近日,欧盟的新隐私政策《通用数据保护条例》(General Data Protection Regulation,下文简称GDPR条例)正式生效。在GDPR条例生效后,如果在欧洲经营业务的公司不按照该规定修改欧盟用户在个人数据方面的隐私政策,将有可能面临严重罚款。包括游戏在内的许多行业受到这项新规的影响,这意味着当欧洲玩家玩网游,或者在互联网论坛发帖时,也受GDPR条例保护。
许多游戏公司愿意遵守欧盟的规定,却担心会在不经意间违反了措辞含糊的书面条例。
GDPR条例取代了1995年颁布的《欧盟数据保护指令》(EU Data Protection Directive),在GDPR条例下,全球公司在处理欧盟用户的个人数据时都必须遵守严格的规定。这些法规被用于保护欧盟居民,并让他们意识到公司怎样使用他们的信息。
虽然GDPR条例主要针对那些拥有海量用户数据并从中获利的科技公司,如Facebook和谷歌,不过由于“个人数据”定义广泛——包括用户姓名、电子邮件地址和IP地址等——游戏公司也必须遵守相关规定。这意味着为了避免因违反GDPR条例被罚款,游戏公司需要花大量的时间和金钱。
GDPR条例的实行对欧盟玩家来说是件好事,因为当他们玩游戏、购买游戏或使用服务时,能够更清楚地知道哪些个人信息会被搜集。其他国家的玩家也会从中受益,因为雷蛇(Razer)等机构将其视为一项通用隐私标准,在为全球用户提供服务时都遵守条例中的相关规定。
与绝大多数保护措施一样,我们也许永远不清楚采用新法规是否能够导致一场新的灾难发生。“GDPR条例也许能够阻止那些若没有它,未来可能发生的潜在隐私丑闻。”美国公民自由联盟的高级政策分析师Jay Stanley表示。他举例称,电视生产商Vizio前不久就因为使用智能电视,在用户不知情的情况下追踪用户行为,被美国联邦贸易会罚款220万美元。
“与所有程序和应用程序相仿,游戏也有可能被用于作恶,收集宝贵的用户个人信息。”Stanley说,“我们还不完全清楚这项欧洲法规将会如何影响不同公司在美国的做法,但至少不会损害任何玩家的利益,并且很有可能为玩家提供一些保护。”
很难估计游戏行业需要付出多大努力来遵守GDPR条例——在我们询问的所有游戏公司中,没有任何一家披露为此耗费的成本。但与其他科技公司一样,游戏公司必须了解用户信息如何在游戏中流动,在收集信息前明确告知用户、征求用户许可,在某些情况下还得任命自己的数据保护官。
“公司不得不记录他们的数据流,在隐私盾登记,找到一位欧盟代表,制定一系列更新的数据处理协议,并且学会怎样应对用户提出的各种需求(包括与GDPR条例相关的隐私保护需求)等等。”上个月,隐私律师Shaq Katikala在Reddit社区的一次有问必答(AMA)活动中写道。Katikala为律师事务所Morrison/Lee工作,曾帮助多家公司通过GDPR条例合规流程。“我为客户所做的与GDPR条例相关的绝大部分工作并非解决糟糕的丑闻,而是做一些符合GDPR条例要求的事情。”
《周一格斗之夜》
某些老游戏由于更新、运营成本超过了其能够带来的收益,被开发商停运。Uber娱乐(Uber Entertaiment)制作的《周一格斗之夜》(Monday Night Combat,一款卡通风格动作射击游戏)收入足够维护服务器继续运行,但据Uber娱乐首席执行官Jeremy透露,升级后端以遵守GDPR条例的成本太高,所以公司决定将它停运。
Edge of Reality之所以停运F2P射击游戏《Loadout》,也是因为缺少升级这款老游戏所需要的资源。5月25日,网游公司WarPortal宣布,运营已经长达16年的MMO《仙境传说》将停止为欧盟玩家提供服务。
如果游戏公司继续在欧洲运营游戏,却不遵守GDPR条例的规定,将会承担极大风险:有可能被罚款最高达2000万欧元,或者被罚公司全球年收入的4%。
2016年4月份,欧洲议会通过GDPR条例,并给了在欧盟国家经营业务的公司两年时间来遵守新规,或停止在欧盟国家提供服务。据隐私律师Katikala介绍,某些公司决定暂停在欧洲的业务,直到所有业务流程都合规后再重启。
“对于GDPR条例,我最大的担忧是它的施行速度很快,但某些条款还需要更明确的定义。”Katikala说,“如果没有答案或缺乏进一步的指导,就算最诚实的公司所能做的也不多。”
即便在欧盟国家,很多公司也不知道应该如何遵守GDPR条例。根据芬兰游戏贸易协会Neogames高级政策分析师Jari-Pekka Kaleva的说法,北欧游戏公司已经数次在赫尔辛基开会讨论这个话题。“我想,如今每个人都开始意识到了GDPR条例和它意味着什么,但还有公司无法理解一些问题。这是个循序渐进的过程。”他说。
由于尚不完全理解GDPR条例,某些游戏公司感到焦虑。为了确保遵守该条例,他们详细记录用户数据流,并更新了服务条款。某些规模极小的游戏研发工作室甚至没有服务条款,所以他们需要创建一个。诸如英伟达等更成熟的公司则按照法规要求,使用更清晰的语言和新功能,更新了隐私中心和政策。也有公司(如雷蛇)推出了专门的GDPR资源站点,让用户能够更好地理解在新法规下,他们的数据权益。
某些制作离线单机游戏的工作室只需要调整服务条款,而那些大型发行商往往拥有专门的律师团队在幕后工作,以确保他们不违反任何法律上的规定。
但游戏公司必须重视隐私法规,因为除了欧盟之外,其他国家也在考虑制定与GDPR条例类似的法规。玩家将会更好地了解游戏公司如何使用他们的数据。不过,新隐私法规对游戏内容本身的影响很可能微乎其微,因为游戏公司将更难在玩家不知情的情况下将玩家信息用于研究或营销。
在某些时候,大型工作室会收集玩家在游戏中的数据,基于对这些数据的分析来优化玩法;GDPR条例要求他们在研究玩家行为时做出更明确的说明。但对玩家来说,GDPR条例带来的绝大部分好处是无形的。新规适用于所有处理个人数据的实体,这意味着从理论上讲,如果游戏公司向第三方提供玩家数据,将有可能被牵连。隐私律师Shaq Katikala建议游戏公司审查托管服务商和广告商,如果对方有可能违反GDPR条例的新规,就停止与他们合作。这可以避免玩家信息被某些不道德的公司转卖。
游戏公司很可能并非GDPR条例优先针对的对象,但当游戏公司为欧盟玩家提供服务时,仍然需要遵守该条例。随之而来的结果是在欧洲以及其他国家,玩家的隐私都将得到更好的保护,并更好地理解游戏公司如何使用他们的数据。
如果这些新政策真的能够避免让玩家信息落入不法之徒手中,那么游戏行业为了遵守它所付出的努力都是值得的。