游戏企业为了增强玩家粘性及提高市场占有率,经常通过收集游戏用户的个人数据,例如手机号码、邮箱地址、微信/微博账号等信息,利用这些玩家信息进行短信、邮箱或者whatsapp推送游戏的相关信息,推送的内容包括但不限于游戏节点、活动或者福利,以增强玩家粘性,吸引玩家充值。
游戏企业在进行上述操作中涉及对玩家个人数据的收集、使用的合规问题。同时,如果游戏企业的广告推送是委托第三方处理的,还将涉及数据委托处理的合规问题。此外,如果游戏企业在海外国家/地区发行游戏,但服务器放在境内或者第三国,在进行上述玩家信息采集中会涉及玩家数据跨境回传服务器,此时数据使用中还将涉及数据出境安全评估问题。
针对上述问题,笔者通过研究大陆、港澳台、欧盟及东南亚等各国/地区的个人信息保护的法律规定,总结、归纳出各国/地区在玩家数据收集环节、游戏企业利用数据环节、委托第三方进行玩家数据处理环节、玩家数据出境环节及违规罚则问题上的规定,并集结成系列文章,以供游戏企业及感兴趣的读者参考。
本篇为游戏网推涉及玩家数据合规之香港篇。
一、 收集环节
《个人资料(隐私)条例》附表1:
1. 第1原则——收集个⼈资料的⽬的及⽅式
(1) 除非——
(a)个⼈资料是为了直接与将会使⽤该资料的资料使⽤者的职能或活动有关的合法⽬的⽽收集;
(b)在符合(c)段的规定下,资料的收集对该⽬的是必需的或直接与该⽬的有关的;
及(c)就该⽬的⽽⾔,资料属⾜够但不超乎适度,否则不得收集资料。
(2) 个⼈资料须以——
(a) 合法;及
(b) 在有关个案的所有情况下属公平,的⽅法收集;
(3) 凡从或将会从某⼈收集个⼈资料,⽽该⼈是资料当事⼈,须采取所有切实可⾏的步骤,以确保——
(a) 他在收集该资料之时或之前,以明确或暗喻⽅式⽽获告知——(由2012年第18号第2条修订)
(i) 他有责任提供该资料抑或是可⾃愿提供该资料︔及
(ii) (如他有责任提供该资料)他若不提供该资料便会承受的后果;及
(b) 他——
(i) 在该资料被收集之时或之前,获明确告知—— ( 由2012 年第18号第2条修订)
(A) 该资料将会⽤于什么⽬的(须⼀般地或具体地说明该等⽬的);及
(B) 该资料可能移转予什么类别的⼈;及
(ii) 在该资料⾸次⽤于它们被收集的⽬的之时或之前,获明确告知—— (由2012年第18号第2条修订)
(A) 他要求查阅该资料及要求改正该资料的权利;
(B) 处理向有关资料使⽤者提出的该等要求的个⼈的姓名(或职衔)及其地址,(由2012 年第18号第40条代替)
但在以下情况属例外:该资料是为了在本条例第8部中指明为个⼈资料就其⽽获豁免⽽不受第6保障资料原则的条⽂所管限的⽬的⽽收集,⽽遵守本款条⽂相当可能会损害该⽬的。
二、使用环节(自身使用)
《个人资料(隐私)条例》第6A部:
35A. 第6A部的释义 (1) 在本部中——
同意(consent)就在直接促销中使⽤个⼈资料⽽⾔,或就提供个⼈资料以供在直接促销中使⽤⽽⾔,包括表示不反对该项使⽤或提供;
回应途径(response channel)指由资料使⽤者根据第35C(2)(c)或35J(2)(c)条向资料当事⼈提供的途径;
直接促销(direct marketing)指透过直接促销⽅法——
(a) 要约提供货品、设施或服务,或为该等货品、设施或服务可予提供⽽进⾏广告宣传;或
(b)为慈善、⽂化、公益、康体、政治或其他⽬的索求捐赠或贡献;
直接促销⽅法 (direct marketing means)指——
(a) 藉邮件、图⽂传真、电⼦邮件或其他形式的传讯,向指名特定⼈⼠送交资讯或货品;或
