Everyone has the right to the protection of personal data concerning him or her. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.

互联网下商品和服务的数字化改变全球经济的同时，也带来了海量的个人数据处理及流动。在高度保护个人隐私的欧洲，将保护个人数据写进欧洲共同宪法结构的一部分，载于“欧盟基本权利宪章”(the EU Charter of Fundamental Rights)第8条。从1995年的数据保护指令（95/46/EC指令）[1]，到2016年制定的《通用数据保护条例》（General Data Protection Regulation, GDPR）和警察指令（2016/680号指令）[2]，欧盟通过立法保护个人数据已有20多年的历史。

GDPR取代了95/46/EC指令，历经4年多的讨论后于2016年4月27日通过，并于2018年5月25日正式生效。作为一项已经生效的法规，GDPR在欧盟范围内具有普遍约束力和适用性。GDPR要求全球的公司在处理欧盟主体的个人数据时遵守GDPR的规定，它制定了高度的个人数据保护标准，规定了广泛的适用范围、责成数据控制者及处理者严苛的义务以及严厉的处罚措施，因此GDPR也被称为“史上最严格数据保护法规”。

在GDPR生效后不久，Facebook和Google就遭到用户Maximillian Schrems起诉，被控指强迫用户接受其隐私数据收集，诉请金额高达39亿欧元[3]。今年四五月份，韩国大型多人在线游戏《仙境传说》就直接关停了欧盟地区服务器[4]。美国华盛顿州一家游戏开发商优步娱乐（Uber Entertainment）旗下的一款2012年上线的游戏Super Monday Night Combat（周一格斗之夜），也因为无法符合GDPR的要求而选择下架[5]。

随着全球数字经济的发展，各国日益重视数据安全和隐私保护。包括中国在内，许多国家在近几年均加强了网络安全与数据保护的立法工作。虽然各国在立法上存在着差异，但在重要的数据保护原则方面，尤其在世界某些地区，原则上已几乎趋同。对于面对欧盟市场的中国出海游戏公司而言，全球视角下的个人信息安全合规、数据处理问题尤为重要。然而面对如此重视隐私保护的欧盟市场，游戏公司选择花费高额成本进行GDPR隐私保护合规，还是选择放弃巨大的欧盟市场，是游戏公司在游戏出海时必须做出的抉择。

一、游戏公司什么行为受GDPR管辖？

根据GDPR第2.1条的规定，GDPR适用于完全或部分以自动化手段对个人的数据进行处理的活动，以及虽然以非自动化手段对个人数据进行处理，但对建立了/拟建立个人数据存档系统的情形。

（一）个人数据指什么？

“个人数据”是指已识别到的或可被识别的自然人（“数据主体”）的所有信息。可被识别的自然人是指其能够被直接或间接识别的自然人，尤其是通过姓名、身份证号码、定位数据、在线身份等识别数据，或通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素予以识别。

需要注意的是，GDPR保护的不是机构或法人的数据，保护的是个人的数据，而且是欧盟内主体的个人数据。由于游戏公司面向玩家，收集、处理的数据是玩家的数据，因此判断处理的是否是欧盟内主体的个人数据就尤为重要。

对于欧盟内主体的概念，GDPR中所称欧盟内主体指的是“data subject in the Union”，指的是在欧盟区域内的数据主体，所以国籍并不是确定是否为欧盟内主体的一个标准。比如说，如果一个欧洲人在中国境内游学的时候，在中国境内购买了手机并下载了游戏软件，游戏公司在中国境内对这个欧洲人的数据的收集则不用受到GDPR的约束。

（二）游戏公司不可避免处理个人数据

GDPR中所称数据处理（process），不单单指数据的使用，处理包含很宽泛的内容，例如收集、使用或者披露数据给第三方，或者对个人的数据的分析、处理等均可视为对数据的处理。

