COPPA अनुपालन गाइड: बच्चों की ऑनलाइन गोपनीयता और 2026 में अमेरिकी प्रकाशकों के लिए कुकी सहमति
Children's Online Privacy Protection Act (COPPA) 2024 में पच्चीस साल का हो गया और उसे तुरंत अपनी अधिनियमित होने के बाद से सबसे बड़ा अपडेट मिला, जब Federal Trade Commission के जनवरी 2025 के अंतिम नियम ने सत्यापन योग्य माता-पिता की सहमति, संवेदनशील डेटा श्रेणियों, और बाल-निर्देशित सेवाओं पर तृतीय-पक्ष विज्ञापन के नियमों को फिर से लिखा। अमेरिकी प्रकाशकों के लिए — और दुनिया में कहीं भी किसी भी ऑपरेटर के लिए जो 13 से कम उम्र के अमेरिकी बच्चों को लक्षित करता है या जानबूझकर उनसे डेटा एकत्र करता है — COPPA एक सख्त-दायित्व क़ानून है जिसमें प्रति उल्लंघन पांच-अंकीय सिविल दंड है और कुल मिलाकर सैकड़ों मिलियन तक पहुंच सकता है। यह गाइड बताता है कि 2026 में COPPA कवर किसे करता है, FTC के संशोधित नियम ने वास्तव में क्या बदला, कुकी सहमति और सत्यापन योग्य माता-पिता की सहमति एक साथ कैसे काम करती हैं, और एक प्रकाशक को FTC सहमति डिक्री को आमंत्रित किए बिना बाल-निर्देशित ट्रैफ़िक को मुद्रीकरण योग्य रखने के लिए क्या परिचालन कदम उठाने होंगे।
COPPA वास्तव में किसे कवर करता है
COPPA किसी भी वाणिज्यिक वेबसाइट, मोबाइल ऐप, कनेक्टेड डिवाइस, या ऑनलाइन सेवा पर लागू होता है जो या तो 13 साल से कम उम्र के बच्चों के लिए निर्देशित है या जिसे वास्तविक ज्ञान है कि वह 13 साल से कम उम्र के बच्चे से व्यक्तिगत जानकारी एकत्र कर रहा है। पहुंच अधिकांश प्रकाशकों की धारणा से व्यापक है क्योंकि FTC दोनों मानदंडों की आक्रामक व्याख्या करता है।
एक सेवा बहु-कारक विश्लेषण के आधार पर बच्चों के लिए निर्देशित है: विषय-वस्तु, दृश्य सामग्री, एनिमेटेड पात्रों या बाल-उन्मुख गतिविधियों का उपयोग, संगीत, मॉडलों की आयु, बच्चों में लोकप्रिय हस्तियों की उपस्थिति, भाषा, सेवा पर विज्ञापन जो स्वयं बाल-निर्देशित है, और दर्शकों की संरचना के बारे में सक्षम और विश्वसनीय अनुभवजन्य साक्ष्य। एक सामान्य-दर्शक साइट एक मिश्रित-दर्शक सेवा बन सकती है जिस क्षण एक खंड बाल-उन्मुख सामग्री के आसपास बनाया जाता है।
तीन चीज़ें जो प्रकाशक लगातार गलत समझते हैं:
- यह विश्वास कि साइन-अप पर सेवा की शर्तों में आयु गेट पर्याप्त है। यह अकेले पर्याप्त नहीं है, जब साइट का बाकी हिस्सा बाल-निर्देशित इरादे का संकेत देता है।
- यह मान लेना कि लॉग-इन उपयोगकर्ता नहीं हैं तो COPPA जोखिम नहीं है। स्थायी पहचानकर्ता — कुकीज़, IP पते, डिवाइस ID, विज्ञापन ID — COPPA के तहत व्यक्तिगत जानकारी हैं जब किसी बच्चे से एकत्र किए जाते हैं।
- COPPA को राज्य गोपनीयता कानून के लिए अप्रासंगिक मानना। कैलिफ़ोर्निया का आयु-उचित डिज़ाइन कोड, कनेक्टिकट का बाल डेटा कानून, और संघीय प्रस्ताव सभी COPPA की परिभाषाओं पर आधारित हैं; एक स्वच्छ COPPA कार्यक्रम उन सभी के अनुपालन की नींव है।
