COPPA واقعاً چه کسانی را پوشش می‌دهد

COPPA برای هر وب‌سایت تجاری، اپ موبایل، دستگاه متصل، یا سرویس آنلاینی اعمال می‌شود که یا به کودکان زیر ۱۳ سال هدایت می‌شود یا اطلاع واقعی دارد که اطلاعات شخصی از کودک زیر ۱۳ سال جمع‌آوری می‌کند. دامنه اعمال گسترده‌تر از چیزی است که اکثر ناشران تصور می‌کنند، زیرا FTC هر دو معیار را به‌طور تهاجمی تفسیر می‌کند.

یک سرویس بر اساس تحلیل چندعاملی هدایت‌شده به کودکان است: موضوع، محتوای بصری، استفاده از شخصیت‌های انیمیشنی یا فعالیت‌های کودک‌محور، موسیقی، سن مدل‌ها، حضور مشاهیر محبوب در میان کودکان، زبان، تبلیغات در سرویس که خود کودک‌محور است، و شواهد تجربی معتبر درباره ترکیب مخاطبان. یک سایت با مخاطب عمومی می‌تواند به محض اینکه بخشی بر محتوای کودک‌محور ساخته شود، به یک سرویس با مخاطبان ترکیبی تبدیل شود.

سه چیزی که ناشران به‌طور مستمر اشتباه درک می‌کنند:

• این باور که دریچه سنی در شرایط خدمات هنگام ثبت‌نام کافی است. به‌تنهایی کافی نیست، زمانی که بقیه سایت نشانه‌های هدف کودک‌محور را نمایش می‌دهد.
• فرض اینکه نبود کاربران وارد شده به سیستم به معنای نبود ریسک COPPA است. شناسه‌های پایدار — کوکی‌ها، آدرس‌های IP، شناسه‌های دستگاه، شناسه‌های تبلیغاتی — زیر COPPA اطلاعات شخصی هستند وقتی از یک کودک جمع‌آوری می‌شوند.
• تلقی COPPA به عنوان مجزا از قوانین حریم خصوصی ایالتی. کد طراحی متناسب با سن کالیفرنیا، قانون داده‌های کودکان کانکتیکات، و پیشنهادهای فدرال همه بر اساس تعاریف COPPA ساخته شده‌اند؛ یک برنامه COPPA مرتب پایه انطباق با همه آن‌هاست.

اصلاحیه ۲۰۲۵ واقعاً چه چیزی را تغییر داد

آیین‌نامه نهایی FTC در ژانویه ۲۰۲۵، اولین به‌روزرسانی جامع از سال ۲۰۱۳، COPPA را به پنج روش مشخص که ناشران باید درونی کنند، مدرن کرد.

Opt-In جداگانه برای تبلیغات شخص ثالث

اپراتورها دیگر نمی‌توانند افشاهای تبلیغاتی شخص ثالث را در یک رضایت والدین برای استفاده از سرویس ادغام کنند. تبلیغات رفتاری در یک سرویس کودک‌محور اکنون نیاز به رضایت قابل تأیید والدین جداگانه، opt-in دارد که از رضایت برای استفاده از سرویس متمایز است. تجمیع — هنجار تاریخی برای اپ‌ها و سایت‌های کودکانه با پشتیبانی تبلیغاتی — اکنون صریحاً ممنوع است.

گسترش اطلاعات شخصی

اصلاحیه تعریف اطلاعات شخصی را به شامل شناسه‌های بیومتریک قادر به احراز هویت فرد توسعه داد، از جمله اثر انگشت، اثر صدا، تصاویر شبکیه یا عنبیه، و قالب‌های هندسه چهره. همچنین روشن شد که شناسه‌های صادرشده توسط دولت از هر دولتی، نه فقط آمریکا، واجد شرایط است. ناشرانی که ویژگی‌های جستجوی صوتی، دستیارهای هوش مصنوعی، یا ابزارهای آپلود عکس را در سرویس‌های کودک‌محور اجرا می‌کنند باید این جریان‌ها را در برابر تعریف جدید نقشه‌برداری کنند.

