מי COPPA מכסה בפועל

COPPA חל על כל אתר אינטרנט מסחרי, אפליקציה לנייד, מכשיר מחובר, או שירות מקוון שהוא מיועד לילדים מתחת לגיל 13 או בעל ידיעה ממשית שהוא אוסף מידע אישי מילד מתחת לגיל 13. ההיקף רחב יותר ממה שרוב המפרסמים מניחים, מכיוון שה-FTC מפרש את שני הקריטריונים באגרסיביות.

שירות מיועד לילדים על בסיס ניתוח רב-גורמי: נושא, תוכן חזותי, שימוש בדמויות אנימציה או פעילויות המיועדות לילדים, מוסיקה, גיל המודלים, נוכחות ידוענים פופולריים בקרב ילדים, שפה, פרסום בשירות שהוא עצמו מיועד לילדים, ועדויות אמפיריות אמינות על הרכב הקהל. אתר לקהל הרחב יכול להפוך לשירות לקהל מעורב ברגע שקטע נבנה סביב תוכן המיועד לילדים.

שלושה דברים שמפרסמים טועים בהם באופן עקבי:

• האמונה שמחסום גיל בתנאי השימוש בעת ההרשמה מספיק. הוא אינו מספיק כשלעצמו, כאשר שאר האתר מסמן כוונה המיועדת לילדים.
• ההנחה שהיעדר משתמשים מחוברים פירושה אין חשיפה ל-COPPA. מזהים מתמידים — עוגיות, כתובות IP, מזהי מכשיר, מזהי פרסום — הם מידע אישי לפי COPPA כאשר נאספים מילד.
• טיפול ב-COPPA כנפרד מחוק הפרטיות של המדינה. קוד עיצוב מתאים לגיל של קליפורניה, חוק נתוני הילדים של קונטיקט, וההצעות הפדרליות כולם בנויים על הגדרות COPPA; תוכנית COPPA נקייה היא הבסיס לציות לכולם.

מה תיקון 2025 שינה בפועל

הכלל הסופי של ה-FTC מינואר 2025, העדכון המקיף הראשון מאז 2013, מודרן את COPPA בחמש דרכים קונקרטיות שעל מפרסמים להפנים.

Opt-in נפרד לפרסום של צד שלישי

מפעילים אינם יכולים עוד לגלגל גילויי פרסום של צד שלישי להסכמת הורים אחת לשימוש בשירות. פרסום התנהגותי בשירות המיועד לילדים דורש כעת הסכמת הורים ניתנת לאימות נפרדת, באופן opt-in, נבדלת מההסכמה לשימוש בשירות עצמו. צרור — הנורמה ההיסטורית לאפליקציות ואתרים לילדים הנתמכים בפרסום — אסורה כעת במפורש.

מידע אישי מורחב

התיקון הרחיב את הגדרת המידע האישי כדי לכלול מזהים ביומטריים המסוגלים לאמת פרט, כולל טביעות אצבע, טביעות קול, תמונות רשתית או קשתית, ותבניות גיאומטריית פנים. הוא גם הבהיר שמזהים שהונפקו על ידי ממשלה מכל ממשלה, לא רק מארה"ב, מוסמכים. מפרסמים המפעילים תכונות חיפוש קולי, עוזרי AI, או כלי העלאת תמונות בשירותים המיועדים לילדים צריכים למפות זרימות אלה כנגד ההגדרה החדשה.

מגבלות שמירת נתונים

הכלל החדש מחייב מפעילים לפרסם מדיניות שמירה כתובה המגבילה אחסון מידע אישי של ילדים למה שסביר לצרכי מימוש המטרה שלשמה נאסף. שמירה בלתי מוגבלת אינה מותרת עוד, והמדיניות חייבת להיות מקושרת מהודעת הפרטיות.

שיטות הסכמה הורית ניתנת לאימות מחוזקות

התיקון הפורמל את תפריט שיטות ה-VPC המקובלות והוסיף אפשרות אימות מבוסס ידע תוך שימוש בשאלות רב-ברירה דינמיות שניתן לענות עליהן רק על ידי ההורה. השיטות הקלאסיות — עסקת כרטיס אשראי, טופס חתום, ועידת וידאו עם מפעיל מאומן, אימות תעודת זהות ממשלתית — נשארות זמינות אך יש לתעד אותן בכל אירוע הסכמה.

