Hverjir falla raunverulega undir COPPA

COPPA á við um hvaða viðskiptavef, farsímaforrit, tengdan búnað eða netþjónustu sem annaðhvort beinist að börnum undir 13 ára aldri eða hefur raunverulega þekkingu á því að hún safnar persónuupplýsingum frá barni undir 13 ára aldri. Umfangið er víðara en flestir útgefendur gera ráð fyrir vegna þess að FTC túlkar báðar greinarnar árásargjarn.

Þjónusta telst beint að börnum á grundvelli margþættar greiningar: efni, sjónrænt efni, notkun á hreyfimynduðum persónum eða barnagæðar starfsemi, tónlist, aldur líkana, viðvera frægra manna sem eru vinsælar meðal barna, tungumál, auglýsingar á þjónustunni sem beinast sjálf að börnum, og hæft og áreiðanlegt reynslusönnunargagn um samsetningu áhorfenda. Vefur fyrir almenna áhorfendur getur orðið þjónusta með blönduðum áhorfendum um leið og hluti af honum er byggður upp um efni sem beinist að börnum.

Þrjú atriði sem útgefendur gera stöðugt rangt:

• Trúa því að aldurshlið í notendaskilmálum við innskráningu sé nóg. Það er það ekki á eigin spýtur þegar restin af síðunni gefur til kynna að hún beinist að börnum.
• Gera ráð fyrir að engir innskráðir notendur þýði enga COPPA-áhættu. Varanlegir auðkennar — vafrakökur, IP-tölur, tækniskilríki, auglýsingaskilríki — eru persónuupplýsingar samkvæmt COPPA þegar þær eru safnaðar frá barni.
• Meðhöndla COPPA sem ótengt persónuverndarlögum ríkja. Aldurshæfur hönnunarkóði Kaliforníu, barnagagnalagagjöf Connecticut og alríkistillögur eru allar byggðar á skilgreiningum COPPA; hreint COPPA-forrit er grunnur samræmis við þær allar.

Hvað breyting 2025 breytti í reynd

Endanleg regla FTC frá janúar 2025, fyrsta yfirgripsmikla uppfærslan síðan 2013, nútímavætti COPPA á fimm hlutlægar leiðir sem útgefendur verða að tileinka sér.

Sérstakur opt-in fyrir auglýsingar þriðja aðila

Rekstraraðilar geta ekki lengur rúllað upplýsingaskyldu um auglýsingar þriðja aðila inn í eitt foreldrasamþykki fyrir notkun þjónustunnar. Hegðunarlegar auglýsingar á þjónustu sem beinist að börnum krefjast nú sérstaks, opt-in sannanlegt foreldrasamþykki aðskilið frá samþykki til að nota þjónustuna sjálfa. Sameining — sögulegt viðmið fyrir auglýsingastuddar barnaforrit og síður — er nú skýrlega bönnuð.

Víkkuðar persónuupplýsingar

Breytingin víkkaði skilgreiningu persónuupplýsinga til að innihalda lífræna auðkenna sem geta auðkennt einstakling, þar á meðal fingrafar, raddfar, augnbotn- eða lithimnumyndir og sniðmát andlitsrúmfræði. Hún skýrði einnig að auðkennar sem ríkisstjórnir gefa út frá hvaða ríkisstjórn sem er, ekki bara bandarísku, gilda. Útgefendur sem reka raddleit, AI-aðstoðarmenn eða myndaupphalstæki á þjónustu sem beinist að börnum þurfa að kortleggja þessi flæði gagnvart nýju skilgreiningunni.

Takmarkanir á varðveislu gagna

Ný reglan krefst þess að rekstraraðilar birti skriflega varðveislustefnu sem takmarkar geymslu persónuupplýsinga barna við það sem er sannarlega nauðsynlegt til að uppfylla þann tilgang sem þær voru safnaðar til. Óendanleg varðveisla er ekki lengur leyfð, og stefnan verður að vera tengd frá persónuverndarfyrirlýsingunni.

Hertar aðferðir fyrir sannanlegt foreldrasamþykki

Breytingin formlægi valmyndina yfir ásættanlegar VPC-aðferðir og bætti við þekkingarbundinni auðkenningarvalkost með því að nota kraftmiklar, fjölvalsspurningar sem aðeins foreldri getur svarað. Klassískar aðferðir — kreditkortafærsla, undirritaður eyðublöður, myndráðstefna með þjálfuðum rekstraraðila, auðkenning ríkisskilríkis — eru enn í boði en verða að vera skjalfest á hvert samþykkisatvik.

