Статьи

Почему мобильным приложениям нужны политики конфиденциальности (и как правильно их настроить)

Политики конфиденциальности и другая юридическая документация иногда рассматриваются как запоздалая мысль в процессе разработки мобильных приложений – что-то, что нужно спешно включить после завершения всех концептуальных работ по проектированию и разработке. Эта правовая защита может показаться дополнением в последнюю минуту, которое не заслуживает особого внимания, но может быть самым важным компонентом всего вашего бизнеса.

Политики конфиденциальности не похожи друг на друга, и существует множество причин, по которым отсутствующее предложение или несоответствие между вашими юридическими документами и самим приложением может привести к катастрофическим проблемам. Довольно многие вездесущие и успешные мобильные приложения столкнулись с серьезными юридическими головными болями и астрономическими штрафами из-за недостатков в их политике конфиденциальности и неспособности интегрировать и унифицировать их правовую защиту с «частными частями» их архитектуры приложений.

Всего несколько недель назад социальное приложение Path было оштрафовано FTC (Федеральной торговой комиссией) на 1 миллион долларов за нарушение конфиденциальности . Штраф в размере 800 000 долларов обусловлен двумя смертельными ошибками, допущенными приложением:

  1. хранение сторонних имен и номеров из адресных книг их пользователей без надлежащего раскрытия;
  2. несоблюдение положений COPPA , закона, который применяется к каждому приложению, которое сознательно собирает информацию от детей.

Это означает, что если вы извлекаете телефонные контакты из ваших пользователей, вы не только должны уведомлять их, но и в политике конфиденциальности приложения должны объяснять, каким образом используется эта информация. Если вы собираете даты рождения пользователей, вы можете выяснить, используют ли дети ваше приложение, и что-то с этим сделать. По сути, у вас есть два законных пути: соблюдать COPPA или убедиться, что пользователи заявляют, что им больше 13 лет.

Но это еще не все. FTC опубликовал длинный документ с рекомендациями для разработчиков приложений и даже советами по конкретным платформам для больших платформ, таких как Android и iOS.

Конфиденциальность дизайн

FTC хочет, чтобы разработчики приложений использовали (относительно) новый подход, называемый «Конфиденциальность посредством дизайна». «Компании должны создавать конфиденциальность на каждом этапе разработки своих продуктов». Это означает ряд вещей:

  • прежде чем создавать приложение или функцию, подумайте о последствиях для конфиденциальности;
  • если вы собираете информацию, защищайте ее. Следуйте рекомендациям по безопасности FTC (с особым вниманием к стороннему программному обеспечению, которое вы использовали) и будьте осторожны, чтобы не давать чрезмерных обещаний и не делать общих заверений ;
  • обновляйте свою политику! Каждый раз, когда вы выпускаете новое обновление в магазин приложений, остановитесь на секунду и подумайте, добавили ли вы что-то, что влияет на ваши заявления о конфиденциальности. Добавлен новый аналитический скрипт? Это должно пойти туда. Добавил «найти друзей через Facebook»? Перейдите и измените свою политику конфиденциальности.

Что это значит для разработчиков приложений?

Известны лучшие практики, некоторые из которых поступили от генерального прокурора Калифорнии, которые предоставляют вам некоторую правовую защиту и предотвращают проблемы, нарушения конфиденциальности и судебные процессы. Но это то, что FTC на самом деле говорит, что разработчики должны делать.

У вас должна быть политика конфиденциальности, и она должна быть доступна из магазина приложений.

Простой способ сделать это – просто связать политику при отправке приложения. Но это означает, что политика конфиденциальности должна размещаться на вашем сайте. Вы также можете предоставить полный текст политики в приложении или краткое заявление, описывающее правила конфиденциальности приложения. Нужна политика конфиденциальности с нуля? Есть много вариантов: стандарт открытого кода Docracy, генератор политики конфиденциальности и многие другие бесплатные ресурсы, которые вы можете найти в Google.

Вы должны предоставлять информацию «точно в срок» и получать положительное прямое согласие при сборе конфиденциальной информации извне API платформы.

Вы уже знаете, что iOS выдает уведомление о том, что определенное приложение запрашивает доступ к местоположению пользователя или другим личным данным. В этом случае раскрытие и согласие заботятся Apple. Но ваше приложение может также собирать другие важные вещи, и всплывающее уведомление – лучший способ убедиться, что пользователи знают. FTC называет финансовые, медицинские данные или данные о детях, а также общий «обмен конфиденциальными данными с третьими лицами» в качестве конфиденциальной информации, поэтому лучше ошибиться с осторожностью.

Знайте юридические последствия кода, который вы используете.

Разработчики приложений могут использовать сторонние пакеты, SDK и тому подобное. Вы должны убедиться, что этот код является безопасным и полностью понимать, какую информацию он использует, поскольку в конечном итоге вы несете за него юридическую ответственность. Есть длинный список вопросов, которые вы можете себе задать , в том числе:

  • Есть ли в этой библиотеке или SDK известные уязвимости безопасности?
  • Было ли это проверено в реальных условиях?
  • Другие разработчики сообщили о проблемах?

Вывод

Путь был оштрафован на 800 000 долларов. Хотя это было связано с нарушениями COPPA, это начало более широкого применения политики конфиденциальности даже против неамериканских разработчиков. Если вы обслуживаете американский рынок мобильной связи, вы все равно можете быть оштрафованы властями США. Пришло время разработчикам приложений найти адвоката и получить правильно написанную и постоянно обновляемую политику конфиденциальности. FTC поощряет принятие общедоступных стандартов и предлагает более тесную интеграцию между разработчиками приложений, торговыми ассоциациями, рекламными сетями и мобильными платформами, так что это определенно тема, которую нужно держать в поле зрения. Вы не хотели бы, чтобы правовая проблема наносила вред вашему приложению, поскольку оно начинает расти.