محدودیت‌های نگهداری داده

قانون جدید از اپراتورها می‌خواهد سیاست نگهداری مکتوبی را منتشر کنند که ذخیره‌سازی اطلاعات شخصی کودکان را به آنچه برای انجام هدفی که برای آن جمع‌آوری شده معقولاً لازم است محدود می‌کند. نگهداری نامحدود دیگر مجاز نیست، و این سیاست باید از اعلامیه حریم خصوصی لینک شده باشد.

روش‌های تقویت‌شده رضایت قابل تأیید والدین

اصلاحیه منوی روش‌های قابل قبول VPC را رسمی کرد و گزینه احراز هویت مبتنی بر دانش با استفاده از سؤالات پویا و چندگزینه‌ای قابل پاسخ‌دهی فقط توسط والدین را اضافه کرد. روش‌های کلاسیک — تراکنش کارت اعتباری، فرم امضاشده، کنفرانس ویدئویی با اپراتور آموزش‌دیده، تأیید ID دولتی — در دسترس باقی می‌مانند اما باید به ازای هر رویداد رضایت مستند شوند.

اعلامیه تغییر اساسی، VPC جدید ایجاد می‌کند

هر تغییر اساسی در شیوه‌های داده — دسته‌های داده جدید جمع‌آوری‌شده، گیرندگان شخص ثالث جدید، ترتیبات تبلیغاتی جدید — رضایت قابل تأیید والدین جدید ایجاد می‌کند. اپراتورها نمی‌توانند به رضایت ۲۰۱۸ برای مجوز دادن به یکپارچه‌سازی تبلیغاتی ۲۰۲۶ تکیه کنند.

رضایت قابل تأیید والدین در عمل

رضایت قابل تأیید والدین قلب COPPA است، و بخشی است که ناشران اغلب ضعیف اجرا می‌کنند. استاندارد قانونی، رضایتی است که به‌گونه‌ای معقول طراحی شده تا اطمینان حاصل کند که شخص ارائه‌دهنده رضایت والد کودک است — نه صرفاً رضایتی که به هر شکلی جمع‌آوری شده.

روش‌های تأیید شده توسط FTC که ناشران باید بدانند:

• تراکنش کارت اعتباری یا نقدی با اعلامیه به دارنده کارت. هزینه کم یا مجوز صفر دلار همراه با اعلامیه تراکنشی قابل قبول است.
• تأیید ID صادرشده توسط دولت از طریق فروشنده هویت شخص ثالث امن، با از بین بردن فوری ID پس از تأیید.
• احراز هویت مبتنی بر دانش — گزینه جدید از قانون ۲۰۲۵ — با استفاده از سؤالات پویا و چندگزینه‌ای منبع‌یابی‌شده از سوابق عمومی.
• فرم رضایت امضاشده که از طریق پست، فکس، یا اسکن الکترونیکی بازگردانده شده.
• کنفرانس ویدئویی با اپراتور آموزش‌دیده که هویت را در برابر ID دولتی ارائه‌شده تأیید می‌کند.
• ایمیل-پلاس — فقط برای اطلاعات شخصی فقط برای استفاده داخلی مجاز است، و نیاز به مرحله تأیید پیگیری دارد. برای داده‌های تبلیغاتی به ایمیل-پلاس تکیه نکنید.

سؤال عملیاتی اصلی مستندسازی است. برای هر کاربر کودک، اپراتور باید بتواند در درخواست FTC نشان دهد: از چه روشی استفاده شده، والد تأییدکننده چه کسی بوده، چه دسته‌های داده‌ای مجاز بوده‌اند، چه اشخاص ثالثی نامیده شده‌اند، و مُهر زمانی رضایت. یک CMP به سبک FlexyConsent مدرن باید با فروشنده VPC ادغام شود و این مسیر را در همان گزارش ممیزی رویدادهای رضایت کوکی ذخیره کند.

رضایت کوکی در سایت‌های کودک‌محور

COPPA و بنر کوکی در لایه‌های قانونی مختلفی قرار دارند اما باید با هم کار کنند. بنرهای رضایت کوکی تحت GDPR/ePrivacy یا تحت قوانین ایالتی مانند CCPA، COPPA را ارضا نمی‌کنند، و رضایت قابل تأیید والدین اپراتور را از تعهدات افشای کوکی معاف نمی‌کند. اپراتورهایی که به کودکان خدمت می‌کنند باید هر دو لایه را به‌صورت هماهنگ اجرا کنند.

