注：GDPR，即《一般数据保护条例》，于 2018 年 5 月 25 日正式生效。这是欧盟议会经过四年讨论，***的全球现有数据隐私保护法规中，覆盖面最广、监管条件最严格的政策。

第一部分： GDPR 法律条款解读

一、GDPR 法案的适用范围

欧盟一般数据保护法案是欧盟议会推出一部处理个人信息框架性法律，所谓框架性法律就是欧盟范围内确立基础性的一些原则和处理方法，欧盟成员国根据 GDPR 一般原则来立法，标准不低于 GDPR 的规定。GDPR 管辖的范围涵盖所有处理欧盟居民数据的公司，在欧盟地区的企业肯定需要遵守 GDPR，欧盟之外的企业只要处理欧盟居民的数据也需要尊重 GDPR。

任何违反 GDPR 的违法行为将导致最高 2000 万美金或母公司所有营业额 4% 的罚金，二者取金额大者。这项法律对于用户保护是最严格的，一定程度上将加重企业的合规成本，精神是值得赞扬的，但企业如果真的实施起来成本奇高，尤其对于中国出海创业企业更是如此。

二、GDPR基本原则

GDPR法案一共 11 章 99 条款，88 页，将于 2018 年 5 月 25 日在欧盟范围内生效，虽然条款众多，但是 GDPR 基本原则也是比较简单的：

1.  合法，公平，透明三原则：与数据主体个人相关的数据信息应当以合法，公正，透明方式处理

2.  数据收集应当有明确的目的：个人信息收集应当目的特定，明确和合法，任何与上述目的不符合的方式将不能继续处理数据。

3.  数据收集的最小化原则：个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据。

4.  准确性：个人数据应当准确，如果需要尽可能保持最新的数据。

5.  存储限制：在不超过个人数据处理目的之必要的情形下，允许以数据主体以可识别的形式保存；

6.  完整性与机密性：以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）。

7.  问责制：控制者（企业或组织）应该对并且能够证明其企业符合GDPR的规定。

三、GDPR 个人数据定义（Personal Data） 

“个人数据”是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。

个人信息实例：

·      a name and surname; （名字）

·      a home address; 地址

·      an email address such as name.surname@company.com; 邮箱

·      an identification card number; 身份证号

·      location data (for example the location data function on amobile phone)*; 地理位置

·      an Internet Protocol (IP) address; IP地址

·      a cookie ID*; COOKIE ID

·      the advertising identifier of your phone; 广告 ID

·      根据用户画像可以确定某一类人的信息，均为个人信息。

四、数据主体的权利

1.  信息透明度和信息机制：数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式，也就是让用户知道你在收集那些数据，为什么收据数据，用于何种目的，另外也需要让用户可以随时对自己的数据进行控制。

2.  数据访问权，控制者应当保证数据主体可以随时访问自己的数据。

3.  纠正权：数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的，数据主体应当有权使不完整的个人数据完整，包括通过提供补充声明的方式。

4.  被遗忘权：数据主体有权要求控制者删除其数据，比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果。

5.  限制处理权：数据主体有权限制数据主体处理其个人数据

6.  关于纠正或删除个人数据或限制处理的通知义务：除非被证明不可能完成或者包含不成比例的工作量，控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制，传达给已向其披露个人数据的接收者。如果数据主体请求，控制者应当通知数据主体这些接收者。

7.  反对权：如果为了直接营销的目的而处理个人数据，数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理，其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理，则个人数据不得再为此目的而被处理。

8.  拒绝权和自主决定权。

9.  自主化的个人决策分析。

五、控制者或数据处理者的义务

1.  控制者应该在确定处理手段和在处理的同时，实施适当的技术和组织措施，如匿名化，即目的是实施数据保护原则，如数据最小化，以有效的方式，在处理时实施必要的保障措施，以符合法律要求，保护数据主体的权利。

2.  控制者应该实施适当的技术和组织措施以确保，在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量，数据处理的程度，数据的存储期限和数据的可及性。特别是，这些措施应确保在没有个人对无限数量自然人的干预下，个人数据在默认情况是不可访问的。

3.  在欧盟成员国的范围内指派欧盟代表，可以为合作伙伴，客户或第三方中介等。

4.  数据处理者应当以数据控制者名义处理数据。

5.  数据处理活动应当有记录。

6.  和监督机构合作和配合，应当积极配合监管机构的调查。

7.  处理过程的安全性：（a）个人数据的匿名化和加密；（b）数据系统保持持续的保密性、完整性、可用性以及弹性的能力；（c）在发生自然事故或者技术事故发的情况下，存储有用信息以及及时获取个人信息的能力；（d）定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理，力求确保处理过程的安全性。

