Sino Talaga ang Saklaw ng COPPA

Naaangkop ang COPPA sa anumang komersyal na website, mobile app, konektadong device, o online na serbisyo na alinman ay nakatuon sa mga batang wala pang 13 taon o may totoong kaalaman na nangongolekta ito ng personal na impormasyon mula sa isang batang wala pang 13 taon. Ang saklaw ay mas malawak kaysa sa inaakala ng karamihan sa mga publisher dahil agresibong binabasbasan ng FTC ang parehong pamantayan.

Ang isang serbisyo ay nakatuon sa mga bata batay sa multi-factor na pagsusuri: paksa, visual na nilalaman, paggamit ng mga animated na karakter o mga aktibidad na nakatuon sa mga bata, musika, edad ng mga modelo, presensya ng mga celebrity na sikat sa mga bata, wika, advertising sa serbisyo na nakatuon sa mga bata mismo, at mapagkakatiwalaang empirikal na ebidensya tungkol sa komposisyon ng audience. Ang isang site para sa pangkalahatang audience ay maaaring maging isang serbisyo para sa mixed na audience sa sandaling may seksyong itinayo sa paligid ng nilalaman na nakatuon sa mga bata.

Tatlong bagay na patuloy na maling nauunawaan ng mga publisher:

• Ang paniniwala na ang age gate sa Terms-of-Service sa pag-sign up ay sapat. Hindi ito sapat sa sarili, kapag ang natitira ng site ay nagpapahiwatig ng intensyong nakatuon sa mga bata.
• Ang pag-aakala na walang naka-log in na mga gumagamit ay nangangahulugang walang pagkahantad sa COPPA. Ang mga patuloy na identifier — cookies, IP addresses, device IDs, advertising IDs — ay personal na impormasyon sa ilalim ng COPPA kapag nakolekta mula sa isang bata.
• Ang pagtrato sa COPPA bilang hiwalay sa batas ng pagkapribado ng estado. Ang California's Age-Appropriate Design Code, batas ng datos ng bata ng Connecticut, at ang mga pampederales na panukala ay lahat ay itinayo sa itaas ng mga kahulugan ng COPPA; ang isang malinis na programa ng COPPA ay ang pundasyon ng pagsunod sa lahat ng ito.

Kung Ano ang Talagang Binago ng Susog noong 2025

Ang panghuling tuntunin ng FTC noong Enero 2025, ang unang komprehensibong update mula noong 2013, ay nag-modernize ng COPPA sa limang kongkretong paraan na kailangang iinternalize ng mga publisher.

Hiwalay na Opt-In para sa Advertising ng Third-Party

Ang mga operator ay hindi na maaaring gumulong ng mga pahayag ng advertising ng third-party sa isang pahintulot ng magulang para sa paggamit ng serbisyo. Ang behavioral na advertising sa isang serbisyong nakatuon sa mga bata ay nangangailangan na ngayon ng hiwalay, opt-in na nabe-beripikang pahintulot ng magulang na naiiba sa pahintulot para gamitin ang serbisyo mismo. Ang pag-bundle — ang makasaysayang pamantayan para sa mga ad-supported na app at site ng mga bata — ay tahasang ipinagbabawal na ngayon.

Pinalawak na Personal na Impormasyon

Pinalawak ng susog ang kahulugan ng personal na impormasyon upang isama ang mga biometric na identifier na kayang mag-authenticate ng isang indibidwal, kabilang ang mga fingerprint, voiceprint, retina o iris na imahe, at mga template ng geometry ng mukha. Nilinaw din na ang mga identifier na ibinigay ng gobyerno mula sa anumang pamahalaan, hindi lamang sa U.S., ay karapat-dapat. Ang mga publisher na nagpapatakbo ng mga tampok na voice-search, AI assistant, o mga tool sa pag-upload ng larawan sa mga serbisyong nakatuon sa mga bata ay kailangang mag-mapa ng mga daloy na ito laban sa bagong kahulugan.