2025 संशोधन ने वास्तव में क्या बदला
FTC का जनवरी 2025 का अंतिम नियम, 2013 के बाद से पहला व्यापक अपडेट, COPPA को पांच ठोस तरीकों से आधुनिक बनाया जिन्हें प्रकाशकों को आत्मसात करना होगा।
तृतीय-पक्ष विज्ञापन के लिए अलग Opt-In
ऑपरेटर अब सेवा का उपयोग करने के लिए एकल माता-पिता की सहमति में तृतीय-पक्ष विज्ञापन प्रकटीकरण को शामिल नहीं कर सकते। बाल-निर्देशित सेवा पर व्यवहारिक विज्ञापन के लिए अब अलग, opt-in सत्यापन योग्य माता-पिता की सहमति की आवश्यकता है जो सेवा का उपयोग करने की सहमति से अलग है। बंडलिंग — विज्ञापन-समर्थित बच्चों के ऐप और साइटों के लिए ऐतिहासिक मानदंड — अब स्पष्ट रूप से प्रतिबंधित है।
विस्तारित व्यक्तिगत जानकारी
संशोधन ने व्यक्तिगत जानकारी की परिभाषा को किसी व्यक्ति को प्रमाणित करने में सक्षम बायोमेट्रिक पहचानकर्ताओं को शामिल करने के लिए विस्तारित किया, जिसमें उंगलियों के निशान, आवाज के निशान, रेटिना या आईरिस की छवियां, और चेहरे की ज्यामिति के टेम्पलेट शामिल हैं। इसने यह भी स्पष्ट किया कि किसी भी सरकार से सरकार द्वारा जारी पहचानकर्ता, न केवल अमेरिका से, योग्य हैं। बाल-निर्देशित सेवाओं पर वॉयस-सर्च सुविधाओं, AI सहायकों, या फ़ोटो-अपलोड टूल चलाने वाले प्रकाशकों को इन प्रवाहों को नई परिभाषा के खिलाफ मैप करना होगा।
डेटा प्रतिधारण सीमाएं
नए नियम में ऑपरेटरों को एक लिखित प्रतिधारण नीति प्रकाशित करने की आवश्यकता है जो बच्चों की व्यक्तिगत जानकारी के भंडारण को उस उद्देश्य को पूरा करने के लिए जो उचित रूप से आवश्यक है, सीमित करती है जिसके लिए इसे एकत्र किया गया था। अनिश्चित प्रतिधारण अब अनुमति नहीं है, और नीति को गोपनीयता नोटिस से जोड़ा जाना चाहिए।
मजबूत सत्यापन योग्य माता-पिता की सहमति विधियां
संशोधन ने स्वीकार्य VPC विधियों के मेनू को औपचारिक रूप दिया और गतिशील, बहुविकल्पीय प्रश्नों का उपयोग करके ज्ञान-आधारित प्रमाणीकरण विकल्प जोड़ा जिसका उत्तर केवल माता-पिता दे सकते हैं। क्लासिक विधियां — क्रेडिट कार्ड लेनदेन, हस्ताक्षरित फॉर्म, प्रशिक्षित ऑपरेटर के साथ वीडियो कॉन्फ्रेंस, सरकारी-ID सत्यापन — उपलब्ध रहती हैं लेकिन प्रति सहमति घटना दस्तावेज़ीकृत होनी चाहिए।
सामग्री परिवर्तन की सूचना नया VPC ट्रिगर करती है
डेटा प्रथाओं में कोई भी सामग्री परिवर्तन — एकत्र की गई नई डेटा श्रेणियां, नए तृतीय-पक्ष प्राप्तकर्ता, नई विज्ञापन व्यवस्था — एक नई सत्यापन योग्य माता-पिता की सहमति ट्रिगर करती है। ऑपरेटर 2026 विज्ञापन एकीकरण को अधिकृत करने के लिए 2018 की सहमति पर नहीं भरोसा कर सकते।
व्यवहार में सत्यापन योग्य माता-पिता की सहमति
