• 16 сентября 2022

    Возраст цифрового согласия и способы его проверки

     

    В эпоху цифровых технологий природа конфиденциальности становится объектом пристального внимания. Автоматизированные средства обработки и передачи данных используются для создания цифрового профиля пользователя и монетизации сведений о его поведении и предпочтениях.

    В таких условиях ключевой проблемой конфиденциальности выступает одновременная взаимосвязь добровольного обмена личной информацией в информационно-коммуникационной среде и сопутствующих угроз такому обмену.

    Наиболее уязвимыми субъектами в информационном обмене являются дети, которые при кажущейся интегрированности в интернет-пространство, не всегда способны осознавать риски пользования тем или иным контентом, а также последствия раскрытия информации о себе.

    При этом быстрое распространение технологий снизило возможности родителей по наблюдению и контролю за действиями своих детей.

     

    Как оградить ребенка от контента, который может причинить ему вред?

     

     

    Существующие правила защиты несовершеннолетних основаны на фильтрации контента по возрастным ограничениям, определении цифрового возраста потребителя и его подтверждения в цифровой среде.

    Указанные правила имеют целью как ограничение доступа детей к нежелательному контенту, так и воспрепятствование сбору операторами персональных данных ребенка.

    Как показывает практика, дети способны уже в достаточно раннем возрасте обойти существующие механизмы, используемые приложениями для проверки возраста, и подвергнуться, таким образом, угрозам конфиденциальности и безопасности.

    Центр предлагает обзор правового регулирования проверки возраста цифрового согласия и программно-технических инициатив.

     

    Обзор регулирования в КНР (PIPL)

    Принятый КНР в 2021 году Закон о защите личной информации (далее – PIPL) носит комплексный характер и содержит строгие правила, касающиеся конфиденциальности детей, их права на доступ к информации и обязанностей операторов данных. Закон требует, чтобы все без исключения операторы получали родительское согласие на пользование контентом от пользователей в возрасте до 14 лет.

    Нововведением закона считается запрет детям в возрасте до 16 лет иметь учетные записи на стриминговых сервисах. Кроме того, закон требует согласие родителей, когда дети в возрасте 16 лет и старше регистрируют учетные записи на таких сервисах, и вводит «единую систему электронной идентификации». Наконец, закон устанавливает возможность ограничения времени использования несовершеннолетними игровых платформ. Реализуется данная мера Национальным управлением печати (далее – NPPA), которое в настоящее время ограничило указанное время до одного часа в пятницу и субботу, а также в национальные праздники.

    Помимо указанного закона нормативное регулирование обработки данных детей представлено Положением о защите личной информации детей в Интернете, принятым еще в 2019 году центральным регулятором интернет-информации КНР – Администрацией киберпространства.

    Документ носит комплексный характер в вопросах обработки данных детей. Его положения требуют, чтобы операторы придерживались принципов добросовестности, осознанного согласия, ясной цели, гарантированной безопасности и законного сбора, хранения, использования, передачи или раскрытии личной информации детей. В Регламенте содержится подробные правила о том, как и когда операторы должны получить такое согласие, если они намерены обрабатывать личные данные ребенка.

    Несмотря на то, что приведенные выше документы содержат не противоречащие друг другу требования о получении оператором родительского согласия, в них отсутствуют какие-либо положения о формах таких согласий и разумных действиях оператора по проверке как самого возраста цифрового согласия, так и согласия родителей.

    До законодательного закрепления проверки возраста цифрового согласия нормативное регулирование осуществлялось NPPA, которое среди прочего также имеет целью борьбу с игровыми зависимостями. Первый обязательный для исполнения документ был опубликован NPPA в 2007 году, и в нем содержалось обращенное к операторам в сфере онлайн-игр требование внедрить систему проверки подлинности имени и систему против зависимости.  Первое необходимо было достичь путем самостоятельного создания и внедрения самими разработчиками систем проверок подлинности имени и возраста. Второе – путем исчерпания определенного временного лимита за день. Управление указывало, что три и менее часов непрерывного игрового процесса являются адекватными, от трех до пяти часов – утомительными, а пять часов и более в день – вредными для здоровья.

