Подробно поговорили о том, как государства по всему миру начинают ужесточать правила верификации в играх, с Натальей Возиян, которая занимает пост VP of Legal & Operations в компании Xsolla.
Наталья Возиян
Александр Семенов, App2Top: Мы все чаще в новостных сводках читаем об ужесточении инструментов верификации в интернете. Давай для начала разберемся, когда вообще эта тема стартовала?
Наталья Возиян, Xsolla: Идея верификации пользователей уходит корнями в дискуссию о защите детей в цифровом пространстве. Эта повестка набирала силу примерно с 2020 года — тогда каждый уважающий себя юридический журнал писал о рисках для детей в сети.
Кто впервые реально взялся за верификацию? Китай?
Наталья: Нет, Китай — тоже среди пионеров, но первым серьезным шагом стал Children’s Online Privacy Protection Act (COPPA) — Закон о защите конфиденциальности детей в Интернете. Он вступил в США в действие 21 апреля 2000 года. Потом был Китай и только относительно недавно — в 2018 году — вошел в силу General Data Protection Regulation (GDPR) — Общий регламент защиты персональных данных Европейского союза.
При этом стал вехой?
Наталья: Безусловно. GDPR фактически ввел в оборот концепцию «знай своего пользователя» (know your customer — KYC) применительно к персональным данным, в том числе детским. Именно после него многие страны взяли европейский опыт за основу и приняли локальные регуляции по его образцу.
Где сегодня особенно активно внедряют верификацию?
Наталья: Из недавнего — в 2025 году вступил в силу британский Online Safety Act, нацеленный на регулирование контента для детей и предполагающий верификацию при продаже цифрового контента.
Наиболее радикальные меры ввела Бразилия, буквально в этом году. Там теперь недостаточно привычного «я подтверждаю, мне есть 18» — требуется верификация через реальные документы или биометрию. Self-declaration полностью запрещена.
Ты сейчас упомняула self-declaration. Пока мы не убежали вперед, давай остановимся на этом. Что ты имела в виду?
Наталья: Self-declaration — это один из инструментов верификации. Всего их можно разделить на три типа. Первый — как раз self-declaration: пользователь просто ставит галочку «мне есть 18». Быстро, удобно, но абсолютно ненадежно. Второй — верификация через данные: кредитная карта, номер телефона, ID. Чуть надежнее. Третий — верификация через документы или биометрию: загрузка паспорта, Face ID, сверка с государственными базами. Максимально надежно.
И сейчас происходит, получается, отказ от self-declaration?
Наталья: И он вполне логичен: современные дети начинают пользоваться телефоном раньше, чем говорить, и прекрасно понимают, что на вопрос «тебе есть 18?» нужно просто ответить «да», чтобы получить доступ к контенту. Регуляторы это осознали и начали двигаться в сторону более достоверных инструментов. Дополнительным триггером стали массовые жалобы родителей на несанкционированные траты детей — внутриигровые покупки с родительских кредитных карт на значительные суммы. Это создало публичное давление и ускорило переход к более строгим методам подтверждения личности.
В том числе в России?
Наталья: Тут пока ситуация иная: верификация пользователей остается условной, защита отдельных групп регулируется преимущественно законом «О рекламе». Но в публичном поле все чаще звучат инициативы об обязательной идентификации для доступа в интернет.
Чуть раньше ты отметила, что ужесточение верификации — логично. С точки зрения государства как института — да. Но мне интересно, что ты сама думаешь о нынешней ситуации?
Наталья: Если говорить о моей позиции — баланс интересов здесь явно нарушен. Есть индустрии, где тот же KYC абсолютно оправдан. Но игровая индустрия — не финансовый сектор. Разработчику игры для предоставления своих услуг не нужно знать паспортные данные своего пользователя. Тем не менее в той же Бразилии он теперь обязан хранить биометрию. Это и операционная нагрузка, и огромный регуляторный риск.
Регуляторы фактически перекладывают ответственность за воспитание и контроль над детьми с родителей на бизнес. Следить за тем, какой контент потребляет ребенок и сколько времени он проводит в играх — это прежде всего родительская функция. Бизнес, безусловно, должен соблюдать разумные ограничения, но когда на разработчика игры возлагают обязанность собирать биометрию и верифицировать возраст каждого пользователя — это уже несоразмерная нагрузка, не соответствующая природе этого бизнеса.
Я не ставлю под сомнение важность комплаенса и защиты уязвимых групп — это фундаментальные ценности. Вопрос в пропорциональности: регулирование должно учитывать специфику индустрии и не создавать барьеры там, где достаточно более легких инструментов.
Ты очень хорошо сейчас отметила, что для бизнеса все это — несоразмерная нагрузка. Но я правильно понимаю, что верификация касается в первую очередь не самих разработчиков игр, а все-таки игровые платформы?
Наталья: Смотри, нынешняя волна ограничений по верификации в первую очередь затронула две большие категории.