सत्यापन योग्य माता-पिता की सहमति COPPA का दिल है, और यह वह हिस्सा है जिसे प्रकाशक अक्सर खराब तरीके से लागू करते हैं। कानूनी मानक वह सहमति है जो उचित रूप से डिज़ाइन की गई है यह सुनिश्चित करने के लिए कि सहमति देने वाला व्यक्ति बच्चे का माता-पिता है — न केवल किसी भी तरह से एकत्र की गई सहमति।
FTC-अनुमोदित विधियां जो प्रकाशकों को जाननी चाहिए:
- क्रेडिट या डेबिट कार्ड लेनदेन कार्डधारक को सूचना के साथ। एक छोटा शुल्क या शून्य-डॉलर प्राधिकरण स्वीकार्य है जब लेनदेन नोटिस के साथ जोड़ा जाए।
- सुरक्षित तृतीय-पक्ष पहचान विक्रेता के माध्यम से सरकारी-ID सत्यापन, सत्यापन के तुरंत बाद ID नष्ट की जाती है।
- ज्ञान-आधारित प्रमाणीकरण — 2025 नियम से नया विकल्प — सार्वजनिक रिकॉर्ड से प्राप्त गतिशील बहुविकल्पीय प्रश्नों का उपयोग करके।
- हस्ताक्षरित सहमति फॉर्म डाक, फ़ैक्स, या इलेक्ट्रॉनिक स्कैन द्वारा लौटाया गया।
- वीडियो कॉन्फ्रेंस एक प्रशिक्षित ऑपरेटर के साथ जो प्रस्तुत सरकारी ID के खिलाफ पहचान की पुष्टि करता है।
- ईमेल-प्लस — केवल केवल-आंतरिक-उपयोग व्यक्तिगत जानकारी के लिए अनुमत है, और एक फ़ॉलो-अप पुष्टिकरण चरण की आवश्यकता है। विज्ञापन डेटा के लिए ईमेल-प्लस पर भरोसा न करें।
मुख्य परिचालन प्रश्न दस्तावेज़ीकरण है। प्रत्येक बाल उपयोगकर्ता के लिए, ऑपरेटर को FTC अनुरोध पर दिखाने में सक्षम होना चाहिए: किस विधि का उपयोग किया गया, सत्यापन करने वाले माता-पिता कौन थे, कौन सी डेटा श्रेणियां अधिकृत थीं, कौन से तृतीय पक्षों का नाम रखा गया था, और सहमति का टाइमस्टैम्प। एक आधुनिक FlexyConsent-शैली CMP को VPC विक्रेता के साथ एकीकृत होना चाहिए और इस ट्रेल को कुकी सहमति घटनाओं के समान ऑडिट लॉग में संग्रहीत करना चाहिए।
बाल-निर्देशित साइटों पर कुकी सहमति
COPPA और कुकी बैनर विभिन्न कानूनी परतों पर हैं लेकिन उन्हें एक साथ काम करना होगा। GDPR/ePrivacy या CCPA जैसे राज्य कानूनों के तहत कुकी सहमति बैनर COPPA को संतुष्ट नहीं करते, और सत्यापन योग्य माता-पिता की सहमति ऑपरेटर को कुकी-प्रकटीकरण दायित्वों से छूट नहीं देती। बच्चों की सेवा करने वाले ऑपरेटरों को दोनों परतें समन्वय में चलानी होंगी।
VPC कैप्चर होने तक ट्रैकिंग ब्लॉक करें
एक बाल-निर्देशित पृष्ठ पर, उस उपयोगकर्ता के लिए VPC कैप्चर होने से पहले कोई विज्ञापन या एनालिटिक्स कुकी फायर नहीं हो सकती। एक मानक स्वीकार-सभी बैनर गलत उपकरण है — डिफ़ॉल्ट स्थिति होनी चाहिए कुछ भी फायर नहीं होता जब तक माता-पिता की सहमति फ़ाइल पर हो, और तब भी केवल उन श्रेणियों के लिए जिन्हें माता-पिता ने अधिकृत किया है।
विक्रेता सूची को COPPA-सुरक्षित भागीदारों तक सीमित करें
