Atvirojo kodo skaičiuotuvo programinė įranga DB48X draudžia naudoti CA/CO dėl amžiaus patvirtinimo

Kai atitiktis tampa sudėtinga: kaip amžiaus patvirtinimo įstatymai keičia programinės įrangos kūrimą

Neseniai atvirojo kodo bendruomenę nuplieskė nedidelis, bet daug pasakantis įvykis: DB48X, populiarus programuojamų skaičiuoklių programinės įrangos projektas, pradėjo geografiškai blokuoti naudotojus Kalifornijoje ir Kolorado valstijoje. Priežastis? Naujojo amžiaus patvirtinimo teisės aktai tose valstijose sukūrė tokią sudėtingą atitikties naštą, kad vienas projekto kūrėjas nusprendė, kad paprasčiau blokuoti visas valstybes, nei rizikuoti teisiniu poveikiu. Tai kanarėlės anglies kasykloje – ir kiekvienam programinės įrangos kūrėjui – nuo nepriklausomų kūrėjų iki įmonių platformų – kyla neatidėliotinų klausimų apie tai, kaip reguliavimo susiskaidymas tyliai keičia skaitmeninę aplinką.

Kas iš tikrųjų atsitiko – ir kodėl tai svarbu ne tik skaičiuotuvams

Projektas DB48X yra atvirojo kodo programinė įranga, kuri suteikia modernių funkcijų į klasikinę HP skaičiuotuvo aparatinę įrangą. Tai aistros projektas, prižiūrimas vieno kūrėjo, laisvai platinamas. Kai Kalifornijos pagal amžių tinkamo dizaino kodekso įstatymas (CAADCA) ir panašūs Kolorado teisės aktai įvedė reikalavimus dėl amžiaus patvirtinimo, poveikio duomenų apsaugai vertinimų ir vaikų saugos projektavimo standartų, kūrėjas susidūrė su neįmanomu skaičiavimu: laikytis įstatymų, skirtų didelėms komercinėms platformoms, arba visiškai nustoti aptarnauti naudotojus tose jurisdikcijose.

Kūrėjas pasirinko pastarąjį. Ir nors blokuoti dvi būsenas nuo skaičiuotuvo programinės įrangos atsisiuntimo gali atrodyti nereikšminga, precedentas yra reikšmingas. Jei projektas, neturintis jokios komercinės reikšmės ir nerenkamas duomenų, negali pagrįstai laikytis reikalavimų, ką tai reiškia tūkstančiams mažų įmonių, „SaaS“ platformų ir skaitmeninių įrankių, kurie iš tikrųjų tvarko naudotojų duomenis?

Tai nėra pavienis atvejis. Per pastaruosius 18 mėnesių mažiausiai tuzinas atvirojo kodo projektų ir mažų programinės įrangos pardavėjų įdiegė panašius geografinius apribojimus. Šis modelis atskleidžia didėjančią įtampą tarp gerai apgalvoto reguliavimo ir praktinės programinės įrangos kūrimo realybės – ypač mažesnėms komandoms be specialių teisinių skyrių.

Pakratymo problema: atskirų valstybių reguliavimas pramonėje be sienų

Dabar Jungtinėse Valstijose skaitmeninio privatumo ir amžiaus patvirtinimo įstatymai yra fragmentiški. Kalifornijoje yra CAADCA ir CCPA. Koloradas priėmė savo privatumo įstatymą su konkrečiomis vaikams skirtomis nuostatomis. Teksasas, Juta, Luiziana ir Virdžinija pritaikė skirtingus amžiaus patvirtinimo reikalavimus, pirmiausia taikomus socialinei žiniasklaidai ir turinio platformoms. Federaliniu lygmeniu COPPA išlieka bazine linija, tačiau jos taikymo sritis yra siaura, palyginti su naujesniais valstijos teisės aktais.

Programinės įrangos verslui šis kratinys sukuria atitikties matricą, kuri auga eksponentiškai. Nacionaliniu mastu veikiančiai platformai gali tekti vienu metu atitikti pusšimtį skirtingų reguliavimo sistemų – kiekviena turi skirtingus „vaiko“ apibrėžimus, skirtingus tikrinimo reikalavimus ir skirtingas sankcijas už jų nesilaikymą. Vien pagal CAADCA baudos gali siekti 7 500 USD vienam nukentėjusiam vaikui už pažeidimą.

• Kalifornija (CAADCA): reikalaujama atlikti produktų, kuriuos gali pasiekti jaunesni nei 18 metų vaikai, poveikio duomenų apsaugai, amžiaus nustatymo mechanizmus ir numatytuosius privatumo nustatymus.
• Kolorado privatumo įstatymas: įpareigoja sutikimo mechanizmus, duomenų mažinimą ir sustiprintą nepilnamečių asmens duomenų apsaugą.
• Texas SCOPE Act: reikalaujamas tėvų sutikimas jaunesniems nei 18 m. amžiaus asmenims, naudojantiems dengtas platformas, ir privaloma patvirtinti.
• Federalinė COPPA: taikoma jaunesniems nei 13 metų vaikams, norint rinkti duomenis reikalingas patikrinamas tėvų sutikimas.
• Juta ir Virdžinija: amžiaus patvirtinimo reikalavimai pirmiausia taikomi socialinės žiniasklaidos platformoms, kurių įgyvendinimo terminai skiriasi

Iššūkis yra ne tik žinoti įstatymus, bet ir įgyvendinti techniškai pagrįstus sprendimus, kurie tenkina juos visus vienu metu, nepabloginant visų kitų naudotojų patirties. Daugelis įmonių atranda, kad amžiaus patvirtinimas nėra žymimasis laukelis; tai architektūrinis sprendimas, susijęs su autentifikavimu, duomenų saugojimu, vartotojų srautais ir teisine atsakomybe.

Tikrosios mažųjų ir vidutinių įmonių atitikties išlaidos

Įmonių įmonės, pvz., „Meta“, „Google“ ir „Apple“, turi specialias politikos komandas, teisininkus kiekvienoje jurisdikcijoje ir inžinerinius išteklius, kad sukurtų pagal užsakymą pritaikytas atitikties sistemas. 2024 m. JAV prekybos rūmų ataskaitoje apskaičiuota, kad visapusiškas CAADCA atitiktis vidutinėms technologijų įmonėms gali kainuoti nuo 150 000 iki 2 milijonų JAV dolerių per metus, atsižvelgiant į jų vartotojų bazę ir duomenų praktiką. Vieno kūrėjo arba paleisties įkrovos atveju šie skaičiai taip pat gali būti begaliniai.

Tačiau net ir įsitvirtinusioms mažoms įmonėms išlaidos yra didelės. Norint įgyvendinti tinkamą amžiaus patvirtinimą, reikia arba integruoti trečiųjų šalių tapatybės patvirtinimo paslaugas (kurios paprastai kainuoja 0,50–2,00 USD už patvirtinimą), naudotojų registracijos srautuose sukurti amžiaus ribojimo mechanizmus, atlikti ir dokumentuoti poveikio duomenų apsaugai vertinimus ir galimai perkurti produktus, kad jie atitiktų „vaikams tinkamo“ dizaino standartus – net jei produktas niekada nebuvo skirtas vaikams.

Šiuolaikinio reikalavimų laikymosi paradoksas: įstatymai, skirti apsaugoti vaikus internete, sukuria kliūtis, kurios neproporcingai veikia mažiausius ir daugiausia išteklių turinčius programinės įrangos kūrėjus, o didelės platformos, kurias jie turėjo reguliuoti, turi išteklių padengti išlaidas nekeičiant pagrindinės verslo praktikos.