ردیابی را تا دریافت VPC مسدود کنید

در یک صفحه کودک‌محور، هیچ کوکی تبلیغاتی یا تحلیلی نباید قبل از دریافت VPC برای آن کاربر فعال شود. یک بنر قبول-همه استاندارد ابزار اشتباه است — حالت پیش‌فرض باید هیچ چیز فعال نشود تا زمانی که رضایت والدین در پرونده باشد، و حتی آنگاه فقط برای دسته‌هایی که والد مجاز کرده است.

فهرست فروشندگان را به شرکای ایمن COPPA محدود کنید

فهرست فروشندگان در یک ملک کودک‌محور لزوماً کوتاه‌تر از سایت با مخاطب عمومی است. SSP‌ها، DSP‌ها، و ارائه‌دهندگان تحلیل باید به‌صورت قراردادی ضمانت کنند که از داده کودکان برای هدف‌گذاری رفتاری استفاده نمی‌کنند و کودک را به شبکه‌های رفتاری پایین‌دستی منتقل نمی‌کنند. بیشتر SSP‌های بزرگ حالت موجودی مطابق با COPPA را منتشر می‌کنند؛ پشته خود را روی آن حالت پیکربندی کنید و شرکای غیرمطابق را حذف کنید.

کنترل‌های والدین را در پاورقی نمایش دهید

اعلامیه حریم خصوصی باید شامل یک بخش واضح و ساده خطاب به والدین با دستورالعمل‌هایی برای بررسی، تغییر، یا لغو رضایت برای فرزندشان باشد. یک لینک پاورقی پایدار با برچسبی مانند برای والدین انتظارات دسترس‌پذیری FTC را برآورده می‌کند و هنگامی که بازرس ممیزی قابلیت استفاده را انجام می‌دهد مسیر قابل دفاعی ایجاد می‌کند.

الگوی اجرای FTC در ۲۰۲۴–۲۰۲۶

اجرا تحت COPPA از زمان توافق YouTube در ۲۰۱۹ که اشتهای FTC برای پرونده‌های ناشران بزرگ را ریست کرد، شتاب گرفته است. الگوهایی از فرمان‌های رضایت اخیر یک نقشه راه برای آنچه FTC واقعاً در تحقیق دنبال می‌کند ارائه می‌دهند.

• شناسه‌های پایدار به عنوان مدرک جرم. FTC به‌طور معمول از گزارش‌های تبلیغاتی اپراتور احضاریه صادر می‌کند و آن‌ها را با داده‌های مخاطبان مقایسه می‌کند تا نشان دهد که شناسه‌های تبلیغاتی بدون VPC به کاربران کودک قابل شناسایی اختصاص داده شده‌اند. اسناد داخلی که مخاطبان را «بچه‌ها» یا «کودکان» می‌نامند در حالی که برنامه حریم خصوصی آن را به عنوان مخاطب عمومی تلقی می‌کند، فاجعه‌بار است.
• مدیریت بد فروشندگان به عنوان ضریب. وقتی اپراتور داده‌های کودکان را به SSP غیرمطابق با COPPA ارسال می‌کند، هر دو طرف مسئول می‌شوند. FTC اپراتورهای اصلی و شبکه‌های پایین‌دستی را در اقدامات موازی دنبال کرده است.
• یافته‌های الگوی رفتاری. یک شکست VPC واحد ممکن است یک یافته باشد؛ یک الگو از شکست‌ها در سطوح محصول تبدیل به یک اتهام تجارت گمراه‌کننده تحت ماده ۵ قانون FTC می‌شود، که هم جریمه و هم دامنه فرمان رضایت را گسترش می‌دهد.
• تشدید جریمه مدنی. حداکثر جریمه مدنی به ازای هر تخلف تحت قانون بهبودهای FTC سالانه به سمت بالا تعدیل شده؛ در ۲۰۲۵ بالای ۵۰,۰۰۰ دلار به ازای هر تخلف بود، با برخوردی با هر کودک به عنوان یک تخلف جداگانه در برخی موارد.

ساخت یک پشته آماده COPPA

اجرای COPPA به روشی که واقعاً در برابر بررسی FTC مقاومت کند، یک مشکل هماهنگی در محصول، مهندسی، عملیات تبلیغاتی، و حقوقی است. کار به تقریباً شش جریان کاری تقسیم می‌شود.

۱. هر ملک و سطح را طبقه‌بندی کنید

برای هر دامنه، زیردامنه، اپ، و نقطه پایانی دستگاه متصل، تصمیم بگیرید که آیا کودک‌محور، مخاطبان ترکیبی، یا مخاطب عمومی است. تحلیل را مستند کنید. یک سطح مخاطبان ترکیبی — برای مثال، یک صفحه اصلی با هم محتوای بزرگسال و کودک — باید COPPA را فقط برای کاربرانی اعمال کند که از طریق یک دروازه سنی خنثی خود را زیر ۱۳ سال شناسایی می‌کنند، نه برای همه کاربران.

۲. دروازه سنی را به روش درست بسازید

یک دروازه سنی خنثی تاریخ تولد را به روشی می‌پرسد که نشانه‌ای ندهد که کاربران مسن‌تر دسترسی بیشتری دارند. پرسیدن آیا ۱۳ سال یا بیشتر داری؟ غیرخنثی است و FTC آن را علامت‌گذاری کرده است. یک انتخابگر ساده ماه-روز-سال، که یک بار برای هر دستگاه با یک کوکی ضدتغییر استفاده می‌شود، رویکرد استاندارد است.

۳. یک فروشنده VPC ادغام کنید

مگر اینکه تیم محصول شما قصد داشته باشد VPC را به‌صورت داخلی اجرا کند، یک فروشنده متخصص ادغام کنید — چندین ارائه‌دهنده تأییدشده توسط FTC وجود دارد — و ادغام را قابل فراخوانی از CMP، جریان ثبت‌نام، و پورتال مدیریت رضایت والدین کنید. سابقه ممیزی به ازای هر رویداد را در پایگاه داده CMP ذخیره کنید، نه در سیلوی فروشنده VPC.

۴. پشته‌های تبلیغاتی و تحلیلی را برای حالت COPPA پیکربندی کنید

Google Ad Manager، AdMob، IronSource، Unity Ads، Meta Audience Network، و DSP‌های بزرگ همگی یک پرچم برچسب برای رفتار کودک‌محور ارائه می‌دهند. آن را برای هر فراخوانی تبلیغاتی از یک سطح کودک‌محور یا کاربر احراز هویت‌شده زیر ۱۳ سال تنظیم کنید. با مستندات فروشنده تأیید کنید که پرچم واقعاً تحویل فقط زمینه‌ای را فعال می‌کند، نه صرفاً کاهش اسناد.

۵. کنترل‌های والدین و حذف را سیم‌کشی کنید

والدین حق دارند داده‌های فرزندشان را بر اساس تقاضا بررسی، تغییر، و حذف کنند. یک پورتال والدین بسازید که از اعلامیه حریم خصوصی قابل دسترسی باشد، والد را احراز هویت کند، داده‌های موجود در پرونده را نمایش دهد، و کنترل‌های دقیق ارائه دهد. حذف باید در یک بازه زمانی معقول به همه اشخاص ثالث فهرست‌شده در سابقه رضایت منتشر شود — اکثر اپراتورها به ۳۰ روز متعهد می‌شوند.

۶. فصلی ممیزی کنید

یک بررسی فصلی انجام دهید که شامل: تغییرات فهرست فروشندگان، سطوح محصول جدید، انطباق نگهداری، تازه‌سازی فرمان رضایت، و به‌روزرسانی‌های راهنمایی FTC باشد. FTC به‌طور منظم به‌روزرسانی‌های راهنمای تجاری COPPA منتشر می‌کند؛ اشتراک تیم حریم خصوصی شما به فهرست پستی FTC ارزان‌ترین سرمایه‌گذاری انطباق ممکن است.