Mga Limitasyon sa Pagpapanatili ng Data

Nangangailangan ang bagong tuntunin na ang mga operator ay mag-publish ng nakasulat na patakaran sa pagpapanatili na naglilimita sa pag-iimbak ng personal na impormasyon ng mga bata sa kung ano ang makatwirang kinakailangan upang matupad ang layunin kung saan ito nakolekta. Ang walang katapusang pagpapanatili ay hindi na pinapayagan, at ang patakaran ay dapat na naka-link mula sa abiso sa pagkapribado.

Pinalakas na mga Paraan ng Nabe-beripikang Pahintulot ng Magulang

Pormal na ginawa ng susog ang menu ng mga katanggap-tanggap na paraan ng VPC at nagdagdag ng opsyon ng authentication batay sa kaalaman gamit ang mga dynamic, multiple-choice na tanong na masasagot lamang ng magulang. Ang mga klasikong paraan — transaksyon sa credit card, nilagdaang form, video conference sa isang sinanay na operator, pag-verify ng ID ng gobyerno — ay nananatiling available ngunit kailangang idokumento bawat event ng pahintulot.

Ang Abiso ng Materyal na Pagbabago ay Nag-trigger ng Bagong VPC

Anumang materyal na pagbabago sa mga kasanayan sa data — bagong mga kategorya ng data na nakolekta, bagong tatanggap na third-party, bagong mga ayos ng advertising — ay nag-trigger ng bagong nabe-beripikang pahintulot ng magulang. Hindi maaaring umasa ang mga operator sa pahintulot noong 2018 upang pahintulutan ang isang integrasyon ng advertising noong 2026.

Nabe-beripikang Pahintulot ng Magulang sa Pagsasagawa

Ang Nabe-beripikang Pahintulot ng Magulang ay ang puso ng COPPA, at ito ang bahagi na madalas na hindi magandang isinasagawa ng mga publisher. Ang legal na pamantayan ay pahintulot na makatwirang idinisenyo upang matiyak na ang taong nagbibigay ng pahintulot ay ang magulang ng bata — hindi lamang pahintulot na nakolekta sa lahat.

Ang mga paraan na inaprubahan ng FTC na dapat malaman ng mga publisher:

• Transaksyon sa credit o debit card na may abiso sa may-hawak ng card. Ang isang maliit na singil o zero-dollar na awtorisasyon ay katanggap-tanggap kapag ipinares sa isang abiso sa transaksyon.
• Pag-verify ng ID na ibinigay ng gobyerno sa pamamagitan ng isang ligtas na third-party na vendor ng pagkakakilanlan, na may ID na agad na sinisira pagkatapos ng pag-verify.
• Authentication batay sa kaalaman — ang bagong opsyon mula sa tuntunin noong 2025 — gamit ang mga dynamic na multiple-choice na tanong na mula sa mga pampublikong talaan.
• Nilagdaang form ng pahintulot na ibinalik sa pamamagitan ng koreo, fax, o electronic na pag-scan.
• Video conference sa isang sinanay na operator na nagkukumpirma ng pagkakakilanlan laban sa isang ipinakitang ID ng gobyerno.
• Email-plus — pinapayagan lamang para sa personal na impormasyon na para sa panloob na paggamit lamang, at nangangailangan ng isang susunod na hakbang sa kumpirmasyon. Huwag umasa sa email-plus para sa data ng advertising.

Ang pangunahing tanong sa operasyon ay dokumentasyon. Para sa bawat gumagamit na bata, ang operator ay dapat na makapagpakita, sa kahilingan ng FTC: kung aling paraan ang ginamit, kung sino ang nagbe-beripikang magulang, kung anong mga kategorya ng data ang pinahintulutan, kung anong mga third-party ang pinangalanan, at ang timestamp ng pahintulot. Ang isang modernong CMP na katulad ng FlexyConsent ay dapat mag-integrate sa VPC vendor at iimbak ang pilanggisang ito sa parehong audit log tulad ng mga event ng pahintulot sa cookie.

