Ką iš tikrųjų apima COPPA

COPPA taikoma bet kuriai komercinei svetainei, mobiliajai programėlei, prijungtam įrenginiui ar internetinei paslaugai, kuri skirta vaikams iki 13 metų arba tiksliai žino, kad renka asmeninę informaciją iš vaiko iki 13 metų. Taikymo apimtis platesnė nei mano dauguma leidėjų, nes FTC agresyviai interpretuoja abu aspektus.

Paslauga laikoma skirta vaikams remiantis kelių veiksnių analize: tematika, vaizdiniu turiniu, animuotų personažų ar vaikams orientuotos veiklos naudojimu, muzika, modelių amžiumi, vaikų populiarių įžymybių buvimu, kalba, paslaugoje esančia reklama, kuri pati skirta vaikams, ir kompetentingais bei patikimais empiriniais įrodymais apie auditorijos sudėtį. Bendros auditorijos svetainė gali tapti mišrios auditorijos paslauga, kai tik jos dalis sukuriama aplink vaikams skirtą turinį.

Trys dalykai, kuriais leidėjai nuolat klysta:

• Tikėjimas, kad registracijos metu pateikiamas paslaugų teikimo sąlygų amžiaus barjeras yra pakankamas. Tai nepakankama pati savaime, kai likusi svetainės dalis rodo vaikams skirtą ketinimą.
• Prielaida, kad jei nėra prisijungusių naudotojų, nėra COPPA poveikio. Nuolatiniai identifikatoriai – slapukai, IP adresai, įrenginių ID, reklamos ID – yra asmeninė informacija pagal COPPA, kai renkami iš vaiko.
• COPPA laikymas nesusijusiu su valstijų privatumo teisėsauga. Kalifornijos amžiui tinkamo dizaino kodeksas, Konektikuto vaikų duomenų įstatymas ir federaliniai pasiūlymai visi sukurti COPPA apibrėžimų pagrindu; švari COPPA programa yra atitikties su visais jais pagrindas.

Ką iš tikrųjų pakeitė 2025 m. pakeitimas

FTC 2025 m. sausio mėn. galutinė taisyklė, pirmasis visapusis atnaujinimas nuo 2013 m., modernizavo COPPA penkiais konkrečiais būdais, kuriuos leidėjai turi įsisąmoninti.

Atskiras savanoriškas sutikimas trečiųjų šalių reklamai

Operatoriai nebegali sujungti trečiųjų šalių reklamos atskleidimo į vieną tėvų sutikimą naudotis paslauga. Elgesio reklama vaikams skirtoje paslaugoje dabar reikalauja atskiro, savanoriško patikrinamojo tėvų sutikimo, skirtingo nuo sutikimo naudotis pačia paslauga. Sujungimas – istorinė norma reklama remiamoms vaikų programėlėms ir svetainėms – dabar aiškiai draudžiamas.

Išplėsta asmeninė informacija

Pakeitimas išplėtė asmeninės informacijos apibrėžimą, įtraukiant biometrinius identifikatorius, galinčius autentifikuoti asmenį, įskaitant pirštų antspaudus, balso antspaudus, tinklainės ar rainelės vaizdus ir veido geometrijos šablonus. Taip pat paaiškinta, kad bet kurios vyriausybės – ne tik JAV – vyriausybės išduoti identifikatoriai taip pat patenka į šią kategoriją. Leidėjai, vaikams skirtose paslaugose valdantys balso paieškos funkcijas, AI asistentus ar nuotraukų įkėlimo įrankius, turi atvaizduoti šiuos srautus pagal naują apibrėžimą.

Duomenų saugojimo apribojimai

Nauja taisyklė reikalauja, kad operatoriai paskelbtų rašytinę saugojimo politiką, ribojančią vaikų asmeninės informacijos saugojimą tuo, kas yra pagrįstai būtina surinkimo tikslo įgyvendinimui. Neterminuotas saugojimas neberegistruojamas, o politika turi būti susijusi su privatumo pranešimu.

Sustiprinti patikrinamojo tėvų sutikimo metodai

Pakeitimas formalizavo priimtinų VPC metodų meniu ir pridėjo žiniomis pagrįstos autentifikacijos parinktį, naudojančią dinamiškus daugiau nei vieno atsakymo klausimus, į kuriuos gali atsakyti tik tėvas ar motina. Klasikiniai metodai – kredito kortelės operacija, pasirašyta forma, vaizdo konferencija su apmokytu operatoriumi, vyriausybės ID patikrinimas – išlieka prieinami, tačiau turi būti dokumentuojami kiekvienam sutikimo įvykiui.

