У детских игр есть свои особенности, и в разных юрисдикциях к ним предъявляются дополнительные требования.
Юридические особенности разработки детских игр
В чем суть
На первый взгляд кажется, что правовых рисков у игр для детей меньше, чем у «взрослых» проектов. У таких игр довольно безобидный контент и, например, в рейтинговый скандал попасть будет сложно. Во многих случаях это действительно так. Но у детских игр есть свои особенности, и в разных юрисдикциях к ним предъявляются дополнительные требования.
Cпециальные законы, регулирующие сбор персональные данные детей
Защита персональных данных детей — тренд, настолько же значимый, как и защита детей от «чувствительного» контента. Многие юрисдикции, которые уделяют внимание защите персональных данных, включили в свое законодательство требования и о защите персональных данных детей.
Такое регулирование есть в Общем регламенте по защите данных Европейского Союза (GDPR). В США, помимо общих законов штатов о защите персональных данных, на федеральном уровне действует специальный Закон о защите конфиденциальности детей в Интернете (Children's Online Privacy Protection Act, COPPA).
Оба эти акта могут применяться и за пределами ЕС и США — если собираются персональные данные граждан ЕС и США соответственно. И это не формальное указание, но вполне действующее правило. Существуют случаи привлечения к ответственности разработчиков и издателей, действующих за пределами этих стран, именно за незаконную обработку персональных данных детей.
Такое регулирование есть в Общем регламенте по защите данных Европейского Союза (GDPR). В США, помимо общих законов штатов о защите персональных данных, на федеральном уровне действует специальный Закон о защите конфиденциальности детей в Интернете (Children's Online Privacy Protection Act, COPPA).
Оба эти акта могут применяться и за пределами ЕС и США — если собираются персональные данные граждан ЕС и США соответственно. И это не формальное указание, но вполне действующее правило. Существуют случаи привлечения к ответственности разработчиков и издателей, действующих за пределами этих стран, именно за незаконную обработку персональных данных детей.
Пример
Федеральная торговая комиссия США (FTC) обратилась в суд с иском к HyperBeard inc. Это мексиканский разработчик приложений, популярных у детей. Регулятор требовал взыскания крупного штрафа за нарушение COPPA и удаления личной информации, незаконно полученной от детей младше 13 лет. Разработчик допустил нарушение, разрешив сторонним рекламным сетям собирать личную информацию о детях без уведомления родителей или получения проверяемого согласия родителей на использование информации об их детях. В июне 2020 года HyperBeard inc. признала требования и заключила с FTC мировое соглашение, которое все же предусматривало выплату штрафа в $150 тысяч.
Как обрабатывать персональные данные детей?
GDPR и COPPA предусматривают ряд требований к правомерной обработке персональных данных детей.
Важно понимать, что GDPR и COPPA предполагают широкое определение детского контента. Преобладание «детской» тематики в игре (например, изображения сказочных персонажей, простая механика, обучающие элементы) позволяет определить ее в рамках GDPR и COPPA как детскую.
Поэтому правила обработки персональных данных детей могут применяться к вам, даже если вы не позиционируете свою игру как детскую.
Важно понимать, что GDPR и COPPA предполагают широкое определение детского контента. Преобладание «детской» тематики в игре (например, изображения сказочных персонажей, простая механика, обучающие элементы) позволяет определить ее в рамках GDPR и COPPA как детскую.
Поэтому правила обработки персональных данных детей могут применяться к вам, даже если вы не позиционируете свою игру как детскую.
GDPR
Согласие на обработку
GDPR предусматривает, что за детей до 16 лет согласие на обработку данных могут дать только их родители или другие законные представители. Регламент позволяет государствам, которые входят в ЕС, устанавливать собственный предел возраста, до достижения которого ребенок не может самостоятельно дать согласие. Этот предел не может быть ниже 13 лет. А ровно до 13 лет этот показатель, например, снизили Бельгия, Дания и Финляндия.