Ši dinamika skatina pramonę tolimesnio konsolidavimo link. Kai atitikties sąnaudos nustatomos neatsižvelgiant į įmonės dydį, jos veikia kaip regresinis inovacijų mokestis. Mažos komandos, kurios galėjo sukurti kitą puikų verslo įrankį, mokomąją programėlę ar bendruomenės platformą, vietoj to išleidžia ribotus išteklius siekdamos teisinio sudėtingumo – arba, kaip DB48X kūrėjas, tiesiog atsisako aptarnauti tam tikras rinkas.

Ką išmaniosios įmonės daro užuot puolusios į paniką

Nepaisant sudėtingumo, į ateitį mąstančios įmonės nesirenka tarp visiško atitikties paralyžiaus ir geografinio atsitraukimo. Jie nuo pat pradžių įtraukia atitiktį į savo veiklos DNR, traktuodami tai kaip produkto ypatybę, o ne teisinę pasekmę. Geriausiai su tuo užsiimančios organizacijos turi keletą bendrų strategijų.

Pirma, jie centralizuoja atitikties infrastruktūrą. Užuot taikę amžiaus patvirtinimą kaip atskirą sistemą, jie integruoja jį į savo pagrindinį tapatybės ir prieigos valdymą. Tokios platformos kaip „Mewayz“, kurios jau valdo vartotojo autentifikavimą 207 verslo moduliuose – nuo ​​CRM ir sąskaitų faktūrų išrašymo iki HR ir užsakymo – yra tinkamos šiam požiūriui, nes atitikties kontrolę galima taikyti vieną kartą platformos lygiu, o ne iš naujo įdiegti kiekviename atskirame įrankyje. Kai jūsų verslo operacijos vykdomos naudojant vieningą sistemą, vienas atitikties sluoksnis apsaugo viską.

Antra, išmaniosios įmonės taiko „didžiausio bendro vardiklio“ požiūrį į privatumą. Užuot kūrę konkrečiai būsenai būdingą logiką, jie įgyvendina griežčiausią taikomą standartą visoje platformoje. Tai labiau ribojanti, bet žymiai paprastesnė priežiūra. Jei jūsų produktas jau atitinka Kalifornijos reikalavimus, jis beveik neabejotinai tenkins ir Kolorado bei Virdžinijos reikalavimus.

1. Pirmiausia patikrinkite duomenų srautus. Prieš diegdami bet kokią amžiaus patvirtinimo sistemą, tiksliai nurodykite, kokius asmens duomenis renkate, kur jie keliauja ir kodėl. Daugelis įmonių pastebi, kad renka duomenis, kurių joms iš tikrųjų nereikia.
2. Įdiekite numatytuosius privatumo nustatymus. Pagal numatytuosius nustatymus išjunkite stebėjimo, duomenų bendrinimo ir suasmeninimo funkcijas. Leiskite naudotojams pasirinkti, o ne reikalauti, kad jie atsisakytų.
3. Pasirinkite amžiaus apskaičiavimą, o ne sunkų patvirtinimą, jei teisiškai to pakanka. Kai kurios jurisdikcijos priima amžiaus įvertinimą (remiantis paskyros informacija arba elgesio signalais), o ne reikalauja valstybinio asmens tapatybės patvirtinimo, o tai kelia savo privatumo pavojų.
4. Viską dokumentuokite. Poveikio duomenų apsaugai vertinimai nėra tik teisinis reikalavimas – jie yra verslo turtas. Jie verčia jus suprasti savo sistemas ir priimti pagrįstus sprendimus dėl rizikos.
5. Sujunkite savo įrankius. Kiekvienas papildomas „SaaS“ produktas yra dar vienas galimas atitikties paviršius. Sumažinus įrankių išsisklaidymą, sumažėja rizika.

Atvirojo kodo dilema ir ko jos moko komercinė programinė įranga

Atvirojo kodo programinė įranga užima unikalią ir nepatogią vietą diskusijose dėl amžiaus patvirtinimo. Daugumoje atvirojo kodo licencijų aiškiai atsisakoma garantijų ir atsakomybės, tačiau tai nebūtinai apsaugo kūrėjus nuo teisės aktų vykdymo. DB48X situacija išryškina neišspręstą teisinį klausimą: kai laisvai platinama programinė įranga gali pasiekti nepilnamečius, kam tenka atsakomybė – kūrėjui, platintojui ar galutiniam vartotojui?