Pranešimas apie esminį pakeitimą suaktyvina naują VPC

Bet koks esminis duomenų praktikos pakeitimas – naujos renkamų duomenų kategorijos, nauji trečiųjų šalių gavėjai, nauji reklamos susitarimai – suaktyvina naują patikrinamąjį tėvų sutikimą. Operatoriai negali remtis 2018 m. sutikimu, kad autorizuotų 2026 m. reklamos integraciją.

Patikrinamasis tėvų sutikimas praktikoje

Patikrinamasis tėvų sutikimas yra COPPA šerdis, ir būtent šią dalį leidėjai dažniausiai įgyvendina netinkamai. Teisinis standartas yra sutikimas, pagrįstai sukurtas siekiant užtikrinti, kad sutikimą teikiantis asmuo yra vaiko tėvas ar motina – o ne tik bet koks surinktas sutikimas.

FTC patvirtinti metodai, kuriuos leidėjai turėtų žinoti:

• Kredito ar debeto kortelės operacija su pranešimu kortelės turėtojui. Nedidelis mokestis arba nulio dolerių autorizacija yra priimtina kartu su operacijos pranešimu.
• Vyriausybės išduoto ID patikrinimas per saugų trečiosios šalies tapatybės pardavėją, ID nedelsiant sunaikinant po patikrinimo.
• Žiniomis pagrįsta autentifikacija – nauja 2025 m. taisyklės parinktis – naudojant dinamiškus daugiavariantius klausimus, paimtus iš viešų įrašų.
• Pasirašyta sutikimo forma, grąžinta paštu, faksu ar elektroniniu skaitytuvu.
• Vaizdo konferencija su apmokytu operatoriumi, kuris patvirtina tapatybę pagal pateiktą vyriausybės ID.
• El. paštas plius – leidžiamas tik asmeninei informacijai, naudojamai tik vidiniams tikslams, ir reikalauja tolesniojo patvirtinimo žingsnio. Neremkitės el. paštu plius reklamos duomenims.

Svarbiausias operatyvinis klausimas yra dokumentacija. Kiekvienam vaikų naudotojui operatorius turi galėti parodyti FTC prašymu: koks metodas buvo naudotas, kas buvo tikrinantis tėvas ar motina, kokios duomenų kategorijos buvo autorizuotos, kokie trečiųjų šalių gavėjai buvo įvardyti ir sutikimo laiko žymė. Moderni FlexyConsent stiliaus CMP turi integruotis su VPC pardavėju ir saugoti šį taką tame pačiame audito žurnale kaip ir slapukų sutikimo įvykiai.

Slapukų sutikimas vaikams skirtose svetainėse

COPPA ir slapukų reklamjuostė yra skirtinguose teisiniuose sluoksniuose, tačiau turi veikti kartu. Slapukų sutikimo reklamjuostės pagal GDPR/ePrivacy ar pagal valstijų įstatymus, tokius kaip CCPA, netenkina COPPA, o patikrinamasis tėvų sutikimas neatleidžia operatoriaus nuo slapukų atskleidimo prievolių. Operatoriai, teikiantys paslaugas vaikams, turi koordinuotai valdyti abu sluoksnius.

Stebėjimo blokavimas iki VPC gavimo

Vaikams skirtame puslapyje joks reklamos ar analizės slapukas negali būti suaktyvintas, kol VPC nėra gautas tam naudotojui. Standartinė „priimti viską” reklamjuostė yra netinkamas įrankis – numatytoji būsena turi būti niekas nesuaktyvinama, kol tėvų sutikimas nėra registruotas, ir net tada – tik tėvo ar motinos autorizuotoms kategorijoms.

Pardavėjų sąrašo apribojimas iki COPPA saugių partnerių

Pardavėjų sąrašas vaikams skirtame turte yra būtinai trumpesnis nei bendros auditorijos svetainėje. SSP, DSP ir analizės teikėjai turi sutartiškai garantuoti, kad nenaudoja vaikų duomenų elgesio taikymui ir neperduoda vaiko žemutiniams elgesio tinklams. Dauguma pagrindinių SSP skelbia COPPA atitinkančios atsargos režimą; sukonfigūruokite rinkinį tam režimui ir pašalinkite neatitinkančius partnerius.

