放弃or坚持——出海游戏公司如何应对GDPR?
数据隐私和网络安全
专栏
作者:冯坚坚 袁立志 蒋昕妍
2018年5月25日,号称史上最严数据保护法规的欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式实施,其以广泛的适用范围加之严厉的处罚措施引起我国出海游戏企业的广泛关注。而近日也传出消息称,韩国大型在线游戏《仙境传说》就直接关停了欧盟地区服务器,作为应对GDPR的直接措施;而在国内,也有游戏厂商人员声称应对GDPR的对策就是拒绝欧盟用户下载。面对拥有超过5亿高消费能力人口和占全世界GDP总量五分之一强的欧盟市场,放弃还是坚持,是摆在中国出海游戏公司面前的一道选择题。
对于中国出海游戏公司而言,在面对这道选择题时,最关心的莫过于三个问题,一是“出海游戏公司的哪些行为可能受到GDPR管辖?”;二是“如果适用GDPR,不遵守会带来怎样的风险与后果?”;三是“出海游戏公司如何进行GDPR的合规?”。本文将围绕这三个问题,展开初步讨论。
出海游戏公司的哪些行为可能受到GDPR管辖?
(一)游戏公司处理了个人数据
根据GDPR第2.1条的规定,其适用于全部或部分通过自动化手段进行的个人数据处理,以及通过自动化手段以外的其他方式进行的、构成或旨在构成归档系统的数据处理。这里其实涉及到两个基础概念:个人数据和处理。
1. 个人数据。根据GDPR第4条的规定,个人数据是指与已识别或者可识别的自然人(数据主体)相关的任何数据;可识别的自然人尤其是指通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符能够被直接或间接识别到身份的自然人。
以手游公司为例,某玩家若想要进入游戏,则通常需要创建一个账户,并对游戏APP进行数据收集使用的授权。在此过程中,根据不同的游戏类型,玩家的数据均可能由玩家主动提供或者被动收集,可能的情形包括:
1) 玩家在登录游戏后,根据游戏的要求填写相关个人信息,部分游戏会要求玩家通过完善玩家资料来获取一定的游戏内奖励。
2) 游戏对玩家网络标识符号、设备信息的收集,通常包括账户名、昵称、密码口令、口令保护答案、IP地址[1]、邮箱地址、设备信息、设备唯一识别码等。
3) 游戏对玩家定位数据的收集。
4) 游戏对玩家真实消费、交易记录,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息的收集[2]。
5) 玩家在与游戏客服沟通或者在游戏社区互动过程中亦可能提供一定的个人信息。
6) 部分更先进的游戏在未来(或者已经)会收集玩家的个人生物识别信息。
由于GDPR对于“个人数据”(Personal Data)的定义十分宽泛,也许在实务解读中会对上述列举的某些数据是否属于GDPR项下的个人数据存有争议,但是不可否认的是,任何一款游戏都无法避免对玩家个人数据的收集。
2. 数据处理(processing)是指对个人数据进行的任何操作或者一系列操作,无论其是否通过自动化手段进行,如数据收集、记录、组织、建构(structuring)、存储、改编或修改,恢复、查询、使用、通过传播、分发(dissemination)方式进行披露或者其他使个人数据可被他人获得、排列或组合、限制、清除或销毁(destruction)的操作。
从规定来看,GDPR所规定的数据处理范围十分广泛,游戏公司基于其特性,必将会有个人数据的处理行为。
(二)游戏公司面向欧盟玩家开展业务
根据GDPR第3条的规定,游戏公司在下述情形中会受到GDPR的管辖:第一,游戏公司在欧盟境内设有机构(establishment),无论其数据处理行为是否发生在欧盟境内;第二,即使游戏公司营业场所未设在欧盟境内,只要其为欧盟境内的玩家提供服务,而不论是否向玩家收费,或者对玩家在欧盟境内的行为进行监控。
根据GDPR序言第23条的内容,要确定游戏公司是否在向欧盟境内玩家提供服务,需要明确游戏公司是否明显期待(envisage)向欧盟境内的玩家提供商品或服务。“期待”意味着企业有一定程度的意图或意识。游戏公司若使用欧盟成员国语言、允许玩家使用欧元或其他成员国货币购买游戏装备等都是显露其吸引欧盟玩家意图的体现,而对于大多数游戏而言,在欧盟地区的应用商店上线则已经足以证明这一“明显期待”的存在。关于游戏公司是否有“明显期待”,下列情形也可作为参考:游戏公司是否向搜索引擎付费用于推广且明确面向具体欧盟成员国;游戏公司网站上是否清楚陈述向欧盟哪些成员国提供服务;游戏本身是否具有国际属性;公司电话号码是否缀有国际拨号代码;公司网站是否使用非本国的顶级域名(例如.de或.eu)、是否有针对欧盟玩家的定向广告等。
如果游戏公司对潜在玩家在欧盟境内的行为进行监控,则游戏公司也会受到GDPR的管辖。判断游戏公司的数据处理行为是否在监测玩家,需要考虑游戏公司是否在网络上追踪(track)玩家,包括建立玩家的画像(profiling),尤其是针对某一玩家做出分析,以预测其玩游戏的偏好,比如该玩家喜欢的游戏模式,偏爱的游戏装备类型、价格等。
根据上述分析,我们可以得出的结论是:作为一家出海游戏公司,只要面向欧盟玩家提供游戏服务,以及对欧盟的潜在游戏玩家进行追踪、画像和精准广告推送,由于上述行为均涉及对欧盟境内自然人的个人数据处理,都会受到GDPR的管辖。
如果适用GDPR,不遵守会带来怎样的风险与后果?
