Каго на самай справе ахоплівае COPPA

COPPA прымяняецца да любога камерцыйнага вэб-сайта, мабільнага дадатка, падключанай прылады ці анлайн-сэрвісу, які альбо накіраваны на дзяцей маладзейшых за 13 гадоў, альбо мае фактычнае веданне, што ён збірае персанальную інфармацыю ад дзіцяці маладзейшага за 13 гадоў. Ахоп шырэйшы, чым мяркуе большасць выдаўцоў, таму што FTC агрэсіўна інтэрпрэтуе абодва крытэрыі.

Сэрвіс накіраваны на дзяцей на аснове шматфактарнага аналізу: прадмет, візуальны кантэнт, выкарыстанне анімаваных персанажаў ці арыентаваных на дзяцей актыўнасцей, музыка, узрост мадэлей, прысутнасць знакамітасцей, папулярных сярод дзяцей, мова, рэклама на сэрвісе, якая сама накіравана на дзяцей, і кампетэнтныя і надзейныя эмпірычныя доказы пра склад аўдыторыі. Сайт агульнай аўдыторыі можа стаць сэрвісам змешанай аўдыторыі ў той момант, калі раздзел пабудаваны вакол арыентаванага на дзяцей кантэнту.

Тры рэчы, у якіх выдаўцы паслядоўна памыляюцца:

• Вера ў тое, што ўзроставага бар'ера ва Ўмовах абслугоўвання пры рэгістрацыі дастаткова. Сам па сабе ён недастатковы, калі астатняя частка сайта сігналізуе намер, накіраваны на дзяцей.
• Дапушчэнне, што адсутнасць аўтарызаваных карыстальнікаў азначае адсутнасць рызыкі COPPA. Пастаянныя ідэнтыфікатары — cookie, IP-адрасы, ID прылад, рэкламныя ID — з'яўляюцца персанальнай інфармацыяй па COPPA, калі збіраюцца ад дзіцяці.
• Стаўленне да COPPA як артаганальнаму закону штата аб прыватнасці. Каліфарнійскі Кодэкс узроставага дызайну, закон Канектыкута аб дзіцячых данях і федэральныя прапановы — усе будуюцца паверх вызначэнняў COPPA; чыстая праграма COPPA з'яўляецца фундаментам адпаведнасці ўсім ім.

Што на самай справе змяніла папраўка 2025 года

Канчатковае правіла FTC ад студзеня 2025 года, першае ўсеабдымнае абнаўленне з 2013 года, мадэрнізавала COPPA пяццю канкрэтнымі спосабамі, якія выдаўцы павінны засвоіць.

Асобная згода для староннняй рэкламы

Аператары больш не могуць уключаць раскрыццё староннняй рэкламы ў адзіную бацькоўскую згоду на выкарыстанне сэрвісу. Паводзінская рэклама на сэрвісе, накіраваным на дзяцей, цяпер патрабуе асобнай, правяральнай бацькоўскай згоды па прынцыпе opt-in, адрознай ад згоды на выкарыстанне самога сэрвісу. Аб'яднанне — гістарычная норма для падтрымліваемых рэкламай дзіцячых дадаткаў і сайтаў — цяпер прама забаронена.

Пашыраная персанальная інфармацыя

Папраўка пашырыла вызначэнне персанальнай інфармацыі, уключыўшы біяметрычныя ідэнтыфікатары, здольныя аўтэнтыфікаваць чалавека, уключаючы адбіткі пальцаў, галасавыя адбіткі, выявы сятчаткі ці радужкі і шаблоны геаметрыі твару. Яна таксама ўдакладніла, што дзяржаўныя ідэнтыфікатары ад любога ўрада, а не толькі ЗША, кваліфікуюцца. Выдаўцы, якія выкарыстоўваюць функцыі галасавога пошуку, ШІ-памочнікаў ці інструменты загрузкі фота на сэрвісах, накіраваных на дзяцей, павінны супаставіць гэтыя патокі з новым вызначэннем.

Абмежаванні захоўвання даных

Новае правіла патрабуе ад аператараў апублікаваць пісьмовую палітыку захоўвання, якая абмяжоўвае захоўванне персанальнай інфармацыі дзяцей тым, што разумна неабходна для выканання мэты, для якой яна была сабрана. Бестэрміновае захоўванне больш не дазволена, і палітыка павінна быць звязана з паведамлення аб канфідэнцыяльнасці.

Узмоцненыя метады правяральнай бацькоўскай згоды

Папраўка фармалізавала меню прымальных метадаў VPC і дадала опцыю аўтэнтыфікацыі на аснове ведаў, якая выкарыстоўвае дынамічныя пытанні з множным выбарам, на якія можа адказаць толькі бацька. Класічныя метады — транзакцыя па крэдытнай карце, падпісаная форма, відэаканферэнцыя з навучаным аператарам, праверка дзяржаўнага ID — застаюцца даступнымі, але павінны дакументавацца для кожнай падзеі згоды.

