Что нужно знать правообладателю видеоигры о сборе персональных данных несовершеннолетних: GDPR и COPPA
За последние года прослеживается тенденция ужесточения правил обработки персональных данных во всем мире. В частности, это касается данных несовершеннолетних пользователей.
В России несколько раз вносились ужесточающие поправки в Федеральный закон «О персональный данных», Федеральный закон «Об информации, информационных технологиях и защите информации» и Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию».
Несмотря на достаточно исчерпывающие российское регулирование данной сферы, разработчикам и паблишерам видеоигр, продукты которых распространяются в том числе и на иностранную аудиторию, необходимо понимать принципы, правила, границы и последствия иностранных законов, которые могут иметь прямое или косвенное влияние на их бизнес-процессы.
В 2018 году в Европейском союзе был принят Регламент GDPR (The General Data Protection Regulation), в США – COPPA (Children’s Online Privacy Protection Act).
GDPR (General Data Protection Regulation) – это общий регламент для Европейского союза (ЕС), который устанавливает правила защиты и обработки персональных данных физических лиц. Онлайн-сервисы должны соблюдать GDPR, если:
- у сервиса есть юридическое лицо в ЕС и при его деятельности обрабатываются персональные данные
у сервиса нет юридического лица в ЕС, но сервис предлагает товары и услуги жителям ЕС (вне зависимости, платный сервис или нет)
- у сервиса нет юридического лица в ЕС, но сервис мониторит поведение жителей ЕС
К сервисам относятся мобильные игры, видеоигры, социальные сети, форумы, торговые площадки, и другие онлайн-сервисы.
COPPA (Children’s Online Privacy Protection Act) – Закон США о защите персональных данных детей до 13 лет, который обязывает любые онлайн сервисы, которые так или иначе осуществляют сбор и обработку персональных данных несовершеннолетних, запрашивать согласие родителей или законных представителей при сборе и обработке персональных данных таких пользователей.
Какие персональные данные подпадают под действие GDPR и COPPA:
Какие действия с персональными данными подпадают под закон
GDPR будет применяться к разработчикам (операторам) приложений, если они обрабатывают персональные данные жителей ЕС, включая несовершеннолетних. Обработка персональных данных – это совершение любых действий с персональными данными. Например, к обработке относятся сбор, просмотр, структурирования, хранение, изменение, предоставление доступа третьим лицам, удаление и любое другое использование персональных данных.
Несмотря на то, что GDPR прямо не предусматривает внедрение отдельной политики для несовершеннолетних (до 16 лет, в ряде стран ЕС – до 13 лет), GDPR указывает, что любое лицо, которое осуществляет сбор и обработку персональных данных несовершеннолетних, обязан предусмотреть политику конфиденциальности, понятную для несовершеннолетней аудитории.
В GDPR есть схожие с COPPA правила о том, что даже если видеоигра прямо не направлена на несовершеннолетних пользователей, оператор персональных данных обязан соблюдать стандарты GDPR по сбору и обработки персональных данных.
COPPA будет применяться к разработчикам (операторам) приложений в следующих случаях:
- оператор осуществляет сбор и обработку персональных данных несовершеннолетних до 13 лет
- если оператор знал или мог знать о том, что он осуществляет сбор и обработку персональных данных пользователей до 13 лет (даже если приложение прямо не направлено на аудиторию младше 13 лет)
- иные лица с согласия оператора осуществляют обработку данных несовершеннолетних до 13 лет, к примеру, в случае распространения рекламы или внедрения плагинов
- при этом сбор персональных данных не обязательно должен быть основной и неотъемлемой частью приложения: достаточно, если приложение пассивно отслеживает действия пользователей или позволяет пользователям взаимодействовать через чаты, форумы или позволяет постить сообщения
Последствия нарушения
GDPR: штраф до 20 миллионов евро, либо до 4% от оборота компании за предыдущий финансовый год
COPPA: штраф в 43 тысячи долларов США
Что предпринять разработчикам во избежание ответственности
GDPR:
- Обработка персональных данных должна быть законной. То есть, должно быть получено согласие от того, чьи данные обрабатываются, или должно быть иное законное основание для обработки. Если обработка осуществляется на основании согласия, то галочка в согласии не должна быть заранее проставлена за субъекта данных. Иначе будет сложно показать, что согласие дано добровольно. Перед дачей согласия на обработку должна быть возможность ознакомиться с политикой конфиденциальности.
