Всем привет! Мы проанализировали последние 50 наших консультаций по вопросам от разработчиков мобильных приложений и подготовили немного самых важных юридических советов, которые будут Вам полезны.
Самые распространенные вопросы и проблемы, с которыми к нам в ITdoc обращаются — это вопросы о том, с какой стороны вообще подойти к юридической стороне бизнеса, как с правовой точки зрения организовать свой ИТ-проект.
Эти вопросы возникают как у начинающих разработчиков, так и у крупных студий, когда у них начинаются проблемы. Не советую доводить до последнего, потому что тогда цена решения проблемы резко возрастает для бизнеса: вы влили денег в рекламу, во всю идёт кампания, а в этот момент стор удаляет приложение… теперь в авральном режиме надо его восстанавливать, вносить правки в бизнес-процессы, привлекать разработчиков, разрабатывать документы, отвечать на претензии пользователей… в общем, мы были в таких ситуациях и могу сказать, что для предпринимателей — это бывает жуткий стресс-тест. А достаточно просто подготовиться заранее.
Каждый из нас хочет иметь как можно больше ресурсов, иметь как можно меньше проблем, высоко цениться и просто быть счастливым. Надеюсь, наши советы помогут Вам избежать проблем и приблизиться к заветному: )
Совет № 1.
Здесь всё очень просто: Google Play, App Store — исключительно платформы цифровой дистрибуции приложений (распространитель), а Вы являетесь правообладателем приложения (продавцом). Следовательно, чтобы распространять свой продукт через сторы — Вы должны соответствовать их требованиям и правилам, определенным в соглашениях с разработчиками:
Хочу обратить внимание, что все отношения между Вами и стором регулируются законами США и штата Калифорния, по своей сути все соглашения и политики корпораций Google LLC и Apple Inc. образуют транснациональную отрасль права.
Если Ваше приложение не соответствует указанным требованиям, то при первичном машинном ревью, где формально проверяется приложение — стор не пропустит Ваш продукт, либо при последующих ревью удалит его.
Совет № 2.
Важно продемонстрировать, что это живой проект и его цель не нарушение законов, мошенничество или обман. Для этого идеально подходит сайт, пусть даже бесплатный, кривой, косой и минималистичный, но у нас цель показать, что Вы — реальный человек или организация и не выдаёте себя за другое лицо.
Поэтому, важно указать на сайте контактную информацию о себе, к примеру, краткое описание продукта, электронную почту или номер телефона, адрес, а также опубликовать правовую информацию. Ссылки на социальные сети будут очень кстати.
Совет № 3.
Google в правилах пишет следующее по этому вопросу:
В политике конфиденциальности и в информации об использовании личных данных, размещенной в самом приложении, нужно подробно объяснить, как собираются, применяются и передаются пользовательские данные и кто может получить к ним доступ. Обратитесь к юристу за консультацией
Здесь важно понимать кто является целевой аудиторией и кто является правообладателем продукта. К примеру, если ЦА и правообладатель из ЕС, то надо делать упор на Privacy policy с учётом положений GDPR, если США, то с положениями законов США, а если РФ, то — РФ.
Если Вы как правообладатель находитесь в РФ, то Вам необходима политика по обработке персональных данных, даже если Вы — физическое лицо, то Вы можете являться оператором обработки персональных данных.
Как ранее я указывал, Google LLC и Apple Inc. действуют в соответствии с требованиями законов США, поэтому идеальным вариантом является подготовка для приложения как Privacy policy (в соответствии с требованиями США и ЕС), так и политики по обработке персональных данных (если Вы в РФ).
Без публикации этого у Вас не получится пройти первичное автоматическое ревью стора. В худшем случае, если у Вас нет сайта, то Вы можете опубликовать политику в. pdf на Google Drive и расшарить файл для всех, а при оформлении приложения — указать ссылку на этот файл.
Совет № 4.
Как было сказано ранее: Вы — продавец и правообладатель, а значит всю ответственность за продукт несёте Вы, в том числе перед пользователем. И ваши отношения должны быть оформлены, если нет — то регулируется всё общими положениями законов и налоговыми органами трактуются как им заблагорассудится, что вероятнее всего будет не в Вашу пользу.
Пользовательское соглашение является тем самым правовым основанием получения Вами денег от пользователя и призвано урегулировать все эти вопросы, снять с Вас ответственность, которую я уверен, Вы не хотите нести.
Здесь точно также как и с персональными данными: если Вы находитесь не в РФ или Ваш продукт рассчитан на зарубежную аудиторию, то необходимо позаботиться о том, чтобы было соответствие пользовательского соглашения местным законам и имеет смысл опубликовать Terms&Conditions или хотя бы EULA + пользовательское соглашение в соответствии с законами РФ (если Вы или аудитория в РФ).
Совет № 5.
Это критично важное требование сторов и законов (как в РФ, так и в США, и в ЕС).
