Игровая индустрия
GameDev.ru / Игровая индустрия / Форум / GDPR для инди

GDPR для инди

Страницы: 1 2 Следующая »
Vogd2Постоялецwww31 мая 201813:44#0
Кто уже разбирался с новыми требованиями политики безопасности?
Как это коснется небольших игр и разработчиков?

Насколько я понял, нужно прямо из игры спрашивать разрешение на собирание данных, но кроме того нужно еще уметь выдать пользователю те данные что у нас на него есть, и удалить их если пользователю захочется.

Как это реализуется при использовании сторонних сервисов аналитики и других?
Google analitics - как оттуда что-то удалять по запросу, они ведь тоже собирают данные?
Playfab - что с ним?

Вообще насколько все серьезно - как понять какие сервисы собирают данные, какие нет, как это все отрабатывать?

У меня сейчас используются в приложении Appmetrica, facebook sdk, googleanalitics, playfab, firebase

Может кто знает ссылку где это подробно обсуждается?

Спасибо!

TiendilУчастникwww31 мая 201814:15#1
GDPR - !"№!"№!"№
Для инди - особая #$!@$!$

Делать надо интерфейсную часть 100%. Отдачу отчёта/ удаление данные можно через сапорт организовать, но  это если вы в людей верите. Талантливый троль может знатно потрепать нервы, если не будет автоматизации.

Почти все сторонние сервисы так или иначе сохраняют данные.

Почти все сторонние сервисы сделали GDPR на "и так сойдёт": у кого-то есть апи, у кого-то форма на сайте, у кого-то сапорт обрабатывает. Нужно искать объявки от конеретного сервиса на тему GDPR и делать как они говорят.

>У меня сейчас используются в приложении Appmetrica, facebook sdk, googleanalitics, playfab, firebase
Сочувствую.

Вообще, инди может попробовать сыграть в неуловимого джо. Пока нет бабла, никому он не нужен будет.

gmakeПостоялецwww31 мая 201814:29#2
я до сих пор собираю инфу по реализации этой штуки.
Нарыл:
https://www.blackhatworld.com/seo/gdpr-site-survey-guidance-and-p… cies.1023467/

вот один из вариантов реализации:
http://michaelcheney.com/go/privacy/

Вроде просто устроена, причем автор этого сайта - англичанин.

Мой квест по поиску более менее адекватной реализации gdpr приватности продолжается.

Ищу скрипт редактирования куки для сайтов. В нативных играх же куки вроде нет, так что там это не требуется.
Но если в игре отправляются данные о пользователе на сервер, включая айпи-адрес, то вроде тут уже нужно вводить политику приватности с учетом гдпр.

Правка: 31 мая 2018 14:32

Vogd2Постоялецwww31 мая 201815:58#3
Тут еще вроде чуток разъясняется:
https://dtf.ru/gamedev/20168-novye-pravila-gdpr-chek-list-dlya-samoproverki

по юнити вообще странно - нужно давать возможность выключать сервисы типа платежей, а потом при попытке что-то купить выдавать отдельное окно чтобы разрешить этот сервис, а потом только проводить платеж...
Сколько же геморроя)

особенно забавно читать про штрафы которые либо 4% либо 20 лямов, смотря что больше)

картинка дико вштырила:)
Изображение

Еще я слышал некоторые делают чтобы не заморачиваться так, что игру не начнешь пока не примешь политику.
Но такое вроде запрещено

У пользователя должна быть возможность использовать сервисы без предоставления согласия, если для оказания услуг не требуются данные пользователя. Либо если запрашиваемых персональных данных больше, чем необходимо для предоставления услуг.
TurboMaXПостоялецwww31 мая 201817:34#4
Допустим у меня авторизация через Google Play, покупки там же, Unity ADS и Unity Analitic, что нужно сделать чтобы GDRP этот реализовать?
gmakeПостоялецwww31 мая 201823:16#5
Уже появились первые сервисы:
https://www.iubenda.com/en/
здесь есть бесплатный план
quyseПостоялецwww1 июня 201812:25#6
Почитал я этот GDPR плюс статьи о нём, что-то всё довольно печально.

Персональными данными считает в том числе айпи адреса, ники, онлайн идентификаторы. Получается даже если у тебя тупо сайтик с нгинксом с дефолтными настройками, который пишет айпи в лог, то ты уже собираешь персональные данные. Если мультиплеерная игра, которая отправляет на сервер SteamID игроков - тоже.

А если собираешь персональные данные, то юзер должен иметь возможность их просмотра (статья 15), исправления (статья 16), удаления (статья 17), запрета на обработку (статья 18), и выгрузки в машиночитаемом формате (статья 20).

