COPPA Thực Sự Bao Phủ Ai

COPPA áp dụng cho bất kỳ trang web thương mại, ứng dụng di động, thiết bị kết nối hoặc dịch vụ trực tuyến nào nhắm đến trẻ em dưới 13 tuổi hoặc có kiến thức thực tế rằng nó đang thu thập thông tin cá nhân từ trẻ em dưới 13 tuổi. Phạm vi rộng hơn hầu hết các nhà xuất bản giả định vì FTC diễn giải cả hai tiêu chí một cách tích cực.

Một dịch vụ nhắm đến trẻ em dựa trên phân tích đa yếu tố: chủ đề, nội dung hình ảnh, sử dụng nhân vật hoạt hình hoặc các hoạt động hướng đến trẻ em, âm nhạc, độ tuổi của người mẫu, sự hiện diện của những người nổi tiếng phổ biến với trẻ em, ngôn ngữ, quảng cáo trên dịch vụ tự nó nhắm đến trẻ em, và bằng chứng thực nghiệm có năng lực và đáng tin cậy về thành phần khán giả. Một trang web dành cho khán giả chung có thể trở thành dịch vụ dành cho khán giả hỗn hợp ngay khi một phần được xây dựng xung quanh nội dung hướng đến trẻ em.

Ba điều mà các nhà xuất bản thường xuyên hiểu sai:

• Tin rằng cổng xác minh tuổi trong Điều khoản Dịch vụ khi đăng ký là đủ. Chính nó không đủ khi phần còn lại của trang web phát tín hiệu ý định hướng đến trẻ em.
• Giả định rằng không có người dùng đã đăng nhập nghĩa là không có rủi ro COPPA. Các định danh liên tục — cookie, địa chỉ IP, ID thiết bị, ID quảng cáo — là thông tin cá nhân theo COPPA khi được thu thập từ trẻ em.
• Coi COPPA là tách biệt với luật quyền riêng tư của tiểu bang. Bộ Quy tắc Thiết kế Phù hợp Tuổi của California, luật dữ liệu trẻ em của Connecticut và các đề xuất liên bang đều dựa trên các định nghĩa của COPPA; một chương trình COPPA sạch là nền tảng của sự tuân thủ với tất cả chúng.

Bản Sửa Đổi Năm 2025 Thực Sự Thay Đổi Những Gì

Quy tắc cuối cùng của FTC tháng 1 năm 2025, bản cập nhật toàn diện đầu tiên kể từ năm 2013, đã hiện đại hóa COPPA theo năm cách cụ thể mà các nhà xuất bản phải nội tâm hóa.

Opt-In Riêng Biệt Cho Quảng Cáo Bên Thứ Ba

Các nhà khai thác không còn có thể đưa các thông tin tiết lộ về quảng cáo bên thứ ba vào một sự đồng ý của phụ huynh duy nhất để sử dụng dịch vụ. Quảng cáo hành vi trên dịch vụ nhắm đến trẻ em hiện yêu cầu sự đồng ý có thể xác minh của phụ huynh opt-in riêng biệt khác với sự đồng ý để sử dụng chính dịch vụ đó. Gói lại — tiêu chuẩn lịch sử cho các ứng dụng và trang web trẻ em được hỗ trợ bởi quảng cáo — hiện bị cấm rõ ràng.

Thông Tin Cá Nhân Mở Rộng

Bản sửa đổi đã mở rộng định nghĩa thông tin cá nhân để bao gồm các định danh sinh trắc học có khả năng xác thực một cá nhân, bao gồm dấu vân tay, dấu giọng nói, hình ảnh võng mạc hoặc mống mắt và các mẫu hình học khuôn mặt. Nó cũng làm rõ rằng các định danh do chính phủ cấp từ bất kỳ chính phủ nào, không chỉ Mỹ, đều đủ điều kiện. Các nhà xuất bản chạy tính năng tìm kiếm giọng nói, trợ lý AI hoặc công cụ tải ảnh trên các dịch vụ nhắm đến trẻ em cần lập bản đồ các luồng này theo định nghĩa mới.