Паведамленне аб істотным змяненні запускае новае VPC

Любое істотнае змяненне ў практыках апрацоўкі даных — новыя катэгорыі збіраемых даных, новыя староннія атрымальнікі, новыя рэкламныя дамоўленасці — запускае новую правяральную бацькоўскую згоду. Аператары не могуць абапірацца на згоду 2018 года для аўтарызацыі рэкламнай інтэграцыі 2026 года.

Правяральная бацькоўская згода на практыцы

Правяральная бацькоўская згода — гэта сэрца COPPA, і гэта тая частка, якую выдаўцы часцей за ўсё рэалізуюць дрэнна. Юрыдычны стандарт — гэта згода, разумна распрацаваная, каб гарантаваць, што асоба, якая дае згоду, з'яўляецца бацькам дзіцяці — а не проста сабраная згода наогул.

Ухваленыя FTC метады, якія павінны ведаць выдаўцы:

• Транзакцыя па крэдытнай ці дэбетавай карце з паведамленнем уладальніку карты. Невялікае спісанне ці аўтарызацыя на нуль долараў прымальны ў спалучэнні з транзакцыйным паведамленнем.
• Праверка дзяржаўнага ID праз абаронены стороннні ідэнтыфікацыйны пастаўшчык, з ID, які знішчаецца адразу пасля праверкі.
• Аўтэнтыфікацыя на аснове ведаў — новая опцыя з правіла 2025 года — з выкарыстаннем дынамічных пытанняў з множным выбарам з публічных запісаў.
• Падпісаная форма згоды, вернутая па пошце, факсе ці электронным скане.
• Відэаканферэнцыя з навучаным аператарам, які пацвярджае асобу па прад'яўленым дзяржаўным ID.
• Email-plus — дазволена толькі для персанальнай інфармацыі ўнутранага выкарыстання і патрабуе крока пацвярджэння. Не абапірайцеся на email-plus для рэкламных даных.

Ключавое аперацыйнае пытанне — дакументацыя. Для кожнага дзіцяці-карыстальніка аператар павінен быць у стане паказаць па запыце FTC: які метад выкарыстоўваўся, хто быў правяральным бацькам, якія катэгорыі даных былі аўтарызаваны, якія староннія атрымальнікі былі названы, і метку часу згоды. Сучасная CMP у стылі FlexyConsent павінна інтэгравацца з пастаўшчыком VPC і захоўваць гэты след у тым жа журнале аўдыту, што і падзеі згоды на cookie.

Згода на cookie на сайтах, накіраваных на дзяцей

COPPA і cookie-банер знаходзяцца на розных юрыдычных узроўнях, але павінны працаваць разам. Банеры згоды на cookie па GDPR/ePrivacy ці па законах штатаў, такіх як CCPA, не задавальняюць COPPA, а правяральная бацькоўская згода не вызваляе аператара ад абавязацельстваў па раскрыцці cookie. Аператары, якія абслугоўваюць дзяцей, павінны запускаць абодва ўзроўні ў каардынацыі.

Блакіруйце адсочванне да захопу VPC

На старонцы, накіраванай на дзяцей, ніякі рэкламны ці аналітычны cookie не можа спрацаваць да захопу VPC для гэтага карыстальніка. Стандартны банер «прыняць усё» — няправільны інструмент — стан па змаўчанні павінен быць нічога не спрацоўвае, пакуль бацькоўская згода не на файле, і нават тады толькі для катэгорый, якія бацька аўтарызаваў.

Абмяжуйце спіс пастаўшчыкоў COPPA-бяспечнымі партнёрамі

Спіс пастаўшчыкоў на ўласцівасці, накіраванай на дзяцей, абавязкова карацейшы, чым на сайце агульнай аўдыторыі. SSP, DSP і пастаўшчыкі аналітыкі павінны кантрактна гарантаваць, што яны не выкарыстоўваюць дзіцячыя даныя для паводзінскага таргетынгу і не перадаюць дзіця ніжэйстаячым паводзінскім сеткам. Большасць буйных SSP публікуюць рэжым COPPA-адпаведнага інвентару; наладзьце ваш стэк на гэты рэжым і выдаліце неадпаведных партнёраў.

Вынесіце бацькоўскі кантроль у падвал

Паведамленне аб канфідэнцыяльнасці павінна ўключаць выразны, напісаны простай мовай раздзел, адрасаваны бацькам, з інструкцыямі па праверцы, змяненні ці адкліку згоды для іх дзіцяці. Пастаянная спасылка ў падвале з надпісам накшталт Для бацькоў адпавядае чаканням FTC па даступнасці і стварае абараняльны след, калі следчы праводзіць аўдыт зручнасці выкарыстання.

