Некоторое время назад у меня была дискуссия на тему необходимости оповещать пользователей о сборе пользовательских данных в Web-играх.

Многие крупные проекты в Google Play при первом запуске требуют прочитать и принять пользовательские соглашения: обычно это Privacy Policy и Terms of Use.

Однако в Web-проектах, например на Яндекс.Игры или VK Игры, такого не встретишь. И не понятно, нужно ли это там. Я провёл небольшое «расследование» на площадках, и, кажется, понял, как это устроено.

⚠️ Дисклеймер ⚠️

  • Это не серьёзная исследовательская работа с какими-то серьёзными откровениями. Скорее просто большая записка с размышлениями для блога.

  • Могу ошибаться в выводах и догадках. В эти юридические дебри мне не хочется зарываться — всего лишь тешу своё любопытство. Поэтому экспертные комментарии приветствуются.

Мои более короткие заметки и другой контент можно отслеживать в VK / Telegram Dtf.

  1. Проблема

  2. Исполнение

  3. Ситуация в РФ

  4. Зарубежный Web

  5. Отечественный Web

  6. Заключение

  7. Дополнительный контент


? Проблема:

Интегрировав в игру системы аналитики, игра начинает собирать разнообразные персональные данные об устройстве и пользователе. Как минимум, аналитике требуется deviceId. И не только аналитике: многие другие сервисы тоже могут нуждаться в подобных данных.

С 2018 г. на территории ЕС действует регламент о защите пользовательских данных, он же GDPR. Он достаточно строгий и под его действие попадает максимум собираемых данных, даже deviceId.

Разработка без аналитики – бесполезная трата денег. Поэтому аналитику прикручивать надо, а значит, выполнять требования GDPR, если приложение будет распространяться на территории ЕС.


☝️ Исполнение:

Если очень упрощённо, то если приложение распространяется на территории ЕС или используется гражданами ЕС, то нужно пользователей уведомить о сборе данных, рассказать, что собирается, как и сколько хранится, куда отправляется, и дать возможности отказаться от сбора и удалить собранные данные о себе. Обычно игра не даёт возможности отказаться: ты или принимаешь, или закрываешь игру. А удаление данных реализуется через обращение в поддержку игры.

Всю эту информацию оформляют в Политиках Конфиденциальности (Privacy Policy). У каждой компании есть заготовленные документы. В крайнем случае, например для одиноких «индюшников», существуют онлайн-генераторы для GDPR, сгенерированное содержимое которых можно разместить, например, на публичной странице в Notion. Часто вместе с Privacy Policy ещё размещают и Terms of Use, но это не из-за требований GDPR.

Соответственно, при первом запуске в игре нужно пользователя попросить прочитать документы и кликнуть на «Ок», чтобы дать согласие.

Пример экрана принятия политик в Deadstate
Пример экрана принятия политик в Deadstate

И ссылки на документы для повторного ознакомления разместить где-нибудь внутри игры, чаще это меню «Настройки» или «Об игре». Логика достаточно общая, поэтому можно найти даже готовые ассеты.

Пример ссылок на документы в играх Gardenscapes и Battle Lines
Пример ссылок на документы в играх Gardenscapes и Battle Lines

? Ситуация в РФ:

GDPR действует в РФ, если:

  • юридическое лицо имеет доступ к персональным данным европейских граждан;

  • сама компания работает на территории одного из государств в составе ЕС;

  • в компании работают сотрудники или контрагенты из стран ЕС.

В остальных случаях в РФ есть свой аналог регламента – это ФЗ 152 «О персональных данных». Но он намного менее строгий: позволяет использовать анонимизированные персональные данные (привет, deviceId) для коммерческих целей и продажи третьим лицам. При этом согласие субъекта на их обработку не требуется.

Возможно, это как раз та причина, по которой в играх из RuStore я не встречал необходимости давать согласие на сбор данных. Однако в настройках ссылки на документы не везде, но всё же встречаются. Вероятно, для удобства поддержки одного приложения на разных площадках.

Пример ссылок на документы игры Сокровища Пиратов из RuStore
Пример ссылок на документы игры Сокровища Пиратов из RuStore

? Зарубежный Web:

В Web-играх я вообще ни на одной площадке не сталкивался с подтверждениями сбора данных. И какая-то явная информация по этому вопросу толком не ищется – по крайней мере, я не смог найти что-то вразумительное и точное. Поэтому я отправился изучать вопрос эмпирически.

Для верности включил VPN и выбрал сервер в Европе. С «чистого» браузера захожу на CrazyGames. И здесь меня встречает окошко, которое просит согласиться со сбором и обработкой персональных данных.

Сообщение начинается со слов «Crazy Games and our 1433 technology partners ...». Судя по всему, в круг этих партнёров входят и разработчики игр для площадки. Потому что далее ни одна игра больше ничего подобного внутри себя уже не просила. Будто бы площадка взяла на себя всю бюрократию, и разработчикам об этом беспокоиться не нужно.

Однако я подозреваю, что если игра каким-то образом отклоняется от политик площадки (например, собирает данных больше, чем заявлено), то разработчики игры должны в индивидуальном порядке внутри игры с пользователем по этому вопросу провзаимодействовать. Но это только теория — примеров я не нашёл.

