Panduan Kepatuhan COPPA: Privasi Online Anak dan Persetujuan Cookie untuk Penerbit AS di Tahun 2026
Undang-Undang Perlindungan Privasi Online Anak-Anak (COPPA) berusia dua puluh lima tahun pada 2024 dan langsung mendapatkan pembaruan terbesarnya sejak diberlakukan, dengan aturan final Januari 2025 dari Komisi Perdagangan Federal yang menulis ulang persetujuan orang tua yang dapat diverifikasi, kategori data sensitif, dan aturan seputar iklan pihak ketiga pada layanan yang diarahkan ke anak-anak. Bagi penerbit AS — dan operator mana pun di mana saja di dunia yang menargetkan anak-anak AS di bawah 13 tahun atau dengan sengaja mengumpulkan data dari mereka — COPPA adalah undang-undang pertanggungjawaban ketat dengan denda perdata yang mencapai lima digit per pelanggaran dan dapat mencapai ratusan juta secara keseluruhan. Panduan ini menjelaskan siapa yang dicakup COPPA pada 2026, apa yang sebenarnya diubah oleh aturan amandemen FTC, bagaimana persetujuan cookie dan persetujuan orang tua yang dapat diverifikasi bekerja bersama, serta langkah operasional yang perlu diambil penerbit untuk menjaga lalu lintas yang diarahkan ke anak-anak tetap dapat dimonetisasi tanpa mengundang dekrit persetujuan FTC.
Siapa yang Sebenarnya Dicakup COPPA
COPPA berlaku untuk setiap situs web komersial, aplikasi seluler, perangkat yang terhubung, atau layanan online yang ditujukan kepada anak-anak di bawah 13 tahun atau memiliki pengetahuan aktual bahwa ia mengumpulkan informasi pribadi dari anak di bawah 13 tahun. Jangkauannya lebih luas dari yang diasumsikan sebagian besar penerbit karena FTC menafsirkan kedua poin tersebut secara agresif.
Suatu layanan dianggap ditujukan kepada anak-anak berdasarkan analisis multifaktor: pokok bahasan, konten visual, penggunaan karakter animasi atau aktivitas berorientasi anak, musik, usia model, kehadiran selebriti yang populer di kalangan anak-anak, bahasa, iklan pada layanan yang sendirinya ditujukan kepada anak-anak, serta bukti empiris yang kompeten dan dapat diandalkan tentang komposisi audiens. Situs untuk audiens umum dapat menjadi layanan audiens campuran begitu ada bagian yang dibangun di sekitar konten berorientasi anak.
Tiga hal yang secara konsisten salah dipahami penerbit:
- Meyakini bahwa gerbang usia Syarat Layanan saat pendaftaran sudah cukup. Itu tidak cukup dengan sendirinya ketika bagian situs lainnya menandakan niat yang ditujukan kepada anak-anak.
- Menganggap bahwa tidak ada pengguna yang masuk berarti tidak ada eksposur COPPA. Pengidentifikasi persisten — cookie, alamat IP, ID perangkat, ID iklan — adalah informasi pribadi berdasarkan COPPA ketika dikumpulkan dari anak-anak.
- Memperlakukan COPPA sebagai hal yang terpisah dari undang-undang privasi negara bagian. Undang-Undang Desain yang Sesuai Usia California, undang-undang data anak Connecticut, dan proposal federal semuanya dibangun di atas definisi COPPA; program COPPA yang bersih adalah fondasi kepatuhan terhadap semua undang-undang tersebut.
Apa yang Sebenarnya Diubah Amandemen 2025
Aturan final Januari 2025 FTC, pembaruan komprehensif pertama sejak 2013, memodernisasi COPPA dalam lima cara konkret yang harus diinternalisasi penerbit.
Opt-In Terpisah untuk Iklan Pihak Ketiga
Operator tidak lagi dapat menggabungkan pengungkapan iklan pihak ketiga ke dalam satu persetujuan orang tua untuk menggunakan layanan. Iklan perilaku pada layanan yang ditujukan kepada anak-anak sekarang memerlukan persetujuan orang tua yang dapat diverifikasi, opt-in, terpisah yang berbeda dari persetujuan untuk menggunakan layanan itu sendiri. Penggabungan — norma historis untuk aplikasi dan situs anak-anak yang didukung iklan — kini secara tegas dilarang.
Perluasan Informasi Pribadi
Amandemen memperluas definisi informasi pribadi untuk mencakup pengidentifikasi biometrik yang mampu mengautentikasi individu, termasuk sidik jari, cetakan suara, gambar retina atau iris, dan templat geometri wajah. Amandemen ini juga mengklarifikasi bahwa pengidentifikasi yang dikeluarkan pemerintah dari pemerintah mana pun, bukan hanya AS, memenuhi syarat. Penerbit yang menjalankan fitur pencarian suara, asisten AI, atau alat pengunggahan foto pada layanan yang ditujukan kepada anak-anak perlu memetakan alur ini terhadap definisi baru.
