中外个人信息保护专题 |GDPR下中国游戏企业的合规应对
编者注:
随着网络技术的发展,个人信息的收集和使用更加方便。同时,个人信息的大规模收集,存储和传输也大大增加了滥用和挪用个人信息的风险,并且保护个人信息的困难变得越来越困难。变得越来越大。个人信息在大数据时代包含巨大的商业价值。非法收集和使用个人信息的事件经常发生,甚至形成了黑色工业信息链。国内外的许多大型公司不断暴露个人信息泄漏事件,这影响了公众的紧张。同时,政府部门不断增加他们在个人信息中打击非法和犯罪活动的努力,并加强个人信息保护领域的立法和执法。个人信息问题不仅是政府部门的重点,而且是社会上的热门话题。
在线游戏操作涉及很多有关玩家的信息。如何正确收集和使用它,更重要的是,保护玩家的个人信息是在线游戏从业者应该考虑的重要主题之一。为此,该官方帐户建立了一个“有关中国和国外个人信息保护的特殊话题”,并将连续启动在我国家,日本,美国,美国,美国,美国,美国,美国,美国的立法和执法的文章欧盟和其他国家。敬请关注!
GDPR领导的中国游戏公司
合规性响应
背景
2016年4月14日,欧盟议会正式通过了有关数据保护的2016/679号法规,即《通用数据保护条例》(GDPR),该法规于2018年5月25日正式生效。GDPR废除了欧洲的数据法律。 1995年生效的保护,指令95/46/EC,被称为“历史上最严格的个人数据保护法规”。为了应对特定的非法行为,例如违反基本原则,同意条件或侵犯数据主体的特定权利,GDPR规定,监管机构可以将高达2000万欧元的行政罚款或全球罚款占全球4%的罚款上一年的非法企业的营业额,这两者都达到了高处。
根据“历史上最严格的个人数据保护法规”,中国游戏公司应该如何回应?本文旨在分析游戏公司可能的GDPR行为,需要关注的数据处理原则以及需要保证的用户数据权,本文的目的是简要分析游戏发布者如何履行GDPR合规性义务,为了吸引与同龄人在GDPR上引起关注和深入讨论。该项目下的中国游戏公司的合规计划。
1。游戏公司的哪些行为受GDPR法规的约束
(i)GDPR法规的行为
1。游戏公司收集个人数据。
根据GDPR的第2条,第1点和第4条,游戏企业收集的个人数据应受GDPR的规定。 “个人数据”是指与已识别或可识别的自然人有关的任何信息。可识别的自然人是一个自然人,可以直接或间接由以下标识来确定,例如名称,ID号,位置,在线身份,或物理,生理,遗传,心理,经济,文化,文化或社会认同对一个自然的人。或多个因素。当涉及特定的游戏产品时,用户必须积极提供其姓名,电子邮件,个人背景信息(例如年龄,性别)等。在游戏中,游戏公司收集此部分数据的行为显然属于GDPR法规的范围。此外,游戏产品会自动收集IP地址,设备ID(MAC地址,IMEI等),地理位置等。为了建立通信和跟踪用户行为,并且也属于GDPR规定的范围。
2。游戏公司处理个人数据。
根据GDPR的第2条,第1点和第4条,《 GDPR条例》也包括个人数据的处理。 “处理”是指基于个人数据或个人数据收集的处理,无论是通过自动化手段,例如收集,记录,组织,构建,存储,调整,调整或更改,搜索,咨询,使用,通过传输,宣传或其他方法披露,安排或组合,限制,擦除或破坏。
(ii)GDPR的区域管辖权
1。游戏公司在欧盟内拥有一个组织,无论该处理是否在欧盟中进行。
2。游戏公司尚未在欧盟建立机构,而是为欧盟或监视欧盟玩家的行为的玩家提供游戏服务。
GDPR的范围非常宽,在欧盟建立的游戏公司必须遵守GDPR。欧盟以外的游戏公司,例如中国游戏公司,向欧盟发布游戏将不可避免地涉及在欧盟内处理个人数据,因此需要遵守GDPR。
GDPR的广泛应用范围和高违法费用曾经使游戏公司感到恐惧。一些游戏公司甚至宣布将放弃欧盟市场,关闭欧盟服务器,或者不为欧盟IP地址提供游戏服务。 GDPR生效后,“处理欧盟内的个人数据”并“向欧盟内的个人提供商品或服务”的确意味着什么也引起了行业中的激烈讨论。 2018年11月,欧盟数据保护委员会发表了有关“地理管辖权”的指导意见,该意见明确指出,有必要根据企业的运作来考虑是否存在以下情况,以确定企业是否对个人是否是“对个人的在欧盟内”。提供商品或服务”:
一个。提供商品或服务时,请参考欧盟国家
b。通过为搜索引擎付费,它使欧盟的用户更容易在公司网站上搜索服务
c。在欧盟内提供电话号码或地址
d。顶级域显示与欧盟相关的内容(例如.eu或.de)
e。货物可以运送到欧盟
基于此,我们将讨论中国游戏公司的行为,这些公司可能会根据几个特定示例属于GDPR法规。
案例1
由中国游戏出版商在其官方网站上提供的游戏。欧盟游戏用户可以通过Internet从欧盟内部访问和下载游戏。但是,游戏语言是中文,并且游戏中的充电系统使用RMB作为货币。
[分析]因为游戏的语言是中文的,并且使用了以RMB为单位的充电系统,这意味着游戏的发布者没有明确的意图来针对欧盟的个人用户。因此,尽管欧盟中的单个游戏用户可以通过Internet下载游戏,但中文游戏发布者对用户数据的处理不受GDPR规定的约束。
案例2
中国公民前往欧盟,并通过Apple EU App Store下载,并使用了中国游戏出版商在此期间出版的手机游戏。
【分析】由于游戏发布者在欧盟App Store中发布游戏,因此游戏出版商明确打算针对单个欧盟玩家。即使游戏出版商在这种情况下收集和处理来自中国公民的数据,中国公民也是中国公民。在欧盟和游戏发行商提供的服务中,针对欧盟,因此这些数据处理活动要求GDPR适用。
案例3
中国公民前往欧盟,并使用了由中国游戏出版商发布的游戏,该游戏在此之前在中国Apple App Store上下载。
[分析]由于游戏属于中国市场,因此中国游戏发行商无意向欧盟的个体用户提供商品或服务。因此,中国游戏发行商收集和处理公民的个人数据,而无需遵守GDPR法规。
2.游戏公司需要注意
GDPR数据处理原理
GDPR的第2章规定了处理个人数据的几种原则,包括合法性,公平性和透明度的原则,限制目的的原则,数据最小化的原则,准确性原则,存储原则,在时间限制内,原则数据完整性和机密性,可以询问。责任原则。除了要求数据控制者在上述原则下证明其义务的责任原则外,其他数据处理原则不是GDRP的原始原则,可以在以前的欧盟指令95/46/EC中使用世界。找到迹线。以下是与游戏公司密切相关的几个数据处理原则的详细讨论。
(i)合法原则
根据这一原则,游戏出版商应确保游戏产品具有处理个人数据的法律依据。 GDPR第6条规定了处理个人数据的各种法律依据。游戏发布者最常使用的两个是用户同意和处理数据是向用户提供服务的必要先决条件。
1。用户同意
GDPR的第7条进一步规定了获得用户同意的特定标准,应在其中自由征得用户同意,并且应以清晰可理解的语言向用户显示通过获得用户同意获得的文本内容,易于访问和区分其他内容。 ,与此同时,应确保用户有权随时撤回他的同意,并且用户应像同意一样轻松撤回其同意。
游戏发布者通常通过单击用户同意隐私政策来获得用户同意处理个人数据的同意。因此,需要特别注意隐私政策的特定设置,以确保它们符合有效用户同意的GDPR要求。以下将通过几个特定示例讨论用户同意的有效性。
案例4
某个Match-3手机游戏要求用户同意通过其隐私政策收集其GPS定位信息的游戏,以分析用户行为并将广告推向其。如果用户不单击以同意本隐私政策,他们将无法使用游戏服务。
[分析]由于GPS定位信息或用户行为信息对于三场比赛不是必需的,因此用户只能在同意游戏收集自己的信息后使用游戏。可以认为用户的同意是被迫而不是免费的,也就是说,单击隐私策略的行为不被视为在GDPR项目下是用户的有效同意。建议游戏公司仅收集玩游戏所需的用户个人信息。
案例5
某个游戏将弹出用户协议,供用户单击以同意用户首次使用它。用户协议最多为30页。用户需要转到第28页,以查看用户协议中的隐私条款。隐私条款是链接的形式。显示,用户需要单击链接以跳到游戏官方网站以查看隐私条款。
[分析]由于游戏已经获得了用户同意以文本(即隐私条款)的方式处理个人数据的同意同意用户协议不能被视为“访问”表格。根据GDPR,用户有有效的同意。建议游戏公司将隐私条款设置为用户以全文查看的重要位置。
案例6