Нельзя делать browse-wrap по типу «Нажимая кнопку «Далее» — Вы соглашаетесь с условиями, политиками, требованиями, желаниями и передаёте всю недвижимость».
Нельзя делать предустановленные отметки о согласии с пользовательским соглашением или политиками, это должно быть волеизъявление пользователя, что он согласен.
Установлено, что можно только делать чек-бокс и ссылку на документ, с которым соглашается пользователь. При этом, запрос должен быть сформулирован предельно ясно и чётко, подкреплён волевым действием пользователя.
Иногда это влияет на лояльность пользователей и конверсию ЦА, потому что пользователи не любят ставить галочки и совершать лишние действия, это их пугает. Всё же мы настоятельно не рекомендуем забивать на это требование и если у Вас есть идея компромиссного решения — прошу напишите мне, мы это обсудим!
Совет № 6.
В политике конфиденциальности (Privacy policy и политике по обработке персональных данных) важно указывать какие данные пользователя собираются и кому передаются.
Всё должно быть максимально прозрачно.
Для примера: Вы разработали игру на Unity, а монетизируете рекламой от Appodeal. Даже если Вы сами не собираете вообще никаких данных, то Unity и Appodeal — делают это (рекламный ID пользователя, информация об оборудовании, времени и месте использования приложения и т.д.). Не стоит это скрывать, лучше откровенно написать об этом в политике и предупредить пользователя.
Совет № 7.
Это банально, но если у Вас цель — заработать деньги, то не стоит пытаться обманывать и нарушать законы, использовать чужие авторские и исключительные права.
Не думайте, что никто не заметит или «и так прокатит» потому что в самый неблагоприятный момент — это сыграет злую шутку. В этом совете речь идёт не только фишинг, отъявленный сбор данных кредитных карточек, но и использование фотографий и контента, принадлежащих третьим лицам, создание полного клона чужого приложения, содержание порнографического контента, нарушение возрастного ценза и т.д.
Это не только репутационные риски и принесет удаление приложения, блокировку всех аккаунтов разработчика, но и высокие штрафы с ответственностью за нарушения.
Совет № 8.
Один из первых вопросов, когда начинаем общение с клиентами «Кто правообладатель?». Правообладатель — это то лицо, которое обладает исключительными правами на продукт.
Если разработчик как физическое лицо создал продукт и опубликовал — он является правообладателем. Если заказчик заключил договоры по которым заказал разработку, разработчик написал код, дизайнер разработал дизайн и интерфейс, т.д. — правообладателем становится заказчик.
Без договора между заказчиком и исполнителем (допустим, фрилансером) — исключительные права могут заказчику не перейти, а значит впоследствии исполнитель как правообладатель (автор и создатель результата интеллектуального труда) сможет обратить в суд за защитой нарушенных прав и интересов с иском к заказчику, когда продукт будет востребованным и популярным.
В этом вопросе каждый случай и риски следует рассматривать индивидуально, потому что зависит от многих факторов и отношений между заказчиком и исполнителем. НО в любом случае, даже если заказчик выйграет суд, то он потратит много ресурсов (сил, времени, денег) на это, не проще ли заранее заключить договор с исполнителем и спать спокойно?…
И к тому же, если заказчик решит продать своё продукт за $1 000 000 крупному игроку, то как он это сделает, если юридически он не обладает исключительными правами и не подтверждающих документов?
Вопрос о правообладателе исключительных прав — крайне важная тема, так как именно из него определяются лица, ответственные за приложение, какие риски возникают при его функционировании, какие правильно выстроить отношения с пользователем, как правильно выбрать налогообложение и какие санкции будут применяться в случае нарушения законов.
Совет № 9.
Если Ваше приложение удалили, значит оно нарушает правила стора или законы. Это могло быть в результате автоматического ревью, но чаще по жалобе пользователей.
Не всегда понятно по какой причине это произошло и что конкретно нарушено, что исправлять. В руководстве для разработчиков App Store есть интересная позиция:
Мы будем отклонять любые приложения за содержание или характеристики, которые, по нашему мнению, переходят черту. Вы спросите, какую черту? Итак, как однажды сказал судья Верховного суда: «Пойму, когда увижу». И мы считаем, что вы сами также поймёте, когда перейдёте черту.
В таком случае мы сами проводим собственное ревью и указываем на допущенные Вами ошибки, которые могли привести к удалению, а потом контролируем их устранение и прохождение апелляции.
Спорить с модераторами стора можно только, если вы уверены в своей правоте на 100%. И если вас уже ловили на нарушениях, ни к чему хорошему общение с модераторами не приведет. Могут сразу заблокировать аккаунт разработчика.
P.S. И ещё один не правовой, но важный совет
Каждый хочет высоко цениться и чтобы его приложение было в топе, чтобы пользователи платили и ждали следующие продукты, другие разработчики восторгались кодом, а дизайнеры падали в обморок от гениальности. В общем, быть рок-звездой в IT.
