다음을 통해 공유

PC 및 모바일 게임용 Xbox 네트워크 서비스 데이터 처리 추록

  • 아티클

이 PC 및 모바일 게임용 Xbox 네트워크 서비스 데이터 처리 추록("추록")은 귀하와 Microsoft 간의 앱 개발자 계약("ADA")의 일부이며 귀하의 PC를 통해 귀하에게 제공되는 개인 데이터 처리에 적용됩니다. ADA의 조건과 본 추록의 조건이 상충하는 경우 본 추록의 조건이 우선합니다.

1. 정의. 이 추록에 사용된 대문자로 표기된 용어는 ADA 또는 이 추록에 제공된 정의를 따릅니다.

1.1 “데이터 수출자”는 (1) 국제 데이터 전송 메커니즘을 필요로 하는 관할권에 회사가 있거나 기타 안정적인 약정을 체결 중이고 (2) 개인 데이터를 전송하거나 데이터 수입자가 개인 데이터를 사용할 수 있도록 하는 당사자를 의미합니다.

1.2 "데이터 수입자"는 (1) 데이터 수출자의 관할권과 동일하지 않은 관할권에 위치하고 (2) 데이터 수출자로부터 개인 데이터를 받거나 데이터 수출자가 제공한 개인 데이터에 액세스할 수 있는 당사자를 의미합니다.

1.3 "데이터 보호법"은 데이터 보안, 보호, 처리 및/또는 개인 정보 보호와 관련하여 귀하 또는 Microsoft에 적용되는 모든 법률, 규칙, 규정, 법령, 법령 또는 기타 제정, 명령, 명령 또는 결의안과 집행 중인 파생 또는 관련 법률, 규칙, 규제 및 규제 지침(개정, 확대, 폐지 및 교체 또는 재제정된 형태)을 의미합니다.

1.4 "개인 데이터"는 식별되었거나 식별 가능한 자연인("데이터 주체") 및 기타 데이터와 관련된 모든 정보 또는 관련 데이터 보호법에 따라 개인 데이터 또는 개인 정보를 구성하는 정보를 의미합니다.

2. 데이터 보호법 준수. ADA 및 이 추록에 따라 전송된 개인 데이터와 관련하여 당사자들은 귀하와 Microsoft가 개인 데이터의 일반 데이터 보호 규정(GDPR)에 정의된 공동 컨트롤러가 아니라 각자 독립적으로 처리하는 독립적인 데이터 컨트롤러라는 데 동의합니다. 이 추록에 사용된 "컨트롤러"는 개인 데이터 처리의 목적과 수단을 결정하는 주체를 의미하며 "처리하다" 또는 "처리"는 수집, 기록, 구성, 저장, 적응 또는 변경, 검색, 상담, 사용, 전송에 의한 공개, 보급 또는 기타 사용 가능, 정렬 또는 결합, 차단, 제한, 삭제 또는 파기를 포함하여 당사자가 개인 데이터에 대해 수행하는 모든 작업 또는 일련의 작업을 의미합니다. "처리됨"은 해당 의미를 갖습니다. 개인 데이터의 독립 컨트롤러로서 당사자들은 다음과 같이 동의합니다.

2.1 일반 사항. 각 당사자는 규정 준수에 대해 독립적으로 책임을 지며, 데이터 보호법(예: 해당되는 경우 GDPR 13조 및 14조)에서 요구하는 내용대로 데이터 주체에게 통지, 데이터 보호법(예: GDPR 3장)에서 요구하는 대로 데이터 주체의 권리 행사 요청에 응답, 처리의 합법적인 근거(예: 동의 또는 적법한 이익) 확인 등을 포함하되 이에 국한되지 아니하고 데이터 보호법(예: 컨트롤러의 의무)을 준수합니다.