Batas Retensi Data
Aturan baru mengharuskan operator menerbitkan kebijakan retensi tertulis yang membatasi penyimpanan informasi pribadi anak-anak pada apa yang cukup diperlukan untuk memenuhi tujuan pengumpulannya. Retensi tanpa batas waktu tidak lagi diizinkan, dan kebijakan tersebut harus ditautkan dari pemberitahuan privasi.
Metode Persetujuan Orang Tua yang Dapat Diverifikasi Diperkuat
Amandemen meresmikan menu metode VPC yang dapat diterima dan menambahkan opsi autentikasi berbasis pengetahuan menggunakan pertanyaan pilihan ganda yang dinamis, yang hanya dapat dijawab oleh orang tua. Metode klasik — transaksi kartu kredit, formulir yang ditandatangani, konferensi video dengan operator terlatih, verifikasi ID pemerintah — tetap tersedia tetapi harus didokumentasikan per peristiwa persetujuan.
Pemberitahuan Perubahan Material Memicu VPC Baru
Setiap perubahan material pada praktik data — kategori data baru yang dikumpulkan, penerima pihak ketiga baru, pengaturan iklan baru — memicu persetujuan orang tua yang dapat diverifikasi baru. Operator tidak dapat mengandalkan persetujuan 2018 untuk mengotorisasi integrasi iklan 2026.
Persetujuan Orang Tua yang Dapat Diverifikasi dalam Praktik
Persetujuan Orang Tua yang Dapat Diverifikasi adalah inti COPPA, dan ini adalah bagian yang paling sering diimplementasikan dengan buruk oleh penerbit. Standar hukumnya adalah persetujuan yang dirancang secara wajar untuk memastikan bahwa orang yang memberikan persetujuan adalah orang tua anak — bukan sekadar persetujuan yang dikumpulkan sama sekali.
Metode yang disetujui FTC yang harus diketahui penerbit:
- Transaksi kartu kredit atau debit dengan pemberitahuan kepada pemegang kartu. Otorisasi tagihan kecil atau nol dolar dapat diterima jika dipasangkan dengan pemberitahuan transaksional.
- Verifikasi ID yang dikeluarkan pemerintah melalui vendor identitas pihak ketiga yang aman, dengan ID yang segera dihancurkan setelah verifikasi.
- Autentikasi berbasis pengetahuan — opsi baru dari aturan 2025 — menggunakan pertanyaan pilihan ganda dinamis yang bersumber dari catatan publik.
- Formulir persetujuan bertanda tangan yang dikembalikan melalui surat, faks, atau pindaian elektronik.
- Konferensi video dengan operator terlatih yang mengonfirmasi identitas terhadap ID pemerintah yang ditunjukkan.
- Email-plus — hanya diizinkan untuk informasi pribadi yang digunakan secara internal saja, dan memerlukan langkah konfirmasi tindak lanjut. Jangan mengandalkan email-plus untuk data iklan.
Pertanyaan operasional utama adalah dokumentasi. Untuk setiap pengguna anak, operator harus dapat menunjukkan, atas permintaan FTC: metode mana yang digunakan, siapa orang tua yang memverifikasi, kategori data apa yang diotorisasi, penerima pihak ketiga mana yang disebutkan, dan stempel waktu persetujuan. CMP bergaya FlexyConsent modern harus berintegrasi dengan vendor VPC dan menyimpan jejak ini di log audit yang sama dengan peristiwa persetujuan cookie.
Persetujuan Cookie pada Situs yang Ditujukan kepada Anak-Anak
COPPA dan spanduk cookie berada di lapisan hukum yang berbeda tetapi harus bekerja bersama. Spanduk persetujuan cookie berdasarkan GDPR/ePrivacy atau berdasarkan undang-undang negara bagian seperti CCPA tidak memenuhi COPPA, dan persetujuan orang tua yang dapat diverifikasi tidak membebaskan operator dari kewajiban pengungkapan cookie. Operator yang melayani anak-anak harus menjalankan kedua lapisan tersebut secara terkoordinasi.
Blokir Pelacakan Hingga VPC Ditangkap
Pada halaman yang ditujukan kepada anak-anak, tidak ada iklan atau cookie analitik yang boleh diaktifkan sebelum VPC ditangkap untuk pengguna tersebut. Spanduk terima semua standar adalah alat yang salah — status default harus tidak ada yang diaktifkan sampai persetujuan orang tua ada di file, dan bahkan saat itu hanya untuk kategori yang diotorisasi orang tua.