    В 2016 году эти требования также были распространены на онлайн-игры. Тогда же NPPA потребовало от операторов онлайн-игр подключиться к единой системе электронной идентификации, администрируемой Министерством общественной безопасности КНР (далее – MPS).

    В 2017 году государственные телекоммуникационные компании успешно внедрили комплексную систему регистрации абонентских номеров мобильных телефонов, связывая каждую SIM-карту с конкретным человеком, что значительно упростило для игровых компаний идентификацию пользователя. Многие операторы онлайн-игр в Китае требуют, чтобы их игроки предоставили номера своих мобильных телефонов и подтвердили подлинность этого номера с помощью текстового сообщения, чтобы завершить процесс проверки личности.

    Вводимые в период с 2007 по 2021 года меры Китая по защите законных интересов несовершеннолетних пользователей изучались, в том числе независимыми иностранными организациями.

    В частности, американское консалтинговое агентство Pillar Legal, имеющее представительство в Шанхае, проводило анализ соблюдения требований системы проверки подлинности имени в 2012, 2014, 2017 и 2020 годах. Например, в 2012 и 2014 годах была выполнена оценка систем проверки подлинности имен пользователей нескольких ведущих игровых операторов в Китае, включая Tencent, NetEase, Shanda Games, Perfect World, Changyou, Giant и Kong Zhong. Установлено, что хотя внутренние системы компаний и требовали от игроков указывать свои имена и идентификационные номера для завершения процесса регистрации, ни одна из них на самом деле не проверила эти данные в единой системе электронной идентификации MPS. В связи с этим игроки могли успешно регистрироваться и пользоваться онлайн-играми, отправив случайное имя с поддельным номером телефона. Фактический уровень соблюдения требований об идентификации в 2012 и 2014 годах был низким.

    В 2017 и 2020 годах после введения регистрации пользователей с использованием SIM-карт, компания Pillar Legal обнаружила, что показатели соблюдения правил регистрации резко возросли. В 2020 году проверка Pillar Legal показала, что в большинстве онлайн-игр от игроков требуется указывать номера своих мобильных телефонов и аутентифицировать себя с помощью текстового сообщения, чтобы завершить процесс проверки. В заключении отчета указывается, что уровни достоверности идентификации потребителя, использующего персональный компьютер увеличились с 40% в 2017 году до 100% в 2020 году, Apple iOS – с 0% в 2017 году до 93% в 2020 году, Android – с 28% в 2017 году до 100% в 2020 году.

    В 2021 году в Китае усовершенствована государственная система защиты личной информации, исключены недостатки, связанные с координацией уполномоченных органов, перераспределены полномочия между государственными органами.

    Игровым компаниям запрещено оказывать услуги любым незарегистрированным клиентам, в том числе в гостевом режиме менее одного часа, что ранее разрешалось.

    Начиная с 1 июня 2021 года, все не интегрированные с системой проверки Национального управления печати игровые приложения прекратили свою деятельность в Китае и были подвергнуты делистингу из магазинов приложений.

    Обзор регулирования США (COPPA)

    В США на федеральном уровне вопросы защиты персональных данных детей регулируются Законом о защите конфиденциальности детей в Интернете от 21 октября 1998 г. (далее – COPPA), который содержит требование о получении операторами персональных данных в Интернете родительского согласия для обработки данных детей младше 13 лет при реализации товаров, услуг, которые не только ориентированы на детей, но также и на те товары, которые предлагаются всем возрастным категориям.

    Прежде чем обрабатывать личную информацию ребенка, оператор должен уведомить лиц, несущих родительскую обязанность, и получить от них поддающееся проверке согласие на обработку данных ребенка. При этом из COPPA следует, что оператор самостоятельно избирает метод проверки согласия, руководствуясь принципами необходимости обеспечения наилучших интересов ребенка и разумности методов проверки с учетом доступных технологий.