对于适用GDPR的出海游戏公司,其违反GDPR的后果是非常严重的。根据GDPR第83条的规定,针对企业不同的违法行为,监管机构有权对企业处以两等处罚措施。第一等最高可达1000万欧元的行政罚款或者企业上一财政年度全球营业总额2%的行政罚款(以孰高为准);第二等最高可达2000万欧元的行政罚款或者企业上一财政年度全球营业总额4%的行政罚款(以孰高为准)。如此高额的处罚,对于任何一家出海游戏公司都是非常巨额的数字,虽然GDPR第78条亦规定了针对监管机构的有效司法救济权,为受到监管机构处罚的企业提供了司法救济的途径,但是漫长而昂贵的海外诉讼亦将成为企业沉重的负担。而拒不执行处罚措施,很有可能导致其游戏在欧盟区域的应用商店下架,进而永远失去进入欧盟市场的机会;同时企业由于受到欧盟处罚,也很可能对公司品牌形象、他国及本国市场、用户信心、公司价值等等造成巨大的打击。
从中国企业参与全球竞争的角度来看,位于欧盟境内的游戏公司很可能已经投入了大量GDPR合规成本,还可能因调整、停止一部分的业务活动或广告活动,增加了其他开支或者减少了营业收入来源。如果中国的游戏公司不进行GDPR合规,在未产生合规成本的基础上,其涉及欧洲的营销手段及收入也不会因为合规受到限制。作为竞争对手的欧盟游戏公司相对于未合规的中国游戏公司将处在极不公平的竞争地位上,导致欧盟游戏公司会有很强的动机向所在国监管机关投诉、举报作为其竞争对手的中国游戏公司;欧盟成员国政府出于保护本国企业的目的,也将会有很强的动机进行调查,而中国游戏公司将因此面临巨大的GDPR处罚风险。
出海游戏公司如何进行GDPR的合规?
出海游戏公司在决定开展GDPR合规前,应做好如下准备:首先公司高层必须重视GDPR的合规工作,调动公司的法务、合规、各个项目组、客服、运维、发行等部门协同工作,在内部成立专门的数据合规团队,在外部聘请专业咨询机构,开展数据合规专项工作,找出公司在数据合规方面的现存问题并提出整改方案。
在具体的合规工作思路上,可以考虑按以下步骤进行:
1、 取得玩家同意。在进入游戏之前,游戏公司因当采用显著方式向玩家提示公司的隐私政策,阐明所收集的个人数据的种类、处理用途、存储期限等,在充分尊重玩家知情权的情况下获得其明确的同意与授权,这是游戏公司合法收集和处理玩家个人数据的基础。同意应当由玩家自行选择,不能默认设置,预先勾选。不恰当的做法可能被认为没有有效地取得玩家同意。比如,游戏网站上有一个告示,点击链接可以打开阅读,但参加游戏并不以阅读告示为前提。该告示规定,玩家使用该网站并向其提供资料,即表示玩家已经同意该网站处理其个人数据,并同意接收网站及第三方发送的广告。这种情况就可能被认为没有取得有效同意,因为登录并参与游戏并不等于同意网站为网络游戏以外的目的处理玩家的个人资料,不构成当事人对其个人数据用于商业目的的明确同意。此外,对于精准广告推送、点击观看第三方广告换取游戏内虚拟货币或者装备等可能涉及个人数据在不同公司间的共享行为,如果事先没有说明并取得玩家同意,则会被认为超出最初的同意范围,应当另行取得玩家的同意。
2、 完善隐私权政策。隐私权政策由游戏公司直接对外展示,决定了玩家和监管机构对某款游戏及其背后公司的观感,既反映了一家公司对于个人数据保护的重视程度,也构成对于玩家用户的郑重承诺。隐私权政策切忌随意抄袭,应当与个人数据收集、处理的实际情况相吻合;在满足合法合规条件后无须不切实际的抬高合规标准,导致隐私权政策与公司实际履行情况发生差异和偏离。具体要求包括:
首先,是在要素和内容上符合GDPR的要求,根据对GDPR第13条规定的理解,游戏公司的隐私政策至少应包含如下几点:
1) 游戏公司及其代表人的身份、联系方式(如果有代表人、数据保护专员的话同样要提供);
2) 处理玩家个人数据的目的及合法性基础;
3) 玩家个人数据的接收者或者其类别(如果有);
4) 若游戏公司将玩家的个人数据转移至中国或者其他国家,则也必须将转移数据的事实告知玩家;
5) 应提供玩家个人数据的存储期限或者决定存储期限的标准;
6) 玩家所享有的权利,比如访问、更正、清除个人数据的权利,限制、拒绝其处理个人数据的权利以及持续控制权、撤销同意的权利、向监管机构投诉的权利;
7) 关于对外提供个人数据是出于法律要求、合同要求,还是为订立合同所必要的要求,数据主体是否必须提供个人数据,如不能提供,其可能的法律后果的说明;
