GDPR即將生效，你的用戶協議更新了嗎？ | 《「游」法可依》

來自專欄手游那點事

文 | 廣悅互聯網律師 | 張昌倩、李玲

GDPR全稱「General data protection regulation」又稱《一般數據保護條例》，是歐盟最新發布的關於數據保護的法規，該法規於今日生效。隨著GDPR的生效，歐盟對於數據保護的程度將達到前所未有的高度。在GDPR尚未生效時，筆者了解到，已有多家遊戲廠商的海外業務收到來自各大平台關於更新個人數據及隱私政策保護的要求，GDPR究竟是什麼？會對遊戲廠商後續的業務有什麼影響？筆者嘗試為關注這一問題的遊戲企業做出解答。

一、遊戲企業在國內也要受到GDPR的監管？

GDPR規定了超越一般地域範圍的「長臂管轄原則」。根據GDPR的規定，該法規適用範圍包括，其一是在歐盟境內的數據處理者或控制者；其二是對歐盟境內的數據主體的個人數據的處理行為。簡單概括，對於歐盟境內的公司或者對歐盟境內個人的數據處理行為都將受到該法規的約束。這也意味著除了歐盟境內的企業，大量提供全球範圍服務的互聯網企業將受到該規定的約束，當然也包括已經或將要布局海外遊戲業務的遊戲公司。

近來由於遊戲行業競爭的白熱化，越來越多的遊戲公司想要或者已經出海，遊戲海外業務被一眾遊戲廠商視為是新的業務增長點。而遊戲行業的另外一個特點便是通過網路傳播，不受地域限制，因此，布局海外的同時，遊戲廠商也在不停的對海外用戶的個人數據進行處理，這無疑會受到GDPR的監管。

二、GDPR應該主要約束Facebook/Google等平台企業，遊戲公司作為開發者可以免責？

（一） GDPR規定的義務主體基本都是數據的控制者和數據處理者。根據GDPR的規定，數據控制者的主要特徵是能夠單獨或聯合決定個人數據的處理目的和方式。數據處理者的主要特徵是為數據控制者處理個人數據。

（二）目前遊戲公司開展海外遊戲業務，最常規的模式仍然是將遊戲產品接入至蘋果商店、Facebook、google等平台。這種情況下，遊戲公司是這些平台的開發者，遊戲公司想要明確自己是否屬於遊戲的控制者或管理者，主要還是要結合數據搜集和處理的情景來判斷。

1、用戶註冊場景：在玩家註冊登錄的過程中，遊戲公司一般會在登錄界面為玩家提供兩種登錄方式，其一是使用平台方的遊戲賬號例如Facebook的賬號或者Google的郵箱註冊登錄。其二是玩家使用自己的郵箱或手機註冊登錄。玩家使用平台賬戶登錄時，遊戲廠商獲得平台方的授權後，玩家可以使用平台賬號直接作為遊戲賬號使用；而在玩家使用自己的郵箱或手機註冊登錄，遊戲廠商無須平台方的授權即獲得玩家的個人信息，但是無論是哪種註冊場景，遊戲廠商在玩家註冊登錄過程中都可能主動或被動收集、儲存用戶個人數據，包括姓名、電話、頭像、地址等。遊戲廠商也因此會受到 GDPR的約束。

2、推廣優化場景：如果遊戲企業海外推廣遊戲過程，必然會涉及到市場推廣的優化，涉及到對用戶的分析。如果遊戲公司在使用例如Google Analytics（或者第三方數據分析服務提供者）針對玩家進行用戶行為分析時，那麼Google Analytics就可能成為數據的處理者，遊戲廠商就可能構成數據控制者。遊戲廠商也因此會受到GDPR的監管。

因此，只要遊戲廠商針對個人數據或個人數據的集合，進行了例如收集、記錄、存儲、使用、披露等行為，都可能符合GDPR關於數據控制者或處理者的定義，就可能會受到GDPR的約束。

三、基於用戶的同意是GDPR合規的關鍵？

目前對於遊戲廠商，更多的是作為平台方的開發者，因此，遊戲廠商數據處理行為既要符合GDPR的要求，也要符合平台方對於開發者的要求。目前，我們從海外遊戲業務從業者中了解到，平台對開發者的要求主要有兩個，一是按照GDPR的要求更新產品內的隱私政策，隱私協議。二是將平台軟體更新至針對GDPR更新後的最新版本。這樣的要求，既是基於GDPR中關於數據處理合法性的要求，也是基於平台對於開發者的要求。

根據GDPR的規定，數據處理行為要想合法，獲得數據主體的同意便是一個至關重要的條件。什麼才能視為獲得了數據主體的同意？必須獲得數據主體同意的內容是什麼呢？

（一）隱私政策必須設置單獨彈框並獲得用戶同意？

根據GDPR的規定，數據主體通過書面方式同意，這種同意應以易於理解且與其他事項顯著區別的形式呈現。

雖然法律沒有明確約定隱私政策需要單獨顯示，而且根據規定，同意與其他事項顯著區別的形式呈現，那麼標亮、加粗等方式在一定程度上也符合顯著區別的特徵，但是，根據不同的平台政策，對隱私政策由用戶同意這一要件的履行，要求程度也不盡相同，筆者通過從業人員得知，有些平台要求隱私政策單獨作為彈框經過用戶的同意。因此在法律未強制性要求的情況下，結合GDPR立法的本意是將用戶同意視為數據處理最重要的條件。隱私政策單獨彈框同意是風險相對較小的做法。

（二）究竟哪些內容必須獲得用戶的同意？

根據GDPR的規定，需要獲得數據主體同意的內容至少包括以下：

1、根據GDPR的規定，數據處理需要基於同意，即數據主體需要同意他人處理自己的個人數據，也就是未經數據主體的同意，不得收集任何個人數據。

2、隨時撤回同意的權利，即數據主體有權隨時撤回他或她的同意。撤回同意和做出同意同樣容易。

3、賦予數據主體選擇刪除自己個人數據的權利。當用戶選擇刪除，數據控制者應有義務無不當延誤地刪除個人數據。

四、違反GDPR將面臨高額罰款？

根據GDPR的規定，對於數據處理的違法行為，制定了兩個等級的處罰：

1、針對一般的違法行為，例如數據控制者與處理者未採取適當的技術組織措施、未及時向監管機構通知數據已泄露等違法行為，歐盟可最高處以10000萬元的歐元或者上一年全球營業額2%的行政處罰。

2、針對嚴重的違法行為，例如，侵犯數據主體的同意權、訪問權、被遺忘權、拒絕權、獲得救濟權等；擅自將個人數據傳輸給第三國或國際組織等。歐盟可最高處以2000萬元歐元或者全球營業額4%的行政處罰。

最後，根據GDPR的規定，無論對於數據違法行為的性質、嚴重程度的判斷，亦或是對於最終處罰金額的確定，歐盟數據監管機構都享有巨大的裁量權。GDPR也是以重罰為手段，試圖倒逼企業完善個人數據保護的制度。這也意味著，對於遊戲企業想要做好海外業務，就必須通過個人數據保護（GPDR）這一關。現階段，遊戲企業除完善好用戶協議隱私政策等之外，還需逐漸完善企業內部關於個人數據保護的制度，及時關注平台方對開發者的要求。