बाल-निर्देशित संपत्ति पर विक्रेता सूची सामान्य-दर्शक साइट की तुलना में आवश्यक रूप से छोटी है। SSP, DSP, और एनालिटिक्स प्रदाताओं को अनुबंधात्मक रूप से वारंटी देनी होगी कि वे व्यवहारिक लक्ष्यीकरण के लिए बाल डेटा का उपयोग नहीं करते और बच्चे को डाउनस्ट्रीम व्यवहारिक नेटवर्क में पास नहीं करते। अधिकांश प्रमुख SSP एक COPPA-अनुरूप इन्वेंटरी मोड प्रकाशित करते हैं; अपना स्टैक उस मोड पर कॉन्फ़िगर करें और गैर-अनुरूप भागीदारों को हटा दें।
फ़ुटर में माता-पिता के नियंत्रण दिखाएं
गोपनीयता नोटिस में माता-पिता को संबोधित एक स्पष्ट, सादी-भाषा का खंड शामिल होना चाहिए जिसमें उनके बच्चे के लिए सहमति की समीक्षा, संशोधन, या रद्द करने के निर्देश हों। अभिभावकों के लिए जैसे लेबल वाला एक स्थायी फ़ुटर लिंक FTC की पहुंच अपेक्षाओं को पूरा करता है और एक बचाव योग्य ट्रेल बनाता है जब कोई जांचकर्ता उपयोगिता ऑडिट चलाता है।
2024–2026 में FTC का प्रवर्तन पैटर्न
COPPA के तहत प्रवर्तन 2019 के YouTube समझौते के बाद से तेज हो गया है जिसने बड़े-प्रकाशक मामलों के लिए FTC की भूख को रीसेट किया। हालिया सहमति डिक्री के पैटर्न एक रोडमैप प्रदान करते हैं जो FTC जांच में वास्तव में क्या देखता है।
- स्थायी पहचानकर्ता मुख्य सबूत के रूप में। FTC नियमित रूप से ऑपरेटर के विज्ञापन लॉग को सम्मन करता है और उन्हें दर्शक डेटा के साथ सहसंबंधित करता है यह दिखाने के लिए कि VPC के बिना पहचान योग्य बाल उपयोगकर्ताओं को विज्ञापन-तकनीक ID सौंपी गई थी। आंतरिक दस्तावेज़ जो दर्शकों को "kids" या "children" कहते हैं जबकि गोपनीयता कार्यक्रम इसे सामान्य दर्शकों के रूप में मानता है, विनाशकारी हैं।
- विक्रेता कुप्रबंधन एक गुणक के रूप में। जब कोई ऑपरेटर बाल डेटा COPPA-असंगत SSP को अग्रेषित करता है, तो दोनों पक्ष उत्तरदायी हो जाते हैं। FTC ने समानांतर कार्रवाइयों में प्राथमिक ऑपरेटरों और डाउनस्ट्रीम नेटवर्क का पीछा किया है।
- आचरण-पैटर्न निष्कर्ष। एकल VPC विफलता एक निष्कर्ष हो सकती है; उत्पाद सतहों पर विफलताओं का एक पैटर्न FTC अधिनियम की धारा 5 के तहत भ्रामक-प्रथाओं की गिनती बन जाता है, जो दंड और सहमति डिक्री दोनों के दायरे को विस्तारित करता है।
- सिविल दंड का बढ़ना। FTC Improvements Act के तहत प्रति उल्लंघन अधिकतम सिविल दंड को वार्षिक रूप से ऊपर की ओर समायोजित किया गया है; 2025 में यह प्रति उल्लंघन $50,000 से अधिक था, कुछ मामलों में प्रत्येक बच्चे को अलग उल्लंघन माना जाता था।
COPPA-तैयार स्टैक का निर्माण
COPPA को इस तरह से लागू करना जो वास्तव में FTC जांच का सामना कर सके, उत्पाद, इंजीनियरिंग, विज्ञापन संचालन और कानूनी के बीच एक समन्वय समस्या है। कार्य लगभग छह कार्यधाराओं में विभाजित होता है।
1. प्रत्येक संपत्ति और सतह को वर्गीकृत करें