    Федеральная торговая комиссия (далее – FTC) в рекомендациях 1998, 2013, 2015 годов указывает на следующие соответствующие COPPA способы получения согласия родителей: (i) на бумажном носителе, полученном по факсу, почте, электронной почте; (ii) совершение минимальной банковской транзакции на счет оператора с комментарием о согласии; (ii) получение согласия посредством звонка; (iii) предоставление копии документа, удостоверяющего личность, при условии, что эти копии удаляются после завершения процесса проверки; (iv) получение серии ответов на контрольные вопросы, которые известны только родителям; (v) использование технологий распознавания лиц.

    До недавнего времени первые четыре метода из перечисленных рассматривались как единственно возможные способы получения родительского согласия. Они были одобрены FTC еще в 1998 году. Лишь в 2013 и 2015 годах  рекомендации были дополнены последними двумя методами.

    Для идентификации несовершеннолетних положения COPPA допускают: (i) запрос, а равно поощрение ребенка к сообщению о себе личной информации в Интернете, (ii) предоставление несовершеннолетнему возможности сделать личную информацию общедоступной, например, в социальных сетях, (iii) пассивное отслеживание ребенка в Интернете, например, путем сбора постоянных идентификаторов используемых устройств.

    COPPA определяет «личную информацию» как «идентифицирующую личность информацию о человеке, собранную в Интернете». К ней относятся «постоянные идентификаторы, которые можно использовать для распознавания пользователя с течением времени и на разных веб-сайтах или онлайн-сервисах. Такой постоянный идентификатор включает, помимо прочего, номер клиента, хранящийся в cookies, адрес интернет-протокола (IP), серийный номер процессора или устройства или уникальный идентификатор устройства».

    Из разъяснений FTC следует, что постоянные идентификаторы, например, такие как профили пользователей, хранящиеся в файлах cookies, могут служить для целей настройки учетной записи ребенка или поддержания уровня достижений ребенка в игре. Эта практика способствует персонализированному опыту ребенка и не предполагает сбор личной информации в большем объеме, чем необходимо. COPPA допускает такую практику без получения поддающегося проверке согласия родителей, поскольку обработка происходит только поставщиком услуг. Однако, если операторы планируют раскрытие информации о профилях детей рекламным сетям для показа таргетированной рекламы, в т.ч. для выстраивания подробных профилей для поиска закономерностей в их поведении, то такая практика незаконна без получения соответствующего согласия.

    Внимание FTC также обращено на необходимость регулирования обработки метаданных. Метаданные подразумевают собой факультативную информацию, присоединенную к основной, прямо идентифицирующей человека. Например, помимо сохранения фотографического изображения фотокамеры способны сохранять информацию о геолокации, времени, версии матрицы устройства. Одно из обсуждаемых предложений по урегулированию обработки метаданных – это введение обязанности операторов, не имеющих цель обрабатывать метаданные, производить чистку загружаемых пользователями файлов.

    Другой особенностью COPPA является возможность сертификации операторами своих политик безопасности путем вступления в саморегулируемые организации (далее – СРО). Такая инициатива получила законодательное наименование «безопасная гавань». Участие в «безопасных гаванях» предполагает оценку соответствия процессов обработки персональных данных их участников и применения дисциплинарных мер за нарушения COPPA без введения административных процедур.

    Помимо непосредственной сертификации СРО правомочны подавать в FTC заявки на утверждение новых способов получения и проверки цифровых согласий. Данный механизм появился в 2013 году как ответ FTC на критику в отношении существовавших способов получения согласия родителей на обработку данных их детей. Предложения методик проверки согласий должны: (i) содержать подробное описание предлагаемого метода, (ii) анализ разумного расчета метода в свете доступных технологий, чтобы гарантировать, что лицо, дающее согласие, является родителем ребенка, (iii) не должны основываться на проприетарных технологиях.

    Вместе с тем с 2013 года перечень был дополнен лишь двумя методами: аутентификация на основании знаний и сопоставления лица.

