Міністерство юстиції США подало позов проти Apitor Technology — виробника дитячих роботизованих конструкторів — за ймовірне порушення закону COPPA. За даними регуляторів, Android-додаток Apitor використовував сторонній SDK JPush від Jiguang (Aurora Mobile, Китай), який з 2022 року отримував точні координати місцеперебування користувачів, включно з дітьми, без належного інформування та перевірюваної згоди батьків.
COPPA та позиція регуляторів: що інкримінують Apitor
Позов Мін’юсту подано після повідомлення Федеральної торгової комісії США (FTC). Закон Children’s Online Privacy Protection Act (COPPA) зобов’язує сервіси, орієнтовані на дітей до 13 років, заздалегідь повідомляти батьків про обробку персональних даних і отримувати верифіковану батьківську згоду. Продукти Apitor таргетують аудиторію 6–14 років, а їхній застосунок для керування іграшками запитує доступ до геолокації, зокрема для роботи з Bluetooth (на Android це часто необхідно для сканування BLE-пристроїв).
Як працював збір даних: сторонній SDK JPush і ризики ланцюга постачання
Згідно з позовом, після надання дозволів додаток збирав і передавав на сервери JPush точну геолокацію у фоновому режимі. Користувачам не розкривалося, що третя сторона отримує доступ до цих даних, а згода батьків на таку практику відсутня. Це класичний приклад ризику з боку сторонніх SDK: модулі для push-сповіщень чи маркетингової аналітики мають власні канали передачі даних і можуть виходити за межі первинної логіки застосунку, створюючи «сліпі зони» в комплаєнсі та безпеці.
Запропоноване урегулювання: штраф і зобов’язання з комплаєнсу
У межах запропонованої мирової угоди Apitor погодилася сплатити $500 000 та впровадити комплекс заходів відповідності COPPA. Серед них: привести роботу сторонніх SDK у відповідність до закону, забезпечити прозорі повідомлення для батьків, отримувати перевірювану згоду, видалити раніше зібрану персональну інформацію і запровадити політики мінімізації та обмеження строків зберігання даних.
Ширший контекст: посилення контролю за дитячою приватністю та геолокацією
Справа Apitor відображає сталу стратегію FTC щодо жорсткішого правозастосування у сфері дитячої приватності. За останні роки Комісія ініціювала низку гучних кейсів: у 2022 році Epic Games погодилася на $275 млн за претензіями COPPA; у 2023 році Amazon сплатила $25 млн за практики Alexa; платформа Edmodo — $6 млн за незаконний збір дитячих даних. Паралельно регулятор добивається обмеження комерційного використання точної геолокації, зокрема в позові проти брокера даних Kochava (розпочатому в 2022 році). Ці прецеденти сигналізують, що збір місцеперебування, ідентифікаторів пристроїв та поведінкових профілів у дитячих продуктах матиме підвищений нагляд.
Ризики сторонніх SDK у дитячих додатках та IoT-іграшках: як діяти
Вбудовані SDK — один із найчастіших каналів «витоку» даних у мобільних екосистемах. Вони можуть працювати у фоні, агрегувати телеметрію та передавати її провайдеру SDK. Для дитячих сервісів це критично, адже геолокація, унікальні ідентифікатори та профіль поведінки є персональними даними та підпадають під COPPA.
Практичні кроки для розробників та виробників
- Проведіть інвентаризацію даних і мапування потоків: що збирається, на якій підставі, кому і куди передається.
- Мінімізуйте збір: вимикайте точну геолокацію за замовчуванням; використовуйте приблизні координати або збір «на вимогу», а не у фоні.
- Оцінюйте SDK на відповідність (DPIA, privacy-by-design); застосовуйте allowlist і контрактні заборони на вторинне використання даних.
- Впроваджуйте верифіковану батьківську згоду (напр., мікроплатіж, перевірений акаунт або документ).
- Забезпечте прозорі політики та окремі повідомлення для батьків; додавайте зрозумілі підказки при запиті дозволів.
- Встановіть строки зберігання, процедури видалення, періодичні аудити та тестування фонових передач.
- Моніторте оновлення SDK: кожна нова версія — повторна перевірка дозволів і мережевої активності.
Випадок Apitor підкреслює: відповідальність за дані користувачів не можна делегувати стороннім компонентам. Компаніям на ринку дитячих IoT-пристроїв і мобільних сервісів варто будувати контроль ланцюга постачання, інтегрувати privacy-by-design і отримувати перевірювану батьківську згоду. Це зменшує юридичні ризики, підсилює довіру користувачів і створює конкурентну перевагу на ринку, де приватність стає ключовим критерієм якості.