Pahintulot sa Cookie sa mga Site na Nakatuon sa mga Bata

Ang COPPA at ang banner ng cookie ay nasa iba't ibang legal na layer ngunit kailangang magtulungan. Ang mga banner ng pahintulot sa cookie sa ilalim ng GDPR/ePrivacy o sa ilalim ng mga batas ng estado tulad ng CCPA ay hindi nakakatugon sa COPPA, at ang nabe-beripikang pahintulot ng magulang ay hindi nagpapalaya sa operator mula sa mga obligasyon sa pagsisiwalat ng cookie. Ang mga operator na naglilingkod sa mga bata ay kailangang magpatakbo ng parehong layer sa koordinasyon.

I-block ang Pagsubaybay Hanggang Makuha ang VPC

Sa isang pahina na nakatuon sa mga bata, walang cookie ng advertising o analytics ang maaaring mag-apoy bago makuha ang VPC para sa gumagamit na iyon. Ang isang karaniwang banner na tanggapin-lahat ay ang maling tool — ang default na estado ay dapat walang nag-apoy hanggang ang pahintulot ng magulang ay nasa file, at kahit noon ay para lamang sa mga kategoryang pinahintulutan ng magulang.

Limitahan ang Listahan ng Vendor sa mga COPPA-Safe na Kasosyo

Ang listahan ng vendor sa isang ari-ariang nakatuon sa mga bata ay kinakailangang mas maiksi kaysa sa isang site para sa pangkalahatang audience. Ang mga SSP, DSP, at analytics provider ay dapat na contractual na tiyakin na hindi nila ginagamit ang data ng bata para sa behavioral na pag-target at hindi nila ipinapasa ang bata sa mga downstream na behavioral na network. Karamihan sa mga pangunahing SSP ay nagpo-publish ng isang mode na imbentaryo na sumusunod sa COPPA; i-configure ang iyong stack sa mode na iyon at alisin ang mga hindi sumusunod na kasosyo.

Ipakita ang mga Kontrol ng Magulang sa Footer

Ang abiso sa pagkapribado ay dapat magsama ng isang malinaw, simpleng seksyon na nakatuon sa mga magulang na may mga tagubilin para suriin, baguhin, o bawiin ang pahintulot para sa kanilang anak. Ang isang patuloy na link ng footer na may label na katulad ng Para sa mga Magulang ay nakakatugon sa mga inaasahan sa accessibility ng FTC at lumilikha ng isang depensibong trail kapag ang isang imbestigador ay nagpatakbo ng isang audit ng pagiging magagamit.

Ang Pattern ng Pagpapatupad ng FTC sa 2024–2026

Ang pagpapatupad sa ilalim ng COPPA ay pinabilis mula nang i-reset ng YouTube settlement noong 2019 ang gana ng FTC para sa mga kaso ng malalaking publisher. Ang mga pattern mula sa mga kamakailang kautusan ng pahintulot ay nag-aalok ng isang roadmap para sa kung ano talaga ang hinahanap ng FTC sa isang imbestigasyon.

• Mga patuloy na identifier bilang ebidensya. Ang FTC ay karaniwang nag-aalab ng mga subpoena sa mga ad log ng operator at ino-correlate ang mga ito sa data ng audience upang ipakita na ang mga ad-tech ID ay itinalaga sa mga identifiable na gumagamit na bata nang walang VPC. Ang mga internal na dokumento na tinatawag ang audience na "kids" o "children" habang tinatrato ng programa sa pagkapribado ito bilang pangkalahatang audience ay mapanganib.
• Maling pamamahala ng vendor bilang multiplier. Kapag ang isang operator ay nagpapasa ng data ng bata sa isang SSP na hindi sumusunod sa COPPA, ang magkabilang partido ay nagiging responsable. Ang FTC ay humahangos sa mga pangunahing operator at downstream na network sa magkaparehong mga aksyon.
• Mga natuklasan ng pattern ng pag-uugali. Ang isang pagtanggi sa VPC ay maaaring maging isang natuklasan; ang isang pattern ng mga pagtanggi sa iba't ibang mga surface ng produkto ay nagiging isang bilang ng mga mapanlinlang na kasanayan sa ilalim ng Seksyon 5 ng FTC Act, na nagpapalawak ng parehong parusa at saklaw ng kautusan ng pahintulot.
• Pagtaas ng multa sa sibil. Ang maximum na multa sa sibil bawat paglabag sa ilalim ng FTC Improvements Act ay na-adjust pataas taon-taon; noong 2025, ito ay naka-upo nang higit sa $50,000 bawat paglabag, na may bawat bata na itinuring bilang isang hiwalay na paglabag sa ilang bagay.

