中国游戏行业面对的境内境外数据合规挑战与机遇
日期:2023-11-06
引言
随着世界互联网化程度越来越高,全球面临的网络数据安全问题日益突出,隐私和数据保护越来越受到各个国家的重视。根据联合国贸易和发展会议网站的统计数据,全球范围194个国家中有71%的国家制定了立法来确保数据和隐私保护,9%的国家也制定了立法草案[1]。换言之,全球80%的国家已对数据和隐私进行了法律层面的保护。欧盟在2018年5月开始实施《通用数据保护条例》(General Data Protection Regulation,“GDPR”),欧洲数据保护当局并已经开出与GDPR有关的罚单1295张,罚款总额约23.41亿欧元[2];美国《加州消费者隐私法》(California Consumer Privacy Act,“CCPA”)自2020年1月开始生效;日本《个人信息保护法》自2005年4月1日开始生效,现在有效的版本是在2005年的版本基础上进行了三次修订后的版本;新加坡《个人数据保护法》(Personal Data Protection Act,“PDPA”)自2013年1月开始分阶段生效,当前适用的版本是在2013年版本基础上进行了首次全面修订后的版本;全球范围内的数据合规立法监管活动十分活跃,对各行各业的业务发展产生深远的影响,游戏行业当然也不例外。2022年,中国游戏市场实际销售收入为2658.84亿元,同比减少了306.29亿元,下降了10.33%[3],除了目前宏观经济处于恢复阶段等原因外,各国对游戏行业数据合规监管活动十分活跃,游戏行业面临着严峻的数据合规挑战,导致游戏业务发展受阻,这也是中国游戏市场销售收入骤降的主要原因之一。为此,本文主要从境内、欧盟、美国、日本、新加坡等国或地区的数据合规情况展开分析,希望能为中国游戏行业应对境内境外数据合规风险提供一些帮助与思考。
游戏行业境内数据合规的现状与重点
在法律法规方面,游戏行业境内数据合规的主要框架为“3+1+N”的法律法规体系。“3”代表《网络安全法》、《数据安全法》、《个人信息保护法》,“1”代表“《民法典》”,“N”代表其他多部法律、行政法规、部门规章、规范性文件、标准等。行政法规中,《网络出版服务管理规定》对“网络出版物”和“网络游戏审批事项”进行了规定。部门规章中,《互联网文化管理暂行规定(2017修订)》规定了互联网文化产品的范围,包括专门为互联网而生产的网络游戏等,因此游戏公司在开展业务时需严格遵守该规定。规范性文件中,《国家新闻出版署关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》要求所有网络游戏必须接入国家新闻出版署网络游戏防沉迷实名验证系统,所有网络游戏用户必须使用真实有效身份信息进行游戏账号注册并登录网络游戏。游戏公司需严格遵守“接入防沉迷实名验证系统”的规定。国家标准中,值得注意的是《信息技术 网络游戏未成年人监护系统技术要求》已于2023年6月23日开展启动会,目前处于“正在审查”阶段,为确保数据合规常态化,游戏公司可动态更新类似的法律法规及标准情况。
在政策监管方面,近年来国内游戏行业政策陆续发布,监管力度不断加大。在国家层面,2022年5月,文化和旅游部发布《文化和旅游部关于修改<娱乐场所管理办法>的决定》,规定除法定节假日外,设置的电子游戏机不得向未成年人提供。2022年7月,中央人民政府发布《商务部等27部门关于推进对外文化贸易高质量发展的意见》,规定聚焦推动文化传媒、网络游戏等领域发展,扩大网络游戏审核试点,创新事中事后监管方式。在地方层面,2022年9月,上海市市场监督管理局发布《关于推进本市元宇宙标准体系建设的指导意见》,规定优先推动数字环境、游戏等相关标准体系建设。在违规处罚层面,以工信部为例,近期工信部发现31款APP(SDK)存在侵害用户权益行为,并于工信微报公众号进行通报[4],其中包括《饥饿鲨:进化》等多款游戏APP因违规收集个人信息等情况被通报,工信部要求通报的APP应按有关规定进行整改,整改落实不到位的,将依法依规组织开展相关处置工作。可见,国内对于游戏行业的处罚或通报主要集中在违反收集和使用个人信息等方面。游戏公司在发行和运营游戏时,往往会涉及到游戏用户(包括未成年人)大量的个人信息,游戏公司对于用户个人信息的合规处理是游戏公司数据合规的重点环节,如何对用户个人信息合法合规的处理已成为伴随游戏公司开展业务的必答题。根据我们的经验与理解[5],游戏公司收集和处理个人信息首先应当以满足合法、正当、必要、诚信、最小程度、明确性、相关性等《个人信息保护法》规定的基本原则为基础,并在法定范围内收集和处理个人信息。其次,《个人信息保护法》第13-14条要求个人信息处理者取得个人的同意方可处理其个人信息,并且“同意”应当由个人在充分知情的前提下自愿、明确作出。基于此,游戏公司可以在游戏界面制定个人信息收集和处理的单独板块向用户说明公司收集和处理个人信息的目的、必要性和个人信息安全保护措施等事项,并通过用户充分阅读后方可自行勾选的方式取得用户自愿明确的同意。最后,游戏公司也应满足《个人信息保护法》第五章(个人信息处理者的义务)的规定,如制定内部管理制度和操作规程、对个人信息实行分类管理、涉及到敏感个人信息等情况时进行个人信息保护影响评估。此外,对于未满十四周岁的未成年人个人信息的处理也是游戏公司需要注意的问题[6]。首先,游戏公司在收集、存储、使用、转移、披露儿童个人信息时,应遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则,通过以上五个原则为基础开展儿童个人信息的处理。其次,游戏公司在收集、使用、转移、披露不满十四周岁未成年人的个人信息征得同意的同时,应当同时提供拒绝选项。最后,当游戏公司发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告。
游戏行业数据跨境合规的要点
自2018年以来,我国游戏公司争相选择在海外发行游戏,然而游戏的海外发行之路并不如想象的那样顺畅,2022年,中国自主研发游戏海外市场实际销售收入为173.46亿美元,同比下降3.70%[7],我国游戏公司出海现面临着诸多挑战,其中数据合规是游戏出海面临的主要挑战之一。在实践中,某些游戏公司在海外发行、运营游戏时遇到数据跨境相关问题时不知所措。基于我多年跨国企业数据合规管理实践经验与我们团队为香港某知名科技研发中心提供数据跨境传输合规咨询服务等经验,游戏公司需要重点关注的数据跨境问题有以下两类:个人信息保护影响评估与数据出境安全评估。
第一,游戏公司在面对个人信息保护评估时,可能会产生以下疑问:什么是个人信息保护影响评估(What)、什么时候应该做个人信息保护影响评估(When)以及怎么做个人信息保护影响评估(How)[8]。对于第一个问题,根据《信息安全技术 个人信息安全影响评估指南》的规定,个人信息保护影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程;对于第二个问题,根据《个人信息保护法》第55条的规定,企业在开展业务时涉及向境外提供个人信息的,应当事前进行个人信息保护评估,并对处理情况进行记录;对于第三个问题,个人信息保护评估的开展具体分为:评估准备阶段、评估执行阶段、评估追踪阶段。在评估准备阶段,游戏公司需在评估必要性分析的基础上通过组建评估团队、制定评估计划、制造评估对象和范围以及制定相关方咨询计划的方式进行充分准备。在评估执行阶段,游戏公司需在数据映射分析的基础上分别对风险源进行识别、个人权益进行影响分析,并基于这两条路径得出的评级对安全风险进行综合性分析。在评估追踪阶段,最主要的内容是形成个人信息保护影响评估报告,并制定报告的发布策略。第二,游戏公司在面对数据出境安全评估时,需要解决的主要问题有数据出境安全评估的选择问题、申报与评估流程问题等两个问题[9]。