Tilkynning um efnislegar breytingar kveikir á nýju VPC

Allar efnislegar breytingar á gagnastarfsemi — nýir gagnaflokkar sem safnað er, nýir þriðji aðila viðtakendur, nýjar auglýsingafyrirkomulög — kveikja á nýju sannanlegu foreldrasamþykki. Rekstraraðilar geta ekki treyst á samþykki frá 2018 til að heimila auglýsingasamþættingu 2026.

Sannanlegt foreldrasamþykki í framkvæmd

Sannanlegt foreldrasamþykki er hjarta COPPA, og það er sá hluti sem útgefendur gera oft verst. Lagalegur staðallinn er samþykki sem er sanngjarn hönnuð til að tryggja að sá sem veitir samþykkið sé foreldri barnsins — ekki bara samþykki safnað yfirleitt.

FTC-samþykktar aðferðir sem útgefendur ættu að þekkja:

• Kredit- eða debetkortafærsla með tilkynningu til korthafa. Lítið gjald eða núll-króna heimild er ásættanleg þegar hún er pöruð með færslutilkynningu.
• Auðkenning ríkisskilríkis í gegnum öruggan þriðja aðila auðkenningarbirgja, þar sem skilríkið er eyðilagt tafarlaust eftir staðfestingu.
• Þekkingarbundin auðkenning — nýi valkosturinn frá reglu 2025 — með því að nota kraftmiklar fjölvalsspurningar sóttar úr opinberum gögnum.
• Undirritaður samþykktareyðublöður skilað með pósti, fax eða rafrænum skanna.
• Myndráðstefna með þjálfuðum rekstraraðila sem staðfestir auðkenni gagnvart framvísaðri ríkisskilríki.
• Tölvupóstur-plús — aðeins leyfður fyrir persónuupplýsingar til eigin nota, og krefst staðfestingarþrepp í framhaldi. Treystu ekki á tölvupóst-plús fyrir auglýsingagögn.

Lykilspurningin í rekstri er skjöldun. Fyrir hvern barnnotanda verður rekstraraðili að geta sýnt, að beiðni FTC: hvaða aðferð var notuð, hverjir voru staðfestingaforeldrar, hvaða gagnaflokkar voru heimilaðir, hvaða þriðju aðila viðtakendur voru nefndir, og tímastimpill samþykki. Nútímalegt CMP í FlexyConsent-stíl ætti að samþætta VPC-birgjann og geyma þessa slóð í sama úttektarannálanum og samþykktisatvik vafrakaka.

Samþykki vafrakaka á vefsíðum sem beinast að börnum

COPPA og vafrakakuborðinn sitja á mismunandi lagalegum lögum en verða að vinna saman. Samþykktisborðar vafrakaka samkvæmt GDPR/ePrivacy eða samkvæmt lögum ríkja eins og CCPA uppfylla ekki COPPA, og sannanlegt foreldrasamþykki undanþiggur rekstraraðila ekki frá skyldu til að upplýsa um vafrakökur. Rekstraraðilar sem þjóna börnum verða að reka báðar lög í samræmi.

Loka á rekjanleika þar til VPC er náð

Á síðu sem beinist að börnum má engin auglýsinga- eða greinigarkaka kvikna áður en VPC er náð fyrir þann notanda. Venjulegur „samþykkja allt” borði er rangt tæki — sjálfgefna staðan verður að vera ekkert kviknar þar til foreldrasamþykki er á skrá, og jafnvel þá aðeins fyrir þá flokka sem foreldri heimilaði.

Takmarka birgjalista við COPPA-örugga samstarfsaðila

Birgjalisti á eign sem beinist að börnum er nauðsynlega styttri en á vef fyrir almenna áhorfendur. SSP-ar, DSP-ar og greinibyrgar verða samningslega að tryggja að þeir noti ekki barnagögn til hegðunarmiðunar og gefi barnið ekki til niðurstreymis hegðunarneta. Flestir stórir SSP-ar birta COPPA-samræmt birgðahamur; stilltu staflann þinn á þann ham og fjarlægðu ósamræmda samstarfsaðila.