دام‌های رایجی که باید از آن‌ها اجتناب کرد

الگوهای تکراری شکست در ممیزی‌های ناشران و فرمان‌های رضایت FTC ظاهر می‌شوند:

• تلقی COPPA به عنوان یک مشکل ثبت‌نام. بیشتر ریسک COPPA از شناسه‌های ناشناس فناوری تبلیغاتی در صفحات کودک‌محور می‌آید، نه از حساب‌های ثبت‌شده.
• فرض اینکه «تبلیغات زمینه‌ای» به‌طور پیش‌فرض ایمن برای COPPA است. برخی شبکه‌های تبلیغاتی «زمینه‌ای» همچنان شناسه‌های پایدار را در پس‌زمینه تنظیم می‌کنند؛ رفتار واقعی کوکی را تأیید کنید.
• اجازه دادن به راه‌اندازی‌های محصول که از بررسی حریم خصوصی پیشی بگیرند. یک ویژگی جدید بدون بررسی فرمان رضایت ممکن است کل برنامه شما را باطل کند. یک دروازه حریم خصوصی به فرآیند انتشار خود اضافه کنید.
• فراموش کردن سطوح دستگاه متصل و CTV. COPPA صریحاً تلویزیون‌های هوشمند، دستیارهای صوتی، و کنسول‌های بازی را پوشش می‌دهد. بسیاری از ناشران هنوز این را در موجودی خود نادیده می‌گیرند.
• سوابق رضایت کهنه. یک تغییر اساسی در شیوه‌های داده VPC قبلی را باطل می‌کند. ناشرانی که ماهانه تغییرات فناوری تبلیغاتی ایجاد می‌کنند به یک فرآیند برای تازه‌سازی VPC نیاز دارند، یا ریسک انباشته می‌شود.

COPPA در ۲۰۲۷ و پس از آن چگونه خواهد بود

دو مسیر این فضا را در هجده ماه آینده شکل می‌دهند. اول، پیشنهادهای فدرال مانند KOSA — قانون ایمنی آنلاین کودکان — وظایف مراقبتی اضافی را بر COPPA اضافه می‌کنند، از جمله تعهدات طراحی محتوا و الزامات تأیید سن سخت‌تر. صرف‌نظر از اینکه KOSA به‌طور کامل یا در قطعات تصویب شود، جهت نظارتی تعهدات بیشتر است، نه کمتر. دوم، گسترش ایالت به ایالت کدهای طراحی کودکان — کالیفرنیا، کانکتیکات، مریلند، و دیگران در صف — یک شبکه چندشکلی ایجاد می‌کند که ناشران باید همراه با COPPA فدرال آن را برآورده کنند. اپراتورهایی که انطباق COPPA ۲۰۲۶ را به عنوان پایه، با ظرفیت اضافی برای لایه‌بندی الزامات ایالتی، می‌پندارند، کسانی هستند که در ۲۰۲۷ معماری مجدد نخواهند کرد.

نتیجه‌گیری

COPPA در ۲۰۲۶ دیگر یک الزام مکان‌خاص برای توسعه‌دهندگان اپ‌های کودکانه نیست — این زیرساخت حریم خصوصی اصلی برای هر ناشری است که مخاطبانش شامل کودکان می‌شود، حتی به‌طور جزئی. اصلاحیه ۲۰۲۵ حفره‌هایی را که ناشران عادت به زندگی در آن‌ها داشتند بست، به‌ویژه میانبر رضایت تجمیع‌یافته برای تبلیغات. یک دروازه سنی قابل دفاع اجرا کنید، یک فروشنده رضایت قابل تأیید والدین ادغام کنید، پشته تبلیغاتی خود را برای حالت COPPA پیکربندی کنید، و همه چیز را در گزارش ممیزی CMP همراه با رویدادهای رضایت کوکی استاندارد خود مستند کنید. این را خوب انجام دهید و ترافیک کودک‌محور قابل کسب درآمد باقی می‌ماند. آن را بد انجام دهید و فرمان رضایت خود را در وب‌سایت FTC با جریمه مدنی چندمیلیون دلاری پیوست می‌خوانید.