Кого насправді охоплює COPPA

COPPA поширюється на будь-який комерційний веб-сайт, мобільний застосунок, підключений пристрій або онлайн-сервіс, який або орієнтований на дітей до 13 років, або має фактичні знання про те, що збирає персональну інформацію від дитини до 13 років. Охоплення ширше, ніж передбачають більшість видавців, оскільки FTC агресивно тлумачить обидва критерії.

Сервіс вважається орієнтованим на дітей на основі багатофакторного аналізу: тематика, візуальний контент, використання анімованих персонажів або діяльності, орієнтованої на дітей, музика, вік моделей, присутність знаменитостей, популярних серед дітей, мова, реклама на сервісі, яка сама є орієнтованою на дітей, і компетентні та достовірні емпіричні докази щодо складу аудиторії. Сайт для широкої аудиторії може стати сервісом зі змішаною аудиторією, щойно на ньому з'являється розділ, присвячений контенту для дітей.

Три речі, в яких видавці постійно помиляються:

• Переконання, що вікова перевірка в Умовах використання при реєстрації є достатньою. Сама по собі — ні, якщо решта сайту сигналізує про орієнтацію на дітей.
• Припущення, що відсутність авторизованих користувачів означає відсутність ризику відповідно до COPPA. Постійні ідентифікатори — файли cookie, IP-адреси, ідентифікатори пристроїв, рекламні ідентифікатори — є персональною інформацією за COPPA, коли збираються від дитини.
• Ставлення до COPPA як до незалежного від законодавства штатів про конфіденційність. Каліфорнійський Кодекс вікового дизайну, закон Коннектикуту про дані дітей та федеральні пропозиції — всі вони ґрунтуються на визначеннях COPPA; чиста програма COPPA є основою дотримання всіх із них.

Що насправді змінила поправка 2025 року

Остаточне правило FTC від січня 2025 року, перше комплексне оновлення з 2013 року, модернізувало COPPA п'ятьма конкретними способами, які видавці мають засвоїти.

Окрема opt-in-згода для реклами третіх сторін

Оператори більше не можуть включати розкриття інформації про рекламу третіх сторін до єдиної батьківської згоди на використання сервісу. Поведінкова реклама на сервісі, орієнтованому на дітей, тепер вимагає окремої, opt-in верифікованої батьківської згоди, відмінної від згоди на використання самого сервісу. Об'єднання — усталена норма для рекламних дитячих застосунків і сайтів — тепер прямо заборонено.

Розширена персональна інформація

Поправка розширила визначення персональної інформації, включивши біометричні ідентифікатори, здатні автентифікувати особу, зокрема відбитки пальців, голосові відбитки, зображення сітківки або райдужної оболонки ока та шаблони геометрії обличчя. Також уточнено, що ідентифікатори, видані урядом будь-якого уряду, не тільки США, підпадають під визначення. Видавці, які використовують функції голосового пошуку, AI-асистентів або інструменти завантаження фотографій у сервісах для дітей, повинні зіставити ці процеси з новим визначенням.

Обмеження зберігання даних

Нове правило зобов'язує операторів публікувати письмову політику зберігання, яка обмежує зберігання персональної інформації дітей тим, що розумно необхідне для виконання мети, з якою вона збиралася. Безстрокове зберігання більше не дозволяється, а посилання на політику має бути в повідомленні про конфіденційність.

Посилені методи верифікованої батьківської згоди

Поправка формалізувала перелік прийнятних методів VPC і додала варіант автентифікації на основі знань із використанням динамічних питань із множинним вибором, на які може відповісти лише батько. Класичні методи — транзакція кредитною карткою, підписана форма, відеоконференція з навченим оператором, верифікація урядового посвідчення — залишаються доступними, але мають бути задокументовані для кожної події згоди.

Повідомлення про суттєву зміну спричиняє новий VPC

Будь-яка суттєва зміна в практиках обробки даних — нові категорії зібраних даних, нові отримувачі-треті сторони, нові рекламні домовленості — спричиняє нову верифіковану батьківську згоду. Оператори не можуть покладатися на згоду 2018 року для авторизації рекламної інтеграції 2026 року.

Верифікована батьківська згода на практиці

Верифікована батьківська згода є серцевиною COPPA і тією частиною, яку видавці найчастіше впроваджують неналежно. Правовий стандарт — це згода, розумно спрямована на забезпечення того, що особа, яка надає згоду, є батьком дитини, а не просто зібрана будь-яка згода.

Схвалені FTC методи, які видавці повинні знати:

• Транзакція кредитною або дебетовою карткою з повідомленням власнику картки. Невелика комісія або нульова авторизація є прийнятною, якщо поєднана з транзакційним повідомленням.
• Верифікація урядового посвідчення через захищеного стороннього постачальника ідентифікаційних послуг, при цьому посвідчення знищується одразу після перевірки.
• Автентифікація на основі знань — новий варіант із правила 2025 року — з динамічними питаннями множинного вибору з публічних записів.
• Підписана форма згоди, надіслана поштою, факсом або електронним скануванням.
• Відеоконференція з навченим оператором, який підтверджує особу відповідно до пред'явленого урядового посвідчення.
• Email-plus — дозволено лише для персональної інформації виключно для внутрішнього використання та вимагає додаткового кроку підтвердження. Не покладайтеся на email-plus для рекламних даних.