Pagtatayo ng Isang COPPA-Ready na Stack

Ang pagpapatupad ng COPPA sa isang paraan na talagang kayang tiisin ang pagsisiyasat ng FTC ay isang problema sa koordinasyon sa buong produkto, engineering, ad ops, at legal. Ang trabaho ay nahahati sa humigit-kumulang anim na workstream.

1. Uriin ang Bawat Ari-arian at Surface

Para sa bawat domain, subdomain, app, at konektadong device endpoint, magpasya kung ito ay nakatuon sa mga bata, mixed-audience, o pangkalahatang audience. Idokumento ang pagsusuri. Ang isang mixed-audience na surface — halimbawa, isang homepage na may parehong nilalaman para sa matatanda at bata — ay kailangang ilapat ang COPPA lamang sa mga gumagamit na nagpapakilala bilang wala pang 13 taon sa pamamagitan ng isang neutral na age gate, hindi sa lahat ng gumagamit.

2. Itayo ang Age Gate nang Tamang Paraan

Ang isang neutral na age gate ay nagtatanong ng petsa ng kapanganakan sa isang paraan na hindi nagpapahiwatig na ang mga mas matatandang gumagamit ay makakakuha ng mas maraming access. Ang pagtatanong ng 13 taon ka na ba o mas matanda? ay hindi neutral at itinampok ito ng FTC. Ang isang simpleng month-day-year picker, na ginagamit nang isang beses bawat device na may isang tamper-resistant na cookie, ay ang karaniwang diskarte.

3. Mag-integrate ng VPC Vendor

Maliban kung ang iyong koponan ng produkto ay balak na mag-operate ng VPC nang in-house, mag-integrate ng isang espesyalistang vendor — may ilang mga provider na inaprubahan ng FTC — at gawing matatawag ang integrasyon mula sa iyong CMP, sign-up flow, at portal ng pamamahala ng pahintulot ng magulang. Iimbak ang per-event na rekord ng audit sa database ng CMP, hindi sa silo ng VPC vendor.

4. I-configure ang mga Ad at Analytics Stack para sa COPPA Mode

Ang Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network, at ang mga pangunahing DSP ay lahat nag-aalok ng isang flag na tag para sa child-directed na pagtrato. Itakda ito sa bawat tawag sa ad na nagmumula sa isang surface na nakatuon sa mga bata o isang authenticated na gumagamit na wala pang 13 taon. I-verify sa dokumentasyon ng vendor na ang flag ay talagang nag-trigger ng contextual-only na paghahatid, hindi lamang pagbabawas ng dokumentasyon.

5. I-wire ang mga Kontrol ng Magulang at Pagbubura

Ang mga magulang ay may karapatang suriin, baguhin, at burahin ang data ng kanilang anak sa kahilingan. Bumuo ng isang portal ng magulang na maaabot mula sa abiso sa pagkapribado na nagpapatunay sa magulang, nagpapakita ng data sa file, at nag-aalok ng mga granular na kontrol. Ang pagbubura ay dapat kumalat sa lahat ng third-party na nakalista sa rekord ng pahintulot sa loob ng isang makatwirang timeframe — karamihan sa mga operator ay nangangako ng 30 araw.

6. Mag-audit nang Bawat Quarter

Magpatakbo ng isang quarterly na pagsusuri na sumasaklaw sa: mga pagbabago sa listahan ng vendor, mga bagong surface ng produkto, pagsunod sa pagpapanatili, pag-refresh ng kautusan ng pahintulot, at mga update sa gabay ng FTC. Regular na nag-publish ang FTC ng mga update sa gabay sa negosyo ng COPPA; ang pag-subscribe ng iyong koponan sa pagkapribado sa mailing list ng FTC ay ang pinakamurang posibleng pamumuhunan sa pagsunod.