При этом GDPR требует от оператора персональных данных принятия «разумных мер с учетом доступного уровня техники» для подтверждения того, что именно родитель или законный представитель ребенка дал согласие на обработку персональных данных.
GDPR не раскрывает понятие таких разумных мер, но, например, Уполномоченный по информационной безопасности Соединенного королевства толкует это так — для подтверждения согласия можно использовать серии закрытых вопросов, которые в совокупности могут подтвердить, что согласие дает законный представитель. В своем приложении вы можете использовать и сторонние сервисы, которые позволяют идентифицировать законного представителя. Например, посредством верификации данных кредитной карты, открытой на его или ее имя.
Принципы обработки и рекомендации
GDPR устанавливает, что персональные данные детей пользуются особой защитой, поскольку дети могут не понимать в полной мере последствий их обработки.
Такая особая защита должна применяться в том случае, если персональные данные детей используются в маркетинговых целях или для профайлинга. Разработчику детской игры это в первую очередь сулит проблемы с таргетированной рекламой в приложении.
Таргетированная реклама прямо не запрещена GDPR. Но для сбора и анализа данных, на основе которых она направляется пользователям, тоже должно быть получено согласие на обработку.
Чтобы соблюсти это требование, нужно описать процесс сбора информации, используемой для таргетированной рекламы, и перечень такой информации в вашей политике конфиденциальности. Также необходимо, чтобы с политикой конфиденциальности ребенок или его законный представитель могли ознакомиться в самом начале использования приложения.
Как правило, для таргетированной рекламы разработчики используют SDK третьих лиц, которые и направляют рекламу в процесс. В политике конфиденциальности мы рекомендуем перечислять разработчиков SDK и давать ссылки на их политики конфиденциальности.
Многие сервисы монетизации, например Unity Ads, в своих SDK позволяют разработчику помечать контент игры как детский. Тогда SDK не собирает персональную информацию для направления таргетированной рекламы, но показывает контекстную рекламу, то есть не основанную на предпочтениях конкретного пользователя.
Для демонстрации соблюдения GDPR лучше использовать эту функцию и писать об этом в политике конфиденциальности.
GDPR предусматривает, что за детей до 16 лет согласие на обработку данных могут дать только их родители или другие законные представители. Регламент позволяет государствам, которые входят в ЕС, устанавливать собственный предел возраста, до достижения которого ребенок не может самостоятельно дать согласие. Этот предел не может быть ниже 13 лет. А ровно до 13 лет этот показатель, например, снизили Бельгия, Дания и Финляндия.
При этом GDPR требует от оператора персональных данных принятия «разумных мер с учетом доступного уровня техники» для подтверждения того, что именно родитель или законный представитель ребенка дал согласие на обработку персональных данных.
GDPR не раскрывает понятие таких разумных мер, но, например, Уполномоченный по информационной безопасности Соединенного королевства толкует это так — для подтверждения согласия можно использовать серии закрытых вопросов, которые в совокупности могут подтвердить, что согласие дает законный представитель. В своем приложении вы можете использовать и сторонние сервисы, которые позволяют идентифицировать законного представителя. Например, посредством верификации данных кредитной карты, открытой на его или ее имя.
Принципы обработки и рекомендации
GDPR устанавливает, что персональные данные детей пользуются особой защитой, поскольку дети могут не понимать в полной мере последствий их обработки.
Такая особая защита должна применяться в том случае, если персональные данные детей используются в маркетинговых целях или для профайлинга. Разработчику детской игры это в первую очередь сулит проблемы с таргетированной рекламой в приложении.
Таргетированная реклама прямо не запрещена GDPR. Но для сбора и анализа данных, на основе которых она направляется пользователям, тоже должно быть получено согласие на обработку.