游戏公司发行、运营游戏过程中，不可避免需要收集玩家姓名、身份证号码、电子邮件、电话号码、用户名和密码、账户ID、角色名称、个人资料图片、聊天记录、虚拟交易及交易记录、个人喜好等部分或全部信息。同时，游戏公司还可能会使用cookie和/或其他类似技术，自动收集玩家游戏的设备、软件、IP地址、位置信息等部分信息。此外，根据玩家点击次数、目标网页、浏览的网页和订单、在特定网页上花费的时间、玩家玩的游戏内容和进度以及玩家在游戏中与其他玩家之间的互动，可监测用户的个人喜好和行为习惯等信息。与此同时，游戏公司还涉及到大量的数据传输、授权等数据处理行为，例如玩家在使用第三方服务平台（例如Facebook，微信，谷歌）时，游戏公司可能会获得第三方服务平台所产生或分享的信息，例如玩家登录第三方服务平台的昵称、登录时间等。部分游戏还可能会收集游戏好友列表、群列表信息，以及声纹、指纹等生物识别信息等。

因此我们看出，由于GDPR对于“个人数据”（Personal Data）的定义十分宽泛，也许在实务解读中会对上述列举的某些数据是否属于GDPR项下的个人数据存有争议，但是不可否认的是，任何一款游戏都无法避免对玩家个人数据的处理。

另外，针对特殊种类的个人数据，例如种族或民族出身、政治观点、宗教或哲学信仰、工会会员资格的个人数据，涉及经处理可识别特定个人的基因数据、生物学数据，涉及健康、性生活、性取向的数据，这些个人与基本权利和自由相关的敏感个人数据，由于对其处理可能对数据主体的基本权利和自由产生重大风险，因此受到特别保护，原则上禁止被处理。若游戏公司有必要处理上述数据，需要特别注意GDPR规定的适用范围。

二、GDPR的适用范围

GDPR与95/46/EC指令的不同之处在于，只要处理的是涉及欧盟内主体的数据，不论处理数据的行为是否发生在欧盟境内，均需要适用GDPR的规定。因此GDPR确定的“长臂管辖”的原则，对境内公司面向欧盟内主体发行游戏，不论是否是否在欧盟设立分支机构或营业场所，不论服务器是否架设在欧盟，不论是否在欧盟处理数据，均要接受GDPR的管辖。

（一）在欧盟设立营业场所

针对在欧盟地区设立了营业场所的游戏公司，无论游戏公司向玩家收集、处理数据的行为是否发生在欧盟地区，均要适用GDPR的规定。

GDPR规定的营业场所为Establishment，这个定义实际上是非常广泛的，并非要求具备在欧盟地区设立分支机构或具有法律人格的子公司等法律形式上的营业场所，而是从实质上关注游戏公司是否通过日常、稳定的安排并且真实有效地在欧盟开展营业活动。例如虽然在欧盟未设立任何场所或机构，但是可能有一个专门的欧洲代表或代理人，有专门的办公室，这种情形公司也需要考虑GDPR合规的问题。

针对没有在欧盟地区设立营业场所的机构，如果游戏公司发行、运营游戏，想向向欧盟内用户提供商品或相关服务，不论是否涉及到付款，均要受到GDPR的约束。

在确定游戏公司是否向欧盟玩家提供商品或服务时，应确定游戏公司对欧盟玩家提供服务的预期是否明显。当游戏公司使用欧盟地区的语言或者货币，使得欧盟玩家可以通过欧盟地区的语言或货币购买游戏公司的商品和服务，或者在游戏页面上经常提及欧盟地区的玩家等情形，可以认定游戏公司存在对欧盟玩家提供服务的预期，需要受到GDPR的约束。

不过，若仅仅是因为在欧盟的用户可访问游戏公司的网站、电子邮件地址或其他联系方式，或者使用其他国家普遍使用的语言，不足以确认有该意向或预期。

例如，中国境内游戏公司，在欧盟不设营业场所，但提供专门法文、德文等页面，同时支持用欧元进行结算，支持欧盟玩家下载、注册游戏软件，则该游戏公司属于面向欧盟境内的数据主体提供商品或服务，需要适用GDPR。

