Данные вашего ребёнка защищают прежде всего два свода правил: COPPA в США и GDPR в Европе. Оба существуют потому, что маленькие дети не могут осознанно согласиться на слежку. Но знание названия закона не говорит, действительно ли безопасно приложение в руках ребёнка — вот что требует каждый свод правил и проверка за две минуты, которая всё проясняет.
Два закона, защищающие данные вашего ребёнка
COPPA — США
Children's Online Privacy Protection Act (COPPA) распространяется на онлайн-сервисы, адресованные детям младше 13 лет или сознательно собирающие их данные. Ключевое правило: приложение обязано получить проверяемое согласие родителей, прежде чем собирать личные данные ребёнка. И «личные данные» — понятие широкое: не только имя и e-mail, но и постоянные идентификаторы, отслеживающие ребёнка между приложениями, точное местоположение, а также фотографии, видео и аудиозаписи. Соблюдение COPPA контролирует Федеральная торговая комиссия США (FTC).
GDPR — Евросоюз и Великобритания
Общий регламент по защите данных (GDPR) считает, что дети заслуживают особой защиты. Для онлайн-сервиса, предлагаемого ребёнку, согласие должно давать или одобрять один из родителей, пока ребёнок младше возраста, установленного каждой страной, — по умолчанию 16 лет, в некоторых странах снижен до 13. В Великобритании Age Appropriate Design Code регулятора ICO идёт дальше и требует по умолчанию высоких настроек конфиденциальности и минимизации данных для сервисов, которыми могут пользоваться дети.
Что требуют законы — коротко
- Кого защищают: COPPA — детей младше 13; GDPR — детей младше 13–16 лет в зависимости от страны.
- Главное требование: согласие родителей до сбора данных плюс высокие настройки конфиденциальности по умолчанию (британский детский кодекс).
- Что считается данными: имя и контакты, но также идентификаторы слежения, точное местоположение, фотографии и звук.
- Кто контролирует: в США — FTC; в Европе — национальные органы по защите данных.
- Самый простой способ соответствовать: ничего не собирать. Приложению без сбора данных не нужно согласие, и ему нечего терять.
Подвох: закон — это пол, а не потолок
Вот что упускают многие родители: оба закона держатся прежде всего на согласии. Приложение может собирать — и даже передавать — массу данных, если сначала спросит родителя. На практике это согласие часто спрятано в регистрации, и немало «детских» приложений формально соблюдают правила, но всё равно встраивают рекламные SDK, которые профилируют вашего ребёнка. Соответствие означает, что приложение соблюло правила, а не что оно ничего не собирает. И эта разница почти всегда оплачивается рекламой. Почему именно реклама в руках ребёнка — настоящая проблема, мы объясняем в чек-листе приложений без рекламы.
Проверка конфиденциальности за две минуты
- Прочитайте ярлык конфиденциальности. В App Store в разделе «Конфиденциальность приложения»: «Данные не собираются» — самый сильный ответ; «Данные, связанные с вами» означают, что данные привязывают к личности ребёнка.
- Найдите политику конфиденциальности для детей. Тот, кто её публикует, подумал об обязанностях по COPPA и GDPR.
- Обратите внимание на «Содержит рекламу». Детские приложения с рекламой почти всегда передают данные рекламным сетям.
- Сами поиграйте пять минут. Следите за регистрацией аккаунта, запросами e-mail и разрешениями на геолокацию, контакты или микрофон — приложению для рисования ничего из этого не нужно.
- Проверьте родительский контроль. Покупки и ссылки должны быть за проверкой взрослого, которую маленький ребёнок не пройдёт сам.
Золотой стандарт: «Данные не собираются»
Самый чистый способ быть в безопасности по COPPA и GDPR — создать приложение, которому незачем касаться данных вашего ребёнка. Именно такой подход у Kid Doodle: ярлык в App Store гласит «Данные не собираются», нет учётных записей, нет аналитических или отслеживающих SDK и нет сторонней рекламы — а приложение работает на 100% офлайн: после установки ничего не отправляется, потому что отправлять нечего. Нет экрана согласия, потому что не на что соглашаться. Необязательные покупки раскрасок — за родительским контролем в Родительской зоне. Намеренно скучная история о конфиденциальности — как раз то, что нужно для ребёнка.
Частые вопросы
Что такое COPPA и касается ли это приложений моего ребёнка?
COPPA — это закон США о защите конфиденциальности детей в интернете (Children's Online Privacy Protection Act). Он распространяется на онлайн-сервисы для детей младше 13 лет (или сознательно собирающие их данные) и требует проверяемого согласия родителей до сбора личных данных, включая идентификаторы слежения, местоположение, фотографии и звук. Его соблюдение контролирует FTC.
Защищает ли GDPR детей в ЕС?
Да. GDPR даёт детям особую защиту. Для онлайн-сервиса, адресованного ребёнку, согласие должен дать или одобрить родитель, пока ребёнок младше возраста, установленного каждой страной, — по умолчанию 16, в некоторых 13 лет. В Великобритании Age Appropriate Design Code добавляет высокие настройки конфиденциальности по умолчанию и минимизацию данных.
Что означает ярлык App Store «Данные не собираются»?
Это значит, что, по словам разработчика, приложение не собирает никаких данных: ни аналитики, ни идентификаторов, ни аккаунтов, ни слежения. Там, где ничего не собирают, не на что давать согласие, нечего передавать и терять — самое безопасное состояние для детского приложения. У Kid Doodle ярлык гласит «Данные не собираются».