Чтобы соблюсти это требование, нужно описать процесс сбора информации, используемой для таргетированной рекламы, и перечень такой информации в вашей политике конфиденциальности. Также необходимо, чтобы с политикой конфиденциальности ребенок или его законный представитель могли ознакомиться в самом начале использования приложения.
Как правило, для таргетированной рекламы разработчики используют SDK третьих лиц, которые и направляют рекламу в процесс. В политике конфиденциальности мы рекомендуем перечислять разработчиков SDK и давать ссылки на их политики конфиденциальности.
Многие сервисы монетизации, например Unity Ads, в своих SDK позволяют разработчику помечать контент игры как детский. Тогда SDK не собирает персональную информацию для направления таргетированной рекламы, но показывает контекстную рекламу, то есть не основанную на предпочтениях конкретного пользователя.
Для демонстрации соблюдения GDPR лучше использовать эту функцию и писать об этом в политике конфиденциальности.
COPPA
Согласие на обработку
Как и GDPR, COPPA устанавливает, что для обработки персональных данных ребенка до 13 лет необходимо согласие его законного представителя. Однако требования к форме такого согласия намного строже. § 312.5 COPPA устанавливает перечень способов, которыми можно получить согласие:
На сегодняшний день FTC одобрила два метода подтверждения родительского согласия, предложенные компаниями Imperium и Riyo.
Решение компании Imperium заключается в системе аутентификации, основанной на персонализированных вопросах, ответы на которые ребенок не может угадать. Но его сложно реализовать на практике. Для персонализированных вопросов необходимо предварительное получение информации от родителя, на основе которой будут задаваться вопросы.
Вариант от компании Riyo представляет собой верификацию фотографий удостоверения личности родителя и его фотографии, сделанной на камеру устройства.
Более простые способы
Способы получения родительского согласия, предусмотренные COPPA, непросто реализовать с технической и коммерческой точек зрения — столь сложные процедуры могут оттолкнуть пользователей и снизить продажи. А прибыль от продаж игры не будет покрывать затраты на введение сложных систем верификации.
Неужели все потеряно и придется отменять выход игры на американском рынке?
На наш взгляд, можно использовать более простые способы соблюдения требований COPPA. Но стоит иметь в виду, что полностью гарантировать отсутствие нарушения могут только предусмотренные COPPA или одобренные FTC методы.
FTC проводит различие между детским контентом и контентом со смешанной аудиторией для целей применения COPPA. Вы можете изменить графический дизайн для американского рынка на менее «детский» и поставить более высокий возрастной рейтинг в магазине, в котором распространяется игра. Так повысятся шансы, что аудитория игры будет признана «смешанной». Тогда вы сможете выполнить требования COPPA при помощи диалоговых окон с подтверждением возраста, а также математических или логических задач, которые не сможет решить ребенок младше 13 лет.
Некоторые компании, сервисы которых прямо ориентированы на детскую аудиторию, также пользуются более простыми механизмами верификации без каких-либо дополнительных мер. Например, датская LEGO использует диалоговое окно с незамысловатой просьбой привести родителя. Оно сменяется полем для ввода адреса электронной почты, на который приходит код активации. Такой метод мог бы подойти для соблюдения GDPR, но для соблюдения COPPA его недостаточно.
Как и GDPR, COPPA устанавливает, что для обработки персональных данных ребенка до 13 лет необходимо согласие его законного представителя. Однако требования к форме такого согласия намного строже. § 312.5 COPPA устанавливает перечень способов, которыми можно получить согласие:
- направление формы согласия, которая должна быть подписана родителем и возвращена оператору по почте, факсу или электронному сканированию;
- использование кредитной карты или другой системы онлайн-платежей, которая предоставляет уведомление о каждой отдельной транзакции основному держателю счета;
- звонок родителей оператору с целью подтверждения согласия;
- видеоконференция с участием родителей и оператора;
- проверка удостоверения личности родителя по базам данных;
- направление электронного письма родителю с просьбой в ответном письме дать согласие на обработку (доступен только в случаях, когда данные не передаются третьим лицам).