    По мере расширения сфер применения информационных технологий критика в отношении стандартов COPPA продолжает нарастать. В частности, Ассоциация компьютерной и коммуникационной индустрии отметила, что использование дебетовых и кредитных карт для получения согласия лишь частично соответствует стандарту COPPA. Ассоциация сослалась на проведенный самостоятельно в 2019 году социологической опрос, согласно которому у 17 % опрошенных родителей дети в возрасте от 4 до 19 лет имеют кредитные карты. При этом денежные транзакции в качестве метода проверки цифрового согласия проблематичны для 8,4 млн домохозяйств в США. Следовательно, для них недоступно совершение родителями минимальной банковской транзакции на счет оператора с комментарием о согласии.

    Кроме того, иногда родитель или опекун не доступен для участия в процессе дачи согласия и это становится  препятствием для реализации ребенком своих прав и законных интересов. В частности, в сфере компьютерных игр это приводит к значительному отсеву потребителей. LEGO Group сообщила, что  из-за сложного и трудоемкого процесса проверки возраста цифрового согласия создаются риски обращения детей к ресурсам с более низкими барьерами для входа, в том числе с играми, которые не обязательно предназначены для детей.

    Государственные органы также выразили озабоченность по поводу стоимости требований COPPA к проверке возраста цифрового согласия. В 2019 г. Генеральная прокуратура штата Аризона заявила, что «затраты на получение поддающегося проверке родительского согласия могут быть чрезмерно обременительными для малого бизнеса, а процесс получения согласия может разочаровать как предприятия, так и родителей».

    В  2013 году FTC рассмотрело шесть методов проверки возраста цифрового согласия, и только два из них были одобрены: аутентификация на основе знаний (далее – KBA, knowledge-based authentication) и сопоставление изображения лица с изображением лица на документе, удостоверяющим личность (далее – FMVPI, face match to verified photo identification). Остальные четыре предложения были отклонены по разным причинам: отсутствие новизны, преждевременность, несоответствие принципам COPPA.

    Так, например, FTC отклонила предложенный AgeCheq метод подтверждения родительского согласия, суть которого сводилась к регистрации родителя в реестре третьей доверенной стороны, и в случае необходимости дачи согласия оператор направлял бы родителю форму согласия, а доверенная сторона — код. Родитель, вводя код в форме оператора, тем самым подтверждал бы свою личность и свои правомочия в отношении несовершеннолетнего лица.

    FTC, отклоняя этот метод, указал, что он не является разумным в свете доступных технологий, поскольку ребенок может использовать то же самое устройство, на которое было загружено приложение, запрашивающее согласие.

    В 2020-2021 годах продолжились дискуссии о необходимости поиска альтернативных способов проверки возраста цифрового согласия, поскольку текущие методы не обеспечивают целей COPPA и довольно затратны для операторов.

    Со стороны бизнеса поступали различные предложения, например, LEGO GROUP выразила желание созвать соответствующие заинтересованные стороны для дальнейшего изучения эффективных механизмов проверки родительского согласия, которые обеспечивали бы более надежную защиту детей.

    Yoti предложила отойти от списка разрешенных методов проверки и вместо этого перечислить критерии для получения родительского согласия.

    Entertainment Software Rating Board (далее – ESRB) рекомендовала FTC пересмотреть возможность использования электронной подписи для подтверждения возраста цифрового согласия, и включение в список возможности идентификации по отпечаткам пальцев. Также призвали FTC рассмотреть вопрос о переложении ответственности за обеспечение соответствия родительского согласия на цифровые платформы. Свою позицию они мотивировали тем, что уже сейчас основные операционные системы обеспечивают связь между родительскими и дочерними учетными записями посредством соответствующих уведомлений при попытке доступа к тому или иному контенту, не подпадающему по возрастной маркировке.

    SuperAwesome предложила создать трехуровневую скользящую шкалу, учитывающую риски обработки данных и степень навязчивости предлагаемых способов проверки родительского согласия.

