在 GGWP,我们为各类组织提供量身定制的解决方案,包括那些选择将数据完全保留在欧盟(EU)境内的组织。我们的架构设计经过精心规划,以确保完全遵守各地区的数据保护法律。这一承诺为在复杂的国际数据传输框架(包括游戏数据合规)之下负责任地管理用户数据奠定了安全的基础。
在当今的数字时代,安全地管理和存储用户数据至关重要,尤其是在全球监管审查日益加强的背景下。面对全球范围内不断趋严的监管,这一点尤为突出。作为一家电子游戏审核服务提供商,我们敏锐地观察并识别出欧盟内部数据管理领域的若干关键趋势。
一个常见的困惑在于,是否应将文本聊天或玩家举报数据视为用户数据。忽视这一点可能导致数据保护措施达不到监管标准。然而,如果用户聊天和举报数据已剔除个人身份信息(PII)且用户名已匿名化,它们可能就不会被归类为个人信息。鉴于合规的成本与投入,选择不进行数据传输的自我认证、不在多个地区搭建基础设施,或不对数据进行匿名化处理,往往被视为一种合理的、基于风险的决策。
若将游戏数据视为个人数据,则必须将欧盟公民的信息保留在该地区境内,除非在 GDPR 框架下满足《数据隐私框架》(DPF)的合规要求。尽管存在推动数据本地化的趋势,但数据集中化的趋势也十分明显,有时甚至会忽视各地区数据保护法律的具体要求。多地区数据基础设施的成本与运营挑战,可能促使一些公司将数据集中化作为一种务实的解决方案。
随着《欧盟-美国数据隐私框架》于 2023年7月10日推出,如今已有一条合规途径可将个人数据从欧盟传输至美国。该框架弥补了先前的不足,为欧盟公民提供了更强的数据保护,并为跨大西洋的数据传输奠定了坚实的基础。尽管如此,自我认证的复杂性仍给许多组织带来了巨大的挑战。
无论是内部玩家支持团队,还是通过业务流程外包(BPO)进行审核的方式,若从欧盟境外访问欧盟数据,都可能危及 GDPR 合规性。确保所有数据处理活动(包括承包商的访问)无论在何地都符合 GDPR,这一点至关重要。为满足这些要求而将访问权限限定在位于欧盟的团队,会带来额外的成本。
尽管出现了《欧盟-美国数据隐私框架》等新框架,许多平台仍出于对简化流程、降低法律复杂性以及确保数据保护合规的考量,倾向于将数据完全存储在欧盟境内。对于玩家群体主要集中在欧盟的开发者而言,这种做法固然有利,但也可能带来一些挑战,例如面向全球的游戏延迟增加,或存在违反其他司法管辖区法律的风险。由于每个数据中心实际上都必须独立运行,应对这些监管要求正变得日益复杂。
作为服务提供商,我们的方针是尽可能地为客户——即游戏和平台的所有者——妥善管理和存储其数据提供支持。为支持全欧盟方案,我们设计了一套全面的解决方案,确保客户数据在数据的摄取与检索环节均在欧盟境内实现完全隔离。我们的平台构建于一家大型云服务提供商的基础设施之上,借助各类服务的能力来实现这种隔离。
在数据摄取方面,我们在欧盟区域内部署了一个专用虚拟网络,并配备严格的网络访问控制和加密措施,以确保所有传入的数据都被限定在欧盟边界之内。该虚拟网络进一步划分为若干独立的子网,从而为数据处理营造出一个完全隔离的环境——数据由托管在这一位于欧盟边界内的隔离虚拟网络中的各个机器学习模型进行处理。
在数据检索方面,我们采用了类似的做法,将每位客户的数据存储在位于欧盟区域内的专用数据存储服务中。这些存储区域只能通过一组定制开发的 API 服务进行访问,而这些服务强制执行严格的访问控制和数据加密策略。这确保了客户数据只能由经过授权的各方访问和检索,并始终被限定在欧盟境内。
存储在我们平台中的所有数据在静态存储和传输过程中均采用行业标准的加密算法和密钥管理实践进行加密。通过提供这套完全隔离、基于欧盟的解决方案,我们致力于为客户提供最高水平的数据隐私与安全保障,同时使其能够借助我们平台的强大能力,为其最终用户提供卓越的游戏审核服务。
本文仅供参考,不应被解读为法律建议。本文所提供的内容基于对《通用数据保护条例》(GDPR)及其对游戏行业影响的研究和一般性认识,不能替代专业的法律咨询。

Jerry 是 GGWP 的 DevOps 负责人