На сегодняшний день FTC одобрила два метода подтверждения родительского согласия, предложенные компаниями Imperium и Riyo.
Решение компании Imperium заключается в системе аутентификации, основанной на персонализированных вопросах, ответы на которые ребенок не может угадать. Но его сложно реализовать на практике. Для персонализированных вопросов необходимо предварительное получение информации от родителя, на основе которой будут задаваться вопросы.
Вариант от компании Riyo представляет собой верификацию фотографий удостоверения личности родителя и его фотографии, сделанной на камеру устройства.
Более простые способы
Способы получения родительского согласия, предусмотренные COPPA, непросто реализовать с технической и коммерческой точек зрения — столь сложные процедуры могут оттолкнуть пользователей и снизить продажи. А прибыль от продаж игры не будет покрывать затраты на введение сложных систем верификации.
Неужели все потеряно и придется отменять выход игры на американском рынке?
На наш взгляд, можно использовать более простые способы соблюдения требований COPPA. Но стоит иметь в виду, что полностью гарантировать отсутствие нарушения могут только предусмотренные COPPA или одобренные FTC методы.
FTC проводит различие между детским контентом и контентом со смешанной аудиторией для целей применения COPPA. Вы можете изменить графический дизайн для американского рынка на менее «детский» и поставить более высокий возрастной рейтинг в магазине, в котором распространяется игра. Так повысятся шансы, что аудитория игры будет признана «смешанной». Тогда вы сможете выполнить требования COPPA при помощи диалоговых окон с подтверждением возраста, а также математических или логических задач, которые не сможет решить ребенок младше 13 лет.
Некоторые компании, сервисы которых прямо ориентированы на детскую аудиторию, также пользуются более простыми механизмами верификации без каких-либо дополнительных мер. Например, датская LEGO использует диалоговое окно с незамысловатой просьбой привести родителя. Оно сменяется полем для ввода адреса электронной почты, на который приходит код активации. Такой метод мог бы подойти для соблюдения GDPR, но для соблюдения COPPA его недостаточно.
Пример страницы верификации родительского согласия компанией LEGO
Пример обработки
Принципы обработки персональных данных по COPPA в целом сходны с описанными выше для GDPR. Необходимо описывать перечень получаемых персональных данных и целей их обработки, перечень лиц, которым могут передаваться персональные данные.
В случае с COPPA точно так же рекомендуем отмечать контент как детский в SDK ваших партнеров по монетизации, а также описывать категории данных и цели их обработки в политике конфиденциальности. Ее, кстати, лучше написать простым и понятным языком.
Кроме того, дети и их законные представители должны иметь право получить доступ к своим персональным данным и требовать их удаления.
В случае с COPPA точно так же рекомендуем отмечать контент как детский в SDK ваших партнеров по монетизации, а также описывать категории данных и цели их обработки в политике конфиденциальности. Ее, кстати, лучше написать простым и понятным языком.
Кроме того, дети и их законные представители должны иметь право получить доступ к своим персональным данным и требовать их удаления.
Какие системы возрастных рейтингов стоит учитывать?
В различных юрисдикциях существуют особенные требования к контенту, доступному детям. Наиболее распространенные рейтинговые системы — ESRB (США и Канада) и PEGI (Европейский союз). Многие национальные и региональные рейтинговые системы похожи на ESRB и PEGI, но могут и значительно отличаться от них как по категориям, так и по процедуре присвоения рейтинга.
В России действует своя рейтинговая система, основанная на положениях федерального закона от 29 декабря 2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». Она получила неформальное название RARS (Russian Age Rating System).
Следует обратить внимание на то, что если вашей игре присвоен определенный возрастной рейтинг, то ему должен соответствовать и весь сопутствующий контент. Например, реклама или сайт игры. Если вы пользуетесь таргетированной или контекстной рекламой в самом приложении, она также должна соответствовать возрастному рейтингу игры.