Мадэль правапрымянення FTC у 2024–2026 гадах

Правапрымяненне па COPPA паскорылася з таго часу, як урэгуляванне з YouTube у 2019 годзе перазапусціла апетыт FTC да спраў буйных выдаўцоў. Патэрны з нядаўніх згадных дэкрэтаў прапануюць дарожную карту таго, што FTC на самай справе шукае ў расследаванні.

• Пастаянныя ідэнтыфікатары як улика. FTC рэгулярна выклікае позвай рэкламныя журналы аператара і супастаўляе іх з данымі аўдыторыі, каб паказаць, што ad-tech ID былі прысвоены ідэнтыфікавальным дзецям-карыстальнікам без VPC. Унутраныя дакументы, якія называюць аўдыторыю «дзеці» ці «дзятва», у той час як праграма прыватнасці разглядае яе як агульную аўдыторыю, катастрафічныя.
• Дрэннае кіраванне пастаўшчыкамі як множнік. Калі аператар перадае дзіцячыя даныя не адпаведнаму COPPA SSP, абодва бакі становяцца адказнымі. FTC пераследавала асноўных аператараў і ніжэйстаячыя сеткі ў паралельных дзеяннях.
• Высновы пра мадэль паводзін. Адзінкавая няўдача VPC можа быць высновай; мадэль няўдач па прадуктовых паверхнях становіцца пунктам аб падманлівых практыках па раздзеле 5 Закона FTC, пашыраючы як штраф, так і маштаб згаднага дэкрэта.
• Эскалацыя грамадзянскіх штрафаў. Максімальны грамадзянскі штраф за парушэнне па Законе аб паляпшэннях FTC карэктаваўся ўверх штогод; у 2025 годзе ён складаў вышэй за 50 000 долараў за парушэнне, прычым кожнае дзіця разглядалася як асобнае парушэнне ў некаторых справах.

Пабудова гатовага да COPPA стэка

Рэалізацыя COPPA такім чынам, які сапраўды вытрымлівае праверку FTC, — гэта праблема каардынацыі паміж прадуктам, інжынерыяй, рэкламнымі аперацыямі і юрыстамі. Работа разбіваецца прыкладна на шэсць рабочых патокаў.

1. Класіфікуйце кожную ўласцівасць і паверхню

Для кожнага дамена, паддамена, дадатка і канцавай кропкі падключанай прылады вырашыце, накіравана ці яно на дзяцей, на змешаную аўдыторыю ці на агульную аўдыторыю. Задакументуйце аналіз. Паверхня змешанай аўдыторыі — напрыклад, галоўная старонка з кантэнтам як для дарослых, так і для дзяцей — павінна прымяняць COPPA толькі да карыстальнікаў, якія самаідэнтыфікуюцца як маладзейшыя за 13 гадоў праз нейтральны ўзроставы бар'ер, а не да ўсіх карыстальнікаў.

2. Пабудуйце ўзроставы бар'ер правільна

Нейтральны ўзроставы бар'ер запытвае дату нараджэння такім чынам, які не сігналізуе, што больш старыя карыстальнікі атрымліваюць большы доступ. Пытанне вам 13 ці больш? з'яўляецца нейтральным, і FTC адзначыла яго. Просты выбар месяца-дня-года, выкарыстоўваемы адзін раз на прыладу з абароненым ад падробкі cookie, з'яўляецца стандартным падыходам.

3. Інтэгруйце пастаўшчыка VPC

Калі ваша прадуктовая каманда не мае намеру кіраваць VPC уласнымі сіламі, інтэгруйце спецыялізаванага пастаўшчыка — ёсць некалькі ўхваленых FTC правайдэраў — і зрабіце інтэграцыю выклікальнай з вашай CMP, працэсу рэгістрацыі і партала кіравання бацькоўскай згодай. Захоўвайце запіс аўдыту па кожнай падзеі ў базе даных CMP, а не ў сіласе пастаўшчыка VPC.

4. Наладзьце рэкламны і аналітычны стэкі для рэжыму COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network і буйныя DSP — усе прапануюць сцяг тэг для апрацоўкі, накіраванай на дзяцей. Усталюйце яго на кожны рэкламны выклік, які зыходзіць з накіраванай на дзяцей паверхні ці ад аўтэнтыфікаванага карыстальніка маладзейшага за 13 гадоў. Праверце па дакументацыі пастаўшчыка, што сцяг сапраўды запускае толькі кантэкстную дастаўку, а не проста скарачэнне дакументацыі.

5. Падключыце бацькоўскі кантроль і выдаленне

Бацькі маюць права правяраць, змяняць і выдаляць даныя свайго дзіцяці па патрабаванні. Пабудуйце бацькоўскі партал, даступны з паведамлення аб канфідэнцыяльнасці, які аўтэнтыфікуе бацьку, адлюстроўвае даныя на файле і прапануе гранулярны кантроль. Выдаленне павінна распаўсюджвацца на ўсе трэція бакі, пералічаныя ў запісе згоды, у разумнае часавае акно — большасць аператараў абавязваюцца на 30 дзён.

6. Праводзьце аўдыт штоквартальна

Праводзьце штоквартальны агляд, які ахоплівае: змены спіса пастаўшчыкоў, новыя прадуктовыя паверхні, адпаведнасць захоўванню, абнаўленне згаднага дэкрэта і абнаўленні рэкамендацый FTC. FTC рэгулярна публікуе абнаўленні бізнес-рэкамендацый COPPA; падпіска вашай каманды прыватнасці на рассылку FTC — гэта самая танная магчымая інвестыцыя ў адпаведнасць.

Распаўсюджаныя пасткі, якіх варта пазбягаць

Паўтаральныя патэрны няўдач праяўляюцца па ўсіх аўдытах выдаўцоў і згадных дэкрэтах FTC:

• Стаўленне да COPPA як да праблемы рэгістрацыі. Большая частка рызыкі COPPA зыходзіць ад ананімных ad-tech ідэнтыфікатараў на старонках, накіраваных на дзяцей, а не ад зарэгістраваных акаўнтаў.
• Дапушчэнне, што «кантэкстная рэклама» азначае COPPA-бяспеку па змаўчанні. Некаторыя «кантэкстныя» рэкламныя сеткі ўсё роўна ўсталёўваюць пастаянныя ідэнтыфікатары ў фоне; праверце фактычныя паводзіны cookie.
• Дазвол запускам прадуктаў апярэджваць праверку прыватнасці. Новая функцыя, дададзеная без праверкі згаднага дэкрэта, можа анулявать усю вашу праграму. Дадайце бар'ер прыватнасці да вашага працэсу рэлізу.
• Забыванне пра паверхні падключаных прылад і CTV. COPPA прама ахоплівае разумныя ТБ, галасавых памочнікаў і ігравыя кансолі. Многія выдаўцы дагэтуль прапускаюць гэта ў сваім інвентары.
• Састарэлыя запісы згоды. Істотнае змяненне ў практыках апрацоўкі даных анулюе ранейшае VPC. Выдаўцам, якія запускаюць змены ad-tech штомесяц, патрэбны працэс абнаўлення VPC, інакш яны назапашваюць рызыку.

Як COPPA выглядае ў 2027 годзе і далей

Дзве траекторыі перафармуюць гэту прастору на працягу наступных васемнаццаці месяцаў. Па-першае, федэральныя прапановы, такія як KOSA — Закон аб бяспецы дзяцей у інтэрнэце — наклалі б дадатковыя абавязкі клопату паверх COPPA, уключаючы абавязацельствы па дызайне кантэнту і больш строгія патрабаванні да пацвярджэння ўзросту. Пройдзе ці KOSA цалкам ці па частках, рэгулятарны напрамак — больш абавязацельстваў, а не менш. Па-другое, пашырэнне дзіцячых кодэксаў дызайну штат за штатам — Каліфорнія, Канектыкут, Мэрыленд і іншыя ў чарзе — стварае лапікавую коўдру, якую выдаўцы павінны задавальняць побач з федэральным COPPA. Аператары, якія разглядаюць адпаведнасць COPPA 2026 года як базавы ўзровень з дадатковай ёмістасцю для накладання патрабаванняў штатаў, — гэта тыя, хто не будзе перапраектаваць у 2027 годзе.

Вынік

COPPA ў 2026 годзе больш не з'яўляецца нішавым патрабаваннем для распрацоўшчыкаў дзіцячых дадаткаў — гэта асноўная інфраструктура прыватнасці для любога выдаўца, чыя аўдыторыя ўключае дзяцей, нават часткова. Папраўка 2025 года закрыла лазейкі, у якіх выдаўцы прывыклі жыць, асабліва ярлык аб'яднанай згоды для рэкламы. Запусціце абараняльны ўзроставы бар'ер, інтэгруйце пастаўшчыка правяральнай бацькоўскай згоды, наладзьце ваш рэкламны стэк на рэжым COPPA і задакументуйце ўсё ў журнале аўдыту CMP побач з вашымі стандартнымі падзеямі згоды на cookie. Зрабіце гэта добра, і трафік, накіраваны на дзяцей, застанецца манетызуемым. Зрабіце гэта дрэнна, і вы будзеце чытаць уласны згадны дэкрэт на вэб-сайце FTC з прымацаваным шматмільённым грамадзянскім штрафам.