亚马逊赵磊：出海游戏如何符合国外监管，合规运营行稳致远？

Gamelook报道/5月16日，2023亚马逊云科技游戏开发者大会以线上形式召开。大会设“构建”、“运行”、“增长”三大分论坛，并邀请来自完美世界、37手游、柳叶刀工作室、Mattel 163等多家游戏公司技术大佬作为嘉宾，分享对前沿技术的把握、对热点话题的探讨，以及对行业趋势的洞察等。

而亚马逊云科技的资深合规技术实践专家赵磊针对“中国游戏出海企业如何“行稳致远”？”也做出了分享。

以下是分享实录

大家好，我是亚马逊云科技的赵磊，很高兴有机会在这里跟您交流，并欢迎您参加本次活动。

在接下来的时间内，我会以中国游戏出海企业为蓝本，与各位分享数据合规相关的态势、实践框架以及可落地的技术措施。希望可以协助您或者您的技术团队从容和科学的应对合规挑战。

在开始正式内容之前，我们先了解一些现状。在游戏行业内，企业常用的获客方式和所追求的迭代效率，容易使开发者忽视对用户个人数据和隐私权益的保障。然而，数据监管日趋严峻。数据隐私与合规性的违规行为可能导致游戏企业面临诸多损失，比如罚款、判刑、舆情下架、行政警告和持续审查等。

我们可以看到，在过去的几年内，已有诸多企业因为数据隐私的合规风险暴露导致损失。从这里的案例中，我们就可以发现，有的是出于数据安全的原因，比如数据泄露和数据保护。有的是出于数据隐私的原因，比如为获取合适的用户同意践行充分的数据留存策略和侵犯数据主体权益的。

提到数据隐私和数据安全，让我们来了解一下两者的共同点和区别，以便我们进行更深入的讨论。数据隐私和数据安全是围绕特殊的数据字段的保护，但两者的侧重点和监管重点不同。数据隐私是数据保护法律和法规下的概念，专注于如何合规的收集、处理、共享、归档和删除数据。数据安全的相关的行为更加关注如何保护数据免受外部攻击者或恶意内部人员的破坏。相应的，数据合规不仅仅关注数据的安全性，也强调了数据控制者和处理者对数据处理生命周期内关键行为的管理和控制能力。

接下来的内容，我们会围绕数据合规话题展开。今天的主要内容包含三方面，首先了解数据合规在出海业务发展过程中的重要性和对企业的影响，然后探讨企业如何从公司组织层面，科学的利用人员、政策、流程和技术的能力应对数据合规挑战，最后，我们来看一下亚马逊科技的产品和团队能为您做些什么。

为什么数据合规可以是出海企业业务发展天花板？

我们看到世界各国都有相应的数据隐私法规，出海游戏的发行通常不止于一个国家，同时游戏企业的数据存放通常也会不限于一个地区，因此，游戏行业必须适应多个国家和地区的数据法规，只关注个别国家或地区的数据法律法规是远远不够的。

单从法律合规角度来看，监管适用性范围和违规罚款是游戏出海企业面临的直接挑战。出海企业需要基于不同国家和地区的法律法规、游戏用户分布和其组织系统架构，持续为业务增长做好准备。而随着游戏的注册和活跃用户的攀升，许多出海企业的管理者经常由于这两个挑战无法做出果断的决策。

或者由于这些挑战导致的结果使得企业知名度降低、APP下架或监管持续审查，从而造成业务增长失速。其中一个重要的原因是在游戏用户数据不断攀升的情况下，出海企业的数据隐私保护和合规性责任会更高。

因此，在当今的世界经济环境下，数据合规问题非常容易被放大，结合监管通告、舆情或爆料结果。被披露的数据问题极有可能成为游戏出海业务发展的天花板。

除了外部风险，出海企业的数据合规不仅仅是一个B选项。如果没有科学的实践方法，它也可能成为业务发展的绊脚石，因为大多数出海企业都是有唯一的业务技术团队。如何在合理、最小化、安全和可治理等合规原则下高效的处理和流通个人数据是这个团队在业务发展过程中需要持续关注的重要问题。

