游戏出海如何拥抱数据合规之三大常见问题｜iLaw

一、游戏出海常见数据合规问题

二、从数据合规维度考虑服务器部署方案

三、儿童个人信息保护概况

四、游戏领域的隐私设计

一、游戏出海的数据合规挑战

1、监管机构与法律要求

游戏出海首先需要关注的是目标市场的监管机构和法律要求，尤其是域外法规定。不同国家和地区对于数据保护有着不同的规定，企业必须了解并遵守这些法律法规，典型数据相关法律如，欧盟的《通用数据保护条例》（GDPR）、美国加州的《加州消费者隐私法案》（CCPA）以及新加坡的《个人数据保护法》（PDPA）等。

2、域外数据合规关注重点

个人信息保护是数据合规的核心，在游戏出海过程中，个人信息的保护也涉及到多方面的法律与实务中的挑战，通用的合规要求一般涉及法律适用、个人信息处理合法性基础、个人信息全生命周期管理等问题。在内部治理维度上，游戏企业也需要满足一系列与个人信息保护相关的具体要求，例如企业出海到新加坡，企业在当地是否要指定法定代表？在当地没有实体，是否要指定代表人？是否需要设立DPO？内部有无强制性的数据和安全的认证要求？

此外，在数据全球流动的大背景下，数据本地化和跨境数据传输成为企业必须面对的问题。在已形成的全球范围内的数据跨境流动，企业需要了解目标国家与地区对于数据存储和传输的具体监管要求，并结合哪些国家的法律要求，采取哪些合规措施？

同时，游戏行业中还应特别关注儿童数据保护，这不仅是许多游戏厂商落地中的难题也是执法的重点。

二、服务器部署方案

服务器的部署是游戏出海前的重要规划之一。在讨论服务器部署方案时，我们通常会面临一个实际问题：对于一家计划将业务扩展到全球多个地区的中国游戏公司来说，数据中心应如何选址？例如，当一家公司准备进入欧盟、香港、台湾、新加坡等市场时，它必须决定在哪里部署其服务器。在规划初期，公司需要考虑多个因素来解决这一问题。

从数据合规维度，公司需重点关注数据本地化及数据跨境传输监管要求。

1、数据本地化要求

从数据合规的角度来考虑是选择服务器位置时的一个重要维度。这涉及到数据本地化的要求，数据本地化即某些国家或地区可能要求公司将用户数据存储在本地服务器上。比如国内金融个人信息，它要求存储在中国境内，这就是典型的本地化要求。对于一些保护程度比较高或者敏感性比较高的数据，可能一些国家或者地区会有相应的本地化要求。

2、数据出境监管

数据出境监管是指对于数据跨越国境传输的监管。了解目标市场的监管政策并采取相应的合规措施十分重要，如签订标准合同条款（SCC）等。

服务器部署还需要考虑数据出境监管要求，以中国为例，自2022年9月中国发布数据出境安全评估办法以来，至今年3月，《促进和规范数据跨境流动规定》的出台，中国已经形成比较全面完整的跨境监管制度。与此同时，相关出海地区也纷纷出台了类似的数据促进监管制度，这两大因素相互交织共同影响企业在全球范围内服务器部署策略的考量。

对于出海地区A，部署服务器时会考虑到以下几个因素，首先是得先判断目标出海地区是否有本地化的要求。如果有本地化要求，出海企业一般会需要在当地部署服务器，如果目标出海地区没有数据本地化的要求，或者在这个领域没有数据本地化的要求，就需要考虑数据出境监管政策的严格程度。

3、主要国家/地区数据跨境传输要求

在全球范围内，数据出境监管政策的严格程度可以分为三个主要尺度：严格管控、适度管控和宽松管控。

严格管控的国家或地区：

（1）欧盟：欧盟对数据保护的要求非常高，对数据出境有非常严格的要求，通常伴随着高频率的执法检查和高额的罚款。欧盟《通用数据保护条例》（GDPR）为全球数据保护立法树立了标杆，不仅要求出海企业遵守严格的数据保护规定，而且对于违规行为的处罚也非常严厉。因此，对于在欧盟开展业务的企业来说，建议在当地部署服务器。

（2）俄罗斯：俄罗斯对数据出境实行事前审查制度，并且要求数据本地化。出海企业必须在俄罗斯境内存储和处理数据，以满足监管要求。因此，对于在俄罗斯运营的企业，通常需要在当地部署服务器。

适度管控的国家或地区：

新加坡是适度管控的典型代表，其数据保护法律完善，执法频次和罚款额度相对较低。新加坡在全球范围内被广泛认可为数据保护水平较高的国家。因此，对于出海东南亚的企业，通常会选择在新加坡部署服务器，以满足当地和区域的数据保护要求。

