导言
2018年,随着GDPR(欧盟通用数据保护条例, The European General Data Protection
Regulation)的颁布,在出海行业中掀起了一阵关于数据隐私保护的讨论热潮。一年过去,作为开发者的您对GDPR了解了吗?请跟随今天的文章一起回顾。
什么是GDPR?
欧盟通用数据保护条例(The European General Data Protection Regulation,简称GDPR)
,这套新的数据保护规则旨在加强和统一欧盟境内的所有个人数据保护,同时针对涉及到欧盟境内个人数据在欧盟以外地区的使用做出了规范。
GDPR是迄今为止覆盖面最广以及最严格的全球性数据隐私保护法规,该条例
于2018年5月25日正式生效。
GDPR适用对象:
虽然GDPR是欧盟所颁布的法律,但却对全球的公司都具有约束力。对于开发者而言,只要符合以下任何特征中的一条,都应该遵守GDPR的相关规定:
(1) 在欧盟成员国区内获取用户,包括进行广告行为
(2) 数据服务器部署在欧盟成员国区内
GDPR:“史上最严”数据隐私保护法
从2018年5月25日起,无需国家政府通过任何授权立法,GDPR立即生效。生效后,每一单GDPR违规行为将受到高达2000万欧元、或者上一年全球年营业额的4%的严重处罚,以较高者为准。
此外,GDPR的罚款规则还存在“连坐制度”,
根据GDPR的规定,任何公司都可能需要因为数据供应关系而为第三方犯下的错误负责,供应链条上的任何一方违规,都可能牵连另外的数据参与方受到惩罚。因此,GDPR强调各方积极进行尽职调查并进行供应商管理。
GDPR要求:
GDPR法令对用户数据采集与处理的流程提出了新的要求,主要更新的内容包括:
明确数据采集:组织在征集用户同意收集其个人资料时必须使用“简明语言”,不允许默认同意数据收集,并且要让用户可以很方便地取消数据授权。
记录保存要求:数据管理员和任何外包商必须明确自身身份、他们为什么要处理数据、谁将接收到数据、以及数据将被存储多长时间。同时还必须保存其数据处理活动的书面记录,并提供给数据保护机构。
尊重用户访问、删除数据的权利:GDPR要求数据管理员采取合理步骤,确保用户能够访问、接收提供给第三方公司的所有数据,并在客户需要时要求所有参与数据共享的第三方删除该用户数据,这也被称为“被遗忘的权利”。
保证用户数据泄露知情权:公司必须在发现违规事件的72小时内,向监管当局和受到违规事件影响的个人通报数据违规行为。同时,还需通过识别漏洞以及制定漏洞解决方案来减轻漏洞导致的安全风险。
GDPR开发者指南
GDPR对整个行业都提出了更高水平的要求,在这样的挑战、和巨大的违规风险下,不少开发者对如何立足高收益的欧洲市场产生了疑惑。AdTiming建议各位出海开发者把握风险和机遇并存的状态,提升整体用户信息保护的意识、采取以下最佳实践,赢取用户信任:
1. 获取玩家明示同意个人信息采集,进行匿名化处理,不可默认勾选
在玩家首次进入游戏时,AdTiming建议开发者弹出隐私授权的隐私授权、是否使用用户信息进行兴趣定向广告的相关内容,并明确获取玩家同意,否则不允许玩家继续进行游戏。如果设置关于隐私政策的选项,需注意所有选项都应该设置为默认不勾选的状态。
2. 展示隐私协议
其次,响应GDPR的要求,各游戏开发者都必须制定出新的符合GDPR规定的隐私政策,同时在显眼的位置,如游戏首次登录页面、公司官网首次登录弹窗等,向用户、以及各合作方进行披露。
我们建议开发者在制定隐私条款时遵守GDPR规定,遵循“最小化原则”,只采集与游戏相关的玩家数据;同时向玩家明确自身身份、为什么要处理数据、谁将接收到数据、以及数据将被存储多长时间等,在超出规定时长之后必须将数据删除。
3. 尊重“被遗忘权”,提供玩家访问、管理、删除个人数据的途径
GDPR 中很关键的一部分是玩家可以请求游戏公司访问、管理、删除个人数据。所以在游戏产品设计中需要注意加入玩家访问、管理、删除数据的权利。
GDPR中很关键的一项规定即尊重用户“被遗忘的权利”,即赋予用户访问、管理、删除个人数据的权利。因此,开发者在设计游戏时,也应该在明显的位置设置入口,在用户需要的时候,引导用户通过正确的途径管理自身数据。
更为谨慎的做法是,在游戏主页面中单独设置入口,方便玩家管理个人数据分享权限。开发者也可以在隐私条款中注明,用户可以向特定邮箱发送邮件,完成个人数据的删除。
4. 审查第三方合作伙伴的GDPR合规性
由于GDPR的“连坐制度”,开发者有义务监督第三方合作平台对于数据的使用也符合GDPR规范。在审查的过程中,除了查看对方的隐私保护条例,也可以参考IAB
透明及许可框架协议供应商列表(Transparency & Consent Framework Global Vendor List),只挑选那些符合IAB框架协议、在认证供应商列表中的公司进行合作。
此框架由IAB(Interactive Advertising
Bureau,互动广告局)提出,针对获取用户对数据处理以及在广告供应链中传播此类信息的过程制定了标准,是一个开源、非营利性的一致性声明,处在此框架供应商列表内的公司,都确保在参与数字广告时获取用户许可,并且在处理用户设备上的个人或非个人数据时,均遵守GDPR对于隐私政策的各项规定。
5. 配合第三方平台授权数据使用
作为开发者业务生态链中的一环,包括AdTiming在内的第三方平台将不会直接参与到征集用户信息采集的环节中,而是在后续的合作中通过开发者的配合获取用户授权。
以AdTiming聚合SDK为例,在集成AdTiming SDK时,我们建议开发者遵循以下步骤,通过代码参数的形式将匿名用户对信息采集同意的许可,回传给AdTiming平台,从而完成授权。