Кого на самом деле охватывает COPPA

COPPA применяется к любому коммерческому веб-сайту, мобильному приложению, подключённому устройству или онлайн-сервису, который либо направлен на детей младше 13 лет, либо имеет фактическое знание, что он собирает персональную информацию от ребёнка младше 13 лет. Охват шире, чем предполагает большинство издателей, потому что FTC агрессивно интерпретирует оба критерия.

Сервис направлен на детей на основе многофакторного анализа: предмет, визуальный контент, использование анимированных персонажей или ориентированных на детей активностей, музыка, возраст моделей, присутствие знаменитостей, популярных среди детей, язык, реклама на сервисе, которая сама направлена на детей, и компетентные и надёжные эмпирические доказательства о составе аудитории. Сайт общей аудитории может стать сервисом смешанной аудитории в тот момент, когда раздел построен вокруг ориентированного на детей контента.

Три вещи, в которых издатели последовательно ошибаются:

• Вера в то, что возрастного барьера в Условиях обслуживания при регистрации достаточно. Сам по себе он недостаточен, когда остальная часть сайта сигнализирует намерение, направленное на детей.
• Предположение, что отсутствие авторизованных пользователей означает отсутствие риска COPPA. Постоянные идентификаторы — cookie, IP-адреса, ID устройств, рекламные ID — являются персональной информацией по COPPA, когда собираются от ребёнка.
• Отношение к COPPA как ортогональному закону штата о приватности. Калифорнийский Кодекс возрастного дизайна, закон Коннектикута о детских данных и федеральные предложения — все строятся поверх определений COPPA; чистая программа COPPA является фундаментом соответствия всем им.

Что на самом деле изменила поправка 2025 года

Окончательное правило FTC от января 2025 года, первое всеобъемлющее обновление с 2013 года, модернизировало COPPA пятью конкретными способами, которые издатели должны усвоить.

Отдельное согласие для сторонней рекламы

Операторы больше не могут включать раскрытие сторонней рекламы в единое родительское согласие на использование сервиса. Поведенческая реклама на сервисе, направленном на детей, теперь требует отдельного, проверяемого родительского согласия по принципу opt-in, отличного от согласия на использование самого сервиса. Объединение — историческая норма для поддерживаемых рекламой детских приложений и сайтов — теперь прямо запрещено.

Расширенная персональная информация

Поправка расширила определение персональной информации, включив биометрические идентификаторы, способные аутентифицировать человека, включая отпечатки пальцев, голосовые отпечатки, изображения сетчатки или радужки и шаблоны геометрии лица. Она также уточнила, что государственные идентификаторы от любого правительства, а не только США, квалифицируются. Издатели, использующие функции голосового поиска, ИИ-помощников или инструменты загрузки фото на сервисах, направленных на детей, должны сопоставить эти потоки с новым определением.

Ограничения хранения данных

Новое правило требует от операторов опубликовать письменную политику хранения, которая ограничивает хранение персональной информации детей тем, что разумно необходимо для выполнения цели, для которой она была собрана. Бессрочное хранение больше не разрешено, и политика должна быть связана из уведомления о конфиденциальности.

Усиленные методы проверяемого родительского согласия

Поправка формализовала меню приемлемых методов VPC и добавила опцию аутентификации на основе знаний, использующую динамические вопросы с множественным выбором, на которые может ответить только родитель. Классические методы — транзакция по кредитной карте, подписанная форма, видеоконференция с обученным оператором, проверка государственного ID — остаются доступными, но должны документироваться для каждого события согласия.

Уведомление о существенном изменении запускает новое VPC

Любое существенное изменение в практиках обработки данных — новые категории собираемых данных, новые сторонние получатели, новые рекламные договорённости — запускает новое проверяемое родительское согласие. Операторы не могут полагаться на согласие 2018 года для авторизации рекламной интеграции 2026 года.

Проверяемое родительское согласие на практике

Проверяемое родительское согласие — это сердце COPPA, и это та часть, которую издатели чаще всего реализуют плохо. Юридический стандарт — это согласие, разумно разработанное, чтобы гарантировать, что лицо, дающее согласие, является родителем ребёнка — а не просто собранное согласие вообще.

Одобренные FTC методы, которые должны знать издатели:

• Транзакция по кредитной или дебетовой карте с уведомлением держателю карты. Небольшое списание или авторизация на ноль долларов приемлемы в сочетании с транзакционным уведомлением.
• Проверка государственного ID через защищённого стороннего поставщика идентификации, с ID, уничтожаемым сразу после проверки.
• Аутентификация на основе знаний — новая опция из правила 2025 года — с использованием динамических вопросов с множественным выбором из публичных записей.
• Подписанная форма согласия, возвращённая по почте, факсу или электронному скану.
• Видеоконференция с обученным оператором, который подтверждает личность по предъявленному государственному ID.
• Email-plus — разрешено только для персональной информации внутреннего использования и требует шага подтверждения. Не полагайтесь на email-plus для рекламных данных.

