7 августа на reddit появилось открытое письмо от фаната кастомки Ability Arena, в котором он рассказал о конфликте с создателями автобаттлера. В сообщении геймер подтвердил, что именно его обращение к Valve стало причиной, по которой компания запретила монетизацию в пользовательских играх в Dota 2, а также подробно рассказал о произошедшем. Полный перевод письма представлен Cybersport.ru.
Обновление: модераторы могут связаться со мной для подтверждения.
Обновление 2: в связи с тем, что несколько человек заявили, что они знают, кто подал жалобу в Valve в оригинальном треде от SUNSfan, и что они «придут за мной» в реальном мире, я пишу это сообщение с нового аккаунта из соображений безопасности.
Оригинальное уведомление о нарушении GDPR (Общего регламента по защите данных ЕС) было отправлено 1 апреля 2023 года напрямую юридическому отделу Valve в Германии. Его можно увидеть здесь.
Давайте начнем с начала:
SUNSfan в своем видео заявил, что на его сервер в Discord пришел некий «агрессивный человек», который угрожал жизням других людей, оскорблял их (SUNSfan, Jenkins и «волонтера»), а также пригрозил, что уведомление о нарушении GDRP будет отправлено из-за того, что «волонтер» не дал ему доступ к Discord-каналу для обладателей ранга «Титан» из-за ошибочного скриншота.
В этой истории есть около 10% правды и 90% фанфика от SUNSfan, который решил облить грязью меня и решение Valve закрыть его лавочку.
Что случилось на самом деле:
Я получил ссылку на канал в Discord, где можно было собрать более качественные лобби для Ability Arena, поскольку публичный матчмейкинг был довольно плох. Когда я зашел на сервер, то выполнил процедуру подтверждения, выслав скриншот. Через пару часов я вернулся и обнаружил, что мой запрос был отклонен. Я удивился и тегнул одного из участников сервера («волонтера», о котором говорит SUNSfan), носивших тег «Поддержка», чтобы узнать, что же пошло не так.
«Волонтер» ответил, что я не должен пинговать его/её через Discord, поскольку у него/неё есть «дела поважнее». Я был обескуражен таким ответом от человека, весь смысл существования которого на этом канале заключался в том, чтобы проверять игроков и давать им доступ к лобби «Титанов».
В итоге я проверил, что же это за «волонтер» такой. Почему вообще кто-то, кто настолько занят по жизни, решил взять себе роль «поддержки» на этом сервере?
Оказалось, что «волонтером» была жена SUNSfan, известная как Sajedene. Пинговать её величество с просьбой выполнить её работу оказалось ошибкой!
Тем временем я попытался понять, в чем была моя ошибка со скриншотом. Мне удалось это сделать, и в итоге я загрузил корректную версию.
Я сказал «волонтеру», что ей не следовало брать на себя эту роль, если она настолько занята, и посоветовал ей и её команде создать какого-нибудь автоматического бота, который мог бы раздавать роли, не беспокоя её саму. Кроме того, я оповестил её, что загрузил корректный скриншот.
Она ответила, что планировала посмотреть мою заявку немного позже, но из-за моего «поведения» передумала. Фактически меня просто послали к черту. В этот момент ситуация накалилась, и я сказал ей пару нелестных вещей о том, насколько она на самом деле «значима» для соревновательной сцены. Некоторые мои выпады определенно пришлись ниже пояса, но не считаю это катастрофой — технически я был прав. Однако я все еще никому не угрожал и не оскорблял Jenkins, если не считать того, что я предложил ему сделать автоматическую систему проверки профилей. Я просто агрессивно высказался о решении SUNSfan нанять собственную жену в качестве службы поддержки, хотя она, очевидно, не справляется со своими обязанностями. Гораздо лучше было бы позволить комьюнити самой Ability Arena разбираться с такими вещами.
Как я обнаружил нарушение GDPR? (Я специализируюсь на законах о GDPR в своей профессии.)
Пока я делал скриншоты, для которых мне потребовалось залогиниться на сайте Ability Arena через Steam, я вдруг заметил, что у SUNSfan не было ни опубликованной политики конфиденциальности, ни возможности удалить мой аккаунт, ни опции убрать с сайта информацию, ассоциирующуюся с моим профилем. Я также понял, что мои настройки приватности в Dota 2 были проигнорированы, а информация обо всех матчах и всех игроках, с которыми я встречался, стала доступна всем в интернете из-за Ability Arena — причем без моего одобрения.
Тогда же я обнаружил, что на сайте есть онлайн-магазин с предметами, боевыми пропусками, MTX... Кажется, все эти транзакции были доступны и в игре, но, перейдя на сайт, я понял, что они проводят часть операций за пределами клиента Dota 2, а в самом клиенте Dota 2 дают ссылку на этот сайт. Что запрещено не только правилами GDPR, но и, вероятнее всего, условиями предоставления услуг Steam.