Giới Hạn Lưu Giữ Dữ Liệu

Quy tắc mới yêu cầu các nhà khai thác công bố chính sách lưu giữ bằng văn bản giới hạn việc lưu trữ thông tin cá nhân của trẻ em ở mức cần thiết một cách hợp lý để thực hiện mục đích thu thập. Lưu giữ vô thời hạn không còn được phép và chính sách phải được liên kết từ thông báo quyền riêng tư.

Các Phương Pháp Đồng Ý Có Thể Xác Minh Của Phụ Huynh Được Củng Cố

Bản sửa đổi đã chính thức hóa menu các phương pháp VPC được chấp nhận và thêm tùy chọn xác thực dựa trên kiến thức sử dụng các câu hỏi trắc nghiệm động chỉ phụ huynh mới có thể trả lời. Các phương pháp cổ điển — giao dịch thẻ tín dụng, mẫu có chữ ký, hội nghị video với nhà khai thác được đào tạo, xác minh ID của chính phủ — vẫn còn được cung cấp nhưng phải được ghi lại cho mỗi sự kiện đồng ý.

Thông Báo Về Thay Đổi Trọng Yếu Kích Hoạt VPC Mới

Bất kỳ thay đổi trọng yếu nào trong thực hành dữ liệu — danh mục dữ liệu mới được thu thập, người nhận bên thứ ba mới, thỏa thuận quảng cáo mới — kích hoạt sự đồng ý có thể xác minh của phụ huynh mới. Các nhà khai thác không thể dựa vào sự đồng ý năm 2018 để ủy quyền cho việc tích hợp quảng cáo năm 2026.

Đồng Ý Có Thể Xác Minh Của Phụ Huynh Trong Thực Tế

Đồng ý Có Thể Xác Minh Của Phụ Huynh là trái tim của COPPA và là phần mà các nhà xuất bản thường thực hiện kém nhất. Tiêu chuẩn pháp lý là sự đồng ý được thiết kế hợp lý để đảm bảo rằng người cung cấp sự đồng ý là phụ huynh của đứa trẻ — không chỉ đơn giản là sự đồng ý được thu thập.

Các phương pháp được FTC phê duyệt mà các nhà xuất bản nên biết:

• Giao dịch thẻ tín dụng hoặc thẻ ghi nợ với thông báo cho chủ thẻ. Khoản phí nhỏ hoặc ủy quyền không đồng nào được chấp nhận khi kết hợp với thông báo giao dịch.
• Xác minh ID của chính phủ qua nhà cung cấp danh tính bên thứ ba an toàn, với ID được tiêu hủy ngay sau khi xác minh.
• Xác thực dựa trên kiến thức — tùy chọn mới từ quy tắc năm 2025 — sử dụng các câu hỏi trắc nghiệm động được lấy từ hồ sơ công cộng.
• Mẫu đồng ý có chữ ký được gửi lại qua thư, fax hoặc quét điện tử.
• Hội nghị video với nhà khai thác được đào tạo xác nhận danh tính dựa trên ID chính phủ được trình bày.
• Email-plus — chỉ được phép đối với thông tin cá nhân chỉ dùng cho nội bộ và yêu cầu bước xác nhận tiếp theo. Đừng dựa vào email-plus cho dữ liệu quảng cáo.

Câu hỏi vận hành chính là tài liệu hóa. Đối với mỗi người dùng trẻ em, nhà khai thác phải có thể chứng minh theo yêu cầu của FTC: phương pháp nào được sử dụng, phụ huynh xác minh là ai, danh mục dữ liệu nào được ủy quyền, người nhận bên thứ ba nào được đặt tên và dấu thời gian của sự đồng ý. CMP kiểu FlexyConsent hiện đại nên tích hợp với nhà cung cấp VPC và lưu trữ dấu vết này trong cùng nhật ký kiểm tra với các sự kiện đồng ý cookie.