具体来说，因为监管要求的变化，技术团队需要不断的调整个人数据处理方式，因为一国一策，技术团队无法完全依赖全球统一的技术架构和工具。由于高度动态的安全和隐私威胁态势，技术团队需要耗费大量的资源做应急响应和修复。

还有，由于部分数据法法律法规描述的模糊性，技术团队的成员可能需要花费大量的时间做沟通和解释，而知识壁垒和数据孤岛使得技术团队无法及时获得法务或安全团队的支持，且跨团队协作成本非常高。

那么，出海企业要怎么做？特别是企业的业务团队要怎么做？

数据合规的核心是针对受监管的数据实施管理和治理。而在整个过程中，除了法务和安全团队，企业的数据合规实践也依赖于业务团队的配合，因为掌控数据事实的人是业务技术团队，但是，当企业的业务团队开始着手应对合规需求的时候往往不知所措，因为他们很难理解需求来源、法务和安全团队的痛点以及可度量标准。

因此，我们需要以终为始了解数据合规的技术实践要点，也就是五个W一个H，以此来制定实践计划。简单来说，谁出于什么目的访问什么数据字段，在什么场景下，处理和使用数据访问的目标路径和处理系统是什么？通过什么方式访问、处理和保护数据的方式是如何？如何把这些问题要素通过数据治理和安全及审计能力嵌入到日常的游戏业务开发过程中，是企业技术团队需要思考和探索。

除此之外，以框架思维应对动态且持续的数据合规要求，是企业技术团队的必修课。以此框架为例，它主要阐述在法律法规、一国一策的背景下，出海企业应当以不变应万变，寻找数据合规监管要求中的共同点和差异，以行为准则为基础、企业治理为手段，数据处理生命周期为执行要素，通过精准技术投入以及合规团队的配合，实现高效应对数据合规挑战的目标。

在数据生命周期中，政策、流程、人员和技术应用不可或缺，而技术团队可以按需投入相应的技术研发能力，或者以第三方的能力进行支持，达到以最大限度提高合规需求投入的LY为目标。

比如，依赖优秀云厂商的合规项目，可以极大程度的降低企业在基础设施安全和合规性控制方面的成本，通过个人数据清单相关的技术投入可以降低合规运营和响应的成本，通过存储数据生命周期技术和自动化的数据主体响应请求解决方案，可以降低合规风险，提高数据主体权益保障的效率。

同时，针对风险较高的数据合规场景，我们可以通过标准化的管理体系明确责任和义务，确认策略和监管实施过程。

以数据出境合规举例，场景识别数据分类分级，风险审查控制手段和数据治理是企业落实数据出境行为过程中必须要考虑的要素，技术团队应当按需通过技术手段支持管理体系的落地提高自动化水平，从而在满足数据出境合规要求前提下实现数据流通。特别注意的是，数据出境场景中，企业管理者应当始终有国家安全思维，并在此基础上构建企业的相关合规体系。

然而，只有实施框架和管理体系是不够的，技术团队仍需明确的技术措施以落实合规管理要求。基于Article 30 GDPR – Records of Processing Activities.相关要求及模板。我们可以看到，数据治理手段、安全控制手段和权益保障手段是三类非常关键的措施，不仅是记录数据，处理事实，还是践行Privacy by Design原则的一个非常重要的方式，这些措施的应用可以降低您合规运营的成本，落实隐私保护要求，并保障数据主体的基本权益。

最后，对于技术团队，最重要的是在业务发展的早期就开始实践隐私工程，利用隐私工程的特征，比如敏捷、扩展等，把看似复杂的合规要求落实到游戏业务的开发生命周期中，通过自动化工具有效沟通和可执行的标准和度量，降低合规实践的难度，从而实现业务需求与合规需求的正和发展。

