Закони про підзвітність магазину додатків: що потрібно знати | McDermott Will & Schulte

Чотири штати – Каліфорнія, Луїзіана, Техас і Юта – прийняли закони, які нібито вимагають від магазинів мобільних додатків і розробників мобільних додатків перевіряти вік користувачів і вживати певних заходів безпеки на основі віку користувача.

Закон Техасу, App Store Accountability Act, набирає чинності 1 січня 2026 року, але він уже підлягає судовому оскарженню та має невизначений шлях реалізації. Усі закони в Каліфорнії, Луїзіані та Юті набудуть чинності пізніше у 2026 та 2027 роках. Якщо ці закони витримають юридичні проблеми, вони накладуть значний юридичний та операційний тягар на компанії, які розміщують магазини програм або розробляють мобільні програми.

У глибині

---

Що таке акти звітності магазину додатків?

Техас, Юта та Луїзіана прийняли закон про підзвітність магазинів додатків (ASAA). Ці закони встановлюють вимоги до магазинів додатків і розробників додатків щодо використання мобільних додатків неповнолітніми (кожними, хто не досяг 18 років). Визначення «магазину додатків» ASAA відрізняються залежно від законодавства, але зазвичай вони стосуються загальнодоступного веб-сайту, програмного забезпечення або електронної служби, яка дозволяє користувачам завантажувати програми від сторонніх розробників на мобільний пристрій. «Розробник» зазвичай визначається як особа, яка володіє або контролює програму, доступну через магазин програм у штаті.

Каліфорнійський Закон про гарантію цифрового віку (DAAA) так само накладає вимоги перевірки віку на магазини додатків і розробників, але він істотно відрізняється від ASAA. Закон додатково регулює «постачальників операційних систем», визначених як фізична чи юридична особа, яка розробляє, ліцензує або контролює програмне забезпечення операційної системи на комп’ютері, мобільному пристрої чи будь-якому іншому комп’ютерному пристрої загального призначення.

Що вимагають ASAA від магазинів програм?

Хоча точні вимоги залежать від закону, загалом магазини програм повинні:

• Коли особа створює обліковий запис у магазині програм:
  • Вимагати від особи інформацію про вік; і
  • Перевірте вікову категорію особи за допомогою:
    • Комерційно доступні методи, розроблені для забезпечення точності; або
    • Метод перевірки віку або процес, затверджений державним регулятором.
• Для неповнолітніх (до 18 років):
  • Вимагати, щоб обліковий запис неповнолітньої особи був пов’язаний з батьківським; і
  • Отримайте підтверджену згоду батьків від власника афілійованого батьківського облікового запису, перш ніж дозволити неповнолітній завантажувати чи купувати програму чи робити покупки в програмі.
  • Передайте інформацію про віковий діапазон (напрдо 13, 13 – 15, 16 – 17 або 18+) розробнику.
• Після отримання від розробника сповіщення про значні зміни в програмі:
  • Повідомити користувачів програми про значні зміни; і
  • Для неповнолітнього облікового запису:
    • Повідомити власника афілійованого материнського облікового запису; і
    • Отримайте оновлену згоду батьків, яку можна перевірити.
  • У відповідь на запит розробника надайте розробнику дані про вікову категорію користувача та статус перевіреної згоди батьків для неповнолітнього користувача.
• Повідомити розробника, коли батьки відкликають згоду.
• Захистіть дані перевірки віку:
  • Обмеження збору та обробки до того, що необхідно для підтвердження віку користувача, отримання згоди батьків і ведення записів про відповідність; і
  • Передача даних перевірки віку за допомогою галузевих стандартних протоколів шифрування, які забезпечують цілісність і конфіденційність даних.

Що вимагають ASAA від розробників програм?

Хоча точні вимоги залежать від закону, загалом розробники програм повинні:

• Призначте віковий рейтинг для кожної програми і кожну покупку які можна зробити через додаток.
• Надайте магазину додатків кожну призначену вікову категорію та опис того, які елементи в додатку призвели до кожної оцінки.
• Повідомляйте магазин додатків про значні зміни умов обслуговування або політики конфіденційності, що застосовуються до додатка.
• Використовуйте інформацію, отриману з магазину додатків, щоб перевірити вікову категорію кожного користувача додатка та, якщо користувач є неповнолітнім, чи дали його батьки або опікуни згоду на відповідне завантаження чи покупку.
• Запит на підтвердження особистого віку або згоди батьків:
  • У той момент, коли користувач завантажує або купує програму;
  • Під час впровадження значних змін у додаток; або
  • Для дотримання чинних законів або нормативних актів.
• Використовуйте інформацію, отриману з магазину програм, лише для:
  • Застосувати вікові обмеження та захист додатків;
  • Забезпечити дотримання чинних законів і нормативних актів; і
  • Застосуйте функції безпеки та налаштування за замовчуванням.

Вимоги кожного закону дещо відрізняються залежно від штату. Техас, наприклад, вимагає від розробників видалити інформацію, надану магазином додатків, після завершення перевірки віку та згоди. Луїзіана, тим часом, передбачає, що розробники – на додаток до магазинів додатків – повинні вимагати, щоб обліковий запис неповнолітньої особи був пов’язаний з батьківським обліковим записом, і отримати згоду батьків, яка підлягає перевірці, перш ніж дозволити неповнолітній завантажувати чи купувати програму чи робити покупки в програмі.

Що вимагає DAAA від розробників, постачальників операційних систем і магазинів програм?

Під час завантаження та запуску програми розробники повинні вимагати від постачальника операційної системи або магазину додатків сигнал про вік щодо певного користувача.