Đồng Ý Cookie Trên Các Trang Web Nhắm Đến Trẻ Em

COPPA và biểu ngữ cookie nằm trên các tầng pháp lý khác nhau nhưng phải hoạt động cùng nhau. Biểu ngữ đồng ý cookie theo GDPR/ePrivacy hoặc theo luật tiểu bang như CCPA không thỏa mãn COPPA và sự đồng ý có thể xác minh của phụ huynh không miễn trừ nhà khai thác khỏi các nghĩa vụ tiết lộ cookie. Các nhà khai thác phục vụ trẻ em phải chạy cả hai tầng trong sự phối hợp.

Chặn Theo Dõi Cho Đến Khi Thu Thập VPC

Trên trang nhắm đến trẻ em, không có cookie quảng cáo hoặc phân tích nào có thể được kích hoạt trước khi VPC được thu thập cho người dùng đó. Biểu ngữ chấp nhận tất cả tiêu chuẩn là công cụ sai — trạng thái mặc định phải là không có gì được kích hoạt cho đến khi sự đồng ý của phụ huynh được lưu trong hồ sơ, và ngay cả khi đó chỉ đối với các danh mục mà phụ huynh ủy quyền.

Giới Hạn Danh Sách Nhà Cung Cấp Cho Các Đối Tác An Toàn COPPA

Danh sách nhà cung cấp trên một tài sản nhắm đến trẻ em nhất thiết ngắn hơn trên trang web dành cho khán giả chung. Các SSP, DSP và nhà cung cấp phân tích phải bảo đảm theo hợp đồng rằng họ không sử dụng dữ liệu trẻ em cho việc nhắm mục tiêu theo hành vi và không chuyển đứa trẻ sang các mạng hành vi ở hạ nguồn. Hầu hết các SSP lớn công bố chế độ kiểm kê tuân thủ COPPA; cấu hình ngăn xếp của bạn ở chế độ đó và loại bỏ các đối tác không tuân thủ.

Hiển Thị Kiểm Soát Phụ Huynh Trong Chân Trang

Thông báo quyền riêng tư phải bao gồm một phần rõ ràng, ngôn ngữ đơn giản được gửi đến phụ huynh với hướng dẫn để xem xét, sửa đổi hoặc thu hồi sự đồng ý cho con họ. Liên kết chân trang liên tục có nhãn như Dành cho Phụ huynh đáp ứng kỳ vọng khả năng tiếp cận của FTC và tạo ra một dấu vết có thể bảo vệ khi điều tra viên thực hiện kiểm tra khả năng sử dụng.

Mô Hình Thực Thi Của FTC Năm 2024–2026

Thực thi theo COPPA đã tăng tốc kể từ khi dàn xếp YouTube năm 2019 khôi phục khẩu vị của FTC đối với các vụ án của nhà xuất bản lớn. Các mô hình từ các sắc lệnh đồng ý gần đây cung cấp một lộ trình về những gì FTC thực sự tìm kiếm trong một cuộc điều tra.

• Các định danh liên tục như bằng chứng hút khói. FTC thường xuyên phát lệnh triệu tập nhật ký quảng cáo của nhà khai thác và tương quan chúng với dữ liệu khán giả để cho thấy rằng ID công nghệ quảng cáo được gán cho người dùng trẻ em có thể nhận dạng mà không có VPC. Tài liệu nội bộ gọi khán giả là „trẻ em" trong khi chương trình quyền riêng tư coi đó là khán giả chung là thảm họa.
• Quản lý nhà cung cấp kém như yếu tố nhân. Khi một nhà khai thác chuyển dữ liệu trẻ em đến một SSP không tuân thủ COPPA, cả hai bên đều trở nên có trách nhiệm. FTC đã theo đuổi các nhà khai thác chính và các mạng hạ nguồn trong các hành động song song.
• Các phát hiện mô hình hành vi. Một thất bại VPC đơn lẻ có thể là một phát hiện; mô hình thất bại trên các bề mặt sản phẩm trở thành đếm thực hành lừa dối theo Mục 5 của Đạo luật FTC, mở rộng cả hình phạt và phạm vi của sắc lệnh đồng ý.
• Leo thang tiền phạt dân sự. Tiền phạt dân sự tối đa mỗi vi phạm theo Đạo luật Cải tiến FTC đã được điều chỉnh tăng lên hàng năm; vào năm 2025 nó ở trên 50.000 đô la mỗi vi phạm, với mỗi đứa trẻ được coi là vi phạm riêng biệt trong một số vụ án.