Отсутствие согласия пользователей может привести к штрафу. Так, Amazon в 2021 году был оштрафован на 746 млн евро за таргетированную рекламу без согласия пользователей.
Персональные данные должны обрабатываться прозрачно для субъекта данных. Поэтому нужна такая политика конфиденциальности, где будет понятно написано, какие персональные данные собираются, для каких целей, как именно они обрабатываются, как защищаются и т.д. Также должна быть информация о компании, которая обрабатывает персональные данные, и контактные данные для связи.
В этом году компания Meta* была оштрафована на 390 млн евро. Регулятор посчитал, что компания недостаточно чётко объяснила пользователям все условия согласия на обработку данных в пользовательском соглашении. Это был признано равносильным принуждению к согласию на таргетированную рекламу.
*Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».
- Следует вести реестр деятельности по обработке персональных данных. В этом реестре собирается общая информация об обработке. Реестр можно вести в Excel.
- Нужно предпринять меры по защите персональных данных. Меры могут быть как техническими, так и организационными. Например, к персональным данным может быть допущен только конкретный перечень работников. Стоит также защитить сайт компании. За утечку данных может быть назначен штраф. Например, Facebook был оштрафован на 256 млн евро за утечку данных пользователей.
- Если ваш сайт собирает необязательные cookie файлы, то нужно разместить баннер для получения согласия субъекта данных на сбор таких cookie файлов.
- При масштабной обработке данных в компании может быть назначен инспектор по защите персональных данных (DPO). Его основная задача – контролировать соблюдение GDPR в компании.
- Если к обработке привлекаются сторонние компании, то перед сотрудничеством с ними нужно убедиться, что они обеспечивают обработку по требованиям GDPR и принимают меры по защите персональных данных. Потом с такой сторонней компанией должно быть подписано соглашение по требованиям из GDPR. К этим требованиям относятся гарантии конфиденциальности, указание на виды и сроки обработки персональных данных, список организационных и технических мер по защите данных, и т.д.
- Отказаться от внедрения автоматического профайлинга для маркетинговых целей.
- Желательно оценивать влияние видеоигр free-to-play на несовершеннолетних, разрабатывать механизмы защиты несовершеннолетних от злоупотреблений, особенно с внутриигровыми покупками.
- Разрабатывать различные механики, которые помогут ограничить излишний сбор персональных данных несовершеннолетних.
- Проводить исследования и тестировать новые механизмы подтверждения возраста детей и предоставления родительского согласия.
- Рекомендуется творчески подходить к подаче информации во время обращения к несовершеннолетним пользователям, снабжать документами графическими изображениями, схемами, видео, мультипликацией.
- Четко информировать о любых маркетинговых составляющих в игре (всплывающие баннеры).
Для соблюдения COPPA рекомендуем:
- Составить максимально простую, прямую и ясную форму согласия на обработку персональных данных для родителей (желательно, в виде графических схем, коротких видеороликов), с обязательным указанием целей обработки.
- Сделать по умолчанию обязательным верификацию родительской кредитки для регистрации аккаунта и подтверждения возраста и ID.
- Сделать обязательной верификацию пользователя через email родителя либо электронную подпись.
- Использовать технологии по обнаружению заведомо недостоверных сведений, фейковых аккаунтов.
- Отказаться от заведомо провокационных вопросов «Вам уже исполнилось 13 лет?».
- Ограничить возможность повторно вводить возраст после отказа в доступе.
- Предоставить родителям: сведения об обрабатываемых персональных данных, доступ к аккаунту ребенка, а также возможности по удалению и предотвращению использования персональных данных ребенка, включая отзыв согласия на обработку и требование об уничтожении данных.
- Удалять обрабатываемые персональные данные в случае отсутствия необходимости и цели их обработки.
Все вышеуказанные меры крайне необходимы для соблюдения COPPA. На практике ответственность может наступить, если ваше приложение позволяет детям повторно вводить возраст после отказа (back-buttoning). Так, в июле 2022 года не соответствующим требованиям COPPA было признано приложение Bratz Makeover за внедрение «двух окон» подтверждения возраста – оригинальное всплывающее окно для указания возраста и следующее за ним согласие родителей. Однако возрастные ограничения пользователи могли обойти, указывая иной возраст до получения согласия родителей, тем самым совершать внутриигровые покупки, взаимодействовать в соц.сетях и предоставлять согласие на обработку данных для поведенческого таргетинга рекламы. Кроме того, политика конфиденциальности компании была признана не соответствующей COPPA в плане ясного и простого изложения политики обработки персональных данных.