2.2 협력. 일방 당사자가 정부, 입법, 사법, 법 집행 또는 규제 기관(예: 연방 무역 위원회, 미국 주 법무 장관 또는 유럽 데이터 보호 기관)으로부터 요청 또는 문의를 받거나 직면하는 경우 ADA 및 본 추록에 따라 공유되는 당사자의 개인 데이터 처리(총칭하여 "문의")와 관련하여 실제 또는 잠재적인 청구, 문의 또는 불만 사항이 있는 경우 해당 당사자는 그러한 통지가 해당 법률에 의해 금지되는 경우를 제외하고 부당한 지체 없이 상대방에게 통지합니다. 수신 당사자는 상대방이 질의에 응답할 수 있도록 클레임 방어와 관련된 정보를 포함하여 질의와 관련된 정보를 상대방에게 즉시 제공해야 합니다. 요청 시 당사자는 데이터 보호 영향 평가 또는 데이터 보호 당국과의 사전 협의를 수행할 의무(있는 경우)를 이행하기 위해 상대방에게 관련 정보를 제공합니다.

2.3 데이터 보안. 귀하는 귀하의 네트워크, 운영 체제, 소프트웨어, 데이터베이스 및 기타 관련 컴퓨터 시스템이 Microsoft로부터 받거나 획득한 모든 개인 데이터를 안전한 방식으로 모든 요구 사항을 준수하여 저장, 관리 및 보호하도록 적절하게 구축, 구성 및 운영되는지 확인해야 하며 Xbox 요구 사항("XR")에 포함된 그와 관련된 요구 사항들이 모두 준수되도록 하여야 합니다. 각 당사자는 모범 산업 관행 및 데이터 보안과 관련된 데이터 보호법(GDPR 32조 포함)에 따라 필요한 모든 조치를 취합니다.

2.4 기밀 유지. 각 당사자는 개인 데이터 처리 권한이 있는 사람이 NDA 또는 적절한 법적 기밀 유지 의무에 명시된 내용 이상으로 데이터를 보호나느 기밀 유지 의무를 다하도록 해야 합니다.

2.5 개인 데이터 판매 금지. 고객의 추가 승인 또는 반대 지시에 따라 귀하는 (i) 게임 및 게임 관련 서비스 제공과 관련하여 개인 데이터를 사용하고 (ii) 귀하를 대신하여 작동하는 계약에 구속된 처리자 또는 하위 처리자를 제외하고 개인 데이터를 제3자에게 전송, 공유 또는 판매하지 않습니다(여기서 "공유""판매"는 다음에 의해 정의됨 캘리포니아 소비자 개인 정보 보호법 또는 기타 적용 가능한 데이터 보호법에 정의됨). Microsoft가 관련 데이터 보호법에 따라 식별되지 않은 데이터로 간주되는 데이터를 전송하는 경우 귀하는 데이터가 개인 데이터가 되도록 데이터를 재식별하려고 시도하지 않습니다(또한 귀하의 하위 처리자가 시도하지 않도록 해야 합니다). 캘리포니아 소비자 개인 정보 보호법이 모든 개인 데이터에 적용되는 범위 내에서 귀하는 위의 제한 사항을 이해하고 이를 준수할 것임을 보증합니다. 관련 데이터 보호법에 따른 의무를 더 이상 충족할 수 없다고 판단되면 Microsoft에 통지해야 합니다.

2.6 귀하는 고객으로부터 데이터 주체 권리 요청을 받는 것에 대한 Microsoft의 지침과 ADA에 명시된 대로 개인 데이터 사용에 적용되는 기타 합당한 요구 사항을 준수해야 합니다.

2.7 귀하는 본 추록의 조건에 따라 해당 법률에서 요구하는 대로 귀하의 개인 정보 보호 의무 준수 및/또는 실행에 대한 규정 준수 검토를 수행하라는 Microsoft의 요청을 준수해야 합니다. Microsoft는 1년에 한 번 또는 고객 불만이 있는 경우 이러한 검토를 요청할 수 있습니다. 고객 불만 사항이 있는 경우를 제외하고 규정 준수 검토에 참여하는 대신 규정 준수 증명서를 제출할 수 있습니다.

2.8 원인에 대한 ADA가 종료되거나, 귀하가 데이터를 잘못 취급하고 있다는 불리한 규정 준수 검토 결과가 있거나 문의에 개시될 경우, 귀하는 Microsoft의 요청에 따라 즉시 삭제하거나 ADA 추록에 따라 공유된 모든 개인 데이터 사본을 Microsoft에 반환해야 합니다. 단, 계약 종료 후 개인 데이터를 보유할 해당 데이터 보호법에 따라 귀하가 권리 또는 의무를 갖는 범위를 제외합니다. Microsoft에서 요청하는 경우 귀하는 30일 이내에 서면으로 삭제를 확인해야 합니다.