Логировать айпи по-видимому можно без согласия юзера согласно пункта 1f статьи 6 - для обеспечения информационной безопасности.

Кроме того, если ты не собираешь достаточно данных о юзере, чтобы его идентифицировать как личность (например, если имеется только айпи адрес), то запросы про получение данных, удаление данных и прочее можно слать лесом, т.к. собственно ты не можешь идентифицировать человека (под одним айпи может быть несколько людей), и GDPR запрещает тебе собирать дополнительную информацию о юзере только чтобы соответствовать GDPR, лол (статья 11). С другой стороны, если у тебя есть SteamID юзера, то технически возможно подтвердить, что он это он логином через Steam API, и придётся всё это делать.

Tiendil
> Талантливый троль может знатно потрепать нервы, если не будет автоматизации.

Статья про то, как отвечать на письма троллей.

Vogd2
> особенно забавно читать про штрафы которые либо 4% либо 20 лямов, смотря что
> больше)

Это максимально возможные штрафы. Говорят, сначала всегда идут предупреждения, потом небольшие штрафы и по нарастающей. Пара спокойных статей про GDPR от того же автора: раз, два.

Самое бредовое, по-видимому всем кто сам не в ЕС теперь необходимо иметь легального представителя в ЕС (статья 27), чтобы они имели кого-то кого можно взять за жопу. И это не тот Data Processing Officer, который необходим только если ты фейсбук. Что это конкретно значит, я не очень понимаю, вероятно нужно заключить контракт с какой-то юридической фирмой в ЕС, которая будет принимать бумажки от них.

По-видимому самое простое, если это возможно - перестать собирать информацию совсем. itch.io так сделал, удалив большую часть third party скриптов и включив "анонимизацию" айпи в гугл аналитикс (вроде просто обнуление последнего байта айпи - типа этого достаточно, чтобы он перестал быть персональными данными), хотя они всё же реализовали возможность выгрузки данных.

Многие пытаются выключить доступ из ЕС, по крайней мере временно, например новостные сайты, или "умные" лампочки, лол.

Если ориентироваться только на русскоязычную аудиторию, и в частности не иметь английского и других европейских языков в игре, по-видимому GDPR не будет применяться (декларация 23). Но понятно, что все на англоязычную аудиторию рассчитывают.

gmakeПостоялецwww1 июня 201818:14#7
quyse
> Если ориентироваться только на русскоязычную аудиторию, и в частности не иметь
> английского и других европейских языков в игре, по-видимому GDPR не будет
> применяться
На сайте rzd.ru gdpr тоже добавили. Видимо из-за трафа из Прибалтики.
quyseПостоялецwww1 июня 201819:48#8
Тем временем из-за GDPR закрылись игры Loadout и Super Monday Night Combat, а Ragnarok Online забанил игроков из ЕС.
Vogd2Постоялецwww5 июня 201812:17#9
Почитал и я всякое.

1)  AppMetrica
https://metrica.yandex.com/about/info/gdpr
В настройках можно указать «Не сохранять полные IP-адреса пользователей приложения из ЕС»
У них пишется что они не собирают никакой персональной информации, по которой можно идентифицировать пользователя. Думаю, при включенном анонимайзере IP так и есть.
Не нашел способ удаления данных
Получается если не сохранять полный IP то и не нужно спрашивать игрока разрешения на отправку статистики?

2)  FacebookSDK
вообще не понятно, но приложение ничего не сохраняет через facebook sdk о пользователях, только предоставляет возможность залогинится и брать с фейсбука информацию о друзьях например.
Как в этом случае работает gdpr? Мне кажется что раз ничего не сохраняем у себя, то и спрашивать разрешения не нужно, верно?

3)  GoogleAnalitics
Параметры соответствия Генеральному регламенту ЕС о защите персональных данных (GDPR)
https://support.google.com/analytics/answer/9019185?hl=ru
Вообще сейчас GoogleAnalitics заменяется на Firebase Analitics, и там добавлена возможность удаления resetAnalyticsData и отключения setAnalyticsCollectionEnabled. Для GoogleAnalitics я не нашел способа удалять накопленные данные по игроку

we recommend turning on the IP Anonymization feature in Google Analytics.
это настраивается в клиенте – последняя цифра ip заменяется на 0, что немного снижает точность георафии
Можно настроить длительность хранения данных
https://support.google.com/analytics/answer/7667196?hl=ru&ref_topic=2919631

Тоже получается что если включить анонимизацию IP то ничего не храним персонального, верно?