Komercinės programinės įrangos verslui pamoka yra aiškesnė, bet ne mažiau sudėtinga. Jei siūlote produktą, prie kurio gali prisiregistruoti bet kas – projektų valdymo įrankį, užsakymo platformą, sąskaitų faktūrų išrašymo sistemą – valstybių, kuriose taikomi platūs amžiaus patvirtinimo įstatymai, reguliavimo institucijos gali laikyti, kad jūsų produktas patenka į taikymo sritį, net jei joks protingas vaikas jo nenaudotų. CAADCA standartas „tikėtina, kad jį galės pasiekti vaikai“ yra žinomas platus, todėl įmonės negali tiesiog pareikšti, kad jų produktas yra skirtas „suaugusiesiems“, neįdiegusios mechanizmų, užtikrinančių šios ribos įgyvendinimą.

Štai kur integruotos verslo platformos suteikia struktūrinį pranašumą. Įmonė, vykdanti savo veiklą per visapusišką sistemą – tvarko klientus, apdoroja mokėjimus, tvarko darbuotojų įrašus – iš esmės veikia B2B kontekste su integruotu tapatybės patikrinimu, registruojant verslą, apdorojant mokėjimus ir naudojant profesionalaus naudojimo būdus. Tokios platformos kaip „Mewayz“, aptarnaujančios daugiau nei 138 000 įmonių, natūraliai nustato vartotojo tapatybę per patį verslo įtraukimo procesą, sukurdamos atitikties pagrindą, kurį specialiai sukurtos vartotojų programos turi sukurti nuo nulio.

Žvilgsnis į ateitį: federaliniai standartai ir skaitmeninio atitikties ateitis

Dabartinis požiūris į kiekvieną valstybę beveik neabejotinai netvarus. Kongrese, remiant dvišalius, teikiami keli federaliniai pasiūlymai, įskaitant COPPA atnaujinimus ir naujus išsamius vaikų saugos internete aktus. Federalinis standartas supaprastintų reikalavimų laikymąsi įmonėms, bet taip pat galėtų žymiai padidinti žemiausią ribą, galbūt įgyvendinant reikalavimus, kurie atitinka arba viršija Kalifornijos griežtą požiūrį.

Europos Sąjungos skaitmeninių paslaugų įstatymas ir JK amžių tinkamo dizaino kodeksas jau pateikia šablonus, kuriuos JAV įstatymų leidėjai atidžiai tiria. ES požiūris, pagal kurį platformos, vykdydamos savo bendruosius įsipareigojimus, įvertintų ir sumažintų riziką nepilnamečiams, yra ypač įtakingas. Įmonės, kurios ruošiasi šiai krypčiai dabar – taikydamos patikimą duomenų valdymą, numatytąsias privatumo architektūras ir dokumentais pagrįstus poveikio vertinimus – bus priekyje, kai bus priimti federaliniai standartai.

Įmonėms, kurios šiandien naršo šioje aplinkoje, praktiniai patarimai yra nesudėtingi, net jei vykdymas yra sudėtingas: konsoliduokite savo skaitmeninę infrastruktūrą, kad sumažintumėte atitikties paviršius, vienodai įgyvendinkite griežčiausią taikomą standartą, kruopščiai dokumentuokite savo duomenų praktiką ir pasirinkite platformas, kurios savo pagrindinėje architektūroje įdiegia atitikties galimybes, o ne traktuokite jas kaip priedus. „Judėk greitai ir sulaužyk daiktus“ amžius galutinai baigėsi. Kitą dešimtmetį klestės tos įmonės, kurios judės apgalvotai ir kuria ilgalaikius dalykus, įskaitant atitikties sistemas.