Ключове оперативне питання — документація. Для кожного дитячого користувача оператор повинен бути здатний надати на запит FTC: який метод використовувався, хто є верифікуючим батьком, які категорії даних були авторизовані, яких отримувачів-третіх сторін було названо та мітку часу згоди. Сучасний CMP у стилі FlexyConsent має інтегруватися з постачальником VPC і зберігати цей слід у тому самому журналі аудиту, що й події згоди на файли cookie.

Згода на файли cookie на сайтах, орієнтованих на дітей

COPPA і банер файлів cookie перебувають на різних правових рівнях, але мають функціонувати разом. Банери згоди на файли cookie відповідно до GDPR/ePrivacy або законодавства штатів, як-от CCPA, не задовольняють COPPA, а верифікована батьківська згода не звільняє оператора від зобов'язань щодо розкриття інформації про файли cookie. Оператори, які обслуговують дітей, повинні задіювати обидва рівні у взаємодії.

Блокуйте відстеження до отримання VPC

На сторінці, орієнтованій на дітей, жодні рекламні чи аналітичні файли cookie не можуть спрацьовувати до того, як для цього користувача не буде отримано VPC. Стандартний банер «прийняти все» — це хибний інструмент; стан за замовчуванням має бути таким, що нічого не спрацьовує, поки батьківська згода не буде в реєстрі, і навіть тоді лише для категорій, які авторизував батько.

Обмежуйте список постачальників лише партнерами, безпечними для COPPA

Список постачальників на майданчику, орієнтованому на дітей, неминуче коротший, ніж на сайті для широкої аудиторії. SSP, DSP та постачальники аналітики повинні договірно гарантувати, що не використовують дитячі дані для поведінкового таргетингу і не передають дитину до поведінкових мереж нижче по ланцюгу. Більшість великих SSP публікують режим інвентарю, сумісного з COPPA; налаштуйте свій стек на цей режим і видаліть несумісних партнерів.

Відображайте батьківський контроль у нижньому колонтитулі

Повідомлення про конфіденційність має містити чіткий, доступний розділ для батьків з інструкціями щодо перегляду, зміни або відкликання згоди за дитину. Постійне посилання у нижньому колонтитулі з написом на кшталт Для батьків відповідає очікуванням FTC щодо доступності та залишає захищений слід, коли слідчий проводить аудит зручності використання.

Модель правозастосування FTC у 2024–2026 роках

Правозастосування відповідно до COPPA прискорилося після того, як угода з YouTube у 2019 році відновила апетит FTC до справ за участю великих видавців. Закономірності нещодавніх розпоряджень про згоду пропонують дорожню карту того, що FTC насправді шукає в ході розслідування.

• Постійні ідентифікатори як ключовий доказ. FTC регулярно запитує рекламні журнали оператора і співвідносить їх з даними аудиторії, щоб показати, що рекламно-технологічні ідентифікатори були присвоєні ідентифікованим дитячим користувачам без VPC. Внутрішні документи, що називають аудиторію «дітьми», тоді як програма конфіденційності ставиться до неї як до широкої аудиторії, є катастрофічними.
• Неналежне управління постачальниками як множник. Коли оператор передає дитячі дані SSP, що не відповідає COPPA, обидві сторони стають відповідальними. FTC переслідувала первинних операторів і нижчестоящі мережі паралельними діями.
• Висновки про систематичну поведінку. Єдина помилка VPC може бути висновком; систематичні помилки на поверхнях продукту стають підрахунком обманної практики за розділом 5 Закону FTC, розширюючи і покарання, і обсяг розпорядження про згоду.
• Зростання цивільних штрафів. Максимальний цивільний штраф за порушення відповідно до Закону про вдосконалення FTC щорічно підвищується; у 2025 році він перевищував 50 000 доларів за порушення, при цьому кожна дитина в деяких справах вважалася окремим порушенням.

Побудова стека, готового до COPPA

Впровадження COPPA у спосіб, що насправді витримує перевірку FTC, — це проблема координації між продуктом, інжинірингом, рекламними операціями та юридичним відділом. Робота розподіляється на приблизно шість потоків.

1. Класифікуйте кожен майданчик і поверхню

Для кожного домену, субдомену, застосунку та кінцевої точки підключеного пристрою вирішіть, чи він орієнтований на дітей, має змішану аудиторію або є загальнодоступним. Задокументуйте аналіз. Поверхня зі змішаною аудиторією — наприклад, головна сторінка з дорослим і дитячим контентом — повинна застосовувати COPPA лише до користувачів, які ідентифікують себе як молодших 13 років через нейтральний віковий фільтр, а не до всіх користувачів.

