韩国188家巨头被罚！游戏出海：位置信息合规生死关！

咱们今天聊个跨境电商和游戏圈都绕不开的合规话题，尤其是和咱们出海游戏开发者息息相关的用户位置信息收集问题。最近，韩国监管机构在这一块可是动真格了，不少游戏厂商都收到了提醒。这背后，究竟是依据哪些规章制度在进行监管呢？新媒网跨境获悉，这主要涉及两部核心法律，它们就像两把“尚方宝剑”，共同约束着企业对用户位置信息的处理行为。

首先，是咱们耳熟能详的《个人信息保护法》(PIPA)。这可不是哪个行业特有的规定，而是韩国全领域管理个人信息的综合性基础法律。无论是咱们玩家的游戏账号ID、常用的电子邮箱，还是设备IP地址，都属于它管辖的范畴。这部法律由韩国的个人信息保护委员会 (PIPC) 全面负责执行，可以说是个人信息保护的“总纲”。

紧接着，还有一部专门针对“个人位置信息”的法律，叫做《位置信息保护及利用等相关法律》(LIPA)。大家可别小看它，这部法律的严谨和细致程度，在某些方面甚至超越了PIPA。因为它更聚焦、更专业，专门针对那些和我们人身位置紧密相关的数据。而这部法律，则由韩国通信委员会 (KCC) 来监督和执行。

最近监管机构发出的提醒函，就反复强调了游戏厂商遵守LIPA规定的重要性。相比PIPA那样宏观而全面的规定，LIPA对个人位置信息的专注，无疑进一步提升了游戏厂商在处理这类数据时的合规门槛和责任。

LIPA的第二条第二款明确定义了什么是“个人位置信息”。简单来说，就是那些能和特定个人关联起来的位置数据。大家想想，如果咱们的游戏里有那种高度社交化的功能，比如区域排行榜，或者需要根据玩家地理位置来匹配玩伴，那游戏就可能需要收集GPS数据来把玩家和特定区域绑定起来。一旦涉及到这种“精确位置”数据，那可就完全符合LIPA的定义了，所有的合规义务也就随之而来。

这里有个关键点，大家一定要注意区分：“精确位置”和“近似位置”。根据PIPA的数据最小化原则，企业收集信息，必须只收集完成其目的所必需的最少量数据。如果咱们的游戏运营方仅仅是基于IP地址来获取一个“近似位置”，而不是像GPS那样精确到米或者厘米，那么在某些情况下，可能就不会直接落入LIPA的严格监管范围。这给咱们出海的游戏开发者提供了一些灵活操作的空间，但前提是业务真的只需要近似位置，而不是借此逃避合规责任。

那么，如果咱们的游戏产品确实需要调用精确位置信息，又该如何遵守LIPA的规定呢？这部法律很明确地将业务运营方分成了两种截然不同的身份，这两种身份的合规路径和法律责任可是天差地别，咱们得看清楚。

第一种身份，叫做“位置信息业务运营商”。他们的法律定义是专门从事收集位置信息，并把这些信息提供给“基于位置的服务业务运营商”的企业。打个比方，这就好比是数据链条的上游，像那些电信运营商、地图数据供应商，或者是专业的定位数据聚合服务商，它们本身不直接面向普通用户提供应用服务，而是为其他应用提供基础的定位数据支持。

第二种身份，就是“基于位置的服务 (LBS) 业务运营商”。法律对它的定义是，从事那些基于位置信息来提供服务的业务。大家想想，咱们绝大多数的应用开发者，是不是都属于这一类？只要你的App利用了位置数据来提供任何有附加价值的功能——比如展示本地化的游戏内容、在地图上标记玩家的位置、提供基于地理位置的社交功能，或者推送区域性的广告等等，那么，你的运营方就被视为LBS业务运营商。

根据这样的分析，咱们可以很明确地判断：大部分的游戏应用，通过使用位置数据来提升用户体验，它的业务性质是完全符合“基于位置的服务业务”定义的，而不是那种上游的“位置信息业务”。这个判断可太重要了，因为它直接决定了咱们大多数游戏公司需要履行的合规义务是相对简化的“申报制”，而不是更为严格的“注册制”。

作为LBS业务运营商，游戏公司必须履行以下几项具体的法律义务，大家可要牢记在心：

首先，向韩国通信委员会 (KCC) 进行申报。LBS业务运营商只需要向韩国通信委员会履行这个申报义务就行。申报内容通常包括公司的名称、主要的办公地址，以及包括位置信息系统在内的主要业务设施等基本信息。

其次，获取用户的明确同意。在收集、使用或者向第三方提供用户的个人位置信息之前，咱们必须通过服务条款等方式，清清楚楚地告知用户，并且要获得他们事先的、明确的同意。这一点尤其重要，2022年的LIPA修正案还特别强调了，获取同意的时候，必须把“个人位置信息的处理目的和保留期限”作为强制性条款，向用户明示。这意味着，不能含糊其辞，必须把用途和有效期说得一清二楚。

第三，制定并公开位置信息处理方针。这也是2022年LIPA修正案新增的一项强制性要求。LBS业务运营商必须制定并公开一份专门的“个人位置信息处理方针”。这份方针可不是咱们平时写的通用隐私政策那么简单，它必须包含比通用隐私政策更详尽的内容。比如，处理位置信息的目的和保留期限、数据销毁的具体程序和方法、向第三方提供信息的详细情况，以及负责管理位置信息和处理用户投诉的负责人联系方式等等，都得写得明明白白。这一点上，外媒曾报道，就在2024年，韩国通信委员会对包括谷歌和苹果韩国分公司在内的188家公司都开出了罚单，原因就是这些公司在披露位置数据政策或未经同意收集位置数据方面违反了《位置信息保护和使用法》的规定。可见，这可不是儿戏，监管可是动真格的。

最后，就是数据处理与保留的规定。LIPA要求，咱们必须自动记录能够证实位置信息收集、使用、提供情况的数据，并且这些记录必须至少保存6个月。至于个人位置信息本身呢，一旦它收集、使用或提供的目的已经达成，原则上就必须立即销毁，除非有其他的法律另有规定，或者咱们已经获得了用户的单独同意，才能继续保留。

接下来，咱们聊聊如何将LIPA和PIPA这两部法律的要求，结合起来，形成一套完整的、值得参考的位置信息收集合规实践路径。

除了LIPA对位置信息的专门规定，PIPA还特别强调了对未成年人的保护。如果咱们处理的是任何未满14周岁儿童的个人信息，那么运营方就必须获得其法定代表人（也就是父母或监护人）的明确同意。不仅如此，运营方还必须验证这个法定代表人同意的有效性，确保不是随随便便一个点击就通过了。所有向儿童和父母发出的通知，都必须使用“清晰易懂的形式”和“简洁明了的语言”，让孩子和家长都能轻松理解，不能搞那些晦涩难懂的专业术语。

综合LIPA和PIPA的这些要求，新媒网跨境认为，咱们在韩国地区收集手机用户位置信息时，有以下几个“优秀实践”可以作为参考：

第一点，PIPA的基础同意。在收集任何个人信息之前（哪怕只是为了创建一个账号），运营方必须首先获得PIPA规定的同意。这个同意是完全独立于LIPA同意的，它必须清晰地告知用户几件事：首先，收集和使用的目的（比如账号管理、客服服务）；其次，会收集哪些类别的个人信息（比如电子邮箱、账号ID、设备ID）；第三，这些信息的保留和使用期限是多久；最后，用户有权拒绝同意，以及拒绝后可能产生的任何不利后果（比如，如果拒绝，您将无法创建游戏账户）。而且，大家要记住，这个同意必须与任何营销目的的同意以及LIPA的位置信息同意分开，不能混为一谈。

第二点，隐私政策（“个人信息处理方针”）的披露。咱们的游戏产品必须制定并公开发布一份全面的《个人信息处理方针》。这份政策必须使用清晰、易于理解的语言，详细说明PIPA要求的所有事项，包括目的、项目、期限、销毁、第三方提供以及用户权利等等。最好的实践是，运营方可以创建一份独立的《基于位置的服务条款》（这是LIPA的强制要求），然后在主要的PIPA政策中设置一个醒目的链接，指引用户跳转到这个专门的服务条款。举个例子，韩国的游戏大厂Nexon的隐私政策就提供了一个很好的合规范本。它明确区分了“来自您设备GPS信号的位置信息”（这就是精确位置）和“从您的IP地址推导出的近似位置”，并且将用户的“同意”作为“收集精确地理位置信息”的法律依据，做到了清晰明了。

第三点，也是非常重要的一点，就是“分离式同意”的UI/UX流程。这在用户注册，尤其是未满14周岁未成年人注册时，显得尤为关键。咱们来看看一个建议的“双重同意”注册流程：

第一步：年龄弹窗。用户在注册时，系统首先弹出一个年龄确认窗口，要求用户输入出生日期。

第二步：识别未成年人。如果系统识别出用户未满14周岁，就会立即将其账户置于“受限”状态。这意味着，自由文本聊天、游戏内购买以及基于位置的服务等敏感功能，都将被默认禁用。这就像给孩子设置了一个“儿童模式”，暂时不能接触到所有功能。

第三步：触发家长验证。此时，游戏的界面（在儿童端）会显示提示：“要访问包括区域排行榜在内的所有功能，请让您的父母或监护人验证您的账户。请输入您监护人的电子邮件或手机号码。”这样就主动引导孩子去找家长。

第四步：家长验证门户。监护人收到一个验证链接。这个门户（比如可以由KWS这样的第三方验证服务提供商提供）会要求监护人使用韩国当地特定的验证方式，比如i-PIN（一种网络身份认证方式）或手机验证（通过PASS/SMS短信验证），来证明其为成年人身份。这是为了确保验证的真实性和有效性。

第五步：“双重同意”。在家长设备端，成功验证后，家长门户会向监护人展示权限开关，比如一个可勾选的选项：“[ ] (可选) 允许 [儿童姓名] 使用区域排行榜功能 (将使用GPS位置)。” 这让家长清楚地知道将开放什么权限。同时，当儿童下次登录时，游戏会确认：“您的监护人已批准您的账户！”接着，当儿童首次尝试访问排行榜时，游戏还会再次向儿童展示LIPA的同意弹窗。这个“双重同意”机制，既确保了家长知情同意，也让儿童本人再次确认，符合KCC的合规要求。

第六步：激活功能。只有在监护人（在家长门户中）和儿童（在游戏内）双方都表示同意之后，区域排行榜这样的功能才会被激活。这里有一个默认原则，那就是这些功能在未获得明确同意前，必须默认设置为“关闭”状态，体现了最严格的保护。

这样的设计，既遵循了法律法规，也体现了对用户，尤其是未成年人隐私的高度尊重和保护。新媒网跨境认为，深耕合规，才能让咱们的出海事业行稳致远。希望咱们出海的游戏开发者们，都能把这些合规要求牢记于心，在激烈的市场竞争中，也能乘风破浪。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/korea-fines-188-firms-game-location-data-crisis.html