对于第一个问题,游戏公司可以在必要性、合法性、正当性评估的基础上判断:1、游戏公司是否向境外提供重要数据?2、游戏公司是否属于关键信息基础设施运营者?3、游戏公司是否处理了100万人以上的个人信息?4、自上年的1月1日起是否累计向境外提供10万人个人信息?5、自上年1月1日起是否累计向境外?6、是否有其他需要申报数据出境安全评估的情形?如果游戏公司涉及以上情形之一的,那么需要申报数据出境安全评估。对于第二个问题,游戏公司需在数据出境风险自评估的基础上准备申报的材料(统一社会信用代码证件影印件等材料),将申报材料送达所在地省级网信部门,省级网信部门5日内进行完备性查验,若材料齐备,国家网信部门7日内做出是否受理的决定,若受理,国家网信部门45日内完成评估并最终书面通知。
游戏行业境外出海数据合规的重点要求
满足个人信息安全影响评估、数据出境安全评估等境内的数据跨境监管要求是游戏公司开展海外业务的必要条件。当然,游戏公司开展海外业务时不仅需要进行上述操作,还需要关注海外目的国或地区的数据合规法律制度和监管政策。基于此,我们总结了欧盟、美国、新加坡和日本等四国关于数据合规的法律制度和监管政策等相关情况,以期为游戏公司应对海外的数据合规风险提供帮助。
2018年5月,欧盟《通用数据保护条例》(General Data Protection Regulation,“GDPR”)开始实施,取代1995年欧盟的《数据保护指令》(第95/46/EC号指令)。对于将游戏产品出海到欧盟地区的中国游戏公司而言,最需要关注的问题有以下三个:1、出海欧盟的游戏企业的哪些数据及行为受到GDPR的管辖?2、如果适用GDPR,不遵守会带来怎样的风险与后果?3、出海游戏公司如何进行GDPR的合规?首先,根据GDPR第2条的规定,GDPR适用于对个人数据进行全部或部分性的个人数据处理,那些使用自动化方式来建立档案系统,或期望建立档案系统一部分的个人数据处理除外。其中,游戏公司需特别注意的是,GDPR适用个人数据的数据处理,而不适用法人的数据处理。其次,在游戏公司的数据处理活动适用GDPR的基础上,若游戏公司不遵守GDPR的相关规定或将面临巨额罚款。自2018年5月GDPR出台以来,欧洲数据保护当局已开出了与GDPR有关的1295张罚单,罚款总额约23.41亿欧元,最大单张罚款7.46亿欧元[10]。最后,为避免可能出现的巨额处罚影响游戏公司的业务发展,游戏公司可以从以下三个方面进行GDPR的合规:明晰游戏企业出海的数据处理的类型;重视GDPR数据处理原则、数据主体的权利;承担游戏公司作为数据控制者或处理者的义务。第一,根据我们的经验与理解,游戏公司通常涉及GDPR管辖的主要数据类型有以下三种:1、游戏用户主动提供的数据,如游戏用户的身份信息、用户名和密码,游戏用户的角色名称、角色资料等角色信息,游戏用户在游戏过程中的聊天记录等信息,游戏用户的交易记录等数据。2、游戏公司主动收集的数据,如游戏用户的游戏设备信息、位置信息、游戏用户之间的互动信息、好友列表等数据。3、游戏公司从第三方获取的数据。游戏用户在第三方平台上使用的昵称等相关信息。对于涉及以上三类数据[11]的处理,游戏公司需要关注GDPR的相关规定。第二,GDPR数据处理原则主要体现在GDPR第5条,其规定了合法公平透明原则、目的限制原则、数据最小化原则、准确性原则、限期存储原则、诚实保密原则、可问责原则等七条原则。
表1:基于GDPR原则的游戏出海欧盟注意要点
|
|
|
|
|
游戏公司发送给游戏用户时的信息应当保证合法公正透明,并使用清晰的语言或者图表等形式向用户描述。
|
|
|
在处理游戏用户的数据时,应当遵循具体的、清晰的和正当的目的。
|
|
|
游戏公司对游戏用户的处理应当是为了实现数据处理目的而适当的、相关的和必要的。
|
|
|
|
|
|
游戏公司在处理能够识别数据主体的个人数据,其保存方式应当不长于为了实现个人数据处理目的所必要的期限。
|
|
|
游戏公司对个人数据的处理应当通过合理的技术或组织手段,保障个人数据的合理安全。
|
|
|
当游戏公司成为数据控制者时,应遵守上述原则并能够证明其履行了上述义务。
|
在实务中,游戏用户的个人数据是游戏公司的最主要数据来源之一,也是游戏公司需要审慎处理的数据合规重要事项,这是因为GDPR不仅规定了数据处理的原则,还赋予了数据主体广泛的权利,包括知情权、访问权、纠正删除权、限制处理权、可携带权、拒绝权等,游戏公司可以参考下列表格进行处理以符合GDPR的规定。
表2:基于GDPR数据主体权利的游戏出海欧盟注意要点
|
|
|
|
|
游戏公司应向游戏用户提供其收集的游戏用户身份信息、个人信息,必要时需向游戏用户提供更为详细的信息。
|
|
|
游戏用户有权从游戏公司得知,关于游戏用户的个人数据是否正在被处理,如果正在被处理的话,其应当有权访问个人数据以及获知处理的类型、目的等情况。
|
|
|
游戏用户有权从游戏公司及时得知对与其相关的不正确信息的更正以及有删除关于其个人数据的权利。游戏公司在确认请求纠正或删除个人数据的权利后,游戏公司应当纠正或删除其个人数据。
|
|
|
在游戏用户对其个人数据的准确性有异议、认为游戏公司处理数据是非法的、基于处理目的不再需要个人数据等情形下,游戏用户有权限制游戏公司处理其个人数据。
|
|
|
在以自动化方式为前提下并获得游戏用户同意时,游戏用户有权从游戏公司处接收自己的个人数据。
|
|
|
|
第三,由于GDPR详细规定了数据处理者与数据控制者的义务,游戏公司在遵守以上数据主体权利的同时,也需要注意自身作为数据处理者或控制者的义务。为避免造成严重乃至不可弥补的后果,游戏公司需重点关注72小时内告知以及保存数据处理记录等规定。在“72小时内告知”方面,根据GDPR第33条的规定,游戏公司在出现个人数据泄露的情形时,如果可行应当在知悉后最迟72小时内将个人数据泄露告知有权监管机构,若出现不能一次性同时提供信息的情形下,可以分阶段及时提供信息。在“保存数据处理记录”方面,游戏公司应当及时保存处理数据处理的记录,主要包括游、数据保护专员的名字和方式等。
美国是全球重要的游戏市场,美国在联邦层面颁布了《儿童在线隐私保护法》、《澄清海外合法使用数据法》,州层面颁布了《加利福尼亚州消费者隐私法案》、《加利福尼亚州阳光法案》等一系列关于数据隐私方面的法律法规,其中最具有影响力、最典型的法案是《加州消费者隐私法案》(California Consumer Privacy Act,“CCPA”),我将从“游戏公司出海美国如何遵守CCPA的要求”和“违反CCPA可能承担哪些法律责任”等两方面进行阐明分析。
第一,CCPA建立了以“识别”为核心的个人信息体系,游戏公司出海美国加州应紧紧围绕“个人信息”的范围、合法合规收集处理、出售等方面以便遵守CCPA的要求。
首先,在个人信息的范围方面,CCPA规定"个人信息" 系指识别、关联、描述、能够与某一特定消费者或家庭直接或间接联系或可以合理地与之关联的信息,并说明个人信息包括但不限于标识符、商业信息、生物特征信息、互联网或其他电子网络活动信息、地理定位数据、音频、电子、视觉、热量、嗅觉或类似信息、教育信息等。根据CCPA的规定,游戏公司收集游戏用户的信息是否构成CCPA规定下的“个人信息”的情况如下表:
表3:游戏行业场景下CCPA规定的个人信息判断表
|
|
|
|
姓名、邮箱、手机、住址、用户名、昵称、、性别、年龄、兴趣、定位信息、广告浏览记录、消费记录、聊天记录等
|
|
|
|
|
其次,为符合CCPA的规定,满足其合法合规收集个人信息的要求,游戏公司应当在收集游戏用户个人信息时, 将所收集的目的通知游戏用户,未经通知,游戏公司不得超出声明的收集目的以外收集其他类别的个人信息;游戏公司还应注意游戏用户有权要求向第三方出售游戏用户的个人信息的公司不得出售其个人信息。