2. Побудуйте віковий фільтр правильно

Нейтральний віковий фільтр запитує дату народження так, щоб не сигналізувати, що старші користувачі отримають більший доступ. Питання вам 13 чи більше? не є нейтральним, і FTC на це вказала. Простий вибірник місяць-день-рік, що використовується один раз на пристрій із захищеним від підробки файлом cookie, є стандартним підходом.

3. Інтегруйте постачальника VPC

Якщо ваша продуктова команда не планує керувати VPC власними силами, інтегруйте спеціалізованого постачальника — існує кілька схвалених FTC провайдерів — і зробіть інтеграцію викликаною з вашого CMP, потоку реєстрації та порталу управління батьківською згодою. Зберігайте запис аудиту для кожної події в базі даних CMP, а не в силосі постачальника VPC.

4. Налаштуйте рекламні та аналітичні стеки в режимі COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network і провідні DSP — всі пропонують прапорець тег для обробки, орієнтованої на дітей. Встановіть його для кожного рекламного запиту з поверхні, орієнтованої на дітей, або від авторизованого користувача молодше 13 років. Перевіряйте за документацією постачальника, що прапорець справді запускає доставку виключно за контекстом, а не лише скорочення документації.

5. Підключіть батьківський контроль і видалення

Батьки мають право на вимогу переглядати, змінювати та видаляти дані своєї дитини. Створіть батьківський портал, доступний із повідомлення про конфіденційність, що автентифікує батька, відображає дані в реєстрі та пропонує деталізований контроль. Видалення має поширюватися на всіх третіх сторін, зазначених у реєстрі згоди, у розумний часовий проміжок — більшість операторів зобов'язуються протягом 30 днів.

6. Проводьте аудит щоквартально

Проводьте щоквартальний огляд, що охоплює: зміни списку постачальників, нові поверхні продукту, дотримання вимог щодо зберігання, оновлення розпорядження про згоду та оновлення настанов FTC. FTC регулярно публікує оновлення настанов для бізнесу щодо COPPA; підписка команди конфіденційності на список розсилки FTC — це найдешевша можлива інвестиція у відповідність.

Поширені помилки, яких слід уникати

Повторювані закономірності невдач виявляються в аудитах видавців та розпорядженнях FTC про згоду:

• Ставлення до COPPA як до проблеми реєстрації. Більшість ризиків COPPA пов'язана з анонімними рекламно-технологічними ідентифікаторами на сторінках для дітей, а не з зареєстрованими обліковими записами.
• Припущення, що «контекстна реклама» за замовчуванням безпечна за COPPA. Деякі «контекстні» рекламні мережі все ще встановлюють постійні ідентифікатори у фоновому режимі; перевіряйте реальну поведінку файлів cookie.
• Дозволяти запускам продуктів обходити перевірку конфіденційності. Нова функція, додана без перевірки відповідно до розпорядження про згоду, може анулювати всю вашу програму. Додайте перевірку конфіденційності до процесу випуску.
• Забувати про поверхні підключених пристроїв і CTV. COPPA прямо охоплює смарт-телевізори, голосових асистентів і ігрові консолі. Багато видавців досі пропускають це в своєму інвентарі.
• Застарілі записи згоди. Суттєва зміна в практиках обробки даних анулює попередній VPC. Видавцям, які щомісяця вносять зміни в рекламні технології, потрібен процес оновлення VPC, інакше вони накопичують ризики.

Яким буде COPPA у 2027 році і далі

Дві тенденції змінять цю сферу протягом наступних вісімнадцяти місяців. По-перше, федеральні пропозиції на кшталт KOSA — Закону про безпеку дітей онлайн — накладуть додаткові зобов'язання дбайливості поверх COPPA, включаючи обов'язки щодо проектування контенту та суворіші вимоги до підтвердження віку. Незалежно від того, чи KOSA буде прийнятий у повному обсязі чи частинами, регуляторний напрямок — більше зобов'язань, а не менше. По-друге, розширення кодексів дизайну для дітей штат за штатом — Каліфорнія, Коннектикут, Меріленд та інші в черзі — створює клклаптикове покривало, якому видавці мають відповідати поряд із федеральним COPPA. Оператори, які розглядають відповідність COPPA 2026 року як базовий рівень з додатковою потужністю для нашарування вимог штатів, — це ті, хто не буде перебудовувати архітектуру у 2027 році.

Підсумок

COPPA у 2026 році — вже не нішева вимога для розробників дитячих застосунків; це основна інфраструктура конфіденційності для будь-якого видавця, аудиторія якого включає дітей хоча б частково. Поправка 2025 року закрила лазівки, якими жили видавці, — насамперед ярлик об'єднаної згоди на рекламу. Запустіть захищений віковий фільтр, інтегруйте постачальника верифікованої батьківської згоди, налаштуйте рекламний стек у режимі COPPA і задокументуйте все в журналі аудиту CMP поряд зі стандартними подіями згоди на файли cookie. Зробіть це добре — і трафік, орієнтований на дітей, залишатиметься монетизованим. Зробіть це погано — і ви будете читати своє власне розпорядження про згоду на сайті FTC з прикріпленим штрафом у кілька мільйонів доларів.