Loading
2021-03-30 16:46:14
游戏企业为了增强玩家粘性及提高市场占有率,经常通过收集游戏用户的个人数据,例如手机号码、邮箱地址、微信/微博账号等信息,利用这些玩家信息进行短信、邮箱或者whatsapp推送游戏的相关信息,推送的内容包括但不限于游戏节点、活动或者福利,以增强玩家粘性,吸引玩家充值。
游戏企业在进行上述操作中涉及对玩家个人数据的收集、使用的合规问题。同时,如果游戏企业的广告推送是委托第三方处理的,还将涉及数据委托处理的合规问题。此外,如果游戏企业在海外国家/地区发行游戏,但服务器放在境内或者第三国,在进行上述玩家信息采集中会涉及玩家数据跨境回传服务器,此时数据使用中还将涉及数据出境安全评估问题。
针对上述问题,笔者通过研究大陆、港澳台、欧盟及东南亚等各国/地区的个人信息保护的法律规定,总结、归纳出各国/地区在玩家数据收集环节、游戏企业利用数据环节、委托第三方进行玩家数据处理环节、玩家数据出境环节及违规罚则问题上的规定,并集结成系列文章,以供游戏企业及感兴趣的读者参考。
本篇为游戏网推涉及玩家数据合规之台湾地区篇。
1、收集环节
《个人资料保护法》第5条:
个⼈数据之搜集、处理或利⽤,应尊重当事⼈之权益,依诚实及信⽤⽅法为之,不得逾越特定⽬的之必要范围,并应与搜集之⽬的具有正当合理之关联。
《个人资料保护法》第19条:
⾮公务机关对个⼈资料之搜集或处理,除第六条第⼀项所规定资料外,应有特定⽬的,并符合下列情形之⼀者:
⼀、法律明⽂规定。
⼆、与当事⼈有契约或类似契约之关系,且已采取适当之安全措施。
三、当事⼈⾃⾏公开或其他已合法公开之个⼈资料。
四、学术研究机构基于公共利益为统计或学术研究⽽有必要,且资料经过提供者处理后或经搜集者依其揭露⽅式⽆从识别特定之当事⼈。
五、经当事⼈同意。
六、为增进公共利益所必要。
七、个⼈资料取⾃于⼀般可得之来源。但当事⼈对该资料之禁⽌处理或利⽤,显有更值得保护之重⼤利益者,不在此限。
⼋、对当事⼈权益⽆侵害。搜集或处理者知悉或经当事⼈通知依前项第七款但书规定禁⽌对该资料之处理或利⽤时,应主动或依当事⼈之请求,删除、停⽌处理或利⽤该个⼈资料。
《个人资料保护法》第7条:
第⼗五条第⼆款及第⼗九条第⼀项第五款所称同意,指当事⼈经搜集者告知本法所定应告知事项后,所为允许之意思表示。
2、收集环节(自身使用)
《个人资料保护法》第20条:
⾮公务机关对个⼈资料之利⽤,除第六条第⼀项所规定资料外,应于搜集之特定⽬的必要范围内为之。但有下列情形之⼀者,得为特定⽬的外之利⽤:
⼀、法律明⽂规定。
⼆、为增进公共利益所必要。
三、为免除当事⼈之⽣命、身体、⾃由或财产上之危险。
四、为防⽌他⼈权益之重⼤危害。
五、公务机关或学术研究机构基于公共利益为统计或学术研究⽽有必要,且资料经过提供者处理后或经搜集者依其揭露⽅式⽆从识别特定之当事⼈。
六、经当事⼈同意。
七、有利于当事⼈权益。
⾮公务机关依前项规定利⽤个⼈资料⾏销者,当事⼈表示拒绝接受⾏销时,应即停⽌利⽤其个⼈资料⾏销。
《个人资料保护法》第7条:
第⼗六条第七款、第⼆⼗条第⼀项第六款所称同意,指当事⼈经搜集者明确告知特定⽬的外之其他利⽤⽬的、范围及同意与否对其权益之影响后,单独所为之意思表示。
3、使用环节(委托第三方处理)
《个人资料保护法》第20条:
⾮公务机关对个⼈资料之利⽤,除第六条第⼀项所规定资料外,应于搜集之特定⽬的必要范围内为之。但有下列情形之⼀者,得为特定⽬的外之利⽤:
⼀、法律明⽂规定。
⼆、为增进公共利益所必要。
三、为免除当事⼈之⽣命、身体、⾃由或财产上之危险。