8.  数据泄露 72 小时报告义务：在个人数据泄露的情况下，控制者不能不当延误，而且至少应当在知道之时起 72 小时以内，根据第 55 条向监管机构进行通知，除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于 72 小时，需要对迟延原因进行解释。

9.  与数据主体进行交流：个人数据泄露可能对自然人权利和自由形成很高的风险时，控制者应当毫不延误地就个人数据泄露的主体进行交流。

10.  数据保护影响评估以及事先咨询。

11.  超过 250 人公司或处理海量数据的公司必须设置首席数据保护官。

六、转移个人数据（欧盟）到第三国或国际组织

1.  数据转移到第三国或国际组织，第三国或国际组织应当对用户数据隐私和安全提供足够的保护。

2.  欧盟数据委员会会在官网及欧洲联盟公报上公布第三国或国际组织是否能够对个人数据提供足够的保护。

3.  数据处理者或控制者拟向第三国或国际组织转移数据，而第三国或国际组织没有列入符合欧盟个人数据保护要求的，通过提供适当的安全措施，以及在可强制执行的数据主体权利和对数据主题的有效法律补救措施时就绪的条件下，一个控制者或处理者可以将个人数据转移到第三个国家或国际组织。

4.  转移数据通过如下方式传输，无需取得任何欧盟当局批准和授权：a) 政府当局或公共机构之间具有法律约束力的、可执行的工具；b) 依照第 47 条制定的具有约束力的公司规则；c) 欧洲委员会根据第 93 条第 2 款所述审查程序通过的标准数据保护条款； d) 监察机构根据第 93 条第 2 款所述审查程序通过的标准数据保护条款； e) 根据第 40 条的规定批准的行为准则，以及第三国控制者或处理者的具有约束力的、可执行的，用以采用适当保障措施约定，包括关于数据主体权利的；或 f) 根据第 42 条获得批准的认证机构，以及第三国控制者或 处理者的具有约束力的、可执行的，用以采用适当保障措施约定，包括关于数据主体权利的。

七、评估措施、数据安全与数据泄露通知义务

1.  评估措施与安全措施

a. GDPR要求所有公司或组织实施最广泛的措施降低违反GDPR的风险，并保证合规处理数据。

b. 这包括可评估的措施比如数据隐私影响评估，审计，政策检查，活动记录，任命数据官等一些列可衡量的措施。

c. 公司或组织需要部署人员和财力来准备合规工作

d. Privacy Impact Assessments (PIAs) 开展隐私影响评估工作，需要形成书面文档

e. 记录数据处理工作，形成工作文档备查

2.  数据泄露通知义务

a. 数据控制者和处理者应履行数据泄露通知义务

b. 数据处理者必须把数据泄露通知给数据控制者

c. 数据控制者必须把数据泄露通知给监管当局

d. 数据泄露必须 72 小时通知监管当局，并根据情况通知到数据泄露的用户

e. 必须确保有现成的数据泄露发现，调查，内部报告机制（内部要有规范性文档，流程等）

f. 数据泄露必须保存记录，无论是否有报告义务

第二部分：企业 GDPR 的合规工作（以游戏公司为例）

一、事先评估清单：The Assessment

1. 我们存储和收集哪些数据？

2. 我们是否公平获取数据？我们是否获得必要授权，数据主体是否已被通知我们使用数据的特定目的？我们是否清晰没有模糊向他们说明目的，并告知他们可以随时撤回授权。

3. 我们是否遵循了不超过必要限度的最小化数据收集原则？

4. 数据存储是否安全？是否采取了加密存储方式？

5. 我们是否需要收集敏感信息？

6. 我们是否需要转移数据到欧盟之外的地区，是否有采取足够的管理措施保护数据的安全？

二、游戏公司一般会收集那些数据？

1. 游戏公司主动收集的数据：姓名，邮箱，用户名，密码，个人背景信息，游戏内聊天信息，客服聊天信息，以及为了玩游戏而获取的其它个人信息等。

2. 自动收集的信息：游戏进度（游戏数值），IP地址，设备ID（苹果，谷歌广告ID,MAC地址，IMEI等），地理位置，游戏交互信息等。

3. 从合作伙伴获得的用户信息，游戏公司主要合作伙伴分为三大类：买量平台（FB、谷歌），追踪平台（AppsFlyer 等）及 OFFER 平台（网盟），其中以买量平台和追踪平台为主。在隐私条款中需向用户披露合作伙伴收集的信息。