Xây Dựng Ngăn Xếp Sẵn Sàng COPPA

Triển khai COPPA theo cách thực sự chịu được sự giám sát của FTC là một vấn đề phối hợp giữa sản phẩm, kỹ thuật, vận hành quảng cáo và pháp lý. Công việc chia thành khoảng sáu luồng công việc.

1. Phân Loại Mọi Tài Sản Và Bề Mặt

Đối với mỗi tên miền, tên miền phụ, ứng dụng và điểm cuối thiết bị kết nối, hãy quyết định xem nó có nhắm đến trẻ em, có khán giả hỗn hợp hay dành cho khán giả chung không. Ghi lại phân tích. Bề mặt khán giả hỗn hợp — ví dụ, trang chủ có cả nội dung người lớn và trẻ em — phải áp dụng COPPA chỉ cho những người dùng tự nhận mình là dưới 13 tuổi thông qua cổng tuổi trung lập, không phải tất cả người dùng.

2. Xây Dựng Cổng Tuổi Đúng Cách

Cổng tuổi trung lập hỏi ngày sinh theo cách không báo hiệu rằng người dùng lớn tuổi hơn có nhiều quyền truy cập hơn. Hỏi bạn có 13 tuổi hoặc hơn không? là không trung lập và FTC đã gắn cờ điều này. Bộ chọn tháng-ngày-năm đơn giản, được sử dụng một lần mỗi thiết bị với cookie chống giả mạo, là phương pháp tiêu chuẩn.

3. Tích Hợp Nhà Cung Cấp VPC

Trừ khi nhóm sản phẩm của bạn dự định vận hành VPC nội bộ, hãy tích hợp nhà cung cấp chuyên gia — có một số nhà cung cấp được FTC phê duyệt — và làm cho việc tích hợp có thể gọi được từ CMP, luồng đăng ký và cổng quản lý đồng ý của phụ huynh. Lưu trữ bản ghi kiểm tra mỗi sự kiện trong cơ sở dữ liệu của CMP, không phải trong silo của nhà cung cấp VPC.

4. Cấu Hình Ngăn Xếp Quảng Cáo Và Phân Tích Cho Chế Độ COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network và các DSP lớn đều cung cấp cờ thẻ để xử lý nhắm đến trẻ em. Đặt nó trên mỗi lần gọi quảng cáo bắt nguồn từ bề mặt nhắm đến trẻ em hoặc người dùng đã xác thực dưới 13 tuổi. Xác minh với tài liệu của nhà cung cấp rằng cờ thực sự kích hoạt phân phối chỉ theo ngữ cảnh, không chỉ giảm tài liệu.

5. Kết Nối Kiểm Soát Phụ Huynh Và Xóa

Phụ huynh có quyền xem xét, sửa đổi và xóa dữ liệu của con họ theo yêu cầu. Xây dựng cổng phụ huynh có thể truy cập từ thông báo quyền riêng tư xác thực phụ huynh, hiển thị dữ liệu trong hồ sơ và cung cấp các kiểm soát chi tiết. Việc xóa phải lan truyền đến tất cả các bên thứ ba được liệt kê trong hồ sơ đồng ý trong một khoảng thời gian hợp lý — hầu hết các nhà khai thác cam kết 30 ngày.

6. Kiểm Tra Hàng Quý

Chạy đánh giá hàng quý bao gồm: thay đổi danh sách nhà cung cấp, các bề mặt sản phẩm mới, tuân thủ lưu giữ, làm mới sắc lệnh đồng ý và cập nhật hướng dẫn của FTC. FTC thường xuyên công bố cập nhật hướng dẫn kinh doanh COPPA; đăng ký nhóm quyền riêng tư của bạn vào danh sách gửi thư của FTC là khoản đầu tư tuân thủ rẻ nhất có thể.