Birta foreldraeftirlit í fæti

Persónuverndarfyrirlýsingin verður að innihalda skýran, einlægan hluta sem er beinn til foreldra með leiðbeiningum um að skoða, breyta eða afturkalla samþykki fyrir barn sitt. Viðvarandi tengill í fæti merktur eitthvað eins og Fyrir foreldra uppfyllir aðgengisgæðavæntingar FTC og skapar varanlega slóð þegar rannsakandi keyrir notendagæðaúttekt.

Framkvæmdarmynstur FTC 2024–2026

Framkvæmd samkvæmt COPPA hefur hraðað síðan YouTube-uppgjörið 2019 endurstillti lyst FTC á málum stórra útgefenda. Mynstur úr nýlegum samþykkistilskipunum bjóða upp á vegvísi um hvað FTC leitar að í rannsókn.

• Varanlegir auðkennar sem sönnunargagn. FTC kallast reglulega inn auglýsingaskrár rekstraraðila og tengir þær við áhorfendagögn til að sýna að auglýsingartækniskilríki voru úthlutað á auðkennanlega barnnotendur án VPC. Innri skjöl sem kalla áhorfendur „krakkar” eða „börn” á meðan persónuverndarforritið meðhöndlar það sem almenna áhorfendur eru hörmulegar.
• Birgjavanstjórnun sem margfaldari. Þegar rekstraraðili sendir barnagögn til SSP sem er ekki samræmt COPPA verða báðar aðilar ábyrgir. FTC hefur sótt aðalrekstraraðila og niðurstreymisnet í hliðstæðum aðgerðum.
• Niðurstöður um hegðunarmynstur. Ein VPC-bilun getur verið niðurstaða; mynstur bilunar yfir vöruflotur verður að blekkingastarfsemigrein samkvæmt 5. grein FTC-laga, sem víkkar bæði sektina og umfang samþykkistilskipunarinnar.
• Stigmögnun einkamálssekta. Hámarkssektin á hvert brot samkvæmt lögum um endurbætur FTC hefur verið stillt upp árlega; árið 2025 var hún yfir $50.000 á hvert brot, þar sem hvert barn var meðhöndlað sem sérstakt brot í sumum málum.

Að byggja upp COPPA-tilbúinn stafl

Að innleiða COPPA á þann hátt að hún standist raunverulega skoðun FTC er samhæfingarverkefni þvers á milli vöru, verkfræði, auglýsingastarfsemi og lögfræði. Verkið skiptist í um sex vinnustraumar.

1. Flokka hverja eign og yfirborð

Fyrir hvern lén, undirlén, forrit og endapunkt tengds búnaðar skaltu ákveða hvort það beinist að börnum, blönduðum áhorfendum eða almennum áhorfendum. Skjalfest greiningu. Yfirborð blönduðra áhorfenda — til dæmis, forsíða með bæði fullorðins- og barnaefni — verður að beita COPPA aðeins á notendur sem auðkenna sig sem undir 13 ára aldri í gegnum hlutlæga aldurshlið, ekki á alla notendur.

2. Byggja aldurshliðina á réttan hátt

Hlutlæg aldurshlið spyr um fæðingardag á þann hátt sem gefur ekki til kynna að eldri notendur fái meiri aðgang. Að spyrja ert þú 13 ára eða eldri? er ekki hlutlægt og FTC hefur merkt það. Einfaldur mánuður-dagur-ár vals, notaður einu sinni á tæki með svindlvarinn vafrakaka, er staðlaðar nálgunin.

3. Samþætta VPC-birgi

Nema vöruhópurinn þinn ætli að reka VPC innanhúss, skaltu samþætta sérfræðingabirgi — það eru nokkrir FTC-samþykktir veitendur — og gera samþættinguna hæfa til að kalla frá CMP-inu þínu, skráningarflæðinu og foreldrasamþykkistjórnunargáttinni. Geymdu atvik-úttektarskrána í gagnagrunni CMP, ekki í sílóinu hjá VPC-birjanum.

4. Stilla auglýsinga- og greinastafl fyrir COPPA-ham

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network og helstu DSP-ar bjóða öll upp á merki fyrir meðhöndlun sem beinist að börnum. Stilltu það á hverri auglýsingabeiðni sem stafar frá yfirborði sem beinist að börnum eða sannvottaðan notanda undir 13 ára aldri. Staðfestu með gögnum birgja að merkið kveiki í reynd aðeins á samhengisbundna afhendingu, ekki bara minnkun skjölunar.