    Последнее предложение отчасти и было реализовано в COPPA, когда были сняты жесткие предписания на использование исключительно одобренных FTC методов получения поддающегося проверке согласия родителей. Подобно европейскому подходу, в COPPA оператор должен самостоятельно выбрать метод, разумно разработанный с учетом доступных технологий, чтобы гарантировать, что лицо, дающее согласие, является родителем ребенка. Более строгие методы проверки требуются только в том случае, если информация раскрывается третьему лицу. В случае, если оператор не раскрывает личную информацию ребенка третьей стороне, достаточно получить родительское согласие по электронной почте или телефонному звонку.

    Обзор регулирования ЕС (GDPRKids)

    Действовавшая до 2018 г. Директива о защите данных не различала мер, которые должны быть предприняты операторами (контролерами) в связи с обработкой данных совершеннолетних и несовершеннолетних лиц. Однако при принятии Общего регламента защиты данных (General Data Protection Regulation (далее – GDPR) в него были заложены положения, придавшие данным несовершеннолетних особое значение. В настоящее время персональных данные детей получили повышенную защиту со стороны государств-членов ЕС, поскольку несовершеннолетние менее осведомлены о рисках, последствиях и мерах безопасности, а также о своих правах при обработке персональных данных. Со временем эти нормы стали именоваться аббревиатурой GDPR-Kids.

    В соответствии со статьей 8 (1) GDPR в случаях, когда ребенок не достиг возраста цифрового согласия 16 лет, обработка будет считаться законной только в том случае, если оператор получил согласие лица, несущего родительскую ответственность. GDPR предоставил государствам-членам гибкость в снижении возрастного порога при условии, что он не ниже 13 лет. Так, например, возраст в 16 лет установлен в Германии, Ирландии, Франции, в то время как в Дании и Великобритании возраст цифрового согласия установлен на уровне 13 лет. Отмечается, что такая диспозитивность привела к более сложному диапазону возрастных ограничений, которые применяются на всей территории ЕС.

    В 2020 году в отчете Европейской комиссии о двухгодичной оценке применения GDPR обозначено мнение о необходимости унификации в будущем возрастных ограничений среди всех стран-участниц.

    Помимо GDPR, требования о проверке возраста цифрового согласия изложены в Директиве 2010/13/ЕС Европейского парламента и Совета Европейского Союза «О координации некоторых законодательных, регуляторных и административных положений, действующих в государствах-членах ЕС, относительно оказания аудиовизуальных медиауслуг». Она была пересмотрена в 2018 году и дополнена обязанностью операторов медиа-социальных и стриминговых сервисов принимать меры по проверке возраста для защиты несовершеннолетних от контента, который может нанести ущерб их физическому, умственному или нравственному развитию. Однако это требование также, как в GDPR, не содержит перечисления  мер или принципов, на которых основывались бы такие меры.

    Статья 8 (2) GDPR неявно устанавливает необходимость для операторов проверять возраст разумными усилиями, устанавливая минимальный в отношении детей, чтобы они могли дать действительное согласие на обработку своих данных в контексте предоставления услуг информационного общества, когда согласие является основанием для обработки. Состав таких мер и усилий в регламенте не поименован.

    В дальнейшем положения статьи 8 GDPR конкретизированы в рекомендациях Комитета министров Совета Европы (2018) «Об основных принципах обеспечения уважения, защиты и осуществления прав ребенка в цифровой среде» и в Руководящих принципах для надзорных органов, уполномоченных по защите ребенка в цифровой среде, где указано, что государствам-членам следует самостоятельно разработать эффективную систему проверки возраста для обеспечения защиты детей от продуктов, услуг и контента в цифровой среде, которые законодательно ограничены в отношении конкретных возрастов, применяя методы, согласующиеся с принципами минимизации данных.

    Спустя год после принятия GDPR, Европейской комиссией опубликован отчет об оценке применения GDPR, в котором констатировались проблемы в части, касающейся понимания операторами «разумных» мер при проверке возраста цифрового согласия. Ответ на данный запрос нашел отчасти свое разрешение в разъяснениях Европейского совета по защите данных (далее – EDPB), из которых следовало, что такой качественный показатель мер, как «разумность», имеет прямую зависимость от рисков, присущих обработке данных, а также от доступных технологий. В случаях с низким уровнем риска может быть достаточно подтверждения родительской ответственности по электронной почте, и наоборот, в случаях с высоким риском уместно запросить дополнительные доказательства подлинности согласия, чтобы оператор мог проверить и сохранить информацию в соответствии со статьей 7 (1) GDPR.