2.9 국제 개인 데이터 전송 요구 사항. 일부 관할권에서는 개인 데이터를 다른 관할권의 수령인에게 이전하는 법인이 수령인의 관할권의 법률이 이전 법인의 관할권과 동등한 방식으로 개인 데이터를 보호하지 않는 경우 개인 데이터가 특별한 보호를 받도록 추가 조치를 취하도록 요구합니다("국제 데이터 전송 메커니즘"). 당사자는 표준 계약 조항을 포함하여 해당 데이터 보호법에서 요구할 수 있는 모든 국제 데이터 전송 메커니즘을 준수합니다. “표준 계약 조항”은 2021년 6월 4일자 유럽 경제 지역에서 제3국으로의 국제 전송에 대한 유럽 연합 표준 계약 조항, 위원회 이행 결정(EU) 2021/914를 의미합니다. 당사자들은 다음과 같이 동의합니다.

2.9.1 당사자가 의존하는 국제 데이터 전송 메커니즘이 무효화되거나 대체되는 경우 당사자는 성실하게 협력하여 적절한 대안을 찾습니다.

2.9.2 Microsoft가 귀하에게 전송하거나 귀하의 액세스를 허용하는 국제 데이터 전송 메커니즘(예: EEA, 스위스 또는 영국)이 필요한 관할권에 위치한 데이터 주체의 개인 데이터와 관련하여 당사자들은 이 추록은 또한 본 조항에서의 참조를 통해 편입되고 이 추록의 필수 부분을 구성하는 표준 계약 조항을 실행합니다. 당사자들은 당사자의 입력이 필요한 표준 계약 조항의 요소와 관련하여 별표 1에 표준 계약 조항의 부속서와 관련된 정보가 포함되어 있다는 데 동의합니다. 당사자들은 영국, 스위스 또는 별표 1에 지정된 다른 국가에 있는 데이터 주체의 개인 데이터에 대해 다음과 같이 표준 계약 조항을 현지 법률에 적용하기 위해 별표 1에 나열된 표준 계약 조항에 대한 수정 사항을 채택하는 데 동의합니다(해당되는 내용에 따라).

2.10 별표 1. 별표 1은 당사자의 처리 목적, 처리와 관련된 개인 데이터의 유형 또는 범주, 처리의 영향을 받는 데이터 주체의 범주, 관련 데이터 보호법에 따른 당사자의 상태를 설명합니다.

별표 1 — 처리에 대한 설명

처리 활동 당사자의 지위 처리될 수 있는 개인 데이터의 범주 처리될 수 있는 민감한 데이터의 범주 적용 가능한 SCC 모듈
귀하는 컨트롤러로서 개인 데이터를 수집하거나 수신합니다. Microsoft는 컨트롤러입니다.

귀하는 컨트롤러입니다.
  • Xbox 사용자 식별(XUID)
  • 위치 데이터
  • IP 주소
  • 장치 기본 설정 및 개인 설정
  • 웹사이트 서비스 이용, 웹페이지 클릭 추적
  • 소셜 미디어 데이터 및 소셜 그래프 관계
  • 피트니스 모니터와 같은 연결된 장치의 활동 데이터
  • 이름, 주소, 전화번호, 이메일 주소, 생년월일, 피부양자 및 비상 연락처와 같은 연락처 데이터
  • 사기 및 위험 평가, 신원 조회
  • 메타데이터 및 원격 분석
  • Xbox Live, OneDrive 소비자
  • 고객이 생성한 지원 티켓
  • 청구 데이터
  • 전자상거래 데이터
  • 이벤트 등록
  • 교육
  • GUID(Globally Unique Identified)
  • 여권 사용자 ID 또는 고유 식별자(PUID)
  • 해시된 최종 사용자 식별 정보(EUII)-세션 ID
  • 장치 ID
  • 진단 데이터
  • 로그 데이터
  • 충돌 덤프 데이터
  • 고객의 연령 관련 데이터
  • 어린이 관련 데이터
 모듈 1

참고: 나열된 범주는 설명적이며 반드시 당사자가 나열된 각 데이터 범주를 처리하고 있음을 의미하지는 않습니다.