(b) 以特定⼈⼠为致电对象的电话通话;
35C. 资料使⽤者将个⼈资料⽤于直接促销前,须采取指明⾏动
(1) 除第35D条另有规定外,资料使⽤者如拟在直接促销中,使⽤某资料当事⼈的个⼈资料,须采取第(2)款指明的每⼀项⾏动。
(2) 资料使⽤者须——
(a) 告知有关资料当事⼈——
(i) 该资料使⽤者拟如此使⽤有关个⼈资料;及
(ii)该资料使⽤者须收到该当事⼈对该拟进⾏的使⽤的同意,否则不得如此使⽤该资料;
(b) 向该当事⼈提供关于该拟进⾏的使⽤的以下资讯——
(i) 拟使⽤的个⼈资料的种类;及
(ii) 该资料拟就什么类别的促销标的⽽使⽤;及
(c) 向该当事⼈提供⼀个途径,让该当事⼈可在无需向该资料使⽤者缴费的情况下,透过该途径,传达该当事⼈对上述的拟进⾏的使⽤的同意。
(3) 不论个⼈资料是否由有关资料使⽤者从有关资料当事⼈收集的,第(1)款均适⽤。
(4) 根据第(2)(a)及(b)款提供的资讯,须以易于理解的⽅式呈示,如属书⾯资讯,则亦须以易于阅读的⽅式呈示。
(5) 除第35D条另有规定外,资料使⽤者未经采取第(2)款指明的每⼀项⾏动,⽽在直接促销中,使⽤某资料当事⼈的个⼈资料,即属犯罪,⼀经定罪,可处罚款$500,000及监禁3年。
(6) 在为第(5)款所订罪⾏⽽提起的法律程序中,被控告的资料使⽤者如证明⾃⼰已采取所有合理预防措施,并已作出⼀切应作出的努⼒,以避免犯该罪⾏,即可以此作为免责辩护。
(7) 凡有法律程序为第(5)款所订罪⾏⽽提起,在该程序之中,有关资料使⽤者负有举证责任,证明由于第35D条,本条并不适⽤。
三、使用环节(委托第三方处理)
《个人资料(隐私)条例》第6A部:
35J. 资料使⽤者在提供个⼈资料前,须采取指明⾏动。
(1) 资料使⽤者如拟将某资料当事⼈的个⼈资料提供予另⼀⼈,以供该⼈在直接促销中使⽤,该资料使⽤者须采取第(2)款指明的每⼀项⾏动。
(2) 资料使⽤者须——
(a) 以书⾯告知有关资料当事人——
(i) 该资料使⽤者拟如此提供有关个⼈资料;及
(ii) 该资料使⽤者须收到该当事⼈对该拟进⾏的提供的书⾯同意,否则不得如此提供该资料;
(b) 向该当事⼈提供关于该拟进⾏的提供的以下书⾯资讯——
(i) (如该资料是拟为得益⽽提供的)该资料是拟如此提供的;
(ii) 拟提供的个⼈资料的种类;
(iii) 该资料拟提供予什么类别的⼈⼠;及
(iv) 该资料拟就什么类别的促销标的⽽使⽤;及
(c) 向该当事⼈提供⼀个途径,让该当事⼈可在无需向该资料使⽤者缴费的情况下,透过该途径,以书⾯传达该当事⼈对上述的拟进⾏的提供的同意。
(3) 不论个⼈资料是否由有关资料使⽤者从有关资料当事⼈收集的,第(1)款均适⽤。
(4) 根据第(2)(a)及(b)款提供的资讯,须以易于理解和阅读的⽅式呈示。
(5) 资料使⽤者未经采取第(2)款指明的每⼀项⾏动,⽽将某资料当事⼈的个⼈资料提供予另⼀⼈,以供该⼈在直接促销中使⽤,即属犯罪,⼀经定罪——
(a) 在该资料是为得益⽽提供的情况下,可处罚款 $1,000,000及监禁5年;或
(b) 在该资料并非是为得益⽽提供的情况下,可处罚$500,000及监禁3年。
(6) 在为第(5)款所订罪⾏⽽提起的法律程序中,被控告的资料使⽤者如证明⾃⼰已采取所有合理预防措施,并已作出⼀切应作出的努⼒,以避免犯该罪⾏,即可以此作为免责辩护。
四、数据出境
《个人资料(隐私)条例》第1部:
2. 释义
(1) 在本条例中,除⽂意另有所指外——