8) 说明包括识别分析在内的自动化决策的存在以及关于决策中所运用的逻辑、处理的重要性和其对玩家可能造成的后果等。
其次是在形式上,可以通过玩家易于接受的方式向其展示公司的隐私政策。由于GDPR一方面要求隐私政策需要包含许多具体内容,一方面又要求简单易懂,分层次展示隐私政策将使玩家避免阅读大段的、冗长的乏味文字,更有助于玩家更清楚地了解隐私政策的内容。此外,根据游戏行业的特性,根据玩家的网络速度情况,将原先复杂、繁冗的法律专业术语转换成与公司的游戏人物、游戏场景相同的图片或视频方式加以辅助说明呈现,也可以使隐私政策更加生动,帮助玩家理解隐私政策的内容。
3、 从宏观上确定公司游戏的个人数据收集和处理原则,通过培训,使得公司上下、各部门对GDPR产生足够的重视和具有充分的认识,并能在工作中认真贯彻GDPR的各项要求。
4、 针对不同的游戏,进行个人数据收集、处理的数据流分析,调查公司正在收集的个人数据种类,通过哪些渠道进行收集,以及收集之后这些数据在公司内如何流转和被处理。比较公司个人数据处理现状与GDPR的合规差距。
5、 根据合规差距分析,调整各个游戏产品的个人数据收集、处理的具体措施和流程。例如,根据“最小范围原则”,游戏公司所收集的玩家的个人数据应当是与其游戏相关的并且限于数据处理目的最小必要范围之内,与游戏无关的个人数据不要收集。公司应当从游戏的开发阶段即强调对于个人数据收集、处理的各项合规要求,做到个人数据的设计保护和默认设置保护。
6、 通过游戏功能的开发设置以及公司内部专门客服流程的建立,为玩家实现GDPR下的数据主体权利设计一套现实可行的方案。具体包括:建立玩家权利主张的收集渠道,常见的是隐私邮箱或者其他更易操作的功能比如游戏客服;建立玩家权利主张的实现措施,根据GDPR要求的形式和时效处理玩家权利;根据GDPR的要求,建立玩家权利实现的反馈机制;如果游戏公司还向其他数据处理公司等第三方提供数据,应当确保其配合玩家权利的实现。
7、 全面建立企业内部数据合规制度和各项举措,满足GDPR项下对于数据控制者或数据处理者的义务要求,具体而言包括如下:
1) 视情况和必要性,设立数据保护专员,确保有独立的人员配备参与到各项数据处理活动中并评估是否符合个人数据保护规定;
2) 如未在欧洲设立机构,视情况和必要性,在欧盟境内任命一名代表,代表游戏公司与相关玩家及监管机关就个人数据保护事宜进行沟通。该代表可设在玩家比较集中的欧盟成员国内,在整个欧盟境内代表游戏公司;
3) 建立数据保护影响评估制度,即对新的数据处理活动评估是否符合个人数据保护规定,具体的评估框架可以参考欧盟各国给出的标准,如德国提供的标准数据保护模型,或者参考国际标准DPIA(ISO / IEC 2913434);
4) 确保对玩家的个人数据处理进行完整有效的记录,如数据处理目的、数据处理类型等;
5) 采取充分适当的安全保护措施,比如对个人数据进行加密、假名化处理等,保护数据不被未经授权访问、毁损或丢失。具体安全措施可以参考国际标准ISO 27001;
6) 建立72小时数据违规通知制度,明确和完善数据违规发现、通报核查以及告知主管机关和用户的流程;
7) GDPR项下规定的其他数据控制者义务,也可按照行为准则或认证要求制定相关制度和流程;
8) 涉及玩家个人数据跨境传输的,建议签署欧盟委员会公布的相应标准合同条款(Standard Contractual Clauses),确保跨境数据传输的合法性。
尤其需要注意的是,鉴于游戏本身的娱乐性,儿童必将有很大的可能性接触到游戏,而GDPR对于儿童有着特殊的保护规定。根据GDPR的内容和立法意图,其认为儿童可能不太了解有关个人数据处理的风险、后果以及他们在数据处理中所拥有的权利,因此游戏公司在收集有关儿童的个人数据时和将其个人数据使用在对儿童提供营销或创设个人账户的服务时,应对儿童予以特别保护。根据GDPR在“信息社会服务中适用儿童同意的条件”中的规定,如果直接向儿童提供信息社会服务时,该儿童的年龄应当为16周岁以上。若儿童未满16周岁,只有在征得监护人同意或授权的范围内其处理才合法。同时,欧盟成员国可以通过本国立法将儿童的年龄界限下调至最低13岁。因此对于游戏公司而言,如何通过可行的技术手段确保儿童下载和进入游戏时获得监护人同意或授权,或者直接限制儿童下载和进入游戏,都是需要在未来考虑解决的问题。
结语