Первая — финансовые сервисы: банки, платежные системы, криптобиржи. Здесь верификация пользователя давно является нормой, а KYC и другие процедуры — стандартом индустрии, никто особо не удивлен.
Вторая категория — развлекательные сервисы. Здесь все сложно. Речь сразу идет о стриминговых платформах, социальных сетях, азартных онлайновых играх и, конечно, видеоиграх. Именно они сегодня находятся под наибольшим регуляторным давлением, потому что именно там регуляторы видят основные риски для детей и подростков — будь то доступ к неподходящему контенту, чрезмерное время в сети или внутриигровые покупки.
Логика регуляторов в целом понятна: если платформа допускает к контенту несовершеннолетних или продает им что-либо — она должна это контролировать. Вопрос в том, насколько предлагаемые инструменты соразмерны этой задаче.
Что от них требуют или чего хотят от них добиться регуляторы?
Наталья: Если говорить о декларируемых целях, то они вполне благородны: защита несовершеннолетних от неподходящего контента, противодействие мошенничеству, обеспечение прозрачности цифровой среды. На бумаге верификация выглядит как инструмент общественного блага.
Но если смотреть на практику, картина становится сложнее. Обязывая бизнес знать своего пользователя, регулятор фактически получает готовую инфраструктуру сбора данных о гражданах без собственных затрат. По запросу государственного органа любая компания обязана предоставить накопленную информацию. Это удобно.
Добавим сюда штрафную составляющую: несоблюдение требований верификации влечет серьезные санкции, которые становятся вполне ощутимым источником пополнения бюджета.
Я бы не стала говорить, что правовая цель — исключительно красивые слова. Но для того, чтобы регулирование действительно работало в интересах общества, а не только на бумаге, важен диалог между регулятором и бизнесом. Пока этого баланса явно не хватает.
Говоря об изменениях в верификации именно в контексте игрового сектора, хочется остановиться на Китае, где реально внедряли ограничения раньше, чем где-либо еще (я тут говорю не о законодательной активности, а о том, где впервые разработчики и пользователи на деле столкнулись с ограничениями). Расскажи об опыте китайских разработчиков игр, какие вызовы перед ними были и как они их решали?
Наталья: Китай действительно можно назвать реальным первопроходцем в этой теме. Еще в 2007 году несколько министерств совместно предложили систему ограничений для несовершеннолетних в видеоиграх с целью защиты их физического и психического здоровья. Вводилась градация по времени: сколько часов в день представитель той или иной возрастной группы может проводить в игре.
При этом, как это часто бывает, разработчиков оставили один на один с задачей исполнения без конкретных инструментов. В течение нескольких лет крупнейшие игроки рынка самостоятельно экспериментировали: собирали данные из удостоверяющих документов, внедряли биометрию, и все это давалось ценой конверсий и колоссальных операционных затрат.
Только в 2021 году государство наконец подключилось к решению проблемы системно. NPPA (Национальная администрация по делам прессы и публикаций) запустила централизованную национальную инфраструктуру верификации, и это принципиально изменило модель. Теперь разработчик делает запрос к государственной базе, которая в режиме реального времени возвращает возраст пользователя и автоматически запускает соответствующие ограничения. Так бремя хранения чувствительных данных с бизнеса было снято.
Тем не менее нельзя сказать, что проблема решена полностью. Обходные пути никуда не делись: дети используют документы родителей, некоторые родители сами осознанно помогают детям пройти верификацию. Разработчики выявляют таких пользователей уже постфактум, например, при обращении в службу поддержки или при запросе рефанда, определяя несовершеннолетнего по манере общения и формулировкам.
Я слышал также, что на аналогичный опыт решились в Южной Корее, но там как будто в итоге решили отказаться от этой практики?
Наталья: Корея — показательный пример того, как жесткое регулирование может эволюционировать в более взвешенный подход. В 2007 году страна ввела систему интернет-верификации по реальному имени: пользователи крупных сайтов были обязаны подтверждать личность через номер резидента. Параллельно действовал так называемый Shutdown Law, запрет для детей до 16 лет играть в онлайн-игры с полуночи до шести утра.
Однако уже в 2012 году Конституционный суд отменил систему интернет-верификации, признав ее чрезмерным ограничением свободы слова и права граждан на анонимность.
Shutdown Law просуществовал дольше, но в 2021 году правительство отказалось и от него. Принудительные ограничения были заменены системой родительского выбора: теперь именно родители решают, когда и сколько их ребенок может играть.
То есть Корея прошла путь от государственного контроля к родительской ответственности и, на мой взгляд, это логичное направление для игровой индустрии.
Мы начали с тобой нашу беседу по сути с Евросоюза. Сейчас хочется к нему вернуться как раз в контексте мер, которые принимались в Азии. По сравнению с Китаем или с тем, как обстояли дела еще пару лет назад в Южной Корее, тут игровой сектор изменения подхода к верификации пока как будто не чувствует сильно. Так ли это?