4)  PlayFab
предоставляет возможность получить данные на юзера
ExportMasterPlayerData: Call this API to export and make viewable the information PlayFab has collected on behalf of your title for a given player.
и удалить
DeleteMasterPlayerAccount: Call this API to delete the records of a given player.
для playfab получается вполне реально реализовать функционал получения-удаления данных и это реально нужно делать.

5)  Firebase
вроде сделали возможность удаления данных по запросу

6)  unity in app purchasings / ads
https://unity3d.com/ru/legal/gdpr
https://unity3d.com/ru/legal/privacy-policy

“if you see ads in other games that are served by the Unity Ads SDK, we currently collect gameplay and device data”
“When will players be able to opt-out of data collection?
As of May 25, 2018, when a player begins playing a new free-to-play game, they will be presented with the opt-out option and a link to the Unity Privacy Policy. This will appear on the first ad they see in each game.
What will happen if a player opts-out of data collection?
On a per-game basis, the player’s data will be deleted and the player will only see random, non-targeted ads or ads based solely on contextual data.”

Еще они пишут что разработали плагин, который позволит настраивать что там отсылать им или что удалить.
https://assetstore.unity.com/packages/add-ons/services/unity-data… 85.1519509630

Получается если есть реклама через Unity ads, то Unity сам будет спрашивать первый раз разрешение на сбор
А если платежи через Unity сделаны, то нужно встроить их плагин, который позволит запросить данные-удалить данные - разрешить сбор, и запрашивать разрешение на сбор перед покупкой, а из настроек реализовать функционал получения-удаления личных данных.

Я правильно расписал? Есть что добавить-исправить?

Правка: 5 июня 2018 12:19

gmakeПостоялецwww6 июня 201819:21#10
https://cookieconsent.insites.com/
Готовое решение.
quyseПостоялецwww6 июня 201819:28#11
gmake
Это же для EU Cookie Law, а не GDPR, это более мягкие требования. Плашка про сохранение кук там даже не обязана включать вариант "нет", т.к. сохранение кук это ещё не обязательно обработка персональных данных.
gmakeПостоялецwww6 июня 201819:55#12
quyse
> Это же для EU Cookie Law, а не GDPR, это более мягкие требования.
Будем искать дальше, многие до сих пор этот вариант используют.

Но там есть:

Just tell users that we use cookies
Let users opt out of cookies (Advanced)
Ask users to opt into cookies (Advanced)

Так что это уже ближе к GDPR.

Правка: 6 июня 2018 19:58

gmakeПостоялецwww6 июня 201820:06#13
Возможность  удалять куки и включать их - это одна часть GDPR. Вот здесь как раз она решена.
Есть еще две части. Одна - это политика приватности: какие куки и как мы их используем, какие данные и в каких целях собираем, какие сторонние сайты используем, которые собирают данные, как они используют эти данные, и т.д., и т.п.
И другая часть - это возможность удалить все данные пользователя. Вот эту часть обычно решают отдельной формой.
Выше я уже показывал пример того, как решаются эти две задачи:
http://michaelcheney.com/go/privacy/
8. Data Retention

We retain all data on you when there is a business justification for doing so - i.e. you are an active subscriber, active member, active customer. If you are no longer active in our organization we will either delete, anonymize or secreuly store your data until which time it can be deleted. You may request deletion at any time of all data by posting a ticket on our Support Desk: http://www.michaelcheney.com/support/

Подытожим, что нужно:
редактор куки (решение на https://cookieconsent.insites.com )
политика приватности (пример на http://michaelcheney.com/go/privacy/ )
возможность удалить данные (пример там же - ссылка на саппорт или на отдельную форму)

Правка: 6 июня 2018 20:11

quyseПостоялецwww6 июня 201820:57#14
gmake
> Возможность  удалять куки и включать их - это одна часть GDPR.
Это не часть GDPR, GDPR про персональные данные, а не про куки. Слово куки там упоминается один раз.

gmake
> Вот здесь как раз она решена.
По-моему не решена. https://cookieconsent.insites.com/ явно про старый закон EU Cookie Law, а не GDPR, который там даже не упомянут. Вот баг давно заведён https://github.com/insites/cookieconsent/issues/242 про соответствие GDPR. И это не говоря уже о том, что сам сайт не показывает ни плашек, ни согласий, а куки Google Analytics добавил мне моментально.

Вообще смешно, сколько сайтов теперь утверждают, что решат все ваши проблемы с GDPR, а сами не соответствуют GDPR даже близко. Как пример https://www.representative-27gdpr.eu/ - предлагают быть "представителем в ЕС" по GDPR, а на форме для контакта не написано, для чего и как будут использованы этой формой персональные данные.

Страницы: 1 2 Следующая »

/ Форум / Игровая индустрия / Управление

2001—2018 © GameDev.ru — Разработка игр