对于一家出海游戏公司而言,应当根据自身发展规模和未来市场计划,来综合考虑是否因为GDPR的合规成本顾虑而放弃整个欧洲市场。随着中国及世界其它国家个人信息保护立法的加强,以及整个社会个人信息保护意识的觉醒,游戏公司作为一个获取大量玩家个人信息的“数据控制者”,势必要不断提高自身的数据合规水平和能力以适应法律政策环境的变化,同时将数据合规能力打造成企业的核心竞争力来赢取更多玩家的好感和信任,而通过拒绝高保护水平市场的做法来避免风险终究不是长久之计。
(华东政法大学民商法专业硕士研究生曹怀顺对此文亦有贡献)
注释
[1]在欧盟法院(Court of Justice of European Union, CJEU)的一则判例中,法院认为如果将动态IP地址(dynamic IP address)与网络服务供应商(Internet service providers, ISPs)掌握的其他数据结合起来,就可以“间接识别”一个自然人,那么便可以认定动态IP地址也属于个人数据。同理,cookie也是如此。因此,根据具体场景,IP地址与cookie很可能属于GDPR所保护的个人数据。
[2] 值得指出的是,在中国于今年5月1日生效的国家标准《个人信息安全规范》的资料性附录中,虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息被列入了个人敏感信息。
本专栏往期文章
1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
10. 对“数据共享合法化”的分析与思考 系列之二 ——欧盟B2B数据共享的案例研究
11. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
13. 中国企业的GDPR合规挑战
14. 对“数据共享合法化”的分析与思考 系列之三 ——欧盟B2B数据共享的案例研究
16. 从《网络安全等级保护条例(征求意见稿)》 看等保1.0到等保2.0的重要变化
17. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对
作者介绍合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人,竞天公诚网络安全与数据隐私团队负责人。
隐私权专家国际协会(International Association of Privacy Professionals)会员,上海市律师协会互联网业务研究委员会委员,长期专注于网络安全、数据合规及个人信息保护领域。
合伙人
021-2613 6222
yuan.lizhi@jingtian.com
袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位。袁律师于2016年底作为合伙人加入竞天公诚律师事务所。在此之前,袁律师先后在两家全国知名的律师事务所执业。
袁律师的执业领域为公司与证券、投融资、并购重组、破产清算、商事仲裁及诉讼。袁律师曾先后主办数十个私募投融资、并购重组、挂牌上市、破产清算等项目 。 值得一提的是,袁律师曾主办某大数据企业在全国中小企业股份转让系统(即新三板)挂牌项目,协助该企业从合规角度梳理数据获取、数据处理及数据应用等整个业务流程,在当时国内相关法规尚不明确的情况下,得到股转系统对数据安全合规的认可,顺利实现挂牌。
律师
010-5809 1059
jiang.xinyan@jingtian.com
蒋昕妍是竞天公诚律师事务所争议解决部律师,执业领域为数据隐私与网络安全、商事争议解决。
蒋律师2013年毕业于中南财经政法大学,取得法学学士学位;2016年毕业于美国本杰明卡多佐法学院,取得法律博士学位(Juris Doctor)。在加入竞天公诚之前,蒋律师曾在美国纽约州司法部任职。
蒋律师已取得信息隐私专家(欧洲)认证(Certified Information Privacy Professional/Europe,CIPP/E),是隐私权专家国际协会(International Association of Privacy Professionals)会员。蒋律师已取得美国纽约州律师资格和中国法律职业资格。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.