Mga Karaniwang Pitfall na Dapat Iwasan

Ang mga paulit-ulit na pattern ng pagkabigo ay lumalabas sa mga audit ng publisher at mga kautusan ng pahintulot ng FTC:

• Pagtrato sa COPPA bilang isang problema sa pag-sign up. Karamihan sa pagkakatugon ng COPPA ay nagmumula sa mga anonymous na ad-tech identifier sa mga pahina na nakatuon sa mga bata, hindi mula sa mga rehistradong account.
• Pag-aakalang ang "contextual na ads" ay nangangahulugang COPPA-safe bilang default. Ang ilang "contextual" na network ng advertising ay nagtatakda pa rin ng mga patuloy na identifier sa background; i-verify ang aktwal na pag-uugali ng cookie.
• Pagpapahintulot sa mga paglulunsad ng produkto na maunahang ang pagsusuri sa pagkapribado. Ang isang bagong tampok na idinagdag nang walang pagsusuri ng kautusan ng pahintulot ay maaaring mag-void ng iyong buong programa. Magdagdag ng isang gate ng pagkapribado sa iyong proseso ng paglabas.
• Pagkalimot sa mga surface ng konektadong device at CTV. Ang COPPA ay tahasang sumasaklaw sa mga smart TV, voice assistant, at game console. Maraming publisher ang nagpapalaktaw pa rin nito sa kanilang imbentaryo.
• Mga rekord ng pahintulot na lipas na. Ang isang materyal na pagbabago sa mga kasanayan sa data ay nagpapawalang bisa ng naunang VPC. Ang mga publisher na nagbabago ng mga ad-tech nang buwanan ay nangangailangan ng isang proseso upang i-refresh ang VPC, o nag-iipon sila ng pagkakatugon.

Kung Ano ang Hitsura ng COPPA sa 2027 at Lampas Doon

Dalawang trajectory ang muling humuhubog sa espasyong ito sa loob ng susunod na labingwalong buwan. Una, ang mga pampederales na panukala tulad ng KOSA — ang Kids Online Safety Act — ay magdaragdag ng mga karagdagang tungkulin ng pag-iingat sa itaas ng COPPA, kabilang ang mga obligasyon sa disenyo ng nilalaman at mas mahigpit na mga kinakailangan sa pag-assure ng edad. Kung ang KOSA ay maipasa nang buo o sa piraso, ang direksyon ng regulasyon ay mas maraming obligasyon, hindi mas kaunti. Pangalawa, ang pagpapalawak ng mga code ng disenyo ng mga bata ng estado sa estado — California, Connecticut, Maryland, at iba pa na nasa pila — ay lumilikha ng isang patchwork na kailangang tugunan ng mga publisher kasabay ng pampederales na COPPA. Ang mga operator na tinatreatong ang pagsunod sa COPPA noong 2026 bilang baseline, na may karagdagang kapasidad upang mag-layer ng mga kinakailangan ng estado, ay ang mga hindi muling mag-a-architect noong 2027.

Ang Bottom Line

Ang COPPA noong 2026 ay hindi na isang niche na kinakailangan para sa mga developer ng app ng mga bata — ito ay pangunahing imprastraktura ng pagkapribado para sa anumang publisher na ang audience ay kinabibilangan ng mga bata, kahit bahagya. Isinara ng susog noong 2025 ang mga butas na sanay mabuhay ang mga publisher, lalo na ang shortcut na bundled-consent para sa advertising. Magpatakbo ng isang depensibong age gate, mag-integrate ng isang vendor ng nabe-beripikang pahintulot ng magulang, i-configure ang iyong ad stack para sa COPPA mode, at idokumento ang lahat sa isang audit log ng CMP kasabay ng iyong karaniwang mga event ng pahintulot sa cookie. Gawin itong mabuti at ang trapikong nakatuon sa mga bata ay mananatiling makakita ng kita. Gawin itong masama at mababasa mo ang iyong sariling kautusan ng pahintulot sa website ng FTC na may kasamang multa sa sibil na multi-milyon.