有关资料使⽤者 (relevant data user)——
(a) 就⼀项视察⽽⾔,指使⽤某个⼈资料系统的资料使⽤者,⽽该系统是该项视察的对象;
(b) 就⼀项投诉⽽⾔,指该项投诉所指明的资料使⽤者;
(c) 就——
(i) 由⼀项投诉引发的调查⽽⾔,指该项投诉所指明的资料使⽤者;(ii) 其他调查⽽⾔,指属该项调查的对象的资料使⽤者;
(d) 就执⾏通知⽽⾔,指获送达该通知的资料使⽤者;
资料使⽤者 (data user),就个⼈资料⽽⾔,指独⾃或联同其他⼈或与其他⼈共同控制该资料的收集、持有、处理或使⽤的⼈;
《个人资料(隐私)条例》第6部:
33. 禁⽌除在指明情况外将个⼈资料移转至⾹港以外地⽅ (尚未实施) (1) 除——
(a) 其收集、持有、处理或使⽤是在⾹港进⾏的个⼈资料;或
(b) 其收集、持有、处理或使⽤是由主要业务地点是在⾹港的⼈所控制的个⼈资料,
外,本条不适⽤于任何个⼈资料。
(2) 除非符合以下条件,否则资料使⽤者不得将个⼈资料移转至⾹港以外的地⽅——
(a) 该地⽅是为本条的施⾏⽽在第(3)款下的公告中指明的;
(b) 该使⽤者有合理理由相信在该地⽅有与本条例⼤体上相似或达致与本条例的⽬的相同的⽬的之法律正在⽣效;
(c) 有关的资料当事⼈已以书⾯同意该项移转;
(d) 该使⽤者有合理理由相信在有关个案的所有情况下——
(i) 该项移转是为避免针对资料当事⼈的不利⾏动或减轻该等⾏动的影响⽽作出的;
(ii) 获取资料当事⼈对该项移转的书⾯同意不是切实可⾏的;及 (iii) 如获取书⾯同意是切实可⾏的,则资料当事⼈是会给予上述同意的;
(e) 该资料凭借第8部下的豁免获豁免⽽不受第3保障资料原则所管限;或(由2012年第18号第2条修订)
(f) 凡假使该资料在⾹港以某⽅式收集、持有、处理或使⽤,便会属违反本条例下的规定,该使⽤者已采取所有合理的预防措施及已作出所有应作出的努⼒,以确保该资料不会在该地⽅以该⽅式收集、持有、处理或 使⽤。(由2012年第18号第2条修订)
(3) 凡专员有合理理由相信在⾹港以外的某地⽅有与本条例⼤体上相似或达致与本条例的⽬的相同的⽬的之法律正在⽣效,他可藉宪报公告,为本条的施⾏指明该地⽅。
(4) 凡专员有合理理由相信在第(3)款下的公告所指明的某地⽅,已不再有与本条例⼤体上相似或达致与本条例的⽬的相同的⽬的之法律正在⽣效,他须藉废除或修订该公告,令该地⽅停⽌被为本条的施⾏⽽指明。
(5) 为免⽣疑问,现声明——
(a) 就第(1)(b)款⽽⾔,资料使⽤者如属在⾹港成⽴为法团的公司,即为主要业务地点是在⾹港的资料使⽤者;
(b) 第(3)款下的公告是附属法例;及
(c) 本条的施⾏不损害第50条的概括性。
五、违规罚则
《个人资料(隐私)条例》第6部:
35C. 资料使⽤者将个⼈资料⽤于直接促销前,须采取指明⾏动
(1) 除第35D条另有规定外,资料使⽤者如拟在直接促销中,使⽤某资料当事⼈的个⼈资料,须采取第(2)款指明的每⼀项⾏动。
(2)资料使⽤者须——
(a)告知有关资料当事⼈——
(i)该资料使⽤者拟如此使⽤有关个⼈资料;及
(ii)该资料使⽤者须收到该当事⼈对该拟进⾏的使⽤的同意,否则不得如此使⽤该资料;
(b)向该当事⼈提供关于该拟进⾏的使⽤的以下资讯——
(i) 拟使⽤的个⼈资料的种类;及
(ii) 该资料拟就什么类别的促销标的⽽使⽤;及
(c)向该当事⼈提供⼀个途径,让该当事⼈可在无需向该 资料使⽤者缴费的情况下,透过该途径,传达该当事⼈对上述的拟进⾏的使⽤的同意。