За 3 года существования проекта ITdoc — мы работали более чем с 300 IT-проектами, во многих лично я участвовал в качестве бизнес-консультанта. Могу сказать, что порой очень неожиданные проекты «выстреливают», потому что у организатора — огонь в глазах от своей идеи, он горит изменить этот мир и свою жизнь. Поэтому, если у Вас есть идеи и хотя бы минимальные ресурсы, чтобы пробовать — смело делайте это, творите, будьте крутым, ведь никто кроме Вас это не сделает!
Развивайтесь, творите, создавайте и живите счастливой жизнью, а правовые вопросы и проблемы — оставьте нам: )
Успехов,
с уважением, Журлов Никита,
проект ITdoc.
P.s.s. При оформлении использованы иконки: Aneeque Ahmed, Eucalyp, Aisyah, Adrien Coquet from the Noun Project, Copyright Icon by Google Inc.
Комментарий недоступен
На двух экранах не имеет смысла делать чек-бокс о согласии.
Достаточно установить отметку на 2 экране, где собираются сами персональные данные (до получения остальных данных - номер телефона не может относиться к ПД, так как только по нему нельзя идентифицировать лицо).
Не забудьте сделать надписи у чек-боксов линками на эти документы! :)
Комментарий недоступен
Давайте, тогда разберёмся с вопросом что такое вообще ПД.
Как с точки зрения российского законодательства, так и с точки зрения законодательства ЕС (GDPR, который Вы указали): персональные данные - это некая совокупность данных по которым можно идентифицировать человека, то есть точно сказать что Иванов Иван Иванович - это вот этот человек и никакой иной.
В деталях и процедурах между GDPR и 152-ФЗ уже будут различия, но понятие ПД примерно одинаковое.
Только по номеру телефона (то что Ваш пользователь вводит на 1 экране) - идентифицировать его нельзя, поэтому это не является ПД. Потом, когда на 2 экране к нему добавляются ещё данные, то номер телефона дополняет и предоставляет возможность полностью установить лицо, поэтому имеет ставить чек-бокс именно там.
По этому вопросу есть разъяснение РКН и соответственным образом сложившаяся практика:
"Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца. Осуществление же телефонного опроса без указания на фамилию, имя, отчество, дату рождения, адреса места жительства субъекта персональных данных и т.д., само по себе подразумевает анонимность данного мероприятия и не является обработкой персональных данных какого-либо конкретного субъекта персональных данных".
Так как Вы сделали ссылку на GDPR, видимо, Ваш проект имеет зарубежную аудиторию, возможно следующее будет полезно :) Периодически, я общаюсь с регуляторами GDPR - DPO (Data Protection Office) в разных странах, которые как раз являются надзором в области защиты ПД в ЕС, мы с ними поднимали вопросы по квалификации телефонов и электронных почты в качестве ПД. Как я и говорил, номера телефона в отрыве от остальных данных - не ПД, а вот электронная почта, где содержится фамилия - это уже ПД (к примеру i.ivаnоv@gmаil.cоm).
Если остались какие-нибудь вопросы - можете мне написать, я понимаю, что правовая сторона сферы довольно специфическая
Комментарий недоступен
Хороший вопрос. В указанном Вами случае надо более подробно смотреть на конкретный проект и продукт, чтобы не быть голословным. Это связано с тем, что кроме фото и номера могут автоматически собираться ещё данные и совокупность данных может позволять идентифицировать лицо.
Хочу отметить, что никто не запрещает хранить и обрабатывать данные на зарубежных серверах. Важно, чтобы на серверах в РФ в базах данных была самая актуальная полная информация. Это называется локализация ПД. А потом можно, чтобы они шли в любую страну, обеспечивающую на правовом и техническом уровне адекватную защиту ПД. Это уже трансграничная передача ПД, о чём надо уведомлять пользователей в документах. Обычно это делается так: ПД собираются сначала на сервер в РФ, а потом отправляются на зарубежный сервер, где обрабатываются и где сам продукт.
Если хотите, то можете написать мне в соцсетях, мы обсудим Ваши вопросы детальнее.
Комментарий недоступен
Можно и по первому варианту. Главное, чтобы в РФ на сервере была база данных с наиболее актуальными и полными персональными данными.
Комментарий недоступен
Спасибо, буду ждать :)
Комментарий недоступен
В большинстве случаев получается вернуть приложение в стор, если нет грубых нарушений. Но для этого надо чтобы апелляцию проводил вручную модератор и понимал сложившуюся ситуацию.
Самое сложное - это когда модератор вернул приложение, а алгоритм его опять автоматически удалил. И никто не может понять в чём же нарушение. Тогда приходится карайне скорпулёзно проводить ревью и искать к чему же придрался алгоритм стора :)