宽松管控的国家或地区：

（1）加拿大：加拿大的数据保护法律相对宽松，没有明确区分数据出境和对外提供，而是笼统地对外提供监管措施。因此，加拿大对数据出境的监管较为宽松。

（2）墨西哥：墨西哥同样属于宽松管控的国家，对于数据跨境，墨西哥仅要求取得同意，没有再强制性地附加其他措施。

对于在宽松管控国家或地区运营的企业，可以考虑将数据回传到其他认可度较高的国家和地区，或者选择在当地部署服务器，以满足业务需求和合规要求。

4、其他考量因素

除此之外，公司在选择服务器部署方式，还需要考量其他因素，例如目标地区的机房建设情况，确保当地具备必要的基础设施。同时，还需要考虑电力供应是否充足且稳定，以保证数据中心的持续运行。

企业需要确保在服务器部署的地区有足够的技术支持团队，以便在出现问题时能够及时进行维护和服务。此外，还需要考虑游戏在海外的玩家数量及其分布情况。这有助于公司合理规划服务器的分布，以满足不同地区玩家的需求，确保他们能够获得良好的游戏体验。性能也是另一个不可忽视的因素。公司需要评估服务器的反应速度和延迟情况，这对于提供流畅的在线游戏体验至关重要。

三、儿童数据保护

儿童数据保护是游戏出海中的重点和难点。不同国家和地区对于儿童数据保护有着严格的要求。

1、美国儿童个人信息保护概况

美国在儿童个人信息保护方面，可以从联邦和州两个层面来看。在联邦层面，主要的法律是儿童在线隐私保护法案（COPPA）和相关的具体规则。而在州层面，例如加州在2024年7月开始实施的适龄设计规范法案，这个法案结合了英国的适龄设计准则和COPPA的一些基本要求，是一个值得关注的法案。纽约州也出台了相关的法案，如停止儿童成瘾信息应用法案和纽约儿童数据保护法案。

COPPA的执法机构是美国联邦贸易委员会（FTC），FTC在其官网上总结了COPPA合规的六个步骤。首先，企业需要确定是否收集13岁以下儿童的个人信息，COPPA重点关注的是13岁以下的儿童。其次，企业需要发布符合COPPA要求的隐私政策。第三，收集儿童个人信息前，必须直接通知父母。第四，获取父母的可验证同意，这也是数据合规措施落地的重难点。第五，尊重父母对儿童的权利。最后，实施合理的措施来保护儿童个人信息的安全。

在实践中，判断企业提供的服务是否面向儿童，执法机构会从多个维度考虑，如主题设计、视觉内容、动画角色、面向儿童的活动、音乐和音视频内容、促销和广告等。此外，还会参考市场调研报告、访谈和用户评论来判断儿童是否占其受众的大部分。

其中，隐私政策应包含运营者信息、收集的信息类型、收集方式、使用目的、向第三方共享信息的情况以及父母的权利。父母有权查看、删除儿童个人信息，拒绝进一步收集信息，或同意使用和收集儿童信息，但可以拒绝向第三方提供信息。隐私政策还应告知父母如何行使这些权利。通知父母时，该通知内容需要告知公司针对该事项需收集父母的联系方式、收集的儿童信息类型、相关信息的收集和使用行为以及父母如何给予同意。如果父母在合理时间内不给予同意，企业需要删除父母的联系方式。

获取父母可验证的同意也有多种方式，如签署同意书、信用卡验证、电话或视频联系、身份证比对、回答挑战问题和基于驾照的照片进行身份认证。这些方式的合规成本相对较高。

另外，加州适龄设计规范法案与COPPA的主要差异在于，它针对的是18岁以下的儿童，而COPPA主要针对13岁以下的儿童。加州法案要求默认的隐私保护必须是高级别的，并且需要提供交互性强、易于使用的工具，帮助儿童和父母行使隐私权。这与COPPA要求通过隐私政策明确行权方式和途径相比，要求更高。

加州适龄设计规范法案还包括禁止使用声色图案、禁止对儿童有害的行为、禁止分析儿童、不收集儿童地理位置信息（除非有令人信服的理由），以及通知和条款需要以适龄方式提供。这些规定能更好地保护儿童的个人信息和隐私。

2、欧洲儿童个人信息保护概况

在欧洲，儿童个人信息保护主要涉及两个重要的法规：欧盟的通用数据保护条例（GDPR）和英国的适龄设计准则。GDPR是一个全面性的法规，概述了儿童个人信息保护的要求，而英国的适龄设计准则则提供了更详细的指导原则。

GDPR要求在处理儿童数据时，必须获得父母或监护人的可验证同意，但儿童具体的年龄门槛由欧盟各成员国自行决定，不过应设定在13至16岁之间。此外，GDPR规定，若服务对象为儿童，相关信息应使用儿童易于理解的语言进行清晰简明的说明。值得注意的是，GDPR还设有一项例外条款，针对提供预防性或咨询服务（如公益心理咨询）的情形，可免于获取家长的额外授权。

英国的适龄设计准则提供了15大儿童保护原则。其中最大的原则是儿童的最大利益，这是贯穿始终的基本要求。透明度要求也是其中的一个重要方面，要求以儿童能够理解的方式告知相关信息。英国适龄设计准则还提供了两个典型案例，一个是关于高级别隐私保护的告知，另一个是针对不同年龄段儿童的透明度要求。