(5)除第35D条另有规定外,资料使⽤者未经采取第(2)款指明的每⼀项⾏动,⽽在直接促销中,使⽤某资料当事⼈的个⼈资料,即属犯罪,⼀经定罪,可处罚款$500,000及监禁 3年。
35J. 资料使⽤者在提供个⼈资料前,须采取指明⾏动
(1) 资料使⽤者如拟将某资料当事⼈的个⼈资料提供予另⼀⼈,以供该⼈在直接促销中使⽤,该资料使⽤者须采取第 (2)款指明的每⼀项⾏动。
(2)资料使⽤者须——
(a)以书⾯告知有关资料当事⼈——
(i) 该资料使⽤者拟如此提供有关个⼈资料;及
(ii) 该资料使⽤者须收到该当事⼈对该拟进⾏的提供的书⾯同意,否则不得如此提供该资料;
(b)向该当事⼈提供关于该拟进⾏的提供的以下书⾯资讯——
(i)(如该资料是拟为得益⽽提供的)该资料是拟如此提供的;
(ii) 拟提供的个⼈资料的种类;
(iii) 该资料拟提供予什么类别的⼈⼠;及
(iv) 该资料拟就什么类别的促销标的⽽使⽤;及
(c)向该当事⼈提供⼀个途径,让该当事⼈可在无需向该资料使⽤者缴费的情况下,透过该途径,以书⾯传达该当事⼈对上述的拟进⾏的提供的同意。
(4)资料使⽤者未经采取第(2)款指明的每⼀项⾏动,⽽将某资料当事⼈的个⼈资料提供予另⼀⼈,以供该⼈在直接促销中使⽤,即属犯罪,⼀经定罪 ——
(a)在该资料是为得益⽽提供的情况下,可处罚款 $1,000,000及监禁5年;或
(b)在该资料并非是为得益⽽提供的情况下,可处罚款$500,000及监禁3年。
《个人资料(隐私)条例》第6部:
33. 禁⽌除在指明情况外将个⼈资料移转至⾹港以外地⽅ (尚未实施) (1) 除——
(a) 其收集、持有、处理或使⽤是在⾹港进⾏的个⼈资料;或
(b) 其收集、持有、处理或使⽤是由主要业务地点是在⾹港的⼈所控制的个⼈资料,外,本条不适⽤于任何个⼈资料。
(2) 除非符合以下条件,否则资料使⽤者不得将个⼈资料移转至⾹港以外的地⽅——
(a) 该地⽅是为本条的施⾏⽽在第(3)款下的公告中指明的;
(b) 该使⽤者有合理理由相信在该地⽅有与本条例⼤体上相似或达致与本条例的⽬的相同的⽬的之法律正在⽣效;
(c) 有关的资料当事⼈已以书⾯同意该项移转;
(d) 该使⽤者有合理理由相信在有关个案的所有情况下——
(i) 该项移转是为避免针对资料当事⼈的不利⾏动或减轻该等⾏动的影响⽽作出的;
(ii) 获取资料当事⼈对该项移转的书⾯同意不是切实可⾏的;及
(iii) 如获取书⾯同意是切实可⾏的,则资料当事⼈是会给予上述同意;
(e) 该资料凭借第8部下的豁免获豁免⽽不受第3保障资料原则所管限;或 (由2012年第18号第2条修订)
(f) 凡假使该资料在⾹港以某⽅式收集、持有、处理或使⽤,便会属违反本条例下的规定,该使⽤者已采取所有合理的预防措施及已作出所有应作出的努⼒,以确保该资料不会在该地⽅以该⽅式收集、持有、处理或使⽤。(由2012年第18号第2条修订)
(3) 凡专员有合理理由相信在⾹港以外的某地⽅有与本条例⼤体上相似或达致与本条例的⽬的相同的⽬的之法律正在⽣效,他可藉宪报公告,为本条的施⾏指明该地⽅。
(4) 凡专员有合理理由相信在第(3)款下的公告所指明的某地⽅,已不再有与本条例⼤体上相似或达致与本条例的⽬的相同的⽬的之法律正在⽣效,他须藉废除或修订该公告,令该地⽅停⽌被为本条的施⾏⽽指明。
(5) 为免⽣疑问,现声明——
(a) 就第(1)(b)款⽽⾔,资料使⽤者如属在⾹港成⽴为法团的公司,即为主要业务地点是在⾹港的资料使⽤者;
(b) 第(3)款下的公告是附属法例;及+
(c) 本条的施⾏不损害第50条的概括性。