Batasi Daftar Vendor ke Mitra yang Aman COPPA
Daftar vendor pada properti yang ditujukan kepada anak-anak secara bawaan lebih pendek daripada pada situs untuk audiens umum. SSP, DSP, dan penyedia analitik harus secara kontraktual menjamin bahwa mereka tidak menggunakan data anak untuk penargetan perilaku dan tidak meneruskan anak ke jaringan perilaku hilir. Sebagian besar SSP utama menerbitkan mode inventaris yang patuh COPPA; konfigurasikan tumpukan Anda ke mode tersebut dan hapus mitra yang tidak patuh.
Tampilkan Kontrol Orang Tua di Footer
Pemberitahuan privasi harus mencakup bagian yang jelas dengan bahasa sederhana yang ditujukan kepada orang tua dengan instruksi untuk meninjau, mengubah, atau mencabut persetujuan untuk anak mereka. Tautan footer yang persisten berlabel sesuatu seperti Untuk Orang Tua memenuhi harapan aksesibilitas FTC dan menciptakan jejak yang dapat dipertahankan ketika penyelidik menjalankan audit kegunaan.
Pola Penegakan FTC pada 2024–2026
Penegakan berdasarkan COPPA telah dipercepat sejak penyelesaian YouTube 2019 mereset selera FTC untuk kasus penerbit besar. Pola dari dekrit persetujuan terbaru menawarkan peta jalan tentang apa yang sebenarnya dicari FTC dalam penyelidikan.
- Pengidentifikasi persisten sebagai bukti kuat. FTC secara rutin memanggil log iklan operator dan mengkorelasinya dengan data audiens untuk menunjukkan bahwa ID ad-tech ditetapkan kepada pengguna anak yang dapat diidentifikasi tanpa VPC. Dokumen internal yang menyebut audiens sebagai "anak-anak" sementara program privasi memperlakukannya sebagai audiens umum sangatlah merusak.
- Mismanajemen vendor sebagai pengali. Ketika operator meneruskan data anak ke SSP yang tidak patuh COPPA, kedua pihak menjadi bertanggung jawab. FTC telah mengejar operator utama dan jaringan hilir dalam tindakan paralel.
- Temuan pola perilaku. Kegagalan VPC tunggal mungkin merupakan temuan; pola kegagalan di seluruh permukaan produk menjadi hitungan praktik menipu berdasarkan Pasal 5 Undang-Undang FTC, memperluas hukuman dan cakupan dekrit persetujuan.
- Eskalasi denda perdata. Denda perdata per pelanggaran maksimum berdasarkan Undang-Undang Peningkatan FTC telah disesuaikan ke atas setiap tahun; pada 2025 berada di atas $50.000 per pelanggaran, dengan setiap anak diperlakukan sebagai pelanggaran terpisah dalam beberapa kasus.
Membangun Tumpukan Siap COPPA
Mengimplementasikan COPPA dengan cara yang benar-benar tahan terhadap pengawasan FTC adalah masalah koordinasi di seluruh produk, rekayasa, operasi iklan, dan hukum. Pekerjaan ini terbagi dalam sekitar enam alur kerja.
1. Klasifikasikan Setiap Properti dan Permukaan
Untuk setiap domain, subdomain, aplikasi, dan titik akhir perangkat yang terhubung, tentukan apakah itu ditujukan kepada anak-anak, audiens campuran, atau audiens umum. Dokumentasikan analisisnya. Permukaan audiens campuran — misalnya, halaman beranda dengan konten dewasa dan anak-anak — harus menerapkan COPPA hanya kepada pengguna yang mengidentifikasi diri sebagai di bawah 13 tahun melalui gerbang usia yang netral, bukan kepada semua pengguna.
2. Bangun Gerbang Usia dengan Benar
Gerbang usia yang netral meminta tanggal lahir dengan cara yang tidak memberi sinyal bahwa pengguna yang lebih tua mendapat lebih banyak akses. Bertanya apakah Anda berusia 13 tahun atau lebih? tidak netral dan FTC telah menandainya. Pemilih bulan-hari-tahun sederhana, yang digunakan sekali per perangkat dengan cookie tahan gangguan, adalah pendekatan standar.
3. Integrasikan Vendor VPC
Kecuali tim produk Anda bermaksud mengoperasikan VPC secara internal, integrasikan vendor spesialis — ada beberapa penyedia yang disetujui FTC — dan buat integrasi dapat dipanggil dari CMP, alur pendaftaran, dan portal manajemen persetujuan orang tua Anda. Simpan catatan audit per peristiwa di database CMP, bukan di silo vendor VPC.
