Loading
福建天衡联合律师事务所
{{ item.name }}
{{ item.name }}
{{ subItem.name }}
CN
研究著作
天衡研究 | 游戏网推涉及玩家数据合规之澳门篇

2021-04-07 11:04:56



游戏企业为了增强玩家粘性及提高市场占有率,经常通过收集游戏用户的个人数据,例如手机号码、邮箱地址、微信/微博账号等信息,利用这些玩家信息进行短信、邮箱或者whatsapp推送游戏的相关信息,推送的内容包括但不限于游戏节点、活动或者福利,以增强玩家粘性,吸引玩家充值。
 
游戏企业在进行上述操作中涉及对玩家个人数据的收集、使用的合规问题。同时,如果游戏企业的广告推送是委托第三方处理的,还将涉及数据委托处理的合规问题。此外,如果游戏企业在海外国家/地区发行游戏,但服务器放在境内或者第三国,在进行上述玩家信息采集中会涉及玩家数据跨境回传服务器,此时数据使用中还将涉及数据出境安全评估问题。
 
针对上述问题,笔者通过研究大陆、港澳台、欧盟及东南亚等各国/地区的个人信息保护的法律规定,总结、归纳出各国/地区在玩家数据收集环节、游戏企业利用数据环节、委托第三方进行玩家数据处理环节、玩家数据出境环节及违规罚则问题上的规定,并集结成系列文章,以供游戏企业及感兴趣的读者参考。
 
本篇为游戏网推涉及玩家数据合规之澳门篇。
 
1、收集环节

《个人资料保护法》第5条:
 
⼀、个⼈资料应︰
(⼀)以合法的⽅式并在遵守善意原则和第⼆条所指的⼀般原则下处理;
(⼆)为了特定、明确、正当和与负责处理实体的活动直接有关的⽬的⽽收集,之后对资料的处理亦不得偏离有关⽬的;
(三)适合、适当及不超越收集和之后处理数据的⽬的;
(四)准确,当有需要时作出更新,并应基于收集和之后处理的⽬的,采取适当措施确保对不准确或不完整的数据进⾏删除或更正;
(五)仅在为实现收集或之后处理数据的⽬的所需期间内,以可认别资料当事⼈⾝份的⽅式被保存。
 
《个人资料保护法》第6条:
 
个⼈数据的处理仅得在数据当事⼈明确同意或在以下必要的情况下⽅可进⾏:
(⼀)执⾏资料当事⼈作为合同⼀⽅的合同,或应当事⼈要求执⾏订立合同或法律⾏为意思表⽰的预先措施;
(⼆)负责处理个⼈数据的实体须履⾏法定义务;
(三)为保障资料当事⼈的重⼤利益,⽽资料当事⼈在⾝体上或法律上无能⼒作出同意;
(四)负责处理个⼈数据的实体或被告知数据的第三⼈在执⾏⼀具公共利益的任务,或者在⾏使公共当局权⼒;
(五)为实现负责处理个⼈数据的实体或被告知数据的第三⼈的正当利益,只要数据当事⼈的利益或权利、⾃由和保障不优于这些正当利益。
 
《个人资料保护法》第4条:
 
(三)“个⼈数据的处理”(“处理”):有关个⼈数据的任何或者⼀系列的操作,不管该操作是否通过⾃动化的⽅法进⾏,诸如资料的收集、登记、编排、保存、改编或修改、复原、查询、使⽤,或者以传送、传播或其他透过比较或互联的⽅式向他⼈通告,以及数据的封存、删除或者销毁。
 
2、收集环节(自身使用)

《个人资料保护法》第6条:
 
个⼈数据的处理仅得在数据当事⼈明确同意或在以下必要的情况下⽅可进⾏:
(⼀)执⾏资料当事⼈作为合同⼀⽅的合同,或应当事⼈要求执⾏订立合同或法律⾏为意思表⽰的预先措施;
(⼆)负责处理个⼈数据的实体须履⾏法定义务;
(三)为保障资料当事⼈的重⼤利益,⽽资料当事⼈在⾝体上或法律上无能⼒作出同意;
(四)负责处理个⼈数据的实体或被告知数据的第三⼈在执⾏⼀具公共利益的任务,或者在⾏使公共当局权⼒;
(五)为实现负责处理个⼈数据的实体或被告知数据的第三⼈的正当利益,只要数据当事⼈的利益或权利、⾃由和保障不优于这些正当利益。
 
《个人资料保护法》第4条:
 