某个游戏官方网站要求用户注册其电子邮件地址,以向用户发送游戏中的活动信息。用户检查了网站以同意相关的隐私政策,并单击以提交他的电子邮件地址。一个月后,用户希望游戏不再向他发送活动信息。他发现他只能在工作时间内致电客户服务电话,并提交书面申请表以取消相关信息。发送活动信息。
【分析】很明显,在响应游戏官方网站处理其个人信息的行为时,用户同意的方式(网站自动提交)比用户撤回同意的方式要容易得多(呼叫客户服务号码 +书面申请表),如果不符合GDPR,则有效。同意的请求。建议游戏公司统一用户同意和撤回同意的方式,以免以撤回同意的方式设置障碍。
2。提供游戏服务的必要数据
根据GDPR,识别“提供服务所需的数据”相对严格。通常,游戏产品必须在处理数据之前获得用户同意,并获得用户同意以首先与用户建立网络通信。在网络通信过程中,不可避免地会收集用户的IP地址。通常可以认为,建立网络通信的IP地址是提供游戏服务所需的数据。
(ii)有限目的的原则
GDPR的第5条,第1(b)点要求个人数据的收集应具有特定,清晰和合法的目的,并且个人数据的处理不应违反原始目的。例如,游戏要求用户通过电子邮件地址登录,并指出收集用户的电子邮件地址以建立用户的游戏帐户并确定用户。如果游戏随后将营销信息发送到用户的电子邮件中,则显然违反了收集电子邮件地址的初始目的,并且应重新获得用户的同意。
(iii)数据最小化原理
第5条,GDPR的第1(c)点要求,只能处理与数据处理目的有关的必要和适当的个人数据,即,即需要处理的最低个人数据。该原则应在游戏产品设计的早期阶段考虑,以避免过多收集用户个人数据。例如:为了实现建立游戏帐户并确定用户登录的目的,是否可以通过处理现实中与用户身份无关的唯一标识符来实现它(例如,分配的唯一ID通过游戏给用户),不处理用户的电话号码个人数据,例如电子邮件?
3。基于GDPR的游戏用户的权利
GDPR的第3章规定了数据主体享有的权利(即在游戏产品中获得了个人数据的游戏用户),即:
(i)访问权利:知道您的个人数据是否已被处理以及与数据相关的信息的权利。
(ii)正确的权利:请求纠正您不准确的个人数据的权利。
(iii)删除权利:当不需要个人数据处理,用户撤回他的同意或非法处理个人数据时,请求删除您自己的个人数据的权利。
(iv)限制处理的权利:在特定情况下,例如数据准确性争议,限制您的个人数据被处理的权利。
(v)数据载体权利:在满足特定条件时,要求将个人数据转移到另一方的访问性的权利(稍后将讨论更多讨论)。
(vi)拒绝的权利:如果个人数据的处理是基于公共利益或他人的合法权利和利益,并且用于直接营销目的,则可以处理您自己的个人数据。当自动决策(例如用户肖像)对您自己或类似的重大影响时,拒绝您受自动决策的约束权。
接下来,根据游戏公司遇到的几种实际情况开yun体育app入口登录,我们将分析如何确保行使用户的相关权利。
案例7
用户建议行使删除权,并要求游戏公司删除已建立的所有游戏帐户。
[分析]删除权是GDPR授予用户的基本权利之一。为了验证用户身份的前提,并明确表示用户的请求是用户请求的基础符合GDPR法规(游戏用户通常需要根据撤回同意而行使删除权的权利),公司应该满足它。由于游戏产品的特殊性,删除游戏帐户下的所有游戏数据可能会影响游戏的完整性(例如:影响游戏内排名的排名并影响其他游戏用户的游戏体验)。游戏公司可以选择仅删除用户提供的个人信息(例如:登录名,联系信息等)以及游戏自动收集的用户信息(例如:设备号,IP地址等) ,但是游戏中用户生成的游戏数据(例如:游戏级别,设备信息),并将保留的游戏数据匿名化,以切断其与显示屏上的特定用户的关联。
案例8
用户建议行使携带数据的权利,并要求游戏公司将其游戏帐户下的所有朋友列表转移到另一个游戏中。