Наталья: В целом да, это так. Думаю, европейский бизнес все еще переваривает последствия внедрения GDPR. Это регулирование наложило колоссальную нагрузку, одна только документация, описывающая все процессы обработки данных, требует значительных временных и финансовых ресурсов. Новых масштабных потрясений индустрия пока не испытывает.
В игровой сфере роль защитного буфера играет PEGI — общеевропейская система возрастных рейтингов. В связке с требованиями по защите персональных данных и правилами возврата средств она пока позволяет поддерживать разумный порядок без введения жесткой верификации.
При этом GDPR уже содержит важное положение: обработка данных ребенка до 16 лет без явного согласия родителя недопустима. Из этого формально вытекают требования по верификации возраста. Но пока они не закреплены в отдельных обязывающих актах для игровой индустрии, бизнес балансирует между этими нормами, не доходя до проверки паспорта каждого пользователя.
Ты еще упоминала британский Online Safety Act. Вроде бы, на Туманном Альбионе дела с верификацией строже, чем на материковой Европе. Я знаю, что его требования учел даже Steam.
Наталья: Великобритания — один из самых серьезных примеров того, как регулятор действительно намерен исполнять то, что написано на бумаге.
Новые положения Online Safety Act запрещают self-declaration, верификацию через платежные методы, не гарантирующие совершеннолетие, и ограничения через пользовательское соглашение — все это не проходит планку «высокоэффективной верификации», по мнению регулятора.
И, да, Valve отреагировал на закон и обновил политику Steam: британские пользователи теперь обязаны пройти верификацию для доступа к играм с рейтингом 18+. Valve выбрал подход на основе привязанной кредитной карты — элегантное решение с минимальным влиянием на конверсию. Хотя многие эксперты сомневаются, пройдет ли оно проверку как «высокоэффективное».
Также британский регулятор недавно оштрафовал компанию AVS Group, управляющую 18 сайтами для взрослых, на 1 млн фунтов за отсутствие надлежащей верификации возраста. Причем проблема была не в отсутствии верификации как таковой — система AVS принимала загрузку фотографии без проверки на «живость», то есть ребенок мог просто поднести чужую фотографию к камере.
Закон уже меняет поведение крупных игроков: YouTube, Spotify и ряд других платформ внедрили верификацию через удостоверение личности.
Сурово. А что происходит в Штатах? Ты говорила, что там первыми взялись за верификацию, а что сейчас?
Наталья: Говорить о США непросто, потому что ситуация там развивается сразу на двух уровнях — штатов и федеральном — и они движутся в разных направлениях.
На уровне штатов процесс идет стремительно. В 2025 году законы об обязательной верификации возраста вступили в силу сразу в девяти штатах, в том числе во Флориде, Джорджии и Миссури. При этом пока основные цели регуляторов — это платформы с контентом для взрослых и социальные сети. До игровой индустрии как таковой еще не добрались, но направление очевидно: границы постоянно расширяются.
На федеральном уровне есть попытки создать единый стандарт — например, в ноябре 2025 года один из конгрессменов внес законопроект Safer GAMING Act, который обязывает разработчиков онлайн-игр встраивать родительские инструменты контроля, в частности возможность отключать чат между ребенком и другими пользователями. Национальный стандарт был бы разумным решением, так как отслеживать требования каждого штата и подстраиваться под них отдельно практически невозможно.
Что касается перспектив — картина неоднозначная. Первая поправка к Конституции, гарантирующая свободу слова, уже работает как реальный барьер: суды заблокировали несколько штатовских законов именно на этом основании. Исследования также показывают, что верификация не достигает своих целей — пользователи просто уходят на другие платформы или используют VPN. После введения закона во Флориде спрос на VPN вырос более чем на тысячу процентов.
На фоне ужесточения всех этих практик — ждать ли нам полноценной паспортной верификации в играх с высоким возрастным рейтингом?
Наталья: Полноценная паспортная верификация в играх с высоким возрастным рейтингом — это уже не вопрос «если», а вопрос «когда» и «где». Бразилия фактически уже пришла к этому. Великобритания движется в том же направлении. Китай реализовал централизованную модель, при которой государство само является оператором верификации.
Технически это реализуемо — вопрос в том, какой ценой. Платформа с многолетней аудиторией, где пользователи годами строили аккаунты и вкладывали реальные деньги, в один момент должна будет попросить всех этих людей показать паспорт. Реакция аудитории предсказуема, а потери в конверсии — неизбежны. Помимо этого, разработчик превращается в оператора чувствительных персональных данных со всеми вытекающими — системы хранения, защита от утечек, соответствие локальным требованиям по обработке данных.
Вопрос не в том, наступит ли это — а в том, насколько индустрия будет готова, когда это произойдет.
Ох, нас ждут тяжелые времена. Спасибо за беседу!
Комментарии
Ответить