    Что касается методов проверки возраста, EDPB предложил, чтобы представители субъектов в случае их несовершеннолетия совершали платеж в размере 0,01 евро оператору (контролеру) посредством банковской транзакции. Вместе с тем данная позиция не нашла повсеместного отклика у многих стран-участниц.

    Например, в практике судов Германии было отмечено, что барьеры, требующие ввода сведений о паспорте, идентификационного номера и совершения финансовых транзакций недостаточны. Вместо этого рекомендовалось использовать другие технические меры, например, биометрическую идентификацию. Помимо мер, связанных непосредственно с проверкой возраста, в Германии действует Закон о защите молодежи, который требует, чтобы операторы использовали возрастные ограничения по расписанию, чтобы гарантировать, что контент, вредный для детей, был недоступен в определенное время дня.

    Национальная комиссия по информатике и свободам Франции (далее – CNIL) в своих рекомендациях по усилению защиты несовершеннолетних в Интернете также признала, что несмотря на кажущуюся избыточность таких мер, как проверка возраста цифрового согласия на основании технологий распознавания лица или ввода уникальных идентификаторов законных представителей, иные эффективные способы подтверждения подлинности согласия не выработаны. В связи с этим такие механизмы имеют право на существование.

    В дальнейшем поиск эффективных методов проверки цифрового согласия посредством использования технологических решений продолжился и нашел свое отражение в отчете Европейской комиссии о двухгодичной оценке применения GDPR.

    Одновременно с публикацией отчета Европейская комиссия инициировала проект Электронной идентификации и услугу доверия для детей в Европе для реализации механизмов защиты детей в цифровой среде, в том числе нацеленный на решения проблем проверки возраста и надлежащего согласия родителей.

    Перед началом проектирования системы аналитической группой проекта были проведены социологические исследования и мониторинг онлайн-сервисов на предмет соблюдения норм GDPR-Kids. Результаты исследования обобщены в монографии, которая была опубликована в сентябре 2021 г. на ресурсе Лондонской школы экономики и политических наук. Проведенный скрининг выявил неэффективность использования существующих на территории ЕС методов проверки возраста цифрового согласия. По мнению исследователей, необходимо вводить многофакторную идентификацию, сочетающую ввод пользователем данных (например, PIN-код, самодекларирование, пароль) с технической аутентификацией по биометрическим данным. Сам же поиск эффективных мер должен опираться на уже существующие в других секторах технологии цифровой идентификации.

    В настоящее время проект проходит стадию разработки, и на конец 2022 года намечены испытания, к которым планируют привлечь 1600 детей и их родителей. Из технической документации проекта следует, что предварительно алгоритм проверки основан на оценке лица и его сопоставления с фотографическим изображением, содержащимся в удостоверяющем личность субъекта документе. В случае, если система распознает в субъекте ребенка, ему будет предложено ввести электронную почту одного из законных представителей, на которую поступает инструкция о порядке дачи согласия и общая информация о посещаемом его ребенком ресурсе или используемом приложении.

    Однако указанные методы не применимы к некоторым ресурсам, в частности, предоставляющим доступ к контенту, связанному с сексуальными предпочтениями человека. Указанная позиция нашла отражение в опубликованном 3 июня 2021 г. заключении № 2021-069 по проекту Постановления № 2021-1306 от 07.10.2021 «О порядке реализации мер, направленных на защиту несовершеннолетних от доступа к сайтам, распространяющим порнографическое содержание».

    В заключении указано, что в соответствии со статьей 5 (1) GDPR обработка персональных данных, осуществляемая в целях проверки совершеннолетия пользователей, желающих получить доступ к порнографическому контенту, должна быть соразмерна преследуемой цели. Проверка совершеннолетия самими издателями контента не должна вести к сбору данных, которые непосредственно идентифицируют их пользователей. Такой сбор данных представляет значительный риск для заинтересованных лиц, поскольку их сексуальная ориентация – реальная или предполагаемая – может быть установлена на основе просматриваемого контента и напрямую связана с их личностью, что противоречит принципам GDPR.