Những Cạm Bẫy Thường Gặp Cần Tránh

Các mô hình thất bại lặp lại xuất hiện trong các cuộc kiểm tra nhà xuất bản và sắc lệnh đồng ý của FTC:

• Coi COPPA là vấn đề đăng ký. Hầu hết rủi ro COPPA đến từ các định danh công nghệ quảng cáo ẩn danh trên các trang nhắm đến trẻ em, không phải từ các tài khoản đã đăng ký.
• Giả định rằng "quảng cáo ngữ cảnh" có nghĩa là an toàn COPPA theo mặc định. Một số mạng quảng cáo "ngữ cảnh" vẫn đặt các định danh liên tục ở nền; xác minh hành vi cookie thực tế.
• Để các lần ra mắt sản phẩm vượt qua đánh giá quyền riêng tư. Tính năng mới được thêm vào mà không có đánh giá sắc lệnh đồng ý có thể làm vô hiệu toàn bộ chương trình của bạn. Thêm cổng quyền riêng tư vào quy trình phát hành của bạn.
• Quên các bề mặt thiết bị kết nối và CTV. COPPA bao phủ rõ ràng TV thông minh, trợ lý giọng nói và bảng điều khiển trò chơi. Nhiều nhà xuất bản vẫn bỏ lỡ điều này trong kho hàng của họ.
• Hồ sơ đồng ý lỗi thời. Thay đổi trọng yếu trong thực hành dữ liệu làm vô hiệu VPC trước đó. Các nhà xuất bản thực hiện thay đổi công nghệ quảng cáo hàng tháng cần có quy trình làm mới VPC, hoặc họ tích lũy rủi ro.

COPPA Trông Như Thế Nào Vào Năm 2027 Và Tiếp Theo

Hai quỹ đạo sẽ định hình lại không gian này trong vòng mười tám tháng tới. Đầu tiên, các đề xuất liên bang như KOSA — Đạo luật An toàn Trực tuyến cho Trẻ em — sẽ bổ sung thêm nghĩa vụ chăm sóc lên trên COPPA, bao gồm các nghĩa vụ thiết kế nội dung và các yêu cầu đảm bảo tuổi chặt chẽ hơn. Dù KOSA được thông qua nguyên vẹn hay từng phần, hướng quy định là nhiều nghĩa vụ hơn, không phải ít hơn. Thứ hai, việc mở rộng mã thiết kế cho trẻ em từ tiểu bang này sang tiểu bang khác — California, Connecticut, Maryland và những tiểu bang khác đang xếp hàng — tạo ra một mảng ghép mà các nhà xuất bản phải đáp ứng cùng với COPPA liên bang. Các nhà khai thác coi tuân thủ COPPA năm 2026 là đường cơ sở, với khả năng bổ sung thêm để xếp chồng các yêu cầu của tiểu bang, là những người sẽ không phải tái kiến trúc vào năm 2027.

Kết Luận

COPPA vào năm 2026 không còn là yêu cầu đặc thù cho các nhà phát triển ứng dụng trẻ em — đây là cơ sở hạ tầng quyền riêng tư chính thống cho bất kỳ nhà xuất bản nào có khán giả bao gồm trẻ em, dù chỉ một phần. Bản sửa đổi năm 2025 đã đóng các lỗ hổng mà các nhà xuất bản sống trong đó, đặc biệt là lối tắt đồng ý gói cho quảng cáo. Chạy cổng tuổi có thể bảo vệ được, tích hợp nhà cung cấp đồng ý có thể xác minh của phụ huynh, cấu hình ngăn xếp quảng cáo của bạn cho chế độ COPPA và ghi lại mọi thứ trong nhật ký kiểm tra CMP bên cạnh các sự kiện đồng ý cookie tiêu chuẩn của bạn. Làm điều này tốt và lưu lượng nhắm đến trẻ em vẫn có thể kiếm tiền. Làm kém và bạn sẽ đọc sắc lệnh đồng ý của chính mình trên trang web của FTC với khoản tiền phạt dân sự hàng triệu đô la đính kèm.