引言
近年来,随着国内游戏市场竞争加剧和版号政策收紧,一些国内游戏公司开始将目光转向海外市场,推出国际服以寻求新的增长点。然而,由于文化差异、运营策略不当、市场竞争激烈等原因,部分国际服在运营一段时间后不得不面临停服的困境。
考虑到欧盟严格的个人信息保护政策,一个新的问题浮现:国内游戏公司停止运营国际服可以删除数据吗?若在国际服进行停服维护时,删除了玩家的私人聊天记录、世界聊天记录、世界留言板信息,是否会违反GDPR?
一、GDPR的适用问题
(一)国内游戏公司需要遵守GDPR
根据GDPR的规定,该法案不仅适用于在欧盟境内成立的公司,还适用于那些在欧盟境外,但向欧盟居民提供商品或服务(无论是否收费)的公司。因此,国内游戏公司需要遵守GDPR的规定。
(22)Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.
(二)玩家的历史聊天记录属于个人信息
根据GDPR第4条的规定,“个人数据”指与 已识别或可识别的自然人(“数据主体”)有关的任何信息。其中,“可识别”的自然人指可以直接或间接识别的自然人。玩家在进行注册、与国内游戏公司成立网络服务合同关系时,已经提供了自己的个人信息,属于“已识别”的自然人。因此,与他们有关的任何信息都属于受到GDPR保护、规制的“个人信息”。
‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
与此同时,国内不少游戏公司的隐私政策中已明确将聊天通讯(音频消息、文本)纳入了个人信息的范畴。从大部分隐私政策的表述来看,这些隐私政策对欧盟玩家同样适用。
(三)删除行为构成GDPR项下的“处理”
根据GDPR的定义,删除行为构成对个人信息数据的“处理”,需要遵守信息处理的相关原则及规定。
‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
二、可能侵犯访问权
数据主体(即个人、玩家)对数据享有访问权。在未经玩家同意的情况下删除聊天等历史数据,可能构成侵权行为。
根据GDPR第15条第4点,数据主体有权得知在可能的情况下得知个人数据的预期存储期限,如果不可能,则应当说明用于确定该期限的标准。换言之,国内游戏公司在与玩家达成数据处理的合意时,便应当披露相关个人数据的保留期限,如果在技术上无法确定该期限,也应披露相应标准。
该条的第5点更加直接地指出,数据主体不仅有权请求控制者更正或删除其个人数据,还有权反对或者限制控制者对其个人数据的处理。此种“反对处理”的权利允许数据主体拒绝信息在未经其同意的情况下被删除。
Art. 15 Right of access by the data subject
The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:
- the purposes of the processing;
- the categories of personal data concerned;
- the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;
- where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;
- the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;
- the right to lodge a complaint with a supervisory authority;
- where the personal data are not collected from the data subject, any available information as to their source;
……
三、可能构成“不当处理”
根据GDPR第29条,有权访问数据的任何实体都只能基于联盟、EU成员国法律的要求,或数据控制者的指令对数据进行处理,否则可能构成不当处理。
在GDPR语境下,控制者是决定个人数据处理目的和手段的实体,处理者是按照控制者的指示处理个人数据的实体。一般而言,控制者和处理者有所不同。某些情况下,一个实体可以同时充当控制者和处理者的角色,数据处理的决策和执行由同一个人或团队负责。
如果国内游戏公司居于数据的处理者地位,则擅自删除数据的行为将会违反GDPR的第29条规定。
Art. 29 Processing under the authority of the controller or processor
The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.
查阅部分国内游戏公司的隐私政策可以发现,部分公司在文件的第一节中自居数据控制者地位,披露将要收集的信息与收集后如何处理。对于这部分公司而言,GDPR第29条值得关注。
四、结论
考虑到玩家注册时已提供个人信息,是“已识别”的自然人,与其相关的任何信息都属于GDPR项下的个人信息范畴。在未经玩家同意的情况下删除相关记录可能侵犯访问权。另外,若国内游戏公司本身构成欧盟语境下的“数据处理者”,删除行为可能会被认定为“不当处理”。
如果属于轻微侵权,未必会面临欧盟的高昂处罚。