प्रत्येक डोमेन, उप-डोमेन, ऐप, और कनेक्टेड-डिवाइस एंडपॉइंट के लिए, तय करें कि यह बाल-निर्देशित, मिश्रित-दर्शक, या सामान्य-दर्शक है। विश्लेषण का दस्तावेज़ीकरण करें। एक मिश्रित-दर्शक सतह — उदाहरण के लिए, वयस्क और बाल सामग्री दोनों वाला होमपेज — COPPA केवल उन उपयोगकर्ताओं पर लागू करनी चाहिए जो एक तटस्थ आयु गेट के माध्यम से स्वयं को 13 से कम आयु के रूप में पहचानते हैं, सभी उपयोगकर्ताओं पर नहीं।
2. आयु गेट सही तरीके से बनाएं
एक तटस्थ आयु गेट जन्म तिथि इस तरह पूछता है जो यह संकेत नहीं देता कि पुराने उपयोगकर्ताओं को अधिक पहुंच मिलती है। क्या आप 13 या उससे अधिक के हैं? पूछना गैर-तटस्थ है और FTC ने इसे चिह्नित किया है। एक साधारण माह-दिन-वर्ष चयनकर्ता, प्रति डिवाइस एक बार छेड़छाड़-प्रतिरोधी कुकी के साथ उपयोग किया जाता है, मानक दृष्टिकोण है।
3. VPC विक्रेता को एकीकृत करें
जब तक आपकी उत्पाद टीम VPC को इन-हाउस संचालित करने का इरादा नहीं रखती, एक विशेषज्ञ विक्रेता को एकीकृत करें — कई FTC-अनुमोदित प्रदाता हैं — और एकीकरण को आपके CMP, साइन-अप फ़्लो, और माता-पिता की सहमति प्रबंधन पोर्टल से कॉल करने योग्य बनाएं। प्रति-घटना ऑडिट रिकॉर्ड CMP के डेटाबेस में संग्रहीत करें, VPC विक्रेता के साइलो में नहीं।
4. विज्ञापन और एनालिटिक्स स्टैक को COPPA मोड के लिए कॉन्फ़िगर करें
Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network, और प्रमुख DSP सभी एक बाल-निर्देशित उपचार के लिए टैग फ्लैग प्रदान करते हैं। इसे बाल-निर्देशित सतह या 13 से कम आयु के प्रमाणित उपयोगकर्ता से उत्पन्न होने वाले प्रत्येक विज्ञापन कॉल पर सेट करें। विक्रेता दस्तावेज़ीकरण के साथ सत्यापित करें कि फ्लैग वास्तव में केवल-प्रासंगिक वितरण ट्रिगर करता है, न केवल दस्तावेज़ीकरण में कमी।
5. माता-पिता के नियंत्रण और विलोपन को जोड़ें
माता-पिता को अपने बच्चे के डेटा की समीक्षा, संशोधन, और विलोपन का अधिकार मांग पर है। गोपनीयता नोटिस से पहुंच योग्य एक अभिभावक पोर्टल बनाएं जो माता-पिता को प्रमाणित करे, फ़ाइल पर डेटा प्रदर्शित करे, और विस्तृत नियंत्रण प्रदान करे। विलोपन एक उचित समय सीमा के भीतर सहमति रिकॉर्ड में सूचीबद्ध सभी तृतीय पक्षों तक फैलना चाहिए — अधिकांश ऑपरेटर 30 दिनों का वचन देते हैं।
6. त्रैमासिक ऑडिट करें
एक त्रैमासिक समीक्षा चलाएं जिसमें शामिल हों: विक्रेता सूची परिवर्तन, नई उत्पाद सतहें, प्रतिधारण अनुपालन, सहमति-डिक्री नवीनीकरण, और FTC मार्गदर्शन अपडेट। FTC नियमित रूप से COPPA व्यापार मार्गदर्शन अपडेट प्रकाशित करता है; अपनी गोपनीयता टीम को FTC की मेलिंग सूची की सदस्यता दिलाना सबसे सस्ता संभव अनुपालन निवेश है।
बचने के लिए सामान्य नुकसान
बार-बार विफलता के पैटर्न प्रकाशक ऑडिट और FTC सहमति डिक्री में दिखाई देते हैं:
- COPPA को एक साइन-अप समस्या के रूप में मानना। अधिकांश COPPA जोखिम बाल-निर्देशित पृष्ठों पर अज्ञात विज्ञापन-तकनीक पहचानकर्ताओं से आता है, पंजीकृत खातों से नहीं।
- यह मान लेना कि "प्रासंगिक विज्ञापन" का अर्थ डिफ़ॉल्ट रूप से COPPA-सुरक्षित है। कुछ "प्रासंगिक" विज्ञापन नेटवर्क अभी भी पृष्ठभूमि में स्थायी पहचानकर्ता सेट करते हैं; वास्तविक कुकी व्यवहार सत्यापित करें।
- उत्पाद लॉन्च को गोपनीयता समीक्षा से आगे निकलने देना। सहमति-डिक्री समीक्षा के बिना जोड़ी गई एक नई सुविधा आपके पूरे कार्यक्रम को शून्य कर सकती है। अपनी रिलीज़ प्रक्रिया में एक गोपनीयता गेट जोड़ें।
- कनेक्टेड-डिवाइस और CTV सतहों को भूलना। COPPA स्पष्ट रूप से स्मार्ट टीवी, वॉयस असिस्टेंट, और गेम कंसोल को कवर करता है। कई प्रकाशक अभी भी इसे अपनी इन्वेंटरी में याद करते हैं।
- पुरानी सहमति रिकॉर्ड। डेटा प्रथाओं में एक सामग्री परिवर्तन पूर्व VPC को शून्य करता है। मासिक विज्ञापन-तकनीक परिवर्तन चलाने वाले प्रकाशकों को VPC को ताज़ा करने की एक प्रक्रिया की आवश्यकता है, या वे जोखिम जमा करते हैं।
COPPA 2027 और उससे आगे कैसा दिखेगा
दो प्रक्षेपवक्र अगले अठारह महीनों के भीतर इस क्षेत्र को नया आकार देंगे। पहला, KOSA — Kids Online Safety Act — जैसे संघीय प्रस्ताव COPPA के ऊपर देखभाल के अतिरिक्त कर्तव्य जोड़ेंगे, जिसमें सामग्री डिज़ाइन दायित्व और सख्त आयु-आश्वासन आवश्यकताएं शामिल हैं। चाहे KOSA पूरी तरह या टुकड़ों में पास हो, नियामक दिशा अधिक दायित्व है, कम नहीं। दूसरा, बच्चों के डिज़ाइन कोड का राज्य-दर-राज्य विस्तार — कैलिफ़ोर्निया, कनेक्टिकट, मैरीलैंड, और अन्य कतार में — एक पैचवर्क बनाता है जिसे प्रकाशकों को संघीय COPPA के साथ-साथ संतुष्ट करना होगा। जो ऑपरेटर 2026 COPPA अनुपालन को आधार रेखा के रूप में मानते हैं, राज्य आवश्यकताओं को स्तरित करने के लिए अतिरिक्त क्षमता के साथ, वे 2027 में पुनः-वास्तुकला नहीं करेंगे।
निष्कर्ष
2026 में COPPA अब बच्चों के ऐप डेवलपर्स के लिए एक विशिष्ट आवश्यकता नहीं है — यह किसी भी प्रकाशक के लिए मुख्यधारा गोपनीयता बुनियादी ढांचा है जिसके दर्शकों में बच्चे शामिल हैं, यहां तक कि आंशिक रूप से भी। 2025 संशोधन ने उन खामियों को बंद कर दिया जिनमें प्रकाशक रहने के आदी थे, विशेष रूप से विज्ञापन के लिए बंडल-सहमति शॉर्टकट। एक बचाव योग्य आयु गेट चलाएं, एक सत्यापन योग्य माता-पिता की सहमति विक्रेता को एकीकृत करें, अपने विज्ञापन स्टैक को COPPA मोड के लिए कॉन्फ़िगर करें, और अपनी मानक कुकी सहमति घटनाओं के साथ CMP ऑडिट लॉग में सब कुछ दस्तावेज़ीकृत करें। इसे अच्छी तरह से करें और बाल-निर्देशित ट्रैफ़िक मुद्रीकरण योग्य रहता है। इसे बुरी तरह से करें और आप FTC की वेबसाइट पर अपनी सहमति डिक्री पढ़ेंगे जिसमें करोड़ों डॉलर का सिविल दंड जुड़ा होगा।