儿童游戏开发的法律特点 — VERSUS.legal专栏
在为儿童游戏启动时需要注意什么,马拉特·穆哈默特赞诺夫(Mарат Мухаметзянов)在他为 VERSUS.legal 撰写的专栏中进行了说明。
马拉特·穆哈默特赞诺夫,VERSUS.legal的律师
乍一看,儿童游戏的法律风险似乎比“成人”项目要小。这类游戏的内容相对无害,例如,陷入评级丑闻的可能性很小。在许多情况下,这确实是这样。但儿童游戏也有其自身的特点,且在不同的法律管辖区对其有额外要求。
针对儿童个人数据收集的特殊法律
儿童个人数据保护是一个趋势,与保护儿童免受“敏感”内容侵害同样重要。许多关注个人数据保护的管辖区在其立法中纳入了儿童个人数据保护的要求。
这种监管在欧洲联盟通用数据保护条例(GDPR)中存在。在美国,除了各州关于个人数据保护的法律外,联邦层面还实施了儿童在线隐私保护法(Children’s Online Privacy Protection Act,COPPA)。
这两个法规都可以在欧盟和美国以外适用——如果收集了欧盟和美国公民的个人数据。这不是一项形式上的指示,而是一个有效的规则。确实有开发者和出版商因非法处理儿童个人数据而受到责任追究的案例。
示例:
美国联邦贸易委员会(FTC)对HyperBeard inc提起了诉讼。这是一家在儿童中广受欢迎的墨西哥应用程序开发者。监管机构要求对其违反COPPA的行为处以巨额罚款,并要求删除从13岁以下儿童处非法收集的个人信息。开发者因允许第三方广告网络收集儿童的个人数据而违反了规定,且未通知父母或取得父母对其儿童信息使用的可核实同意。2020年6月,HyperBeard inc.承认了其要求并与FTC达成和解,最终仍需支付15万美元的罚款。
如何合法处理儿童个人数据?
GDPR和COPPA规定了合法处理儿童个人数据的一系列要求。
重要的是要理解,GDPR和COPPA对儿童内容的定义是广泛的。游戏中“儿童”主题的主导地位(例如,童话角色的图像、简单的机制、教育元素)足以使其在GDPR和COPPA下被视为儿童游戏。
因此,儿童个人数据处理的规则可能适用于您,即使您并不将自己的游戏定位为儿童游戏。
GDPR
处理同意
根据GDPR,16岁以下儿童的个人数据处理同意只能由其父母或其他法定代理人提供。条例允许进入欧盟的国家设定自行的年龄边界,未满该年龄的儿童无法自行同意。该边界不得低于13岁。比如,比利时、丹麦和芬兰已将该指标降低到13岁。
同时,GDPR要求个人数据运营者采取“合理措施,考虑到可获得的技术水平”,以确认确实是父母或法定代理人给予了处理个人数据的同意。
GDPR并没有具体详细说明这些合理措施的定义,但例如,英国的信息安全专员解释称——可以使用一系列封闭问题来确认同意,这些问题组合在一起可以确认同意是由法定代表人提供的。在您的应用中,您还可以使用允许识别法定代表人的第三方服务,例如,通过验证以其名义开设的信用卡信息。
处理原则和建议
GDPR规定,儿童的个人数据享有特别保护,因为儿童可能并不完全理解其处理后果。
这种特殊保护应在儿童个人数据用于营销目的或进行个人画像时适用。对于儿童游戏的开发者来说,这首先意味着在应用内进行定向广告时会遇到问题。
GDPR并未明令禁止定向广告,但为了收集和分析用于向用户发送的广告数据,也必须获得处理同意。
为了遵循这一要求,需要在您的隐私政策中描述收集用于定向广告的信息的过程及其信息的清单。同时,儿童或其法定代理人必须能够在最初使用应用时审阅隐私政策。
通常,开发者在定向广告中使用第三方的SDK,这些SDK负责将广告投放到流程中。在隐私政策中,我们建议列出SDK开发者的名称,并提供其隐私政策的链接。
比如,很多货币化服务,如Unity Ads,在其SDK中允许开发者将游戏内容标记为儿童内容。那么SDK就不会收集个人信息以进行定向广告,而是显示基于上下文的广告,即不基于特定用户的偏好。
为了展示GDPR的合规性,最好使用此功能,并在隐私政策中注明。
COPPA
处理同意
与GDPR一样,COPPA规定13岁以下儿童的个人数据处理需要其法定代理人的同意。然而,对这种同意的形式要求要严格得多。§312.5 COPPA列出了可以获取同意的方法:
- 发送需由父母签名并通过邮寄、传真或电子扫描返回给运营商的同意表格;
- 使用信用卡或其他在线支付系统,在每笔交易中通知主要持卡人;
- 父母致电运营商以确认同意;
- 与父母和运营商之间的视频会议;
- 通过数据库验证父母的身份证明;
- 给父母发电子邮件,请求在回邮中给予处理同意(仅适用于未向第三方提供数据的情况)。
COPPA允许使用其他方法,但对这些方法的描述非常模糊。因此开发者只能参考COPPA提供的示例列表。
迄今为止,FTC已批准由Imperium和Riyo公司提出的两种确认父母同意的方法。
Imperium公司的解决方案是基于个性化问题的身份验证系统,儿童无法猜测答案。然而,这在实践中很难实施。对于个性化问题,需要事先从父母那里获得信息,以便根据这些信息提出问题。
Riyo公司的解决方案是验证父母身份证明照片与其在设备上拍摄的照片。
更简单的方法
根据COPPA规定,获取父母同意的方法在技术和商业上都不易实现——如此复杂的程序可能会让用户望而却步,降低销量。而游戏的销售利润无法覆盖引入复杂验证系统的成本。
难道一切都失去了希望,必须取消游戏在美国市场的发布吗?