4. Konfigurasikan Tumpukan Iklan dan Analitik untuk Mode COPPA
Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network, dan DSP utama semuanya menawarkan tanda tag untuk perlakuan yang ditujukan kepada anak-anak. Atur pada setiap panggilan iklan yang berasal dari permukaan yang ditujukan kepada anak-anak atau pengguna yang diautentikasi di bawah 13 tahun. Verifikasi dengan dokumentasi vendor bahwa tanda tersebut benar-benar memicu pengiriman hanya kontekstual, bukan sekadar pengurangan dokumentasi.
5. Hubungkan Kontrol Orang Tua dan Penghapusan
Orang tua berhak meninjau, mengubah, dan menghapus data anak mereka sesuai permintaan. Bangun portal orang tua yang dapat diakses dari pemberitahuan privasi yang mengautentikasi orang tua, menampilkan data di file, dan menawarkan kontrol granular. Penghapusan harus disebarluaskan ke semua pihak ketiga yang tercantum dalam catatan persetujuan dalam jangka waktu yang wajar — sebagian besar operator berkomitmen 30 hari.
6. Audit Setiap Kuartal
Jalankan tinjauan kuartalan yang mencakup: perubahan daftar vendor, permukaan produk baru, kepatuhan retensi, penyegaran dekrit persetujuan, dan pembaruan panduan FTC. FTC secara teratur menerbitkan pembaruan panduan bisnis COPPA; mendaftarkan tim privasi Anda ke mailing list FTC adalah investasi kepatuhan paling murah yang mungkin dilakukan.
Jebakan Umum yang Harus Dihindari
Pola kegagalan berulang muncul dalam audit penerbit dan dekrit persetujuan FTC:
- Memperlakukan COPPA sebagai masalah pendaftaran. Sebagian besar eksposur COPPA berasal dari pengidentifikasi ad-tech anonim pada halaman yang ditujukan kepada anak-anak, bukan dari akun terdaftar.
- Mengasumsikan "iklan kontekstual" berarti aman COPPA secara default. Beberapa jaringan iklan "kontekstual" masih menetapkan pengidentifikasi persisten di latar belakang; verifikasi perilaku cookie yang sebenarnya.
- Membiarkan peluncuran produk melampaui tinjauan privasi. Fitur baru yang ditambahkan tanpa tinjauan dekrit persetujuan dapat membatalkan seluruh program Anda. Tambahkan gerbang privasi ke proses rilis Anda.
- Melupakan permukaan perangkat yang terhubung dan CTV. COPPA secara eksplisit mencakup TV pintar, asisten suara, dan konsol game. Banyak penerbit masih melewatkan ini dalam inventaris mereka.
- Catatan persetujuan yang sudah usang. Perubahan material pada praktik data membatalkan VPC sebelumnya. Penerbit yang menjalankan perubahan ad-tech setiap bulan memerlukan proses untuk memperbarui VPC, atau mereka mengakumulasi eksposur.
Seperti Apa COPPA di Tahun 2027 dan Seterusnya
Dua trajektori akan membentuk ulang ruang ini dalam delapan belas bulan ke depan. Pertama, proposal federal seperti KOSA — Undang-Undang Keamanan Online Anak-Anak — akan melapisi kewajiban perawatan tambahan di atas COPPA, termasuk kewajiban desain konten dan persyaratan jaminan usia yang lebih ketat. Apakah KOSA lulus secara utuh atau sebagian, arah regulasinya adalah lebih banyak kewajiban, bukan lebih sedikit. Kedua, ekspansi kode desain anak negara demi negara — California, Connecticut, Maryland, dan lainnya dalam antrean — menciptakan tambal sulam yang harus dipenuhi penerbit di samping COPPA federal. Operator yang memperlakukan kepatuhan COPPA 2026 sebagai dasar, dengan kapasitas ekstra untuk melapisi persyaratan negara bagian, adalah yang tidak akan merombak arsitektur pada 2027.
Kesimpulan
COPPA pada 2026 bukan lagi persyaratan khusus untuk pengembang aplikasi anak-anak — ini adalah infrastruktur privasi arus utama bagi penerbit mana pun yang audiensnya mencakup anak-anak, bahkan sebagian. Amandemen 2025 menutup celah yang digunakan penerbit untuk hidup, terutama jalan pintas persetujuan tergabung untuk iklan. Jalankan gerbang usia yang dapat dipertahankan, integrasikan vendor persetujuan orang tua yang dapat diverifikasi, konfigurasikan tumpukan iklan Anda untuk mode COPPA, dan dokumentasikan semuanya dalam log audit CMP bersama peristiwa persetujuan cookie standar Anda. Lakukan ini dengan baik dan lalu lintas yang ditujukan kepada anak-anak tetap dapat dimonetisasi. Lakukan dengan buruk dan Anda akan membaca dekrit persetujuan Anda sendiri di situs web FTC dengan denda perdata jutaan dolar yang terlampir.