Ключевой операционный вопрос — документация. Для каждого ребёнка-пользователя оператор должен быть в состоянии показать по запросу FTC: какой метод использовался, кто был проверяющим родителем, какие категории данных были авторизованы, какие сторонние получатели были названы, и метку времени согласия. Современная CMP в стиле FlexyConsent должна интегрироваться с поставщиком VPC и хранить этот след в том же журнале аудита, что и события согласия на cookie.

Согласие на cookie на сайтах, направленных на детей

COPPA и cookie-баннер находятся на разных юридических уровнях, но должны работать вместе. Баннеры согласия на cookie по GDPR/ePrivacy или по законам штатов, таким как CCPA, не удовлетворяют COPPA, а проверяемое родительское согласие не освобождает оператора от обязательств по раскрытию cookie. Операторы, обслуживающие детей, должны запускать оба уровня в координации.

Блокируйте отслеживание до захвата VPC

На странице, направленной на детей, никакой рекламный или аналитический cookie не может сработать до захвата VPC для этого пользователя. Стандартный баннер «принять всё» — неправильный инструмент — состояние по умолчанию должно быть ничего не срабатывает, пока родительское согласие не на файле, и даже тогда только для категорий, которые родитель авторизовал.

Ограничьте список поставщиков COPPA-безопасными партнёрами

Список поставщиков на свойстве, направленном на детей, обязательно короче, чем на сайте общей аудитории. SSP, DSP и поставщики аналитики должны контрактно гарантировать, что они не используют детские данные для поведенческого таргетинга и не передают ребёнка нижестоящим поведенческим сетям. Большинство крупных SSP публикуют режим COPPA-соответствующего инвентаря; настройте ваш стек на этот режим и удалите несоответствующих партнёров.

Выведите родительский контроль в подвал

Уведомление о конфиденциальности должно включать чёткий, написанный простым языком раздел, адресованный родителям, с инструкциями по проверке, изменению или отзыву согласия для их ребёнка. Постоянная ссылка в подвале с надписью вроде Для родителей отвечает ожиданиям FTC по доступности и создаёт защищаемый след, когда следователь проводит аудит удобства использования.

Модель правоприменения FTC в 2024–2026 годах

Правоприменение по COPPA ускорилось с тех пор, как урегулирование с YouTube в 2019 году перезапустило аппетит FTC к делам крупных издателей. Паттерны из недавних согласительных декретов предлагают дорожную карту того, что FTC на самом деле ищет в расследовании.

• Постоянные идентификаторы как улика. FTC регулярно вызывает повесткой рекламные журналы оператора и сопоставляет их с данными аудитории, чтобы показать, что ad-tech ID были присвоены идентифицируемым детям-пользователям без VPC. Внутренние документы, называющие аудиторию «дети» или «ребята», в то время как программа приватности рассматривает её как общую аудиторию, катастрофичны.
• Плохое управление поставщиками как множитель. Когда оператор передаёт детские данные не соответствующему COPPA SSP, обе стороны становятся ответственными. FTC преследовала основных операторов и нижестоящие сети в параллельных действиях.
• Выводы о модели поведения. Единичная неудача VPC может быть выводом; модель неудач по продуктовым поверхностям становится пунктом об обманчивых практиках по разделу 5 Закона FTC, расширяя как штраф, так и масштаб согласительного декрета.
• Эскалация гражданских штрафов. Максимальный гражданский штраф за нарушение по Закону об улучшениях FTC корректировался вверх ежегодно; в 2025 году он составлял выше 50 000 долларов за нарушение, причём каждый ребёнок рассматривался как отдельное нарушение в некоторых делах.

Построение готового к COPPA стека

Реализация COPPA таким образом, который действительно выдерживает проверку FTC, — это проблема координации между продуктом, инженерией, рекламными операциями и юристами. Работа разбивается примерно на шесть рабочих потоков.

1. Классифицируйте каждое свойство и поверхность

Для каждого домена, поддомена, приложения и конечной точки подключённого устройства решите, направлено ли оно на детей, на смешанную аудиторию или на общую аудиторию. Задокументируйте анализ. Поверхность смешанной аудитории — например, главная страница с контентом как для взрослых, так и для детей — должна применять COPPA только к пользователям, которые самоидентифицируются как младше 13 лет через нейтральный возрастной барьер, а не ко всем пользователям.

2. Постройте возрастной барьер правильно

Нейтральный возрастной барьер запрашивает дату рождения таким образом, который не сигнализирует, что более старшие пользователи получают больший доступ. Вопрос вам 13 или больше? является ненейтральным, и FTC отметила его. Простой выбор месяца-дня-года, используемый один раз на устройство с защищённым от подделки cookie, является стандартным подходом.

3. Интегрируйте поставщика VPC

Если ваша продуктовая команда не намерена управлять VPC собственными силами, интегрируйте специализированного поставщика — есть несколько одобренных FTC провайдеров — и сделайте интеграцию вызываемой из вашей CMP, процесса регистрации и портала управления родительским согласием. Храните запись аудита по каждому событию в базе данных CMP, а не в силосе поставщика VPC.

4. Настройте рекламный и аналитический стеки для режима COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network и крупные DSP — все предлагают флаг тег для обработки, направленной на детей. Установите его на каждый рекламный вызов, исходящий с направленной на детей поверхности или от аутентифицированного пользователя младше 13 лет. Проверьте по документации поставщика, что флаг действительно запускает только контекстную доставку, а не просто сокращение документации.

5. Подключите родительский контроль и удаление

Родители имеют право проверять, изменять и удалять данные своего ребёнка по требованию. Постройте родительский портал, доступный из уведомления о конфиденциальности, который аутентифицирует родителя, отображает данные на файле и предлагает гранулярный контроль. Удаление должно распространяться на все третьи стороны, перечисленные в записи согласия, в разумное временное окно — большинство операторов обязуются на 30 дней.

6. Проводите аудит ежеквартально

Проводите ежеквартальный обзор, охватывающий: изменения списка поставщиков, новые продуктовые поверхности, соответствие хранению, обновление согласительного декрета и обновления рекомендаций FTC. FTC регулярно публикует обновления бизнес-рекомендаций COPPA; подписка вашей команды приватности на рассылку FTC — это самая дешёвая возможная инвестиция в соответствие.

Распространённые ловушки, которых следует избегать

Повторяющиеся паттерны неудач проявляются по всем аудитам издателей и согласительным декретам FTC:

• Отношение к COPPA как к проблеме регистрации. Большая часть риска COPPA исходит от анонимных ad-tech идентификаторов на страницах, направленных на детей, а не от зарегистрированных аккаунтов.
• Предположение, что «контекстная реклама» означает COPPA-безопасность по умолчанию. Некоторые «контекстные» рекламные сети всё равно устанавливают постоянные идентификаторы в фоне; проверьте фактическое поведение cookie.
• Позволение запускам продуктов опережать проверку приватности. Новая функция, добавленная без проверки согласительного декрета, может аннулировать всю вашу программу. Добавьте барьер приватности к вашему процессу релиза.
• Забывание о поверхностях подключённых устройств и CTV. COPPA прямо охватывает умные ТВ, голосовых помощников и игровые консоли. Многие издатели до сих пор упускают это в своём инвентаре.
• Устаревшие записи согласия. Существенное изменение в практиках обработки данных аннулирует прежнее VPC. Издателям, запускающим изменения ad-tech ежемесячно, нужен процесс обновления VPC, иначе они накапливают риск.

Как COPPA выглядит в 2027 году и далее

Две траектории переформируют это пространство в течение следующих восемнадцати месяцев. Во-первых, федеральные предложения, такие как KOSA — Закон о безопасности детей в интернете — наложили бы дополнительные обязанности заботы поверх COPPA, включая обязательства по дизайну контента и более строгие требования к подтверждению возраста. Пройдёт ли KOSA целиком или по частям, регуляторное направление — больше обязательств, а не меньше. Во-вторых, расширение детских кодексов дизайна штат за штатом — Калифорния, Коннектикут, Мэриленд и другие в очереди — создаёт лоскутное одеяло, которое издатели должны удовлетворять наряду с федеральным COPPA. Операторы, которые рассматривают соответствие COPPA 2026 года как базовый уровень с дополнительной ёмкостью для наложения требований штатов, — это те, кто не будет перепроектировать в 2027 году.

Итог

COPPA в 2026 году больше не является нишевым требованием для разработчиков детских приложений — это основная инфраструктура приватности для любого издателя, чья аудитория включает детей, даже частично. Поправка 2025 года закрыла лазейки, в которых издатели привыкли жить, особенно ярлык объединённого согласия для рекламы. Запустите защищаемый возрастной барьер, интегрируйте поставщика проверяемого родительского согласия, настройте ваш рекламный стек на режим COPPA и задокументируйте всё в журнале аудита CMP наряду с вашими стандартными событиями согласия на cookie. Сделайте это хорошо, и трафик, направленный на детей, останется монетизируемым. Сделайте это плохо, и вы будете читать собственный согласительный декрет на веб-сайте FTC с прикреплённым многомиллионным гражданским штрафом.