Постачальники операційних систем повинні:

• Надайте доступний інтерфейс під час налаштування облікового запису, який вимагає від власника облікового запису вказати дату народження, вік або обидва параметри користувача цього пристрою, щоб надати додаткам сигнал щодо вікової категорії користувача.
• Надайте розробнику, який запитав сигнал щодо користувача, цифровий сигнал через достатньо узгоджений інтерфейс прикладного програмування (API) реального часу, який визначає вікову категорію користувача.
• Надсилайте лише мінімальний обсяг інформації, необхідний для дотримання вимог DAAA.
• Дотримуватись DAAA без дискримінації, включаючи принаймні такі ж обмеження та зобов’язання щодо власних програм і розповсюдження програм, що й програми сторонніх розробників або розповсюджувачів програм.

Магазини додатків також повинні дотримуватися DAAA у недискримінаційний спосіб, включаючи принаймні такі ж обмеження та зобов’язання щодо власних програм і розповсюдження програм, як і щодо програм сторонніх розробників або розповсюджувачів програм. Як зазначалося вище, DAAA вимагає, щоб розробники запитували сигнал про вік у постачальника операційної системи або магазину програм. Однак DAAA прямо не вимагає, щоб магазин додатків надавав розробнику будь-яку інформацію у відповідь на сигнал.

Які є вікові категорії?

Вікові категорії ASAA та DAAA включають «дитина» (до 13 років), «молодший підліток» (13 – 15), «старший підліток» (16 – 17) і «дорослий» (18+).

• Магазини додатків і розробники повинні будуть дотримуватися Закону про захист конфіденційності дітей в Інтернеті (COPPA) щодо будь-яких користувачів категорії «діти». COPPA поширюється на (1) будь-якого оператора веб-сайту чи онлайн-сервісу, призначеного для дітей віком до 13 років, або (2) будь-якого оператора, якому відомо, що він збирає або зберігає особисту інформацію дитини віком до 13 років. Коли магазин додатків або розробник дізнається, що користувач відноситься до категорії «дитина», вважатиметься, що магазин додатків або розробник «фактично знають», що він збирає або зберігає особисту інформацію від дитини віком до 13 років.
• Користувачі категорії «Дитина», «молодший підліток» і «старший підліток» можуть завантажувати або купувати програми чи робити покупки в них лише за згодою батьків. Для цих користувачів розробники мають запровадити будь-які обмеження чи функції безпеки, розроблені розробником для віку користувача.
• ASAA не накладають жодних обмежень на «дорослих» користувачів. Однак компаніям доведеться розглянути, як перевести облікові записи «старших підлітків» на облікові записи «дорослих», коли користувачеві виповнюється 18 років.

Яку поведінку забороняють ASAA?

Знову ж таки, закони відрізняються, але однаково вони забороняють:

• Магазин додатків або розробник від примусового виконання контракту або умов обслуговування щодо неповнолітніх, якщо магазин додатків або розробник не отримав підтверджену згоду батьків;
• Магазин програм або розробник через свідоме спотворення інформації в заяві про згоду батьків;
• Магазин додатків від обміну особистими даними перевірки віку, за винятком між магазином додатків і розробником, як того вимагає ASAA або законодавство; і
• Розробник, який ділиться даними про вікову категорію з будь-якою особою.

Яку поведінку забороняє DAAA?

Постачальникам операційної системи заборонено:

• Передача інформації цифрового сигналу третій стороні з метою, яка не вимагається DAAA; і
• Використання даних, зібраних від третьої сторони під час виконання вимог DAAA, для конкуренції з цією третьою стороною, надання переваги послугам магазину додатків порівняно з послугами третьої сторони або для іншого використання цих даних або механізму згоди в антиконкурентний спосіб.

Розробникам заборонено:

• Вимагати більше інформації від постачальника операційної системи або магазину програм, ніж мінімальний обсяг інформації, необхідний для дотримання DAAA; і
• Передача сигналу третій стороні з метою, яка не вимагається DAAA.

Коли набувають чинності ASAA та DAAA?

Техаський ASAA має набути чинності 1 січня 2026 року, але наразі закон підлягає конституційному оскарженню, що може відкласти дату його вступу в силу. Суд, який розглядає судовий процес, ймовірно, винесе рішення про попередню заборону в грудні 2025 року.

Закон штату Юта має поточні дати набрання чинності. Закон офіційно набув чинності 7 травня 2025 року, але вимоги до магазинів додатків і розробників набувають чинності 6 травня 2026 року, а положення щодо застосування набувають чинності 31 грудня 2026 року. Закон Луїзіани набуває чинності 1 липня 2026 року. Каліфорнійський DAAA набуває чинності 1 січня 2027 року.

Що зараз потрібно робити компаніям?

Компанії, які розробляють або володіють додатками, доступними в магазині додатків, повинні вжити таких кроків до 1 січня 2026 року:

• Оцініть застосовність Аса та Даа.
• Перегляньте вказівки магазину додатків щодо використання нових API сигналу віку.
• Оновити свою політику конфіденційності та операційні робочі процеси, щоб вирішити збір і обробку даних перевірки віку та згоди батьків.
• Оцініть існуючі вікові обмеження та рейтинги додатків.
• Оновіть або запровадьте батьківський контроль.
• Розробити та впровадити нові процедури обробки вікових сигналів із магазинів програм.
• Оцініть, як нещодавно зібрані дані про вікові категорії впливають на застосовність COPPA та інших законів про конфіденційність.

[View source.]