Tėvų valdiklių rodymas poraštėje

Privatumo pranešime turi būti aiški, paprasta kalba parašyta dalis, skirta tėvams, su instrukcijomis, kaip peržiūrėti, keisti ar atšaukti sutikimą jų vaikui. Nuolatinė poraštės nuoroda, pažymėta maždaug kaip Tėvams, atitinka FTC prieinamumo lūkesčius ir sudaro gynybinį taką, kai tyrėjas atlieka naudojamumo auditą.

FTC vykdymo modelis 2024–2026 m.

Vykdymas pagal COPPA pagreitėjo nuo 2019 m. „YouTube” susitarimo, kuris iš naujo suformavo FTC apetitą didelių leidėjų bylose. Pastarojo laikotarpio sutikimo dekretų modeliai siūlo kelrodį, ko iš tikrųjų ieško FTC tyrime.

• Nuolatiniai identifikatoriai kaip pagrindinis įrodymas. FTC reguliariai šaukia operatoriaus reklamos žurnalus ir koreliuoja juos su auditorijos duomenimis, kad parodytų, jog reklamos technologijų ID buvo priskirti identifikuojamiems vaikų naudotojams be VPC. Vidiniai dokumentai, vadinantys auditoriją „vaikais” ar „vaikučiais”, tuo tarpu kai privatumo programa elgiasi su ja kaip su bendrąja auditorija, yra katastrofiški.
• Pardavėjų netinkamas valdymas kaip daugiklis. Kai operatorius perduoda vaikų duomenis COPPA neatitinkančiam SSP, abi šalys tampa atsakingomis. FTC paraleliais veiksmais persekiojo pagrindinius operatorius ir žemutinio lygio tinklus.
• Elgesio modelio išvados. Vienas VPC gedimas gali būti išvada; gedimų modelis per produkto paviršius tampa klaidinančios praktikos skaičiavimu pagal FTC įstatymo 5 skyrių, plečiant ir baudą, ir sutikimo dekreto apimtį.
• Civilinių baudų didėjimas. Maksimali civilinė bauda už pažeidimą pagal FTC tobulinimo įstatymą buvo kasmet didinama; 2025 m. ji viršijo 50 000 USD už pažeidimą, kai kuriose bylose su kiekvienu vaiku elgtasi kaip su atskiru pažeidimu.

COPPA pasirengusio rinkinio kūrimas

COPPA įgyvendinimas taip, kad jis iš tiesų atlaikytų FTC tikrinimą, yra koordinavimo problema produktų, inžinerijos, reklamų operacijų ir teisės komandoms. Darbas skirstomas maždaug į šešias darbo sroves.

1. Kiekvieno turto ir paviršiaus klasifikavimas

Kiekvienam domenui, subdomeniui, programėlei ir prijungto įrenginio galiniam taškui nuspręskite, ar jis skirtas vaikams, mišriai auditorijai ar bendrajai auditorijai. Dokumentuokite analizę. Mišrios auditorijos paviršius – pavyzdžiui, pagrindinis puslapis su suaugusiųjų ir vaikų turiniu – turi taikyti COPPA tik naudotojams, per neutralų amžiaus barjerą identifikuojantiems save kaip jaunesnius nei 13 metų, o ne visiems naudotojams.

2. Amžiaus barjero teisingas kūrimas

Neutralus amžiaus barjeras klausia gimimo datos taip, kad nesignalizuotų, jog vyresnio amžiaus naudotojai gauna daugiau prieigos. Klausti ar jums 13 metų ar daugiau? nėra neutralu ir FTC tai nurodė. Paprastas mėnesio-dienos-metų parinkiklis, naudojamas vieną kartą per įrenginį su apsaugotu nuo klastojimo slapuku, yra standartinis požiūris.

3. VPC pardavėjo integracija

Jei produktų komanda nenumatė savarankiškai valdyti VPC, integruokite specializuotą pardavėją – yra keletas FTC patvirtintų teikėjų – ir padarykite integraciją iškviečiamą iš CMP, registracijos srauto ir tėvų sutikimo valdymo portalo. Saugokite įvykio audito įrašą CMP duomenų bazėje, o ne VPC pardavėjo silo.

4. Reklamos ir analizės rinkinių konfigūravimas COPPA režimu

„Google Ad Manager”, „AdMob”, „IronSource”, „Unity Ads”, „Meta Audience Network” ir pagrindiniai DSP visi siūlo žymą, skirtą vaikams orientuotam apdorojimui. Nustatykite ją kiekviename reklamos skambutyje, kylančiame iš vaikams skirto paviršiaus arba autentifikuoto naudotojo, jaunesnio nei 13 metų. Patikrinkite su pardavėjo dokumentacija, kad žyma iš tikrųjų suaktyvina tik kontekstinį pristatymą, o ne tik dokumentacijos sumažinimą.