在我们看来,可以采用更简单的方法来遵守COPPA的要求。不过请注意,只有COPPA规定或FTC批准的方法才能完全保证不违反规定。
FTC在COPPA适用的目的上区分儿童内容和混合观众内容。您可以将针对美国市场的视觉设计调整为不那么“儿童化”,并在游戏发布的商店中设置更高的年龄评级。这样,游戏观众被认定为“混合”的机会就会增加。那样您便可以通过弹出窗口确认年龄,以及提供数学或逻辑问题来满足COPPA的要求,这些问题是13岁以下儿童无法解决的。
一些专门面向儿童观众的公司也使用更简单的验证机制,而没有任何额外措施。例如,丹麦的乐高(LEGO)使用弹出窗口要求用户带来父母。随后出现一个输入电子邮件地址的字段,激活码将发送到该电子邮件地址。该方法可能符合GDPR,但不足以满足COPPA的要求。
乐高公司验证父母同意页面示例
处理原则
COPPA对个人数据处理的原则与上述GDPR相似。需要描述收集的个人数据及其处理目的的清单,以及可能转移个人数据的人员清单。
对于COPPA的情况,我们同样建议在您的货币化合作伙伴的SDK中标记内容为儿童内容,并在隐私政策中描述数据类别及其处理目的。此外,最好用简单明了的语言撰写隐私政策。
此外,儿童及其法定代表人应有权获取自己的个人数据并要求其删除。
需要考虑哪些年龄评级系统?
在不同的法律管辖区,对于面向儿童的内容有特殊要求。最常见的评级系统是ESRB(美国和加拿大)和PEGI(欧洲联盟)。许多国家和地区的评级系统与ESRB和PEGI类似,但在类别和评分程序上可能有显著差异。
在俄罗斯,有一套基于2010年12月29日第436-ФЗ号《保护儿童免受对其健康和发展有害信息的影响》的联邦法律的评级系统。它被非正式称为RARS(俄罗斯年龄评级系统)。
需要注意的是,如果您的游戏被授予特定的年龄评级,那么所有相关内容也必须符合该评级。例如,游戏的广告或网站。如果您在应用内使用定向或上下文广告,它们也必须符合游戏的年龄评级。
还需注意的是,某些在线游戏销售平台拥有自己的评级系统,例如Apple App Store和Google Play。
儿童游戏的其他限制
个人数据和内容的年龄限制并不是需要关注的唯一特点。还有其他限制。
例如,2019年11月,中国对未成年人可以花在在线游戏上的时间进行了限制。工作日每天只能玩一个半小时,周末则为三个小时。游戏中包含的特殊软件首先要求注册并通过实名认证确认年龄;其次,跟踪游戏时间。新规定要求开发者和出版商遵守限制,并采取措施确保其游戏的合规。如果违反这些义务,监管机关将对开发者和出版商发出关于使游戏符合规定的指令。如果不遵守,可能会吊销游戏的销售许可证。
与此类似的法律在2011年在韩国被称为“灰姑娘法”。根据该法律,16岁以下儿童在0:00到6:00之间无法访问在线游戏。为了执行这一法律,开发者和在线平台所有者也必须在其应用中包含验证手段。
各国政府经常加强对儿童游戏市场的监管,因此应关注法律新闻,及时掌握规则的变化。例如,最近俄罗斯卫生部制定了对《俄罗斯联邦儿童权利基本保障法》的修正案,如果该修正案获得通过,将允许对儿童游戏进行审核,并在专家认为可能损害儿童心理健康的情况下禁止其传播。