在您的出海道路中，亚马逊云科技可以是您值非常值得信任的合作伙伴。接下来，让我们来看一下，在应对数据合规挑战方面，亚马逊云科技的产品和团队能为您做些什么。

首先，亚马逊云科技首创的责任共担模型可以协助您分摊安全和合规时间的成本。云服务自身的安全和合规性经过了第三方独立审计人员的审查，可以按需给您提供组织级别或者服务级别的合规证明，以辅助您应对外部合规需求。

同时，上百个安全与合规服务以及数据管理和治理服务可以帮助您快速搭建内部数据合规措施，降低成本、提高隐私工程的LY。

云自身方面，针对数据隐私，亚马逊云科技做了特别的准备，这里包括在基础设施层面执行最高的隐私与数据安全标准，通过自动化服务降低数据合规风险，搭建完整的安全合规与数据合作伙伴生态系统，从服务条款到第三方认证，亚马逊科技也拥有非常全面的安全与合规性控制。

除此之外，符合云安全标准ISO27017和云隐私标准ISO27018的风险控制产品和框架，为您的数据隐私保障能力建设提供高标准与高安全的框架和服务。

云中控制方面，客户可以采纳责任工单模型中的最佳实践在您的控制框架下分摊数据合规的责任和风险。具体来说，您在云中合规控制框架可以集成亚马逊云科技的现有控制能力加上您在云上的定制化合规控制能力来实现。

比如使用数据保护与治理服务，实施工作负载控制，使用云服务的默认安全组件实施服务控制和使用安全工具实施组织层面的数据及安全控制。

为了支撑您游戏产品的数据或隐私保护能力，基于数据合规的实践经验，我们也推出了许多可以帮助您快速搭建相关控制手段的服务，比如，通过Amazon Control Tower可以帮助您构建更精准的数据发现能力，从而推动数据最小化要求的落地。

除了控制手段，使用现代化的数据策略，把安全与合规能力嵌入到您的数据基础设施中，从底层设计中提升您的业务架构，整体的数据隐私保护能力，也是诸多数据法律法规的实践方式。在这方面，亚马逊科技的数据湖仓相关产品和服务不仅可以帮助您提高数据的使用效率，同时也可以兼顾数据治理和安全保护的要求。

在亚马逊云科技数据湖仓策略基础上，我们也推出了专门针对跨境场景应用的数据合规与实践策略，就是ETL——G，是一种数据合规与自己理论在跨境场景下的实践框架和解决方案，其主要倡导企业在数据保护、责任共担的治理策略下，从技术层面把敏感数据加载到目标消费数据湖仓之前，对数据执行最低要求的新量级转化。从而实现数据保护责任共担以及支持数据驻留等合规要求。

在这个框架中，我们主要倡导三个技术策略。一是中心化的数据治理能力可以协助您快速定位和发现你的数据架构的基础设施，以协助您进行数据合规运营和响应工作敏感数据在数据湖仓内的数据风险降级，可以帮您最大限度的降低数据合规风险的扩散，把主要风险集中在我们最原始的数据库仓内降低其他消费数据系统的数据合规的成本和数据保护的压力。最后，基于目的属性的防控制和审计有利于你快速构建遵循目的限制和数据最小化原则的数据处理策略。

而实践ETL——G框架，其实我们还需要一些额外的手段，就是创新推动。大家也知道，隐私工程并不是一个解决方案或者一个工具，它是您在游戏开发生命周期中的一种推荐的实践措施。那我们如何把隐私工程结合ETL的框架，在您的实际业务中落地？其实我们就需要有创新推动的方式。

什么是创新推动？创新推动首先需要您的企业管理层倡导一种通用的数据治理理念，并选择一个用力作为切入点逐渐影响其他的业务形成，最终形成一个滚动且可以满足合规要求的数据处理框架。我们使用这种小处着手的方式可以快速构建适应全球化业务扩展和数据挑战的试点和管理策略。

具体来说，我们可以分三步来做。第一步，大处着眼，首先我们要知道您的数据合规的挑战到底在哪里？您的业务发展的目的地在哪里？而您的当前最大的合规风险是什么？这里我们可以通过亚马逊科技的数据跨境管理工作坊或数据治理工作坊帮您去定义问题、发现问题以及跟你一块儿去探讨我们可行的一些技术解决方案和措施。