最后,游戏公司应审慎对待出售个人信息的情形[12]。CCPA并不禁止游戏公司出售其所收集的游戏用户个人数据,但要求游戏公司设置并向游戏用户提供“选择退出”机制。但是依据CCPA的规定,为了实现“选择退出”机制,游戏公司应以游戏用户可合理获得的形式,在游戏界面内提供一个标题为“不要出售我的个人数据”的清晰醒目的链,提供的“选择退出”路径也应便于游戏用户执行,并仅要求最少的步骤让游戏用户选择退出。
第二,CCPA对游戏用户提供了两条救济路径:私力救济与公力救济。根据私力救济路径的规定,若游戏公司未按照CCPA的规定采取足够的保护措施,导致游戏用户的个人信息在未授权的情形下被访问、泄露、窃取或披露,游戏用户可以提起民事诉讼,罚款的金额通常为100美元到750美元。根据公力救济路径的规定,加州总检察长有权制定CCPA实施条例,决定是否针对违法运营商采取法律措施、有权向违法运营商提起诉讼,单次违法的最高罚金为7500美元。
日本数据保护法律体系同时吸收了欧盟的国家主导模式以及美国的行业自律模式并结合自身特色,采取了综合保护模式,通过行业自律和行政指导两方面综合保护个人信息的安全。日本数据保护法律体系在实践中最重要的是《个人信息保护法》,其中《个人信息保护法》以专章的形式对个人信息处理者的义务进行了规定,主要包括“使用目的”“内容准确性”“向第三方提供的限制”等方面。
在“使用目的”方面,根据《个人信息保护法》的规定,游戏公司在处理游戏用户的个人信息时,必须尽可能确定使用的目的,若游戏公司需要变更使用目的的,不得超出可合理地认为与变更前使用目的具有相关性的范围。值得注意的是,在未征得游戏用户的同意前,游戏公司不得超出上述使用目的所必需的范围处理游戏用户的个人信息,但是为保护人的生命、身体或财产需要难以取得本人同意等情形除外。
在“内容准确性”方面,游戏公司应当在上述符合使用目的的范围基础上,确保游戏用户的个人数据准确和更新,当游戏用户的个人信息不再需要使用时,应当及时进行删除。
在“向第三方提供的限制”方面,游戏公司在未经游戏用户同意的情形下,游戏公司不得将游戏用户的个人资料提供给第三方,但是为保护人的生命、身体或财产的需要且难以取得数据主体同意等情形除外。特殊的是,游戏公司若根据个人信息保护委员会规则的规定,游戏公司事先通知游戏用户或将“向第三方提供个人信息的经营者的姓名、名称和地址”“向第三方提供的个人数据项目”等事项置于游戏用户容易获知的状态,并向个人信息保护委员会报告的情形下,游戏公司可以向第三方提供游戏用户的个人数据。
新加坡被评选为全球最开放的经济体,拥有高度发展的自由市场[13],近年来越来越多的中国游戏公司选择出海新加坡,了解新加坡的法律监管要求成为出海游戏公司长远发展的必选项。在数据合规方面,新加坡已经建立了比较完善的数据隐私保护法律的体系。2012年10月,新加坡颁布《个人数据保护法》(Personal Data Protection Act,“PDPA”),该法确立了新加坡个人数据保护的基本制度。2020年11月,新加坡对PDPA进行了修订,修订版本于2021年2月1日生效。在实际执法过程中,PDPA关于“告知-同意”、“个人数据的保管”这两方面较为活跃,故我将从以上两方面进行阐明分析。
第一,在“告知同意”方面,PDPA首先规定了除豁免同意义务情形以及其他法律要求的个人数据收集、使用和披露情形外,游戏公司收集、使用或披露个人数据原则上应取得个人的同意。PDPA还规定了视为同意和告知义务等一系列情形。比如根据PDPA第15条的规定,当游戏用户自愿为特定目的向游戏公司提供个人数据,并且自愿提供该信息是合理的,这种情况游戏公司应当认定为“视为同意”。根据PDPA20条的规定,对于游戏用户的明确同意或口头同意,游戏公司应当在取得个人关于收集、使用和对外披露个人数据的同意前向个人告知下述内容:1、当前或之前个人数据收集、使用和对外披露的目的;2、之前未告知的个人数据收集、使用和对外披露其他目的;3、应游戏用户要求,向游戏用户告知说明个人数据收集、使用和对外披露的联系人等。