    В качестве альтернативы предложено использовать механизм, состоящий в предоставлении доказательства совершеннолетия. Такая процедура может, например, основываться на оказываемых доверенной третьей стороной услугах, предполагающих двойною анонимность, предотвращающую, с одной стороны, раскрытие доверенной третьей стороне информации перед сайтом или приложением по источнику запроса о субъекте, с другой стороны, раскрытие посещаемых ресурсов субъектом перед самой доверенной стороной.

    Обзор регулирования Великобритании

    В Великобритании действует Кодекс поведения для онлайн-сервисов по отношению к несовершеннолетним (или в буквальном переводе с англ. – Кодекс дизайна, соответствующий возрасту), который вступил в силу с сентября 2021 года. Изложенные в нем правила обязательны для приложений, игр, социальных сетей, новостных агрегаторов и веб-сайтов. Кодекс имеет экстерриториальное действие, предполагается, что его должны соблюдать и иностранные компании.

    Основная цель документа – защитить детей, использующих цифровые сервисы, а также дать им «благоприятную среду для учебы и развития». Им установлены 15 принципов, которыми следует руководствоваться при обработке данных несовершеннолетних лиц. Данные принципы призваны обеспечить защиту персональных данных детей при использовании ими онлайн-сервисов путем соразмерного сбора и использовании операторами данных о них.

    Среди обязанностей можно выделить следующие:

    (i) проверка возраста пользователей;

    (ii) отключение геолокации;

    (iii) запрет на использование методов подталкивания к сообщению большей информации несовершеннолетними пользователями;

    (iv) обеспечение высокого уровня конфиденциальности по умолчанию.

    Кодекс регулирует вопросы, связанные с проверкой возраста цифрового согласия. Так, если сервис не обладает возможностью определения точного возраста своих пользователей, ему следует ориентироваться на самую младшую возрастную категорию.

    В документе приводятся рекомендуемые способы определения возраста пользователей:

    (i) сообщение возраста самим пользователем;

    (ii) использование искусственного интеллекта;

    (iii) делегирование проверки сторонним службам;

    (iv) запрос идентифицирующих документов;

    (v) проверка детской учетной записи через родительскую;

    (vi) реализация технических мер, например, блокирование сеансов через cookie-файлы.

    В пояснительной записке к Кодексу говорится, что оператор имеет возможность сделать вывод о том, что ребенок  может получить доступ к его услугам, только если у него есть надежные системы или процессы получения доступа к услугам. Поэтому владельцам онлайн-платформ надлежит регулярно проводить оценку воздействия онлайн-платформ на защиту данных пользователей с обязательным включением в оценку вероятности доступа детей к онлайн-платформе, определения их возраста и мер, предпринимаемых для соблюдения положений кодекса.

    Алгоритмы проверки и оценки возраста euCONSENT базируются на положениях «Свода правил PAS 1296: 2018 Онлайн-проверка возраста – предоставление и использование услуг онлайн-проверки возраста», разработанным Национальным органом по стандартизации Великобритании.

    Свод правил позиционируется как первый и единственный стандарт оценки возраста. На интернет-портале Управления Комиссара по информации Великобритании операторам рекомендовано прибегать лишь к тем сторонним сервисам, использующим технологии оценки возраста, которые соответствуют PAS 1296: 2018.

    Обзор регулирования РФ в области возрастных ограничений и методов проверки возраста цифрового согласия

    Действующее российское законодательство в области защиты детей от вредоносного контента в сети Интернет содержит необходимые запреты на распространение информации, не соответствующей возрасту несовершеннолетнего. В частности, положения Федерального закона от 29.12.2010 № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» распространяются на контент в сети Интернет.

    Вместе с тем законы и изданные для их исполнения иные нормативные правовые акты сосредоточены только на установлении обязанности маркировки продукции сведениями о возрастных ограничениях, а также выявлении информации, причиняющей вред здоровью и развитию несовершеннолетнего, и дальнейшей блокировке или удаления источников указанной информации.