四、为防⽌他⼈权益之重⼤危害。
五、公务机关或学术研究机构基于公共利益为统计或学术研究⽽有必要,且资料经过提供者处理后或经搜集者依其揭露⽅式⽆从识别特定之当事⼈。
六、经当事⼈同意。
七、有利于当事⼈权益。
⾮公务机关依前项规定利⽤个⼈资料⾏销者,当事⼈表示拒绝接受⾏销时,应即停⽌利⽤其个⼈资料⾏销。
⾮公务机关于⾸次⾏销时,应提供当事⼈表示拒绝接受⾏销之⽅式,并⽀付所需费⽤。
《个人资料保护法》第7条:
第⼗六条第七款、第⼆⼗条第⼀项第六款所称同意,指当事⼈经搜集者明确告知特定⽬的外之其他利⽤⽬的、范围及同意与否对其权益之影响后,单独所为之意思表示。
4、数据出境
《个人资料保护法》第2条:
本法⽤词,定义如下:
……
六、国际传输:指将个⼈数据作跨国(境)之处理或利⽤。
七、公务机关:指依法⾏使公权⼒之中央或地⽅机关或⾏政法⼈。
⼋、⾮公务机关:指前款以外之⾃然⼈、法⼈或其他团体。
《个人资料保护法》第21条:
⾮公务机关为国际传输个⼈资料,⽽有下列情形之⼀者,中央⽬的事业主管机关得限制之:
⼀、涉及国家重⼤利益。
⼆、国际条约或协定有特别规定。
三、接受国对于个⼈资料之保护未有完善之法规,致有损当事⼈权益之虞。
四、以迂回⽅法向第三国(地区)传输个⼈资料规避本法。
《个人资料保护法》第22条:
中央⽬的事业主管机关或直辖市、县(市)政府为执⾏资料档案安全维护、业务终⽌资料处理⽅法、国际传输限制或其他例⾏性业务检查⽽认有必要或有违反本法规定之虞时,得派员携带执⾏职务证明⽂件,进⼊检查,并得命相关⼈员为必要之说明、配合措施或提供相关证明资料。
中央⽬的事业主管机关或直辖市、县(市)政府为前项检查时,对于得没⼊或可为证据之个⼈资料或其档案,得扣留或复制之。对于应扣留或复制之物,得要求其所有⼈、持有⼈或保管⼈提出或交付;⽆正当理由拒绝提出、交付或抗拒扣留或复制者,得采取对该⾮公务机关权益损害最少之⽅法强制为之。
中央⽬的事业主管机关或直辖市、县(市)政府为第⼀项检查时,得率同资讯、电信或法律等专业⼈员共同为之。
对于第⼀项及第⼆项之进⼊、检查或处分,⾮公务机关及其相关⼈员不得规避、妨碍或拒绝。参与检查之⼈员,因检查⽽知悉他⼈资料者,负保密义务。
5、违规罚则
《个人资料保护法》第47 条:
⾮公务机关有下列情事之⼀者,由中央⽬的事业主管机关或直辖市、县(市)政府处新台币五万元以上五⼗万元以下罚锾,并令限期改正,届期未改正者,按次处罚之:
⼀、违反第六条第⼀项规定。
⼆、违反第⼗九条规定(收集环节未经玩家同意)。
三、违反第⼆⼗条第⼀项规定(使用环节未经玩家同意)。
四、违反中央⽬的事业主管机关依第⼆⼗⼀条规定限制国际传输之命令或处分。
《个人资料保护法》第41条:
意图为⾃⼰或第三⼈不法之利益或损害他⼈之利益,⽽违反第六条第⼀项、第⼗五条、第⼗六条、第⼗九条、第⼆⼗条第⼀项规定,或中央⽬的事业主管机关依第⼆⼗⼀条限制国际传输之命令或处分,⾜⽣损害于他⼈者,处五年以下有期徒刑,得并科新台币⼀百万元以下罚⾦。(数据出境问题)
《个人资料保护法》第25条:
⾮公务机关有违反本法规定之情事者,中央⽬的事业主管机关或直辖市、县(市)政府除依本法规定裁处罚锾外并得为下列处分:
⼀、禁⽌搜集、处理或利⽤个⼈资料。
⼆、命令删除经处理之个⼈资料档案。
三、没⼊或命销毁违法搜集之个⼈资料。
四、公布⾮公务机关之违法情形,及其姓名或名称与负责⼈。
中央⽬的事业主管机关或直辖市、县(市)政府为前项处分时,应于防制违反本法规定情事之必要范围内,采取对该⾮公务机关权益损害最少之⽅法为之。