Из-за этого всплывают проблемы не только со сливом Steam ID и данных из матчей, но и с налогообложением, поскольку при совершении транзакций на сайте Ability Arena необходимо применять налоговое законодательство каждой отдельной страны. Данные о транзакциях подпадают под действие GDPR, поскольку включают в себя имя, адрес и данные об оплате (номера кредитных карт, счета в банках, аккаунты PayPal...).
Любые операции с кастомными играми в Dota 2 и за ее пределами — это юридическое минное поле от начала и до конца. В том числе и для Valve, поскольку это она позволяет всему происходить.
Что было дальше:
Я сказал SUNSfan, что они с его командой нарушают GDPR и должны будут в скором времени прекратить работу (я уже знал, каким будет результат расследования Valve, задолго до его завершения, вопрос был только в том, сколько времени на это уйдет). Он посмеялся надо мной, сказал, что я могу делать все что хочу (на стриме он потом признался, что вообще впервые слышал о GDPR), а затем еще в шутку понизил мой ранг в своей кастомке до «Рекрута». После этого он опубликовал анонс, в котором сообщил, что «сбросил» мой ранг в качестве наказания. К GDPR это не относится. Справедливости ради, это было даже забавно.
После этого юридический отдел Valve связался со мной и спросил, есть ли у меня какие-либо конкретные пожелания о том, что делать с моими данными. Я попросил разработчиков удалить всё, поскольку SUNSfan проигнорировал мой запрос по 15-й статье («Право доступа для субъекта данных»), который я отправил по почте (1 апреля 2023 года).
Спустя какое-то время Valve заставила SUNSfan снова сбросить данные моего аккаунта до «Рекрута», поскольку к тому моменту у юридического отдела уже был официальный запрос на удаление данных.
Второе взаимодействие с юридическим отделом Valve:
Примерно через месяц я напомнил юристам Valve, что мы с ними вместе знаем о нарушениях сразу нескольких законов командой Ability Arena. Разработчикам Dota 2 нужно было срочно все исправить, поскольку они сами допустили это в клиенте своей игры и теперь фактически нарушали закон. Они выпустили заявление, в котором признали меня правым, и сообщили, что теперь будут тесно сотрудничать с авторами Ability Arena, чтобы во всем разобраться.
Фактически им нужно было добавить возможность вручную удалить все данные, ввести прозрачную политику конфиденциальности, придумать способ скрыть информацию об игроках, платежных данных и т. д. Любая компания, которая работает в Европе, обязана пройти через этот процесс, что обычно требует огромной работы от юристов. Время шло, и все в Valve, вероятно, осознавали, что ящик Пандоры открылся, и закрыть его быстро уже было невозможно.
Несколько законов, которые касаются компаний, работающих в рамках GDPR:
Соглашение о правилах передачи персональных данных между ЕС и США, статья 3 (параграфы 1, 2 (a, b) 3), статья 5 (параграфы 1, 2), статьи 6, 7, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21 и многие другие. По сути, большая часть статей в GDPR применима по отношению к монетизации кастомных игр в клиенте Dota 2.
Ведение бизнеса стоимостью в сотни тысяч долларов США на территории Европейского союза, рассчитанного на потенциально платежеспособных покупателей из стран ЕС, сопряжено с ответственностью, которой авторы Ability Arena грубо пренебрегали: от защиты данных до, скорее всего, налогообложения. Кто-то даже может посчитать это плохим бизнес-решением...
Обновление: почему SUNSfan сделал пост на канале Artifact и не упомянул в нем меня?
Он знает, что его «полуправда» может повлечь последствия (диффамация...), если он упомянет мое имя. То же касается и загрузки видео на канал Artifact, который уже несколько лет был мертв. Высок риск, что у него могли бы возникнуть новые юридические проблемы, если бы он воспользовался каналом DotaCinema. Все просчитано.
Короткий вывод:
SUNSfan занимался нелегальной деятельностью, прекрасно зная об этом, а теперь винит во всех бедах меня и Valve (за то, что компания не придумала способ, как исправить весь этот хаос).
Учитывая, как все комьюнити активно искало «виновного» в последние пару дней, советую вам присмотреться к самому SUNSfan, который пренебрег своими обязанностями CEO и не проследил за тем, чтобы его бизнес соответствовал европейским законам. Все остальные авторы кастомных игр в этой теневой структуре также несут ответственность.
Ранее стало известно, что Valve обратилась к разработчикам пользовательских игр в Dota 2 с требованием отказаться от любой монетизации к 17 августа 2023 года. Позже SUNSfan и Jenkins рассказали, что такое решение Valve приняла после того, как в юридическом отделе фирмы узнали о возможности покупать предметы в кастомках за реальные деньги, что может создать проблемы для компании. Это произошло из-за того, что авторов Ability Arena обвинили в нарушении регламента о защите персональных данных пользователей, действующего в Евросоюзе.