（三）监测欧盟内主体的个人数据

针对没有在欧盟地区设立营业场所的机构，如果游戏公司在发行、运营过程中，对玩家在欧盟发生的行为进行监控的，也要受到GDPR的约束。比如说，游戏公司为拓展欧盟业务，利用cookie或其他类似技术，对玩家在欧盟发生的网页点击次数、目标网页、浏览的网页、在特定网页上花费的时间、游戏进度、游戏消费水平等数据进行监测，对玩家的个人偏好、行为和态度进行个性化分析或预测，可认定游戏公司对玩家在欧盟发生的行为进行监控。

基于此，作为一家出海游戏公司，只要面向欧盟玩家提供游戏服务，以及对欧盟的潜在游戏玩家进行追踪、画像和精准广告推送，由于上述行为均涉及对欧盟内主体的个人数据处理，都要受到GDPR的约束。

三、违反GDPR可能造成的后果

自2018年5月25日GDPR开始实施以来，有许多报道都称其为“史上最严格的个人数据保护法”，其中一个很重要的原因是因为GDPR规定了高额的罚金上限。

如果不遵守GDPR的规定，游戏公司可能面临最高1000万欧元或者上一财政年度全球营业总额2%的行政罚款（以孰高者为准），严重的违规行为可能面临最高2000万欧元或者上一财政年度全球营业总额4%的行政罚款（以孰高者为准）。同时，欧盟成员国能够按照GDPR的规定和基本原则，对违反GDPR的行为制定刑事处罚规则，同时欧盟成员国可以规定没收违反GDPR的所得利润。

虽然GDPR规定了高额罚款金额，但并非所有违规行为都会面临上述巨额的罚金。罚款应与违法行为的性质和程度相当，对于游戏公司拟进行的行为可能违反规定，或者违法行为性质轻微的，可以对游戏公司予以警告、谴责等处罚措施。罚款金额具体上限和标准应由监管机构在个案中考虑各种相关情形后根据具体情况确定，尤其应适当考虑违法行为的性质、严重程度和持续时间、是否故意、是否存在减轻损害采取的行动、责任程度或是否有既往违法行为、监管机构获知违法行为的方式、游戏公司采取的措施、是否遵守行为规范以及是否有其他加重或减轻情节。

四、结语

欧盟制定GDPR的主旨在于，在促进自由贸易的前提下，在国际层面提供强有力的数据保护，在全球制定高度个人数据保护标准[6]。欧盟数据保护立法的改革是为了让个人更好地控制他们的数据，增强消费者对数字经济的信任，这与全球个人数据保护意识的觉醒有着密切的关系。

游戏公司在发行运营游戏过程中，几乎每个环节都无法避免对用户信息的收集、存储、处理、分析，因为GDPR的高合规成本以及可能面临的高额处罚而放弃广阔的欧洲市场，终究不是长久之计。高度个人数据保护标准，也是游戏公司在未来打造核心竞争力、赢取玩家好感不可缺少的一环。

本期为游戏出海系列之隐私保护的第一篇。至于游戏公司在对欧盟内主体处理数据时，究竟如何适用GDPR，请见后续系列文章。

注：
[1] 95/46/EC指令已于2018年5月25日被GDPR废止。
[2]在欧盟个人数据保护的立法上，分别由GDPR约束私人、商业领域的个人数据处理，由警察指令约束公共、执法领域的个人数据处理。
[3] Max Schrems filesfirst cases under GDPR against Facebook and Google，https://www.irishtimes.com/business/technology/max-schrems-files-first-cases-under-gdpr-against-facebook-and-google-1.3508177
[4]http://hqtime.huanqiu.com/article/a-XDHTCGC2177E6A0EA1082C
[5]https://en.wikipedia.org/wiki/Super_Monday_Night_Combat
[6] Exchanging andProtecting Personal Data in a Globalised World, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1540117243716&uri=CELEX:52017DC0007