对于0-5岁的儿童，他们可能还不认识字或处于早期认字阶段，隐私信息需要以适合父母理解的格式提供，并以音频或视频的形式向儿童传达保持隐私的重要性。6-9岁的儿童同样需要父母的可验证同意，隐私信息应以卡通视频、音频材料的形式简单告知，并在需要更改隐私设置时，以通俗易懂的方式告知风险。10-12岁的儿童处于过渡期，他们可以看到简单或详细版本的隐私信息，并在更改隐私设置时被告知相关风险。13岁以上的儿童虽然过了需要父母同意的年龄门槛，但仍需提供透明度，包括向他们展示适合其年龄段的完整隐私信息，并在更改隐私设置时提供提示。即使13岁是获取父母可验证同意的门槛，但适龄设计准则适用于所有18岁以下的儿童。英国虽然已经脱离欧盟，但其在儿童个人信息保护方面的基本设定与欧盟的要求相似。

此外，为了增加用户粘性，应避免利用儿童的个人信息，如通过奖励机制鼓励儿童在一定时间内返回游戏，或使用自动播放功能来促使儿童持续玩游戏，这些做法可能导致儿童上瘾。同样，禁止将儿童数据用于此类目的。在英国的个人信息保护规定中，适龄设计准则特别强调了助推技术的使用。助推技术是通过设计上的微妙引导，影响用户决策的一种手段。例如，通过设计一个明显大于“no”且颜色鲜明的“yes”按钮，使用户更倾向于点击“yes”，这是一种典型的助推技术。

英国适龄设计准则并不反对使用助推技术，但要求在使用时，应引导儿童选择保护他们隐私的选项，而不是促使他们更广泛地授权个人信息的处理。这些规定和限定确保儿童的个人信息得到妥善保护，同时避免他们受到不必要的商业影响。

3、韩国儿童数据保护要求

韩国对儿童个人信息保护的规定主要集中在三个文件中，其中最新的是今年4月份发布的《海外经营者儿童个人信息保护适用指南》。其中对儿童个人信息保护提出了具体要求，包括：

1. 需要提供可验证的同意，其中年龄验证要求较高，必须通过身份验证服务来核实用户的真实年龄是否为儿童。

2. 默认隐私保护设置应设为高级别，与加州和英国的适龄设计要求一致。

3. 不得要求儿童和青少年向数据控制者或第三方提供个人信息以换取现金或游戏中的物品。

4. 位置信息的收集应默认关闭，仅在明确必要的情况下才可收集，并需明确告知位置信息的开启状态，这与加州和英国的要求相似。

5. 应采取合理措施，防止14岁以下儿童谎报年龄使用服务。

不难看出，韩国的年龄验证要求较高，例如微软针对韩国儿童的年龄验证，使用韩国政府推出的在线身份验证方式来核实年龄。在默认隐私保护设置方面，韩国的指南建议关闭对陌生人的实时语音和文本交流功能，以及在线支付购买能力来提高隐私保护水平。

此外，对于陌生未成年人发布的内容，默认仅向好友公开，并且每次发布时都需要选择公开范围，以避免公开维度的不必要扩大。

同时，数据控制者也应采取合理措施，确保儿童不会通过谎报年龄来使用服务。例如，在用户注册时如果选择未满14周岁，将遇到注册限制。如果在同一IP地址上修改年龄，需要进行额外的年龄验证。

韩国的儿童个人信息保护指南还指出，如果服务的视觉或听觉特征、展示的模型、角色以及设计是为吸引儿童而设计的，或者大部分儿童可以访问和使用其产品或服务，那么可以认定该服务是面向儿童提供的。如果是面向儿童提供服务，就需要采取上述提到的合规措施。

四、隐私界面设计

游戏相关的隐私设计主要围绕三个维度展开，即隐私政策的展示与用户同意的获取、广告营销的告知与用户同意，以及个人信息行权界面的设计。

首先，隐私政策的展示与用户同意的获取是个人信息保护法的核心要求。不同国家和地区的法律，如中国的个人信息保护法、欧盟的GDPR、美国的CPI以及新加坡的PDPA，都对个人信息的告知和同意提出了具体要求。在实践中，出海企业需要结合各国的高标准要求，确保隐私政策包含必要的内容，并且获取用户的明确同意。

其次，关于广告营销的告知与用户同意，欧盟的GDPR要求针对不同事项分别取得明确的同意。例如，在游戏“Just Dance”中，用户界面设计体现了这一点，它不仅告知了基本的隐私政策和用户协议，还对个性化推荐和市场营销活动进行了单独的告知和同意请求。

用户隐私管理的设计需要确保儿童及其父母能够方便地行使个人信息权利。通过交互界面的实现，使用户能够轻松地同意或撤回同意，控制个人信息是否用于广告推送、支持和分析服务等。

在设计中，可以参考的典型案例包括“Merge Farm”游戏的告知和同意界面，它展示了数据控制者的身份、收集的信息，并同时提供了同意和拒绝按钮。而“PUBG”的隐私政策告知界面则展示了隐私政策的基本内容，并提供了大小相同、无颜色倾向的同意和拒绝按钮。这些设计都是符合隐私保护要求的典范。