三、游戏公司收集个人数据的的目的（原因）

1. 为享受游戏服务，必须从用户处收集的个人信息比如用户名，邮箱等。

2. 为提升游戏体验，需要经过用户授权收集的信息，比如用户反馈和留言，游戏内交互，设备兼容适配信息等。

3. 为推广游戏或展示广告而收集信息，比如追踪用户卸载安装游戏及针对特定受众推广游戏的买量行为。此类信息收集应当保障用户随时撤销授权。

4. 为第三方合作伙伴合作而收集的信息，包括 Appsflyer、买量平台、云服务等各种第三方服务。

5. 其他可能向用户收集的个人信息。

四、形式合规

起草一份符合欧盟要求的隐私协议及服务条款，其中隐私协议应该列出以下内容：

1.  收集和存储了哪些数据；

2.  收集数据的目的，尽可能和收集数据的类型相匹配，逐条列出具体明确的可分割的目的；

3.  数据处理的方式，是否会追踪用户的数据，是否会采用cookie等类似的用户画像技术辨识客户；

4.  披露合作伙伴和第三方；

5.  数据安全保护措施；

6.  是否转移欧盟用户到境外，如何保证数据安全；

7.  保证GDPR规定的用户权利，访问权，更正权，遗忘权，撤销权等，并在隐私协议中提供实现方式，如果无法自动实现，可以让用户提交反馈表，核实后一个月内手动实现；

8.  年龄限制：请说明不收集13岁以下儿童的任何信息（不含13岁），收集13岁以下儿童信息需要监护人的同意；

其它可能需要向用户说明的信息：

1.  Privacy impact assessment form (PIA)：PIA 是一个内部隐私评估自查流程，要形成文档以备欧盟检查，具体内容会在以后的文章中说明；

2.  和第三方或合作伙伴签订协议，明确双方在数据处理中义务和责任，所有协议应当留档；

3.  跨境转移政策及流程：形成规范性文档；

4.  数据泄露应急预案：形成规范性文档；

5.  个人数据保护政策：形成规范性文档；

6.  数据保留政策：形成规范性文档；

7.  数据收集用户授权表：嵌入到游戏内部或以申请表形式要求用户在线提交。

五、产品合规

1.  按照 GDPR 的基本原则来收集数据；

2.  加入明确授权和撤回按钮，让用户可随时撤回授权，随时访问数据，更正数据，删除，注销账户等。以 GDPR 数据主体权利为基准保证产品符合规定。网站或 APP 可加入隐私及数据控制面板，让用户可以随时访问、纠正、删除自己的数据等；

3.  所有用户授权与同意，应留存证据，可以以电子形式保存（截图，电子合同等）；

4.  保证产品中的 SDK 及第三方合作伙伴数据收集也符合 GDPR 规定；

5.  产品隐私及数据安全技术措施处理；

6.  保证产品数据存储安全。

第三部分：总结

一、合规工作

1.  GDPR 合规工作需要涉及到方方面面，从产品调整到隐私政策，从内部数据安全到跨境传输，是一个系统工程。中小企业或欧盟业务量不大的游戏公司可参考行业内领先公司的做法，先把形式工作做好，随着欧盟用户量增加逐步进行产品调整。

2.  形式合规工作需要业务团队和法务（外部律师）配合一起完成，业务团队应把数据收集整个过程梳理清楚，法务（外部律师）帮忙起草相关文件，尤其是隐私条款和服务协议。隐私条款和服务协议应当发布在官网或游戏内。

3.  产品或业务线应预先做好准备工作，以配合GDPR整体合规工作。

4.  GDPR 法规学习工作，GDPR 合规不是一个人的工作，公司可以请外部律师或法务对公司涉及欧盟业务线的高管和骨干进行培训，尤其是产品线和技术线员工。

二、恶意竞争和市场壁垒

1.  竞争对手的恶意举报可能成为市场竞争一种手段，尤其欧盟本土企业可能利用此种手段打击中国出海企业；

2.  欧盟可能以 GDPR 不合规问题设置行业壁垒，大家都知道欧盟没有巨型互联网企业，所以 GDPR 主要防备美国和中国的互联网企业，毕竟数据不掌握在自己手上，谁也不会放心。

三、那些企业是欧盟重点的监管对象？

1.  巨型互联网企业：FB、GOOGLE、TWITTER、ALIBABA等；

2. 收到用户举报的企业，可能来自于竞争对手的恶意举报；

3. 可能存在数据泄露或已发生数据泄露的企业。

* 资源汇总：

个人数据收集委员会英国办公室官网（民间独立机构）: 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr

GDPR 信息站点： https://www.eugdpr.org

GDPR 英文全文（可按章节查看）：https://gdpr-info.eu

欧盟官网：https://ec.europa.eu/info/law/law-topic/data-protection_en