(三)“个⼈数据的处理”(“处理”):有关个⼈数据的任何或者⼀系列的操作,不管该操作是否通过⾃动化的⽅法进⾏,诸如资料的收集、登记、编排、保存、改编或修改、复原、查询、使⽤,或者以传送、传播或其他透过比较或互联的⽅式向他⼈通告,以及数据的封存、删除或者销毁。
 
3、使用环节(委托第三方处理)

《个人资料保护法》第6条:
 
个⼈数据的处理仅得在数据当事⼈明确同意或在以下必要的情况下⽅可进⾏:
(⼀)执⾏资料当事⼈作为合同⼀⽅的合同,或应当事⼈要求执⾏订立合同或法律⾏为意思表⽰的预先措施;
(⼆)负责处理个⼈数据的实体须履⾏法定义务;
(三)为保障资料当事⼈的重⼤利益,⽽资料当事⼈在⾝体上或法律上无能⼒作出同意;
(四)负责处理个⼈数据的实体或被告知数据的第三⼈在执⾏⼀具公共利益的任务,或者在⾏使公共当局权⼒;
(五)为实现负责处理个⼈数据的实体或被告知数据的第三⼈的正当利益,只要数据当事⼈的利益或权利、⾃由和保障不优于这些正当利益。
 
《个人资料保护法》第4条:
 
(三)“个⼈数据的处理”(“处理”):有关个⼈数据的任何或者⼀系列的操作,不管该操作是否通过⾃动化的⽅法进⾏,诸如资料的收集、登记、编排、保存、改编或修改、复原、查询、使⽤,或者以传送、传播或其他透过比较或互联的⽅式向他⼈通告,以及数据的封存、删除或者销毁。
 
《个人资料保护法》第15条:
 
⼀、负责处理个⼈数据的实体应采取适当的技术和组织措施保护个⼈数据,避免数据的意外或不法损坏、意外遗失、未经许可的更改、传播或查阅,尤其是有关处理使资料经网络传送时,以及任何其他⽅式的不法处理;在考虑到已有的技术知识和因采⽤该技术所需成本的情况下,上述措施应确保具有与数据处理所带来的风险及所保护数据的性质相适应的安全程度。
 
⼆、负责处理个⼈数据的实体,在委托他⼈处理时,应选择⼀个在数据处理的技术安全和组织上能提供⾜够保障措施的次合同⼈,并应监察有关措施的执⾏。
 
三、以次合同进⾏的处理,应由约束次合同⼈和负责处理数据实体的合同或法律⾏为规范,并应特别规定次合同⼈只可按照负责处理数据的实体的指引⾏动,并须履⾏第⼀款所指的义务。
 
四、与数据保护有关的法律⾏为之意思表⽰、合同或法律⾏为的证据资料,以及第⼀款所指措施的要求,应由法律认可的具有证明效⼒的书⾯⽂件载明。
 
4、数据出境

《个人资料保护法》第4条:
 
⼀、为本法律的效力,下列⽤词之定义为:
……
 
(五)“负责处理个⼈数据的实体”:就个⼈数据处理的⽬的和⽅法,单独或与他⼈共同作出决定的⾃然⼈或法⼈,公共实体、部门或任何其他机构;
 
《个人资料保护法》第19条:
 
⼀、仅得在遵守本法律规定,且接收转移数据当地的法律体系能确保适当的保护程度的情况下,⽅可将个⼈数据转移到特区以外的地⽅。
 
⼆、上款所指的适当的保护程度应根据转移的所有情况或转移资料的整体进⾏审议,尤其应考虑数据的性质、处理数据的⽬的、期间或处理计划、数据源地和最终⽬的地,以及有关法律体系现⾏的⼀般或特定的法律规则及所遵守的专业规则和安全措施。
 
三、由公共当局决定某⼀法律体系是否能确保上款规定的适当保护程度。
 
5、违规罚则

《个人资料保护法》第33条:
 
⼀、对处理个⼈资料的实体不履⾏第五条、第⼗条、第⼗⼀条、第⼗⼆条、第三条、第六条、第七条和第五条第三款规定所规定义务的⾏政违法为,科处澳⾨币4,000⾄ 40,000元罚款。
 
⼆、对处理个⼈资料的实体不履⾏第六条(经玩家明确同意后收集、使用玩家数据)、第七条、第八条、第九条、第十九条(数据出境)和第⼆⼗条所规定义务的⾏政违法为,科处澳门币8,000⾄80,000元罚款。
 
《个人资料保护法》第36条:
 
⼀、公共当局有权科处本法律规定的罚款。
 
⼆、如未在法定期限内并根据法律规定提出争执,则公共当局的决定构成执⾏名义。