GDPR已生效——关于新数据保护法的紧迫问题

从5月25日起，欧盟实施了一项名为通用数据保护条例（GDPR）的新法律。这项GDPR条例的规定旨在加强对所有欧盟国家居民个人数据的保护，但专家表示，这些新规将给电子游戏开发者和发行商带来更大的挑战。

法律公司Purewal&Partners应《游戏产业》杂志的要求，对这份新文件进行了分析，探讨GDPR对游戏产业的影响。

法律背景

欧洲议会在2016年批准了GDPR。

该条例GDPR取代了自1995年以来施行的数据保护指令。

与前任指令不同，GDPR的要求并不是通过欧盟成员国的地方立法来执行，而是在整个欧元区内作为一种通用且具有强制性的法律生效。

违反此法律将面临高达2000万欧元或公司全球年收入的4%的罚款。

GDPR规则涉及哪些人群？

该条例适用于所有收集欧盟居民和居住者个人数据的公司（无论是位于欧盟内部还是外部）。

什么是“个人数据”？

任何可以帮助确定特定个人身份的信息，包括姓名、实际地址、电子邮件、性别、年龄和健康状况等。此外，个人数据还可以包括IP地址、地理定位数据等。

什么是数据控制者和数据处理者？

GDPR引入了数据控制者（data controller）和数据处理者（data processor）的概念。

数据控制者决定个人数据的处理方式并对其处理负责。而数据处理者为控制者收集数据。

简而言之，5月25日后会发生什么变化？

1. 数据保护机构将获得更多权力来监督和管理用户信息的收集。对法律违反行为的罚款将更加严格。对公司来说，数据采集过程也将更加复杂——即使获得客户的同意，某些信息也无法被收集。
2. 公司将需要更新其用户数据使用和保护政策，并将其作为业务发展的优先事项。具体如何实施尚不明确。

“中小型企业将密切关注行业领导者的行为以及监管机构对此的反应，”Purewal&Partners评论道。

这与游戏产业有什么关系？

许多电子游戏领域的公司利用用户数据来分析游戏指标、优化游戏体验、提高变现效果等。由于GDPR，收集和处理信息将变得更加困难。这可能会影响行业，具体如下：

• 法律要求开发者和发行商将用户数据保护作为首要任务。这需要反映在与用户的协议中，这些协议必须根据GDPR标准进行重新修改；
• 移动端的免费游戏开发者可能面临额外的挑战，因为他们严重依赖用户数据。公司可能会发现监测DAU/MAU/ARPU/ARPPU等重要指标，以及用户保留和参与的数据变得更加困难；
• 遵守GDPR的要求将需要支出，例如提供必要的技术能力、培训员工、指派负责人等。数据保护的相关费用将影响电子游戏的生产成本。

GDPR的实施带来了许多问题。例如，如何让那些在欧盟没有实体办事处的公司遵循这项条例？

又或者，视频博主和其他影响者算作用户数据的控制者还是处理者？

与GDPR相关的常见问题

我们是一家游戏工作室，和出版社有合同。谁应该对遵循GDPR规范负责？

这取决于合同的条款。很可能大部分责任由出版社承担，因为通常是他们决定如何处理收集到的数据。但开发者作为数据处理者也有责任。如果您独立出版游戏，所有责任都在您身上。

我们将游戏发布在Steam、iTunes和其他在线分发平台。这个情况下谁需要遵循GDPR？

如果您通过平台收集用户数据，您就需要负责。如果平台为自己的目的收集玩家数据，则责任在于平台。

我们是一支电子竞技团队，与不同的联盟和广播渠道合作。谁对遵循GDPR负责？

您对在业务活动中收集的数据负责。与联盟和广播组织的关系中，责任取决于您合作的条款和伙伴义务。请记住，您仍然作为数据处理者承担责任。

我们只收集匿名数据。GDPR和我们有什么关系？

是的。公司不能忽视数据保护法。即使您收集的是匿名数据，您也需确认并证明所收集的信息未指向您用户的身份。

我们通过第三方服务获取所有数据。因此，遵守GDPR是他们的责任，而不是我们的？

不是。如果他们根据您的委托收集用户数据，则作为数据控制者的责任在您。当然，数据处理者也会承担部分责任。如果您使用他们的服务，建议您检查您的合同是否符合GDPR要求。

我们位于欧元区之外，因此认为欧盟法律不适用于我们。可以放心不必担心GDPR吗？

不可以，GDPR条例适用于所有收集欧盟居民数据的公司。此外，不能排除其他地区在不久的将来也会实施类似的GDPR法律，因此最好提前做好准备。

相关阅读：

• 72%的Android应用程序面临违反GDPR的风险
• Steam可能限制16岁以下青少年的访问权限

来源: 游戏产业