終究不是長久之計。高度個人數(shù)據(jù)保護標準,也是游戲公司在未來打造核心競爭力、贏取玩家好感不可缺少的一環(huán)。
本期為游戲出海系列之隱私保護的第一篇。至于游戲公司在對歐盟內(nèi)主體處理數(shù)據(jù)時,究竟如何適用GDPR,請見后續(xù)系列文章。
注:
[1] 95/46/EC指令已于2018年5月25日被GDPR廢止。
[2]在歐盟個人數(shù)據(jù)保護的立法上,分別由GDPR約束私人、商業(yè)領(lǐng)域的個人數(shù)據(jù)處理,由警察指令約束公共、執(zhí)法領(lǐng)域的個人數(shù)據(jù)處理。
[3] Max Schrems filesfirst cases under GDPR against Facebook and Google,https://www.irishtimes.com/business/technology/max-schrems-files-first-cases-under-gdpr-against-facebook-and-google-1.3508177
[4]http://hqtime.huanqiu.com/article/a-XDHTCGC2177E6A0EA1082C
[5]https://en.wikipedia.org/wiki/Super_Monday_Night_Combat
[6] Exchanging andProtecting Personal Data in a Globalised World, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1540117243716&uri=CELEX:52017DC0007