Министерство юстиции США выступило с обвинением в адрес компании Apitor Technology — производителя обучающих конструкторов с элементами программирования. Поводом стал иск [PDF], основанный на выводах Федеральной торговой комиссии, указавшей на нарушения положений COPPA — регламента, который регулирует онлайн-сбор информации о несовершеннолетних.
Данные о точном местоположении пользователей передавались без ведома родителей, что стало причиной разбирательства.
Фирма специализируется на создании электронных наборов для детей от 6 до 14 лет. Игровые модули связываются с бесплатным мобильным приложением на Android, где при установке требуется разрешение на доступ к координатам.
Как выяснилось, в системе скрыт встроенный SDK JPush, принадлежащий китайской платформе Jiguang (Aurora Mobile). Этот компонент функционирует в фоновом режиме и с 2022 года отправляет сведения о перемещениях несовершеннолетних на зарубежные серверы.
В обвинительном заявлении сказано, что в приложении отсутствует любая форма уведомления о передаче данных сторонним лицам, а разрешение на слежение выдаётся сразу после первого запуска, без проверки участия взрослых.
По информации следствия, ни один из разделов интерфейса не содержал предупреждения о том, что геолокация ребёнка будет доступна сторонней компании. После активации доступа приложение без оповещений начинало сбор и передачу координат.
Собранные данные охватывали десятки тысяч пользователей и, как утверждается, могли использоваться для любых целей, в том числе для рекламной персонализации. Родители не имели возможности контролировать процесс или ограничивать масштабы слежения.
В ходе проверки было установлено, что производитель не предпринимал действий для ограничения передачи информации или обеспечения конфиденциальности несовершеннолетних пользователей.
Стороны пришли к предварительному соглашению. Apitor обязуется изменить подход к работе со сторонними модулями — каждый из них должен быть проверен на соответствие требованиям COPPA. Также в компании введут обязательную политику прозрачности — родители должны быть уведомлены о возможных способах обработки данных, давать подтверждение и иметь право требовать удаления уже собранных сведений. Хранение разрешено только в объёме, необходимом для работы устройства.
Дополнительно судом назначен штраф в размере 500 тыс. долларов. В связи с тяжёлым положением компании оплата отсрочена. При этом в решении указано, что если Apitor утаила финансовую отчётность, взыскание будет произведено в полном объёме.
Ещё по теме: