Кого всъщност обхваща COPPA

COPPA се прилага за всеки търговски уебсайт, мобилно приложение, свързано устройство или онлайн услуга, която е или насочена към деца под 13 години, или има действително знание, че събира лична информация от дете под 13 години. Обхватът е по-широк от предположенията на повечето издатели, тъй като FTC тълкува агресивно и двата аспекта.

Дадена услуга е насочена към деца въз основа на многофакторен анализ: предметна материя, визуално съдържание, използване на анимирани персонажи или дейности, ориентирани към деца, музика, възраст на моделите, присъствие на знаменитости, популярни сред децата, език, реклама в услугата, която сама по себе си е насочена към деца, и компетентни и надеждни емпирични доказателства за аудиторния състав. Сайт с обща аудитория може да стане услуга със смесена аудитория в момента, в който раздел е изграден около съдържание, насочено към деца.

Три неща, в които издателите последователно грешат:

• Вярата, че ограничение за възраст в Условията за ползване при регистрация е достатъчно. Само по себе си то не е, когато останалата част от сайта сигнализира намерение за деца.
• Предположението, че липсата на влезли в системата потребители означава липса на излагане на COPPA. Постоянни идентификатори — бисквитки, IP адреси, идентификатори на устройства, рекламни ID — са лична информация по COPPA, когато се събират от дете.
• Третирането на COPPA като отделно от щатските закони за поверителност. Кодексът за дизайн, подходящ за възрастта на Калифорния, законът за данни за деца на Кънектикът и федералните предложения — всички те са изградени върху дефинициите на COPPA; чистата програма COPPA е основата за спазване на всички тях.

Какво действително промени изменението от 2025 г.

Окончателното правило на FTC от януари 2025 г., първата всеобхватна актуализация от 2013 г., модернизира COPPA по пет конкретни начина, които издателите трябва да усвоят.

Отделно съгласие чрез включване за реклама от трети страни

Операторите вече не могат да включват оповестявания за реклама от трети страни в единично родителско съгласие за използването на услугата. Поведенческата реклама в услуга, насочена към деца, сега изисква отделно проверимо родителско съгласие чрез включване, различно от съгласието за използване на самата услуга. Обединяването — историческата норма за приложения и сайтове за деца, поддържани от реклами — сега е изрично забранено.

Разширена лична информация

Изменението разшири дефиницията на лична информация, за да включва биометрични идентификатори, способни да удостоверяват самоличността на лице, включително пръстови отпечатъци, гласови отпечатъци, изображения на ретината или ириса и шаблони на лицева геометрия. Също така уточни, че правителствено издадени идентификатори от всяко правителство, не само от американското, се квалифицират. Издателите, управляващи функции за гласово търсене, ИИ асистенти или инструменти за качване на снимки в услуги, насочени към деца, трябва да нанесат на карта тези потоци спрямо новата дефиниция.

Ограничения за задържане на данни

Новото правило изисква операторите да публикуват писмена политика за задържане, която ограничава съхранението на личната информация на децата до това, което е разумно необходимо за изпълнение на целта, за която е събрана. Неограниченото задържане вече не е разрешено и политиката трябва да бъде свързана от известието за поверителност.

Укрепени методи за проверимо родителско съгласие

Изменението формализира менюто от приемливи методи VPC и добави опция за удостоверяване въз основа на знания, използваща динамични, многовариантни въпроси, на които може да отговори само родителят. Класическите методи — транзакция с кредитна карта, подписан формуляр, видео конференция с обучен оператор, проверка на правителствена ID — остават налични, но трябва да бъдат документирани за всяко събитие за съгласие.

Известието за съществена промяна задейства ново VPC

Всяка съществена промяна в практиките за данни — нови категории данни, събирани, нови получатели на трети страни, нови рекламни договорености — задейства ново проверимо родителско съгласие. Операторите не могат да разчитат на съгласие от 2018 г., за да оторизират рекламна интеграция от 2026 г.

Проверимото родителско съгласие на практика

Проверимото родителско съгласие е сърцето на COPPA и е частта, която издателите най-често прилагат зле. Правният стандарт е съгласие, разумно разработено да гарантира, че лицето, предоставящо съгласието, е родителят на детето — не просто каквото и да е събрано съгласие.

Одобрените от FTC методи, които издателите трябва да знаят:

• Транзакция с кредитна или дебитна карта с известие до притежателя на картата. Малка такса или оторизация за нула долара е приемлива, когато е съчетана с транзакционно известие.
• Проверка на правителствена ID чрез защитен доставчик на идентичност на трета страна, като ID се унищожава незабавно след проверката.
• Удостоверяване въз основа на знания — новата опция от правилото от 2025 г. — използва динамични многовариантни въпроси от публичните записи.
• Подписан формуляр за съгласие, върнат по поща, факс или електронно сканиране.
• Видео конференция с обучен оператор, потвърждаващ самоличността срещу представена правителствена ID.
• Email-plus — разрешено само за лична информация само за вътрешна употреба и изисква стъпка за последващо потвърждение. Не разчитайте на email-plus за рекламни данни.

Ключовият оперативен въпрос е документацията. За всеки потребител-дете операторът трябва да може да покаже при поискване от FTC: кой метод е използван, кой е бил проверяващият родител, какви категории данни са оторизирани, кои получатели от трети страни са назовани и времевият печат на съгласието. Съвременен CMP в стила на FlexyConsent трябва да се интегрира с доставчика на VPC и да съхранява тази пътека в същия одитен журнал като събитията за съгласие за бисквитки.

Съгласие за бисквитки в сайтове, насочени към деца

COPPA и банерът за бисквитки са на различни правни нива, но трябва да работят заедно. Банерите за съгласие за бисквитки съгласно GDPR/ePrivacy или съгласно щатски закони като CCPA не удовлетворяват COPPA и проверимото родителско съгласие не освобождава оператора от задълженията за оповестяване на бисквитки. Операторите, обслужващи деца, трябва да управляват и двете нива в координация.

Блокиране на проследяването до получаване на VPC

На страница, насочена към деца, никоя рекламна или аналитична бисквитка не може да се задейства преди VPC да е уловено за този потребител. Стандартният банер за приемане на всички е неподходящият инструмент — по подразбиране нищо не се задейства, докато родителското съгласие не е налице, и дори тогава само за категориите, оторизирани от родителя.

Ограничаване на списъка с доставчици до партньори, съвместими с COPPA

Списъкът с доставчици на имот, насочен към деца, е по необходимост по-кратък от този на сайт с обща аудитория. SSP, DSP и аналитичните доставчици трябва да гарантират договорно, че не използват данни за деца за поведенческо таргетиране и не предават детето до downstream поведенчески мрежи. Повечето основни SSP публикуват режим на инвентар, съвместим с COPPA; конфигурирайте стека си в този режим и премахнете несъвместимите партньори.

Показване на родителски контроли в долния колонтитул

Известието за поверителност трябва да включва ясна секция на обикновен език, адресирана до родителите, с инструкции за преглед, промяна или отмяна на съгласието за тяхното дете. Постоянна връзка в долния колонтитул, означена нещо като За родители, отговаря на очакванията на FTC за достъпност и създава защитима пътека, когато следовател проведе одит на използваемостта.

Моделът на принудително прилагане от страна на FTC за 2024–2026 г.

Принудителното прилагане по COPPA се ускори след сетълмента с YouTube от 2019 г., който нулира апетита на FTC за случаи с големи издатели. Модели от скорошните заповеди за съгласие предлагат пътна карта за това, което FTC действително търси при разследване.

• Постоянни идентификатори като основно доказателство. FTC рутинно призовава рекламните дневници на оператора и ги свързва с аудиторните данни, за да покаже, че ID на рекламната технология са присвоени на идентифицируеми потребители-деца без VPC. Вътрешните документи, назоваващи аудиторията за „деца", докато програмата за поверителност я третира като обща аудитория, са катастрофални.
• Лошото управление на доставчиците като мултипликатор. Когато оператор препраща данни за деца към несъвместима с COPPA SSP, и двете страни стават отговорни. FTC е преследвала основни оператори и downstream мрежи в паралелни действия.
• Констатации за модел на поведение. Единичен пропуск на VPC може да бъде констатация; модел от пропуски в различни продуктови повърхности се превръща в обвинение за измамни практики по член 5 от Закона за FTC, разширявайки както санкцията, така и обхвата на заповедта за съгласие.
• Ескалация на гражданските санкции. Максималната гражданска санкция за нарушение по Закона за подобряване на FTC е коригирана нагоре ежегодно; през 2025 г. тя беше над 50 000 долара на нарушение, като всяко дете се третира като отделно нарушение в някои случаи.

Изграждане на стек, готов за COPPA

Прилагането на COPPA по начин, който действително издържа на проверката на FTC, е проблемен на координация между продукта, инженерството, рекламните операции и правния отдел. Работата е разделена на приблизително шест работни потока.

1. Класифицирайте всяка собственост и повърхност

За всеки домейн, поддомейн, приложение и крайна точка за свързано устройство решете дали е насочено към деца, смесена аудитория или обща аудитория. Документирайте анализа. Повърхност със смесена аудитория — например начална страница с едновременно съдържание за възрастни и деца — трябва да прилага COPPA само за потребители, самоидентифициращи се като под 13 години чрез неутрална ограда за възраст, а не за всички потребители.

2. Изградете правилно ограждението за възраст

Неутралното ограждение за възраст пита за дата на раждане по начин, който не сигнализира, че по-възрастните потребители имат по-голям достъп. Питането на 13 или повече ли сте? е ненеутрално и FTC го е маркирала. Прост избирател за месец-ден-година, използван веднъж за устройство с устойчива на манипулация бисквитка, е стандартният подход.

3. Интегрирайте доставчик на VPC

Освен ако вашият продуктов екип не възнамерява да управлява VPC вътрешно, интегрирайте специализиран доставчик — има няколко одобрени от FTC доставчика — и направете интеграцията извикваема от вашия CMP, регистрационен поток и портал за управление на родителско съгласие. Съхранявайте записа за одит по събитие в базата данни на CMP, а не в силоза на доставчика на VPC.

4. Конфигурирайте рекламния и аналитичен стек за режим COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network и основните DSP предлагат флаг за таг за третиране, насочено към деца. Задайте го при всяко рекламно обаждане, произхождащо от повърхност, насочена към деца, или от удостоверен потребител под 13 години. Проверете с документацията на доставчика, че флагът действително задейства само контекстуална доставка, а не просто намаляване на документацията.

5. Свържете родителски контроли и изтриване

Родителите имат право да преглеждат, променят и изтриват данните на детето си при поискване. Изградете родителски портал, достъпен от известието за поверителност, който удостоверява родителя, показва данните, налични в архива, и предлага детайлни контроли. Изтриването трябва да се разпространи до всички трети страни, изброени в записа за съгласие, в разумен срок — повечето оператори се ангажират с 30 дни.

6. Извършвайте тримесечен одит

Провеждайте тримесечен преглед, обхващащ: промени в списъка с доставчици, нови продуктови повърхности, съответствие при задържане, обновяване на заповедта за съгласие и актуализации на насоките на FTC. FTC публикува редовно актуализации на бизнес насоките за COPPA; абонирането на вашия екип по поверителност в пощенския списък на FTC е най-евтината възможна инвестиция в съответствие.

Често срещани клопани, които трябва да избягвате

Повтарящи се модели на неуспех се появяват в одитите на издателите и заповедите за съгласие на FTC:

• Третиране на COPPA като проблем при регистрация. Повечето излагания на COPPA идват от анонимни идентификатори на рекламната технология на страници, насочени към деца, а не от регистрирани акаунти.
• Предположението, че "контекстуалните реклами" означава съответствие с COPPA по подразбиране. Някои "контекстуални" рекламни мрежи все още задават постоянни идентификатори на заден план; проверете реалното поведение на бисквитките.
• Позволяването пускането на продукти да изпреварва прегледа за поверителност. Нова функция, добавена без преглед на заповедта за съгласие, може да обезсили цялата ви програма. Добавете пропуск за поверителност към процеса си за пускане.
• Забравяне на повърхностите за свързани устройства и CTV. COPPA изрично обхваща интелигентни телевизори, гласови асистенти и игрови конзоли. Много издатели все още пропускат това в инвентара си.
• Остарели записи за съгласие. Съществена промяна в практиките за данни анулира предишното VPC. Издателите, провеждащи промени в рекламните технологии ежемесечно, се нуждаят от процес за обновяване на VPC, иначе натрупват излагане.

Как ще изглежда COPPA през 2027 г. и след това

Две траектории ще преформатират това пространство в рамките на следващите осемнадесет месеца. Първо, федерални предложения като KOSA — Законът за онлайн безопасност на децата — ще наслои допълнителни задължения за грижа върху COPPA, включително задължения за дизайн на съдържанието и по-строги изисквания за проверка на възрастта. Независимо дали KOSA се приема изцяло или на части, регулаторната посока е повече задължения, а не по-малко. Второ, разширяването на кодексите за дизайн на деца на ниво щат — Калифорния, Кънектикът, Мериленд и други в опашката — създава мозайка, която издателите трябва да изпълняват заедно с федералния COPPA. Операторите, третиращи съответствието с COPPA за 2026 г. като базова линия с допълнителен капацитет за надграждане на щатски изисквания, са тези, които няма да преархитектират системата си през 2027 г.

Заключението

COPPA през 2026 г. вече не е нишово изискване за разработчиците на приложения за деца — това е основна инфраструктура за поверителност за всеки издател, чиято аудитория включва деца, дори частично. Изменението от 2025 г. затвори пропуските, в които издателите живееха, особено прякото включване за обединено съгласие за реклама. Стартирайте защитима ограда за възраст, интегрирайте доставчик на проверимо родителско съгласие, конфигурирайте рекламния стек за режим COPPA и документирайте всичко в одитен журнал на CMP заедно със стандартните събития за съгласие за бисквитки. Направете го добре и трафикът, насочен към деца, остава монетизируем. Направете го зле и ще четете своята заповед за съгласие на уебсайта на FTC с приложена гражданска санкция от многомилионен мащаб.