הודעת שינוי מהותי מפעילה VPC חדש

כל שינוי מהותי בנוהגי הנתונים — קטגוריות נתונים חדשות שנאספו, נמענים חדשים מצד שלישי, הסדרי פרסום חדשים — מפעיל הסכמת הורים ניתנת לאימות חדשה. מפעילים אינם יכולים להסתמך על הסכמה מ-2018 לצורך אישור שילוב פרסום מ-2026.

הסכמה הורית ניתנת לאימות בפועל

ההסכמה ההורית הניתנת לאימות היא לב COPPA, והיא החלק שמפרסמים מיישמים לרוב בצורה לקויה. הסטנדרט המשפטי הוא הסכמה שתוכננה בסבירות כדי להבטיח שהאדם המסכים הוא ההורה של הילד — ולא רק הסכמה שנאספת כלשהי.

שיטות שאושרו על ידי ה-FTC שמפרסמים צריכים לדעת:

• עסקת כרטיס אשראי או חיוב עם הודעה לבעל הכרטיס. חיוב קטן או הרשאה של אפס דולר מקובלת כאשר משולבת עם הודעת עסקה.
• אימות תעודת זהות ממשלתית באמצעות ספק זהות מאובטח של צד שלישי, כשהתעודה מושמדת מיד לאחר האימות.
• אימות מבוסס ידע — האפשרות החדשה מכלל 2025 — תוך שימוש בשאלות רב-ברירה דינמיות שמקורן ברשומות ציבוריות.
• טופס הסכמה חתום שהוחזר בדואר, פקס, או סריקה אלקטרונית.
• ועידת וידאו עם מפעיל מאומן המאשר זהות כנגד תעודת זהות ממשלתית מוצגת.
• אימייל-פלוס — מותר רק למידע אישי לשימוש פנימי בלבד, ומחייב שלב אישור המשך. אל תסמוך על אימייל-פלוס לנתוני פרסום.

השאלה התפעולית המרכזית היא תיעוד. עבור כל משתמש ילד, על המפעיל להיות מסוגל להראות, לפי בקשת ה-FTC: איזו שיטה שימשה, מי ההורה המאמת, אילו קטגוריות נתונים אושרו, אילו צדדים שלישיים הוזכרו, ובול הזמן של ההסכמה. CMP מודרני בסגנון FlexyConsent אמור להשתלב עם ספק ה-VPC ולאחסן את השביל הזה באותו יומן ביקורת כמו אירועי הסכמת עוגיות.

הסכמה לעוגיות באתרים המיועדים לילדים

COPPA ובאנר העוגיות יושבים על שכבות משפטיות שונות אך חייבים לפעול יחד. באנרי הסכמת עוגיות לפי GDPR/ePrivacy או לפי חוקי מדינות כמו CCPA אינם מספקים את דרישות COPPA, וההסכמה ההורית הניתנת לאימות אינה פוטרת את המפעיל מחובות גילוי עוגיות. מפעילים המשרתים ילדים חייבים להפעיל את שתי השכבות בתיאום.

חסום מעקב עד לאיסוף VPC

בדף המיועד לילדים, שום עוגיית פרסום או ניתוח לא יכולה להדליק לפני שה-VPC נאסף עבור אותו משתמש. באנר קבל-הכל סטנדרטי הוא הכלי הלא נכון — מצב ברירת המחדל חייב להיות כלום לא מופעל עד שהסכמת ההורה מאוחסנת, ואפילו אז רק עבור הקטגוריות שההורה אישר.

הגבל את רשימת הספקים לשותפים בטוחים ל-COPPA

רשימת הספקים בנכס המיועד לילדים קצרה בהכרח יותר מאשר באתר לקהל הרחב. SSP-ים, DSP-ים, וספקי ניתוח חייבים להתחייב חוזית שאינם משתמשים בנתוני ילדים למיקוד התנהגותי ואינם מעבירים את הילד לרשתות התנהגותיות שלהם. רוב ה-SSP-ים הגדולים מפרסמים מצב מלאי תואם COPPA; הגדר את הערכה שלך לאותו מצב והסר שותפים שאינם תואמים.

הצג פקדי הורים בכותרת התחתית

הודעת הפרטיות חייבת לכלול קטע ברור בשפה פשוטה המכוון להורים עם הוראות לבדיקה, שינוי, או ביטול הסכמה לגבי ילדם. קישור כותרת תחתית מתמיד עם תווית כמו להורים עומד בציפיות הנגישות של ה-FTC ויוצר שביל ניתן להגנה כאשר חוקר מפעיל ביקורת שמישות.