    Изменения 2021 года, внесенные в законодательство, коснулись только обязанности для социальных сетей в отношении контроля за опасным контентом и составлении отчетности о проделанной работе.

    Иными словами, прямо установленной в законодательстве обязанности подтверждать возраст пользователя до предоставления ему возможности доступа к контенту с возрастными ограничениями, не имеется. В связи с этим при изучении правил предоставления услуг наиболее популярных отечественных сервисов не представляется возможным найти соответствующие положения.

    Обзор условий обработки персональных данных несовершеннолетних в правилах пользования и политиках конфиденциальности популярных отечественных и иностранных онлайн-сервисов
    (по состоянию на
    19.08.2022 г.)

     

     

     

     

    Российские ресурсы

    Мультисервисы
    
    

    Сервис Яндекс.Игры содержит следующие положения, относящиеся к возрасту цифрового согласия и его проверке:

     

    В сервисах Мail.ru положения, относящиеся к возрасту цифрового согласия и его проверке, отсутствуют.

     

    Социальные сети
    

     

    В сервисах «ВКонтакте», «МойМир», «Одноклассники» положения, относящиеся к возрасту цифрового согласия и его проверке, отсутствуют.

    В сервисе «ДругВокруг» положения, относящиеся к возрасту цифрового согласия и его проверке, сформулированы следующим образом:

    Агрегаторы объявлений
    
    

    В сервисах «Авито» и «Юла» положения, относящиеся к возрасту цифрового согласия и его проверке, отсутствуют.

     

    Иностранные ресурсы

    Мессенджеры
    
    

     

     

    Сервис WeChat (Китай) установил следующие правила:

     

     

     

     

    Положения о возрасте цифрового согласия и его проверке в сервисе SnapChat (США)

     

     

     

     

    Игровые сервисы

     

    В сервисе Tencent Games (Китай) положения, относящиеся к возрасту цифрового согласия и его проверке, сформулированы таким образом:

     

     

     

    Сервис Perfect World Games (Китай) создал специальное руководство по защите личной информации детей, предусматривающий сертификацию опекуна:

    Стриминговые сервисы
    
    

    Положения, относящиеся к возрасту цифрового согласия и его проверке, в сервисе TikTok ( Китай):

     

     

     

    TikTok также сформулировал  иные ограничения для несовершеннолетних младше 18 лет.

     

     

     

    В заключение можно отметить, что отсутствие в российском законодательстве требований о проверке возраста пользователя приводит к тому, что отечественные интернет-ресурсы не имеют в своих руководящих документах (правилах пользования, политике конфиденциальности) соответствующих положений.

    Между тем проверка возраста необходима для защиты детей в цифровой среде от контента, негативно влияющего на их физическое, интеллектуальное, психическое, духовное и нравственное развитие, даже несмотря на то, что некоторые решения вызывают опасения ввиду своей избыточности.

    В настоящее время в России проводится эксперимент по осуществлению идентификации и аутентификации с помощью данных ЕСИА для пользователей «ВКонтакте». Суть эксперимента Правительства Российской Федерации сводится к тому, что для целей регистрации профиля «ВКонтакте» оператору персональных данных предоставлена возможность получения сведений из ЕСИА. В частности, номера телефона, даты рождения и email.

    Очевидно, что в будущем такие методы идентификации пользователей могут получить распространение, в том числе для предоставления им доступа к тому или иному контенту.

    Вместе с тем важно понимать, что единая модель проверки возраста не будет удовлетворять потребности всех сфер общественных отношений. Поэтому представляется, что наиболее действенное использование данных методов должно обеспечиваться дифференцированным подходом к разным сервисам.

    Представляется, что существует потребность в отраслевых стандартах, устанавливающих те или иные механизмы проверки возраста пользователя пропорционально потенциальным рискам, с которыми он может столкнуться.

     

    Обзор подготовлен ведущим специалистом по юридическому сопровождению Дмитриевым Е.С.

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.