[分析]携带数据的权利是GDRP下更具争议的用户。它的最初目的是允许在不同服务提供商之间自由和方便地传输个人数据。 GDPR规定用户行使其数据携带权的前提是处理用户数据基于用户同意或处理用户数据基于服务的提供。如前所述,游戏中用户数据的处理主要基于这两个原因。因此,游戏应满足用户行使数据携带权的要求并以通用和机器可读的方式将用户个人数据转移到其他服务的请求。商业。但是,行使用户权利应基于以下事实:它不侵犯他人的合法权利和利益。用户游戏数据中的朋友列表包含其他用户的个人数据。未经其他用户的同意,游戏公司可能拒绝列出朋友列表,而无需获得其他用户的同意。转移到第三方。
案例9
用户建议行使拒绝自动决策的权利,并要求在游戏中不再将目标广告放在自己身上。
[分析]针对广告系统的广告收集用户行为数据并根据大数据分析用户偏好,这是GDPR项目中“自动决策”的结果。但是,GDPR第22条赋予用户通过自动决策拒绝自己的影响力的权利开元ky888棋牌官方版,并且显然规定了行使权利的先决条件:自动决策将对用户产生合法或类似的重大影响。游戏产品中有针对性的广告通常不会对用户产生重大影响,因此用户要求行使其拒绝自动决策的权利不符合GDPR法规。但是,值得注意的是,有针对性的广告必须涉及用户个人数据的收集,并且可以依靠的游戏中用户个人数据收集的法律依据通常仅是用户的同意。用户可以根据GDRP授予的删除权撤回同意书,要求游戏不再收集其个人信息以进行有针对性的广告,或者以直接营销目的使用个人数据并要求拒绝的权利,并要求游戏不再处理它。个人数据用于服务有针对性的广告。实际上,对于有针对性的广告,建议在游戏中添加方便的“开关”。用户有权选择同意收集个人行为数据以服务有针对性广告的游戏,并且他们也有权选择关闭此功能,而不再接受目标广告。
4。中国游戏公司的合规建议
(i)检查产品的数据处理状态
游戏公司应对用户数据类型,源,对象,存储期,数据传输过程以及产品中数据处理的目的进行整体调查。结合GDPR规定的数据处理原理开元棋官方正版下载,分析是否需要相关数据处理以及数据处理行为与GDPR依从性标准之间的偏差。一方面,它有助于制定明确的隐私政策以获得用户同意,另一方面,它还可以从产品设计级别促进个人数据保护的设置。游戏产品通常涉及数据循环的多个方面,并访问第三方工具界面。数据处理调查可以委托给专业的第三方组织,以努力实现全面和客观的数据处理调查。在将来的操作过程中,应注意及时记录用户数据的处理。
(ii)制定有针对性的隐私政策
游戏公司应基于其数据处理的调查结果制定简洁且易于理解的隐私政策,并根据GDPR要求解释游戏产品的类型,目的,存储期,处理基础。如前所述,游戏处理个人数据的主要依据是用户同意,因此隐私政策的内容以及用户同意隐私政策的方式对游戏产品的GDPR合规性至关重要。在游戏产品中,我们应该避免通过冗长而不现实的隐私政策强迫用户同意处理其个人数据,并且我们还应避免通过默认同意制定隐私政策。关于隐私政策的撰写和设定,建议介绍专业的GDPR合规律师参加,以确保游戏中用户数据的处理具有合法的基础。
(iii)建立用户权利保护机制
为了确保用户行使GDPR授予的相关数据权利,游戏公司应设置特殊界面,以接受用户行使其权利的请求,例如特殊隐私电子邮件,客户服务或自动处理网站,并以著名的方式发布相关信息隐私政策和游戏产品中的位置。接口的联系信息。应在企业内建立完整的用户权利练习过程,并应根据GDPR的具体要求来阐明不同权利请求的判决标准和响应时间。同时,我们还应该与可以处理用户数据的合作伙伴讨论和沟通,以确保GDPR下的游戏用户的数据权限可以得到充分保护。此外,企业应根据其实际情况在欧洲建立特殊数据保护官,或者根据GDPR要求在欧洲任命一名代表,以便及时响应用户权利请求。
(iv)改善企业内的长期数据合规系统
GDPR合规性涉及企业之间的多部门合作,这是一项长期任务。游戏公司应首先从宏观角度提高对数据依从性的关注,并确保处理用户数据的员工可以通过公司系统,常规培训等实施其工作中的各种GDPR要求。企业应制定相应的数据保护影响评估系统根据GDPR要求,以确保新产品在设计方面符合数据合规性要求;采取适当且足够的数据安全保护技术措施,以确保收集,使用和存储用户个人数据。 ,传输过程的安全性,以避免未经授权的访问或损坏和个人数据丢失;建议通知数据违规行为,以确保在发生数据违规时,及时发现,验证并告知主管当局和用户。
(全文结束)