第二、在个人数据的保管方面,PDPA要求游戏公司必须通过合理的安全安排来保护其拥有或控制的个人数据,以防止未经授权的访问、收集、使用、披露、复制、修改或处置等类似风险以及存储个人数据的任何存储介质或设备丢失。游戏公司还应注意不得将任何个人数据传输到新加坡以外的国家或地区,除非根据PDPA相关要求确保接收方对传输的个人数据提供至少与PDPA同等的保护。根据我们对PDPA实践的观察与理解,PDPA并非强制要求新加坡主体与第三方另行签订数据处理协议,而是允许新加坡主体通过与母公司签订协议明确双方关于数据跨境传输、保护的权利义务,授权母公司代集团各子公司集中履行相关数据跨境传输、保护义务,以形成义务履行的链条。游戏公司可以通过签订数据处理协议明确母公司与新加坡主体之间关于数据保护权利义务的分配从而实现数据跨境传输[14]。
游戏行业数据合规的应对与机遇
在全球隐私和数据立法与监管日益严格的情形下,游戏行业的数据合规挑战十分严峻。无论是在境内开展业务还是在海外开拓业务,中国游戏公司都面临数据合规的重大挑战,比如境内面临“3+1+N”的立法体系和层出不穷的监管政策,境外面对欧盟、美国、新加坡、日本等国或地区的数据合规压力接踵而至。中国游戏行业若数据不合规,未来或面临巨额罚款,在境外,欧洲数据保护当局已开出了与GDPR有关的1,576 笔罚款,罚款总额约27.7亿欧元,最大单张罚款7.46亿欧元[15]。在境内,腾讯研究院对中国《个保法》与欧盟GDPR、美国加州隐私立法的29个方面进行了比较,中国《个保法》在38%的方面上比GDPR更为严格,在48%的维度上与GDPR同样严格[16]。与此同时,2022年中国游戏市场实际销售收入同比减少了306.29亿元,中国游戏行业的生存与发展受到巨大冲击,游戏行业的发展处在迷雾重重的大环境中,中国游戏公司唯有主动拨开迷雾并拥抱各国各地区的数据合规法律体系,才能为本游戏公司的业务不断创收保驾护航。为有效应对境内境外数据合规风险,游戏公司需要在很多方面做出改进与完善,搭建数据合规体系便是首要任务。尽管可能会增加一定运营成本,但是,一套完备科学的数据合规体系将为游戏公司日后的发展打下良好基础,使企业的价值得到提升,创造出竞争优势。企业数据保护合规制度的搭建大致可以分为数据核查、风险识别和制定合规方案、数据合规规则的建立、数据合规规则的落地这四个步骤[17]。第一,数据核查。从信息安全角度进行的数据核查,其常规做法是使用软件来“感知”一个系统内的数据种类,并给予这些数据的敏感程度对该系统提出整体的安全方案。例如,游戏公司可以通过SERVICE NOW、ONE TRUST、HIPEROS等数据合规工具,在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。数据核查不仅能够了解企业个人信息收集和处理的现状,同时也是企业了解现状、识别风险和建立数据合规体系的重要基础。第二,风险识别和制定合规方案。在识别现状的基础上,结合适用法律法规规定的合规义务进行差距分析和风险识别。就游戏公司的IT系统、用户界面、用户注册流程以及在个人信息收集、使用以及保护的透明度等方面,进行整体合规方案规划。第三,数据合规规则建立。结合游戏公司实际情况建立数据合规规则,完善相关的制度和流程。开展员工意识培训,使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。在数据保护合规制度搭建起来后,游戏公司需要持续追踪数据保护合规制度实施情况,改善数据合规机制,确保本公司的数据合规制度持续为本公司保驾护航。第四,数据合规规则的落地。在此,我们以单项产品上线流程为例,简要描述一个数据合规体系的落地过程。首先,在产品酝酿阶段,企业可以邀请隐私保护专家列席产品开发的研讨,专家提供个人信息保护的合规建议,提示合规风险与解决方案,此过程应通过会议记录或邮件的形式留痕。其次,在初步产品设计阶段,产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计,第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。