דפוס האכיפה של ה-FTC בשנים 2024–2026

האכיפה תחת COPPA האיצה מאז הסדר YouTube ב-2019 שאיפס את התיאבון של ה-FTC לתיקי מפרסמים גדולים. דפוסים מצווי הסכמה אחרונים מציעים מפת דרכים למה שה-FTC מחפש בפועל בחקירה.

• מזהים מתמידים כראיה מרכזית. ה-FTC מגיש שגרתית הזמנות לשפיטה על יומני הפרסום של המפעיל ומתאים אותם עם נתוני קהל כדי להראות שמזהי טכנולוגיית פרסום הוקצו למשתמשי ילדים ניתנים לזיהוי ללא VPC. מסמכים פנימיים המכנים את הקהל "ילדים" בעוד תוכנית הפרטיות מתייחסת אליו כאל קהל כללי הם קטסטרופליים.
• ניהול ספקים גרוע כמכפיל. כאשר מפעיל מעביר נתוני ילדים ל-SSP שאינו תואם COPPA, שני הצדדים הופכים לאחראים. ה-FTC הגיש תביעות נגד מפעילים ראשיים ורשתות שלהם בפעולות מקבילות.
• ממצאי דפוס התנהגות. כישלון VPC בודד עשוי להיות ממצא; דפוס של כישלונות על פני משטחי מוצר מרובים הופך לסעיף נוהגים מטעים לפי סעיף 5 לחוק ה-FTC, המרחיב הן את העונש והן את היקף צו ההסכמה.
• הסלמת קנסות אזרחיים. הקנס האזרחי המרבי לכל הפרה לפי חוק שיפורי ה-FTC הותאם כלפי מעלה מדי שנה; ב-2025 הוא עמד מעל 50,000 דולר להפרה, כאשר כל ילד נחשב כהפרה נפרדת בחלק מהמקרים.

בניית ערכה מוכנה ל-COPPA

יישום COPPA בדרך שעומדת בפני ביקורת ה-FTC בפועל הוא בעיית תיאום בין מוצר, הנדסה, פעולות פרסום, ומשפטים. העבודה מתחלקת בערך לשישה נתיבי עבודה.

1. סווג כל נכס ומשטח

עבור כל תחום, תת-תחום, אפליקציה, ונקודת קצה של מכשיר מחובר, החלט אם הוא מיועד לילדים, לקהל מעורב, או לקהל כללי. תעד את הניתוח. משטח לקהל מעורב — לדוגמה, דף בית עם תוכן למבוגרים ולילדים — חייב להחיל את COPPA רק על משתמשים המזהים עצמם כמתחת לגיל 13 דרך מחסום גיל ניטרלי, לא על כל המשתמשים.

2. בנה את מחסום הגיל בדרך הנכונה

מחסום גיל ניטרלי שואל תאריך לידה בדרך שאינה מסמנת שמשתמשים מבוגרים מקבלים גישה נוספת. השאלה האם אתה בן 13 ומעלה? אינה ניטרלית וה-FTC סימן אותה. בורר יום-חודש-שנה פשוט, בשימוש פעם אחת לכל מכשיר עם עוגיה עמידה לעריכה, הוא הגישה הסטנדרטית.

3. שלב ספק VPC

אלא אם צוות המוצר שלך מתכוון להפעיל VPC בתוך הבית, שלב ספק מומחה — ישנם מספר ספקים שאושרו על ידי ה-FTC — והפוך את השילוב לניתן לקריאה מה-CMP שלך, מזרימת ההרשמה, ומפורטל ניהול הסכמת ההורים. אחסן את רשומת הביקורת לכל אירוע במסד הנתונים של ה-CMP, לא בסילו של ספק ה-VPC.

4. הגדר ערכות פרסום ואנליטיקה למצב COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network, וה-DSP-ים הגדולים כולם מציעים דגל תג לטיפול המיועד לילדים. הגדר אותו בכל קריאת פרסום שמקורה במשטח המיועד לילדים או במשתמש מאומת מתחת לגיל 13. אמת עם תיעוד הספק שהדגל אכן מפעיל הספקה הקשרית בלבד, לא רק הפחתת תיעוד.