Далее проверяю GameMonetize, GameDistribution, GamePix, WG Playground , Y8 — везде та же ситуация. Выглядит как подтверждение теории.

С начала своей карьеры как-то так сложилось, что я использую Playrix как бенчмарк для проектов. Ведь даже для такого случая у них есть Web-версии своих игр, которые можно найти на Facebook и на их сайте. А сайт не является игровой площадкой — очень любопытный кейс.

Запускаю Homescapes на Facebook:

И не встречаю никаких сообщений. Заходи и играй. Вероятно это связано с тем, что Facebook является соц. сетью, априори собирает пользовательские данные и требует с этим согласиться при регистрации аккаунта:

Хорошо. Затем перехожу в Homescapes на сайте Playrix:

И здесь уже меня ждёт знакомство с политиками конфиденциальности. Это не соц сеть, не игровая площадка: на сайте ранее нигде от меня не требовалось принятие их политик. Т.е. здесь никакая площадка на себя бюрократию не забирает. Значит, GDPR для Web-игр всё же работает. И похоже игровые площадки действительно берут «удар на себя».


? Отечественный Web:

Пробую зайти с европейского VPN на отечественные игровые платформы. Фотострана ненавязчиво сообщили мне, что они используют мои cookie и имеют свои политики конфиденциальности. Смею предположить, что этого просто достаточно для ФЗ-152.

VK действует аналогично Facebook, получая от пользователя согласие при регистрации аккаунта:

ОК как-бы тоже получает согласие при регистрации. Но всё равно потребовал от меня согласия с политиками прямо на странице с играми, в лучших традициях зарубежных площадок.

В VK Play есть окно подтверждения с подробным списком документов для стран из СНГ и вне СНГ:

Теперь захожу на те же сайты без VPN. ОК перестали требовать явного принятия их политик. На остальных площадках всё осталось без изменений.

Из интересного, зарубежные площадки без VPN тоже перестали требовать от меня принятия политик. Исключениями стали только GameDistribution и GamePix, которые продолжили показывать окно с документами.

Интересный кейс с Яндекс.Игры, где вообще ничего нигде не спрашивают и не просят. Только сообщают о согласии с лицензионным соглашением перед запуском игры, что не относится к политике конфиденциальности.

С недавнего времени там нельзя играть без авторизации. И, возможно, все политики принимаются при регистрации, как в Facebook и VK. Проверить это уже не получилось — регистрация начинается с ввода незарегистрированного ранее номера телефона, которого у меня нет:

Может быть Яндекс.Игры перекладывают ответственность за GDPR на самих разработчиков. Поэтому на всякий случай сравнил один и тот же проект на Facebook, Яндекс.Игры и VK Play:

Пример игры Ёжики (Hedgies) на Facebook и Яндекс.Игры
Пример игры Ёжики (Hedgies) на Facebook и Яндекс.Игры

На Facebook в настройках можно встретить ссылку на Privacy Policy. А на отечественных площадках — нет, с VPN и без. Что бы это значило — не знаю. Вроде ранее я выяснил, что для веба иметь ссылки на документы не обязательно. К сожалению, другие такие кросс-площадковые проекты, чтобы проверить гипотезы, мне «на скорую руку» не попались.

Можно было бы это отличие объяснить тем, что площадки не рассчитаны на использование в ЕС или его гражданами, однако на VK Play можно найти комментарии зарубежной аудитории:

VK Play хотя бы явно собирает пользовательские соглашения — к нему не придраться. А вот Яндекс: видимо либо всё же он получает все соглашения во время регистрации, либо это какой-то хитрый или смелый ход.


? Заключение:

Вроде получилось выяснить, что площадки для Web-игр сами занимаются соблюдением юридических моментов. Точно ли это — не уверен. Но выглядит это именно так.

Поэтому в качестве заключения хочется оставить один совет: не уверен в чём-то — скопируй. В любой непонятной ситуации. Выбери на целевых площадках несколько проектов, лучше самых заметных и весомых. Изучи их опыт, обрати внимание на то, как что и где расположено, поищи информацию о необходимости так делать. Если никто, даже самый крупняк, не показывает никаких пользовательских соглашений — скорее всего и тебе не нужно. И наоборот.

Помни, что у площадок есть поддержка, куда можно обращаться по всем связанным с площадкой вопросам. И не нужно бояться уточнять что-то детальнее. Лучше переспросить, чем «недоспросить».

А чтобы точно сделать всё правильно и спать спокойно, стоит проконсультироваться у профессионалов *здесь могла быть ваша реклама юридической помощи независимым* ?


? Дополнительный контент:

  • Что такое Terms of Use: Habr

  • GDPR. Практические советы: Habr

  • GDPR и его российский аналог: РБК.Тренды

  • Что такое GDPR и действует ли он в России: Bezlimit

  • A game dev’s guide to data privacy: LootLocker

  • GDPR for mobile game developers: GamesIndustry

  • Что такое политика конфиденциальности: Kokoc

  • Юридический чек-лист для разработчиков игр: Gamedev Cityfest 2023

Комментарии (2)


  1. ChillMaker
    10.11.2024 07:23

    По моему мнению, это важная тема, о которой игроки должны знать заранее. Огромное спасибо автору за хорошую статью на эту тему.