Esmė verslo operatoriams

DB48X skaičiuotuvo programinės aparatinės įrangos istorija gali atrodyti kaip nišinis įdomumas, tačiau tai yra įspėjamasis šūvis. Kai net mėgėjų projektas, platinantis nemokamą skaičiuoklės programinę įrangą, jaučiasi priverstas geografiškai blokuoti ištisas valstijas, reguliavimo aplinka pasiekė lūžio tašką, į kurį kiekvienas skaitmeninis verslas turi žiūrėti rimtai. Klausimas ne tas, ar šie atitikties reikalavimai turės įtakos jūsų verslui, o ar būsite pasiruošę, kai jie tai padarys.

Geriausios šios ateities įmonės nebūtinai yra didžiausios ar techniškai sudėtingiausios. Būtent jie supaprastino savo veiklą į nuoseklias, gerai valdomas sistemas, kuriose atitiktis gali būti valdoma centralizuotai, o ne persekiojama per daugybę atjungtų įrankių. Nesvarbu, ar aptarnaujate 10, ar 10 000 klientų, principas yra tas pats: remkitės pagrindais, dėl kurių teisingas veiksmas yra numatytasis, o ne išimtis.

Dažniausiai užduodami klausimai

Kodėl DB48X užblokavo vartotojus Kalifornijoje ir Kolorado valstijoje?

Solonus DB48X kūrėjas pasirinko geografiškai blokuoti Kaliforniją ir Koloradą, o ne laikytis naujų amžiaus patvirtinimo įstatymų tose valstijose. Atitikties reikalavimai, įskaitant patikimas tapatybės tikrinimo sistemas ir teisinės atsakomybės riziką, buvo per sudėtingi ir brangūs, kad būtų galima įgyvendinti nepriklausomą atvirojo kodo projektą. Šis drastiškas sprendimas parodo, kaip gerai apgalvoti teisės aktai gali sukelti nenumatytų pasekmių mažiems kūrėjams, kuriems trūksta didesnių organizacijų išteklių.

Kaip amžiaus patvirtinimo įstatymai veikia mažas programinės įrangos įmones?

Dėl amžiaus patvirtinimo įgaliojimų dažnai reikia atlikti tapatybės patikras, saugoti neskelbtinus naudotojo duomenis ir nuolat laikytis teisinių reikalavimų – visa tai reikalauja didelių techninių ir finansinių išteklių. Pavieniams kūrėjams ir mažoms komandoms ši našta gali būti neproporcinga. Daugeliui jų trūksta specialių teisinių konsultacijų ar atitikties infrastruktūros, todėl tenka sunkiai rinktis – apriboti prieigą, padengti išlaidas arba visiškai nutraukti veiklą paveiktose jurisdikcijose.

Ar atvirojo kodo projektai gali realiai atitikti valstybės lygio taisykles?

Tai priklauso nuo projekto išteklių ir struktūros. Savanorių vykdomi atvirojo kodo projektai retai turi biudžetą, kad būtų laikomasi teisės aktų. Skirtingai nuo komercinių platformų, pvz., Mewayz, kuri siūlo 207 modulių verslo OS nuo 19 USD/mėn su integruotais atitikties įrankiais, nepriklausomi kūrėjai paprastai negali patys susitvarkyti su įvairiais valstybiniais reguliavimo reikalavimais.

Ką turėtų daryti kūrėjai, kad pasiruoštų besikeičiantiems atitikties reikalavimams?

Kūrėjai turėtų stebėti teisės aktų leidybos tendencijas, anksti konsultuotis su teisiniais ištekliais ir apsvarstyti platformas, kurios tvarkytų jiems sudėtingas reguliavimo problemas. Naudojant „viskas viename“ verslo OS, pvz., Mewayz, galima supaprastinti operacijas centralizuojant įrankius ir sumažinant atitikties plotą. Modulinės architektūros kūrimas taip pat padeda, leidžiant komandoms pritaikyti funkcijas regioniniu mastu, neperžiūrint visų sistemų, kai įsigalioja nauji įstatymai.