然后在我们大概知晓了企业的数据治理和管理策略的风险和短板之后，我们需要快速行动，用一些技术手段弥补相应的风险。同时，亚马逊科技的快速原型团队、数据实验室还有行业解决方案团队，其可以帮助您在云上构建相关的服务和措施，以便您实现敏捷和小处着手的推进方式。最后快速扩展，如果经过小处着手的一些实验，我们发现这个数据治理和管理措施是可以有效缓解您的数据合规风险的，我们也推荐您尽快的把相应措施扩展到多个业务线上，以便您最大限度的降低全球的数据合规风险。在这里，亚马逊云科技的专业服务团队以及我们的数据和安全合作伙伴生态可以帮助到您。

接下来让我来介绍一下亚马逊科技的快速原型项目，我们看一下这个全球化项目到底如何帮助您应对全球的数据合规挑战。

快速运行项目是一个四到六周的标准的交付项目，由亚马逊云科技的解决方案架构师组成。我们通过MVP或MLP的形式帮您在亚马逊科技的服务上构建可用的工具或中介界，以赋能您通过云服务去应对数据合规或自己挑战的一个能力。

整个项目是免费的，我们希望通过这样的项目，可以帮您快速上手亚马逊科技的服务与产品，同时帮助您做创新推动，实现以小处着手的方式去应对数据合规挑战的策略。

接下来，我以三个快速运行项目的方案和案例，给大家阐述一下如何使用隐私工程践行ETLG数据合规治理框架并打造有针对性的数据合规与治理工具。

首先，中心化的数据设计能力，数据跨境传输是中国出海企业的技术团队必须要面对的挑战。如何在满足数据监管的目的限制、数据最小化、责任承担和自己审查等要求前提下实施数据会计传输，是需要业务团队在产品开发过程中思考的问题。

亚马逊科技的快速运行团队通过开源项Data objects结合我们的eks，open search等服务，可以帮助您构建基于原数据的中心化数据治理能力，基于策略的敏感数据预处理能力和定制化的以标签为基础的防控制能力。

生成式人工智能技术的应用是当今的热门话题，但在实际应用中由于数据敏感，各国监管要求还不明确，加上成本和多元的问题，不少客户已经遇到了阻力。

而亚马逊云科技的快速运行团队结合ETL——G实践框架协助某银行企业应对使用open AI过程中的敏感数据处理挑战。通过原型交付降低客户特定场景需求中的数据风险，并优化了自自主模型的开发和使用成本。

在协助某跨国零售企业构建data下的可控数据设计能力的时候，快速运行团队利用亚马逊云服务的基础设施，搭建了一个独立的数据共享门户，帮助客户实现了数据分域自制和基于目的属性的控制。

除此之外，我们的客户Riot game，他们的知名游戏LOL也曾因为GDPR合规和数据问题遇到挑战。具体来说，LOL分散的资源和陈旧的架构无法满足GDP中的跨境合规需求，同时，恶意的登录流量影响了业务的正常运营，因此，客户寻求重新设计其全球统一账号管理系统的解决方案，以满足DPR方面的需求。

具体来看一下。RiotSignon在亚马逊科技上的整体架构主要包含几大特征，全球数据同步、保障数据一致性高可用服务DPR、审计和运营数据备份、压力测试以及性能调优。这些都证明了使用亚马逊科技的服务应对全球数据合规挑战的可行性。并且，众多为数据隐私而生的服务不仅可以帮助您满足合规需求，还能帮助您降低整体业务发展的成本。

最后，我想Call to action，中国游戏出海企业可以把数据隐私保护作为一个正和游戏，在游戏开发的过程中集成隐私工程原则，主动定义数据保护和隐私规则，使用亚马逊科技的Amazon Control Tower等服务实现自动化的隐私及代码。实际听起来有些难，但是不要忘记，亚马逊科技团队是您的坚实后盾，所以请联系我们。

最后，希望中国游戏出海企业在行稳致远的基础上继而有为。谢谢您今天的时间，再见。