1. 국제 데이터 전송에 대한 정보:

1.1 전송 빈도: 모든 개인 데이터에 대해 지속적입니다.

1.2 보유 기간: 컨트롤러로서 당사자는 비즈니스 목적이 있는 동안 또는 해당 법률에서 허용하는 가장 긴 기간 동안 개인 데이터를 보유합니다.

2. 표준 계약 조항의 목적을 위해:

2.1 제7조: 당사자는 선택적 도킹 조항을 채택하지 않습니다.

2.2 제11(a)조: 당사자는 독립적인 분쟁 해결 옵션을 선택하지 않습니다.

2.3 제17조: 당사자는 옵션 1을 선택합니다. 당사자들은 관할권이 아일랜드라는 데 동의합니다.

2.4 제18조: 당사자는 법정지가 아일랜드임을 동의합니다.

2.5 부속서 I(A): 데이터 수출자는 데이터 수출자(위에 정의됨)이고 데이터 수입자는 데이터 수입자(위에 정의됨)입니다.

2.6 부속서 I(B): 양 당사자 별표 1이 데이터 전송을 설명한다는 데 동의합니다.

2.7 부속서 I(C): 관할 감독 기관은 아일랜드 데이터 보호 위원회입니다.

2.8 부속서 II: 당사자들은 본 부칙 1, 제4편에 데이터 전송에 적용되는 기술적 및 조직적 조치가 설명되어 있음에 동의합니다.

3. 표준 계약 조항들은 지역화하기 위해 다음을 수행합니다.

3.1 스위스

3.1.1 당사자들은 모든 데이터 전송에 대해 GDPR 표준을 채택합니다.

3.1.2 제13조 및 부속서 I(C): 제13조 및 부속서 I(C)에 따른 권한 있는 당국은 연방 데이터 보호 및 정보 위원회 참여국이며 동시에 앞서 설명한 EEA 회원국입니다.

3.1.3 제17조: 당사자들은 준거 관할지가 아일랜드라는 데 동의합니다.

3.1.4 제18조: 당사자는 법정지가 아일랜드임에 동의합니다. 당사자들은 스위스의 데이터 주체가 18(c)조에 따라 스위스에서 자신의 권리를 위해 소송을 제기할 수 있도록 표준 계약 조항을 해석하는 데 동의합니다.

3.1.5 당사자들은 개정된 데이터 보호법이 시행될 때까지 "데이터 주체"에 스위스 법인에 대한 정보가 포함되도록 표준 계약 조항을 해석하는 데 동의합니다.

3.2 영국

3.2.1 당사자들은 표준 계약 조항이 영국에서 제3국으로의 데이터 전송을 위해 운영되고 영국 일반 데이터 보호 규정("UK GDPR")의 제46조에 따라 전송에 대한 적절한 안전 장치를 제공하는 데 필요한 범위까지 수정된 것으로 간주된다는 데 동의합니다. 이러한 개정에는 GDPR에 대한 언급을 영국으로 변경하고 EU 회원국에 대한 언급을 영국으로 변경하는 것이 포함됩니다.

3.2.2 제17조: 당사자들은 영국이 준거법 관할이라는 데 동의합니다.

3.2.3 제18조: 당사자들은 법정지가 포럼이 잉글랜드와 웨일즈의 법원이라는 데 동의합니다. 당사자들은 데이터 주체가 영국 내 모든 국가의 법원에서 각 당사자를 상대로 소송을 제기할 수 있다는 데 동의합니다.

3.2.4 영국에서 전송하는 경우 Microsoft에서 구현하는 IDTA가 적용됩니다. 계약의 목적상 "IDTA"는 영국 데이터 보호법 2018의 S119A(1)에 따라 영국 정보 위원회에서 발행한 국제 데이터 전송에 대한 유럽 위원회의 표준 계약 조항에 대한 국제 데이터 전송 추록을 의미합니다.

4. 기술적 및 조직적 보안 조치. 귀하는 추록의 섹션 2.3에 명시된 기술적 및 조직적 조치를 준수해야 합니다.