5. חבר פקדי הורים ומחיקה

להורים יש זכות לבדוק, לשנות, ולמחוק את נתוני ילדם לפי דרישה. בנה פורטל הורים הנגיש מהודעת הפרטיות שמאמת את ההורה, מציג את הנתונים בתיק, ומציע פקדים מפורטים. המחיקה חייבת להתפשט לכל צדדים השלישיים הרשומים ברשומת ההסכמה תוך חלון זמן סביר — רוב המפעילים מתחייבים ל-30 יום.

6. בצע ביקורת רבעונית

הפעל סקירה רבעונית המכסה: שינויים ברשימת הספקים, משטחי מוצר חדשים, ציות לשמירה, רענון צו ההסכמה, ועדכוני הנחיית ה-FTC. ה-FTC מפרסם עדכוני הנחיות עסקיות ל-COPPA באופן קבוע; הרשמת צוות הפרטיות שלך לרשימת התפוצה של ה-FTC היא ההשקעה הזולה ביותר האפשרית בציות.

מלכודות נפוצות שיש להימנע מהן

דפוסים חוזרים של כישלון מופיעים בביקורות מפרסמים ובצווי הסכמה של ה-FTC:

• טיפול ב-COPPA כבעיית הרשמה. רוב החשיפה ל-COPPA נובעת ממזהי טכנולוגיית פרסום אנונימיים בדפים המיועדים לילדים, לא מחשבונות רשומים.
• ההנחה ש"מודעות הקשריות" פירושן COPPA בטוח כברירת מחדל. חלק מרשתות הפרסום ה"הקשריות" עדיין מגדירות מזהים מתמידים ברקע; אמת את התנהגות העוגיות בפועל.
• אפשרות לשגרים של מוצרים לעקוף סקירת פרטיות. תכונה חדשה שנוספה ללא סקירת צו הסכמה יכולה לבטל את כל התוכנית שלך. הוסף שער פרטיות לתהליך השחרור שלך.
• שכחת משטחי מכשירים מחוברים ו-CTV. COPPA מכסה במפורש טלוויזיות חכמות, עוזרי קול, ומסופי משחק. מפרסמים רבים עדיין מפספסים זאת במלאי שלהם.
• רשומות הסכמה מיושנות. שינוי מהותי בנוהגי הנתונים מבטל VPC קודם. מפרסמים המבצעים שינויים בטכנולוגיית פרסום מדי חודש זקוקים לתהליך לרענון VPC, אחרת החשיפה מצטברת.

כיצד ייראה COPPA ב-2027 ומעבר לכך

שתי מגמות יעצבו מחדש את המרחב הזה בתוך שמונה עשר החודשים הבאים. ראשית, הצעות פדרליות כמו KOSA — חוק בטיחות ילדים ברשת — יוסיפו חובות זהירות נוספות על גבי COPPA, כולל חובות עיצוב תוכן ודרישות אימות גיל מחמירות יותר. בין אם KOSA עובר שלם או בחלקים, הכיוון הרגולטורי הוא יותר חובות, לא פחות. שנית, ההרחבה מדינה-אחר-מדינה של קודי עיצוב לילדים — קליפורניה, קונטיקט, מרילנד ואחרות שממתינות בתור — יוצרת טלאים שמפרסמים חייבים לעמוד בהם לצד COPPA הפדרלי. המפעילים שמתייחסים לציות COPPA של 2026 כבסיס, עם קיבולת נוספת לשכב דרישות מדינה, הם אלה שלא יבצעו ארכיטקטורה מחדש ב-2027.

השורה התחתונה

COPPA ב-2026 כבר אינו דרישה של נישה למפתחי אפליקציות לילדים — זוהי תשתית פרטיות מיינסטרים לכל מפרסם שקהלו כולל ילדים, גם אם חלקית. תיקון 2025 סגר את הפרצות שבהן מפרסמים רגלו לחיות, במיוחד קיצור הדרך של הסכמת החבילה לפרסום. הפעל מחסום גיל ניתן להגנה, שלב ספק הסכמה הורית ניתנת לאימות, הגדר את ערכת הפרסום שלך למצב COPPA, ותעד הכל ביומן ביקורת CMP לצד אירועי הסכמת העוגיות הרגילים שלך. עשה זאת היטב ותעבורה המיועדת לילדים תישאר ניתנת למימוש. עשה זאת בצורה גרועה ותקרא את צו ההסכמה שלך באתר ה-FTC עם קנס אזרחי של מיליוני דולרים מצורף.