文 | 广悦互联网律师 | 张昌倩、李玲

GDPR全称“General data protection regulation”又称《一般数据保护条例》，是欧盟最新发布的关于数据保护的法规，该法规于今日生效。随着GDPR的生效，欧盟对于数据保护的程度将达到前所未有的高度。在GDPR尚未生效时，笔者了解到，已有多家游戏厂商的海外业务收到来自各大平台关于更新个人数据及隐私政策保护的要求，GDPR究竟是什么？会对游戏厂商后续的业务有什么影响？笔者尝试为关注这一问题的游戏企业做出解答。

一、游戏企业在国内也要受到GDPR的监管？

GDPR规定了超越一般地域范围的“长臂管辖原则”。根据GDPR的规定，该法规适用范围包括，其一是在欧盟境内的数据处理者或控制者；其二是对欧盟境内的数据主体的个人数据的处理行为。简单概括，对于欧盟境内的公司或者对欧盟境内个人的数据处理行为都将受到该法规的约束。这也意味着除了欧盟境内的企业，大量提供全球范围服务的互联网企业将受到该规定的约束，当然也包括已经或将要布局海外游戏业务的游戏公司。

近来由于游戏行业竞争的白热化，越来越多的游戏公司想要或者已经出海，游戏海外业务被一众游戏厂商视为是新的业务增长点。而游戏行业的另外一个特点便是通过网络传播，不受地域限制，因此，布局海外的同时，游戏厂商也在不停的对海外用户的个人数据进行处理，这无疑会受到GDPR的监管。

二、GDPR应该主要约束Facebook/Google等平台企业，游戏公司作为开发者可以免责？

（一） GDPR规定的义务主体基本都是数据的控制者和数据处理者。根据GDPR的规定，数据控制者的主要特征是能够单独或联合决定个人数据的处理目的和方式。数据处理者的主要特征是为数据控制者处理个人数据。

（二）目前游戏公司开展海外游戏业务，最常规的模式仍然是将游戏产品接入至苹果商店、Facebook、google等平台。这种情况下，游戏公司是这些平台的开发者，游戏公司想要明确自己是否属于游戏的控制者或管理者，主要还是要结合数据搜集和处理的情景来判断。

1、用户注册场景：在玩家注册登录的过程中，游戏公司一般会在登录界面为玩家提供两种登录方式，其一是使用平台方的游戏账号例如Facebook的账号或者Google的邮箱注册登录。其二是玩家使用自己的邮箱或手机注册登录。玩家使用平台账户登录时，游戏厂商获得平台方的授权后，玩家可以使用平台账号直接作为游戏账号使用；而在玩家使用自己的邮箱或手机注册登录，游戏厂商无须平台方的授权即获得玩家的个人信息，但是无论是哪种注册场景，游戏厂商在玩家注册登录过程中都可能主动或被动收集、储存用户个人数据，包括姓名、电话、头像、地址等。游戏厂商也因此会受到 GDPR的约束。

2、推广优化场景：如果游戏企业海外推广游戏过程，必然会涉及到市场推广的优化，涉及到对用户的分析。如果游戏公司在使用例如Google Analytics（或者第三方数据分析服务提供者）针对玩家进行用户行为分析时，那么Google Analytics就可能成为数据的处理者，游戏厂商就可能构成数据控制者。游戏厂商也因此会受到GDPR的监管。

因此，只要游戏厂商针对个人数据或个人数据的集合，进行了例如收集、记录、存储、使用、披露等行为，都可能符合GDPR关于数据控制者或处理者的定义，就可能会受到GDPR的约束。

三、基于用户的同意是GDPR合规的关键？

目前对于游戏厂商，更多的是作为平台方的开发者，因此，游戏厂商数据处理行为既要符合GDPR的要求，也要符合平台方对于开发者的要求。目前，我们从海外游戏业务从业者中了解到，平台对开发者的要求主要有两个，一是按照GDPR的要求更新产品内的隐私政策，隐私协议。二是将平台软件更新至针对GDPR更新后的最新版本。这样的要求，既是基于GDPR中关于数据处理合法性的要求，也是基于平台对于开发者的要求。

根据GDPR的规定，数据处理行为要想合法，获得数据主体的同意便是一个至关重要的条件。什么才能视为获得了数据主体的同意？必须获得数据主体同意的内容是什么呢？

（一）隐私政策必须设置单独弹框并获得用户同意？

根据GDPR的规定，数据主体通过书面方式同意，这种同意应以易于理解且与其他事项显著区别的形式呈现。

虽然法律没有明确约定隐私政策需要单独显示，而且根据规定，同意与其他事项显著区别的形式呈现，那么标亮、加粗等方式在一定程度上也符合显著区别的特征，但是，根据不同的平台政策，对隐私政策由用户同意这一要件的履行，要求程度也不尽相同，笔者通过从业人员得知，有些平台要求隐私政策单独作为弹框经过用户的同意。因此在法律未强制性要求的情况下，结合GDPR立法的本意是将用户同意视为数据处理最重要的条件。隐私政策单独弹框同意是风险相对较小的做法。

（二）究竟哪些内容必须获得用户的同意？

根据GDPR的规定，需要获得数据主体同意的内容至少包括以下：

1、根据GDPR的规定，数据处理需要基于同意，即数据主体需要同意他人处理自己的个人数据，也就是未经数据主体的同意，不得收集任何个人数据。

2、随时撤回同意的权利，即数据主体有权随时撤回他或她的同意。撤回同意和做出同意同样容易。

3、赋予数据主体选择删除自己个人数据的权利。当用户选择删除，数据控制者应有义务无不当延误地删除个人数据。

四、违反GDPR将面临高额罚款？

根据GDPR的规定，对于数据处理的违法行为，制定了两个等级的处罚：

1、针对一般的违法行为，例如数据控制者与处理者未采取适当的技术组织措施、未及时向监管机构通知数据已泄露等违法行为，欧盟可最高处以10000万元的欧元或者上一年全球营业额2%的行政处罚。

2、针对严重的违法行为，例如，侵犯数据主体的同意权、访问权、被遗忘权、拒绝权、获得救济权等；擅自将个人数据传输给第三国或国际组织等。欧盟可最高处以2000万元欧元或者全球营业额4%的行政处罚。

最后，根据GDPR的规定，无论对于数据违法行为的性质、严重程度的判断，亦或是对于最终处罚金额的确定，欧盟数据监管机构都享有巨大的裁量权。GDPR也是以重罚为手段，试图倒逼企业完善个人数据保护的制度。这也意味着，对于游戏企业想要做好海外业务，就必须通过个人数据保护（GPDR）这一关。现阶段，游戏企业除完善好用户协议隐私政策等之外，还需逐渐完善企业内部关于个人数据保护的制度，及时关注平台方对开发者的要求。