В некоторых случаях согласие родителя не требуется:
- собираемые данные необходимы для предоставления одноразового ответа на вопрос несовершеннолетнего и не используются для иного взаимодействия с ребенком сверх конкретного вопроса
- данные запрашиваются исключительно для получения родительского согласия или направления уведомления о необходимости получения родительского согласия
- в случае взаимодействия с несовершеннолетним по конкретному запросу оператор приложения своевременно и надлежащим образом направляет уведомление о получении родительского согласия на обработку персональных данных (но не позже получения ответа несовершеннолетнего), с учетом предоставления возможности родителю несовершеннолетнего отозвать согласие на обработку или запросить прекращение обработки таких данных
- в случаях, прямо разрешенных Федеральной торговой комиссией США (FTC), с учетом соблюдения требований безопасности и конфиденциальности передачи данных
Что с внутриигровой рекламой?
GDPR: Обычно за размещение рекламы отвечает сторонний сервис, который взаимодействует с игрой через SDK. Хотя рекламный сервис не получает доступа к основному массиву персональных данных, он видит IP-адрес, данные о браузере и устройстве. Это означает, что рекламный сервис привлекается к обработке персональных данных той игровой компанией, в игре которой размещается SDK. То есть, с ним должно быть подписано соглашение об обработке персональных данных по требованиям, указанным выше.
COPPA: в США есть специальная организация CARU (Children’s Advertising Review Unit под администрацией BBB National Progams), которая публикует рекомендации по соблюдению COPPA для онлайн сервисов.
Рекомендации CARU касаются и распространения рекламы среди пользователей мобильных игр. В первую очередь указывается, что рекламораспространители не должны манипулировать, давить на несовершеннолетних или обманом завлекать их, к примеру, для установки лишних приложений или неосознанного приобретения контента. К примеру, рекламный баннер других приложений в мобильной игре, всплывающий после прохождения игрового уровня, который невозможно закрыть до тех пор, пока пользователь полностью не просмотрит рекламу или не скачает рекламируемое приложение, является не соответствующим рекомендациям CARU.
Не соответствующим рекомендациям может быть и интерактивный рекламный баннер, который настолько схож с игрой графически, что несовершеннолетний пользователь может принять его за продолжение настоящей игры.
Хотя рекомендации CARU не обязывают предусматривать методы закрытия рекламного баннера, тем не менее, такие действия должны быть ясными, недвусмысленными и простыми для пользователей.
Заключение
В современном цифровом мире защита персональных данных детей становится критически важной задачей для всех разработчиков, паблишеров и владельцев онлайн-платформ. Соблюдение требований GDPR и COPPA является обязательным.
Цель – избежать возможных миллионных штрафов, укрепить доверие пользователей к вашим продуктам и услугам, сделать разработку продуктов более устойчивой к возможным блокировкам и ограничениям, связанным с нарушением законодательства о защите детей.
Мы рекомендуем:
- Обеспечьте нейтральную и эффективную проверку возраста, чтобы приложение заведомо не собирало, не обрабатывало, не раскрывало персональные данные несовершеннолетних до 13 лет без предварительного согласия родителей
- Предоставляйте четное и ясное уведомление о методах сбора и обработки персональных данных
- Регулярно обучайте сотрудников вопросам безопасности данных
- Откажитесь от чрезмерных и манипулятивных средств показа рекламы
- Убедитесь, что рекламные баннеры можно отличить от игрового процесса, а также, что любые методы распространения рекламы предлагают понятные средства закрытия рекламных баннеров. К примеру, можно сделать уведомление о том, что нажимая на определенные кнопки автоматически включается реклама
- Следите за тем, чтобы реклама была безопасной и подходящей для детей
Авторы:
Алена Кузьмина, старший юрист и советник по защите контента юридической фирмы Semenov&Pevzner
Ирина Гущина, юрист практики по сопровождению IP&IT сделок компании Semenov&Pevzner