5. Tengja foreldraeftirlit og eyðingu

Foreldrar hafa rétt til að skoða, breyta og eyða gögnum barns síns á eftirspurn. Byggðu foreldragátt sem er aðgengileg frá persónuverndarfyrirlýsingunni sem sannvottar foreldrið, sýnir gögnin á skrá og býður upp á nákvæmar stýringar. Eyðing verður að dreifa til allra þriðju aðila sem eru tilgreindir í samþykkisskránni innan hæfilegs tímaramma — flestir rekstraraðilar skuldbinda sig til 30 daga.

6. Úttekt ársfjórðungslega

Keyrðu ársfjórðungslega yfirferð sem nær yfir: breytingar á birgjalista, nýtt vöruflotur, samræmi varðveislu, endurnýjun samþykkistilskipunar og uppfærslur á leiðbeiningum FTC. FTC birtir reglulega uppfærslur á leiðbeiningum um COPPA-viðskipti; að skrá persónuverndarteymið þitt á póstlista FTC er ódýrasta mögulega samræmisinvestering.

Algeng mistök sem ber að forðast

Endurtekið bilunarmynstur kemur fram í úttektum útgefenda og samþykkistilskipunum FTC:

• Meðhöndla COPPA sem skráningarvandamál. Flest COPPA-áhætta kemur frá nafnlausum auglýsingartækniskilríkjum á síðum sem beinast að börnum, ekki frá skráðum reikningum.
• Gera ráð fyrir að „samhengisauglýsingar” þýði COPPA-öruggt sjálfgefið. Sumt „samhengisbundið” auglýsingakerfi setur enn varanleg skilríki í bakgrunni; staðfesta raunverulega vafrakakuhegðun.
• Láta vörukynningar fara fram á undan persónuverndaryfirferð. Nýr eiginleiki bætt við án samþykkistilskipunaryfirferðar getur ógilt alla forritið þinn. Bættu persónuverndarloki við útgáfuferlið þitt.
• Gleyma tengdum búnaðar- og CTV-yfirborðum. COPPA nær sérstaklega yfir snjallsjónvörp, raddaðstoðarmenn og leikjakonsollar. Margir útgefendur missa enn þetta í birgðum sínum.
• Gamlar samþykktsskrár. Efnisleg breyting á gagnastarfsemi ógiltir fyrra VPC. Útgefendur sem keyra auglýsingartæknibreytingar mánaðarlega þurfa ferli til að endurnýja VPC, eða þeir safna áhættu.

Hvernig COPPA lítur út árið 2027 og þar yfir

Tvær brautir munu endurskapa þetta svið á næstu átján mánuðum. Í fyrsta lagi munu alríkistillögur eins og KOSA — löggjöf um netöryggi barna — leggja viðbótarumhirðuskyldur ofan á COPPA, þar á meðal skyldur um hönnun efnis og strangari kröfur um aldurssannvottun. Hvort sem COPPA samþykkist heill eða í hlutum, er stefnumarkandi átt fleiri skyldur, ekki færri. Í öðru lagi skapar útbreiðsla á barnlegum hönnunarkóðum ríki fyrir ríki — Kalifornía, Connecticut, Maryland og fleiri í biðröð — laglegt breytileikamynstur sem útgefendur verða að uppfylla hlið við hlið við alríkis-COPPA. Rekstraraðilar sem meðhöndla COPPA-samræmi 2026 sem grunn, með aukagetu til að leggja ofan á kröfur ríkja, eru þeir sem munu ekki vera að endurbyggja árið 2027.

Niðurstaðan

COPPA árið 2026 er ekki lengur sértæk krafa fyrir þróunaraðila barnaforrita — það er meginstraumspersónuverndarinnviðir fyrir hvern útgefanda þar sem áhorfendur eru börn, jafnvel að hluta. Breyting 2025 lokaði þeim glufum sem útgefendur lifðu í, sérstaklega sameinaðar samþykkisflýtileiðar fyrir auglýsingar. Rektu varanlega aldurshlið, samþættu sannanlegt foreldrasamþykki birgi, stilltu auglýsingastaflann þinn á COPPA-ham, og skjalfestu allt í CMP-úttektarannálum hlið við hlið við venjuleg samþykktisatvik vafrakaka. Gerðu þetta vel og umferð sem beinist að börnum helst arðbær. Gerðu það illa og þú munt lesa þína eigin samþykkistilskipun á vefsíðu FTC með fjölmilljóna einkamálssekt tengda.