5. Tėvų valdiklių ir ištrynimo sujungimas

Tėvai turi teisę peržiūrėti, keisti ir ištrinti savo vaiko duomenis pageidaujant. Sukurkite tėvų portalą, pasiekiamą iš privatumo pranešimo, kuris autentifikuoja tėvą ar motiną, rodo faile esančius duomenis ir siūlo detalesnius valdiklius. Ištrynimas turi per protingą laiko langą – dauguma operatorių įsipareigoja per 30 dienų – paplisti visiems sutikimo įraše išvardytiems trečiosioms šalims.

6. Ketvirčio auditas

Vykdykite ketvirčio peržiūrą, apimančią: pardavėjų sąrašo pokyčius, naujus produktų paviršius, saugojimo atitiktį, sutikimo dekreto atnaujinimą ir FTC rekomendacijų atnaujinimus. FTC reguliariai skelbia COPPA verslo gairių atnaujinimus; privatumo komandos prenumerata į FTC pašto sąrašą yra pigi galima atitikties investicija.

Dažni spąstai, kurių reikia vengti

Pasikartojantys nesėkmių modeliai pasirodo leidėjų audituose ir FTC sutikimo dekretuose:

• COPPA laikymas registracijos problema. Dauguma COPPA poveikio kyla iš anoniminių reklamos technologijų identifikatorių vaikams skirtose svetainėse, o ne iš registruotų paskyrų.
• Prielaida, kad „kontekstinės reklamos” pagal numatymą yra saugios pagal COPPA. Kai kurie „kontekstiniai” reklamos tinklai vis dar fone nustato nuolatinius identifikatorius; patikrinkite tikrąjį slapukų elgesį.
• Produkto paleidimams aplenkiant privatumo peržiūrą. Nauja funkcija, pridėta be sutikimo dekreto peržiūros, gali anuliuoti visą jūsų programą. Pridėkite privatumo barjerą prie savo leidimo proceso.
• Prijungtų įrenginių ir CTV paviršių pamiršimas. COPPA aiškiai apima išmaniuosius televizorius, balso asistentus ir žaidimų pultelius. Daugelis leidėjų vis dar to nesugeba atsižvelgti savo inventoriuje.
• Pasenę sutikimo įrašai. Esminis duomenų praktikos pakeitimas anuliuoja ankstesnį VPC. Leidėjai, kas mėnesį vykdantys reklamos technologijų pakeitimus, turi turėti procesą, kaip atnaujinti VPC, kitaip jie kaupia poveikį.

Kaip COPPA atrodys 2027 m. ir vėliau

Dvi trajektorijos per kitus aštuoniolika mėnesių performuos šią erdvę. Pirma, federaliniai pasiūlymai, tokie kaip KOSA – Kids Online Safety Act – COPPA viršuje uždėtų papildomus priežiūros įpareigojimus, įskaitant turinio dizaino prievoles ir griežtesnius amžiaus patvirtinimo reikalavimus. Nesvarbu, ar KOSA bus priimtas visas ar dalimis, reguliavimo kryptis yra daugiau įpareigojimų, o ne mažiau. Antra, vaikų dizaino kodeksų plitimas valstija po valstijos – Kalifornija, Konektikutas, Merilendas ir kiti eilėje – sukuria mozaiką, kurią leidėjai turi tenkinti kartu su federaliniu COPPA. Operatoriai, traktuojantys 2026 m. COPPA atitiktį kaip bazę su papildomu pajėgumu valstijų reikalavimams, yra tie, kurie 2027 m. nerestruktūrizuos architektūros.

Išvada

2026 m. COPPA nebėra nišinis reikalavimas vaikų programėlių kūrėjams – tai pagrindinė privatumo infrastruktūra kiekvienam leidėjui, kurio auditorijoje yra vaikų, nors ir iš dalies. 2025 m. pakeitimas uždarė spragas, kuriomis gyveno leidėjai, ypač sujungto sutikimo trumpinį reklamai. Valdykite gynybinį amžiaus barjerą, integruokite patikrinamojo tėvų sutikimo pardavėją, sukonfigūruokite reklamų rinkinį COPPA režimu ir dokumentuokite viską CMP audito žurnale kartu su standartiniais slapukų sutikimo įvykiais. Darykite tai gerai ir vaikams skirtas srautas lieka monetizuojamas. Darykite tai blogai ir skaitysite savo pačių sutikimo dekretą FTC svetainėje su kelių milijonų dolerių civile bauda priimta.