Нужно иметь в виду и то, что у некоторых онлайн-площадок по продаже игр существуют собственные рейтинговые системы, как, например, у Apple App Store и Google Play.
В России действует своя рейтинговая система, основанная на положениях федерального закона от 29 декабря 2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». Она получила неформальное название RARS (Russian Age Rating System).
Следует обратить внимание на то, что если вашей игре присвоен определенный возрастной рейтинг, то ему должен соответствовать и весь сопутствующий контент. Например, реклама или сайт игры. Если вы пользуетесь таргетированной или контекстной рекламой в самом приложении, она также должна соответствовать возрастному рейтингу игры.
Нужно иметь в виду и то, что у некоторых онлайн-площадок по продаже игр существуют собственные рейтинговые системы, как, например, у Apple App Store и Google Play.
Иные ограничения для детских игр
Персональные данные и возрастные ограничения для контента — это не единственные особенности, на которые нужно обращать внимание. Существуют и иные ограничения.
Например, в ноябре 2019 года в Китае были введены ограничения в отношении времени, которое несовершеннолетние могут проводить за онлайн-играми. По будням играть можно только в течение полутора часов в день, а по выходным — трех. Специальный софт, включенный в игры, во-первых, требует регистрации с верификацией реального имени для подтверждения возраста; во-вторых, отслеживает проведенное за игрой время. Новые правила устанавливают обязательства разработчиков и издателей по соблюдению ограничений и принятию мер по их реализации в своих играх. За нарушение этих обязательств государственные органы выносят в отношении разработчиков и издателей предписания о приведении игр в соответствие с законом. А за неисполнение могут отозвать лицензию на реализацию игры.
Похожий закон, получивший название «Закона Золушки», был принят в 2011 году в Южной Корее. Согласно этому закону, доступ к онлайн-играм с 00:00 до 06:00 ограничен для детей младше 16 лет. Для исполнения этого закона разработчикам и собственникам онлайн-платформ также необходимо было включать средства верификации в свои приложения.
Государства часто ужесточают контроль за рынком детских игр, поэтому стоит отслеживать новости законодательства и не пропустить изменение правил. Например, недавно Минздрав России разработал поправки в федеральный закон "Об основных гарантиях прав ребенка в Российской Федерации", которые в случае принятия позволят проводить экспертизу детских игр и запрещать их распространение, если они, по мнению экспертов, могут повредить психике детей.
Например, в ноябре 2019 года в Китае были введены ограничения в отношении времени, которое несовершеннолетние могут проводить за онлайн-играми. По будням играть можно только в течение полутора часов в день, а по выходным — трех. Специальный софт, включенный в игры, во-первых, требует регистрации с верификацией реального имени для подтверждения возраста; во-вторых, отслеживает проведенное за игрой время. Новые правила устанавливают обязательства разработчиков и издателей по соблюдению ограничений и принятию мер по их реализации в своих играх. За нарушение этих обязательств государственные органы выносят в отношении разработчиков и издателей предписания о приведении игр в соответствие с законом. А за неисполнение могут отозвать лицензию на реализацию игры.
Похожий закон, получивший название «Закона Золушки», был принят в 2011 году в Южной Корее. Согласно этому закону, доступ к онлайн-играм с 00:00 до 06:00 ограничен для детей младше 16 лет. Для исполнения этого закона разработчикам и собственникам онлайн-платформ также необходимо было включать средства верификации в свои приложения.
Государства часто ужесточают контроль за рынком детских игр, поэтому стоит отслеживать новости законодательства и не пропустить изменение правил. Например, недавно Минздрав России разработал поправки в федеральный закон "Об основных гарантиях прав ребенка в Российской Федерации", которые в случае принятия позволят проводить экспертизу детских игр и запрещать их распространение, если они, по мнению экспертов, могут повредить психике детей.
Вам может пригодиться