再次,产品设计团队将完成后的产品设计进行个人信息安全影响评估(Data Protection Impact Assessment, DPIA)。滴滴出行受审查一事,也强有力地证明了企业对于与数据相关的产品进行个人信息安全评估的必要性和重要性。埃森哲所有与数据相关的新产品和新服务,从研发到上线,都需要数据安全和个人隐私专家提前介入,从法律、商业、技术三个维度对个人信息安全进行综合评估,并形成个人信息安全影响评估报告,防范数据安全风险,防止企业日后因数据安全不合规而遭受重大损失,影响企业发展。最后,最终产品能够对先前查出的隐私和个人信息保护风险进行处理,以及明确相应的技术手段和控制,通过最终产品展示会议(包含法务、风控、合规、安全等部门)以及论证加以证明。
结语
通过对境内、欧盟、美国、日本、新加坡等国或地区的数据合规情况展开分析,第一,我们可以清晰地看到我国境内游戏行业的数据合规监管力度不断加大,比如国家新闻出版署发布通知要求所有网络游戏必须接入国家新闻出版署网络游戏防沉迷实名验证系统,所有网络游戏用户必须使用真实有效身份信息进行游戏账号注册并登录网络游戏,工信部对游戏APP违法违规的通报也屡见不鲜;第二,我们可以清晰地看到在涉及数据跨境时游戏公司应特别注意个人信息保护影响评估和数据跨境评估两大重点环节。第三,我们也可以清晰地看到境外数据合规监管力度十分严格,比如欧洲数据保护当局已开出了与GDPR有关的1,576 笔罚款,罚款总额约27.7亿欧元,最大单张罚款7.46亿欧元,这对于开展海外业务的游戏公司来说应尤为警惕。
为帮助游戏公司有效应对境内境外数据合规风险,我结合自身数据合规的经验探讨了企业数据保护合规制度的搭建步骤,具体包括数据核查、风险识别和制定合规方案、数据合规规则的建立、数据合规规则的落地等四个步骤。
最后,值得游戏公司注意的是,在当前境内境外数据合规立法与监管日趋严格的情形下,游戏公司应保持信心,秉持积极态度,主动拥抱各国各地区的数据合规法律体系,将数据保护合规制度贯彻落实到位并不断夯实。这是因为游戏公司只有将数据保护合规制度体系融入公司的血液并做到体系化、制度化、常态化,才能为本游戏公司的业务不断创收保驾护航,并保障游戏公司在面对境内境外的数据合规强监管挑战下行稳致远。
[1]参见https://unctad.org/page/data-protection-and-privacy-legislation-worldwide
[2][10][15]参见https://www.enforcementtracker.com/
[3][7]参见https://mp.weixin.qq.com/s/3F-4JUEBbkC0VF9fzBGVDQ
[4]参见https://mp.weixin.qq.com/s/2Ht7PzR4gEXW-KvuWrbAZg
[5]参见《个人信息保护法》
[6]参见《儿童个人信息网络保护规定》
[8]参见《个人信息保护法》《网络安全标准实践指南——个人信息安全影响评估指南》
[9]参见《数据出境安全评估办法》
[11]参见《游戏出海合规指引》李金招 蒋晓锟 编著
[12]参见https://mp.weixin.qq.com/s/ZLJhU7yCjnBPdvy7Y3fOIA
[13]参见https://www.3ecpa.com.sg/zi-yuan/zong-he-zhu-ti/xin-jia-po-di-jing-ji/?lang=zh-hans
[14]参见https://mp.weixin.qq.com/s/RGmFn9HDUePWO8yyrwTL0A
[16]参见腾讯研究院《中美欧个人信息保护法比较——中国<个人信息保护法>、欧盟GDPR、美国加州隐私保护法(CCPA&CPRA)》
[17]参见https://mp.weixin.qq.com/s/v_Gr7biI-lA_91rp9TK9_w
