合規2026年5月26日 | FlexyConsent

COPPA合規指南:2026年美國發布商的兒童網絡私隱與Cookie同意

兒童網絡私隱保護法(COPPA)喺2024年踏入二十五周年,隨即迎來自立法以嚟最重大嘅一次更新:聯邦貿易委員會(FTC)於2025年1月頒布最終規則,重寫咗可核實嘅家長同意、敏感數據類別,以及針對兒童定向服務中第三方廣告嘅相關規則。對於美國發布商——以及全球任何以美國13歲以下兒童為目標、或明知正在從兒童處收集數據嘅運營者——COPPA係一部嚴格責任法律,單次違規可處五位數民事罰款,累計罰款可達數億美元。本指南說明2026年COPPA嘅覆蓋範圍、FTC修正規則嘅實質變化、Cookie同意同可核實家長同意點樣配合,以及發布商要點樣喺唔引發FTC同意令嘅情況下保持兒童定向流量可變現。

COPPA實際覆蓋邊啲範疇

COPPA適用於任何商業網站、手機應用、聯網設備或網絡服務,前提係該服務面向13歲以下兒童,或確知正在從13歲以下兒童處收集個人信息。其覆蓋範圍比大多數發布商預想嘅更廣,因為FTC對呢兩項標準均採取積極解釋。

服務係咪面向兒童需要多因素分析:題材內容、視覺內容、有冇使用動畫角色或兒童向活動、音樂、模特年齡、有冇深受兒童歡迎嘅明星出現、語言、服務上嘅廣告係咪本身具有兒童向性,以及關於受眾構成嘅可靠實證數據。一個面向大眾嘅網站,只要某個部分圍繞兒童向內容構建,即刻可能成為混合受眾服務。

發布商常犯嘅三類錯誤:

2025年修正案嘅實質變化

FTC於2025年1月頒布嘅最終規則係自2013年以嚟首次全面更新,從五個具體方面對COPPA進行現代化改造,發布商必須深入理解。

第三方廣告須單獨選擇加入

運營者唔可以再將第三方廣告披露納入使用服務嘅單一家長同意當中。針對兒童定向服務嘅行為廣告,而家須獲得獨立嘅、選擇加入式可核實家長同意,同使用服務嘅同意分開。捆綁方式——廣告支持兒童應用同網站嘅歷史慣例——而家已被明令禁止。

個人信息定義擴展

修正案將個人信息嘅定義擴展至能夠核實個人身份嘅生物特徵標識符,包括指紋、聲紋、視網膜或虹膜圖像及面部幾何模板。修正案亦明確,政府頒發嘅標識符唔限於美國政府,任何政府頒發嘅均符合條件。喺兒童定向服務上運行語音搜索功能、AI助手或相片上傳工具嘅發布商,需要根據新定義梳理相關數據流。

數據保留限制

新規則要求運營者發布書面保留政策,將兒童個人信息嘅存儲限制喺完成收集目的所合理必要嘅範圍內。無限期保留不再被容許,且該政策須喺私隱聲明中附上連結。

強化可核實家長同意方式

修正案正式確立咗可接受VPC方式嘅清單,並新增咗一種基於知識嘅身份驗證選項,使用只有父母先答得到嘅動態多選題。經典方式——信用卡交易、簽署表格、同受過培訓嘅操作員進行視像會議、政府ID核驗——仍然可用,但須逐次同意事件留存記錄。

重大變更通知觸發新VPC

數據處理實踐嘅任何重大變更——新增數據類別、新增第三方接收方、新增廣告安排——均觸發新嘅可核實家長同意。運營者唔可以依賴2018年嘅同意來授權2026年嘅廣告整合。

可核實家長同意嘅實際操作

可核實家長同意係COPPA嘅核心,亦係發布商最常實施唔當嘅部分。法律標準係同意須合理設計,以確保提供同意嘅人確為該兒童嘅家長——而唔係只係收集咗某種同意。

發布商應了解嘅FTC認可方式:

關鍵嘅運營問題在於文件記錄。對於每位兒童用戶,運營者須能夠喺FTC要求時證明:使用咗哪種方式、核驗家長係邊個、授權嘅數據類別、具名嘅第三方接收方,以及同意嘅時間戳。現代FlexyConsent式CMP應同VPC服務商整合,並將此記錄連同Cookie同意事件一齊存儲喺同一審計日誌中。

兒童定向網站上嘅Cookie同意

COPPA同Cookie橫幅處於唔同嘅法律層面,但必須協同運作。GDPR/ePrivacy或CCPA等州法律下嘅Cookie同意橫幅唔能滿足COPPA要求,可核實家長同意亦唔能免除運營者嘅Cookie披露義務。為兒童提供服務嘅運營者須協調運行兩個合規層。

喺獲取VPC之前阻止追蹤

喺兒童定向頁面上,喺為該用戶獲取VPC之前,任何廣告或分析Cookie均唔可以觸發。標準嘅「全部接受」橫幅係錯誤嘅工具——默認狀態必須係乜都唔觸發,直到家長同意存檔,即便如此,亦只限於家長授權嘅類別。

將供應商名單限制為COPPA安全夥伴

兒童定向屬性上嘅供應商名單必然比面向大眾嘅網站更短。SSP、DSP同分析服務商必須喺合約中保證唔會將兒童數據用於行為定向,亦唔會將兒童數據傳遞至下游行為網絡。大多數主要SSP均發布咗COPPA合規庫存模式;請將您嘅技術棧配置為該模式,並移除不合規嘅夥伴。

喺頁腳展示家長控制

私隱聲明須包含一個清晰、通俗嘅部分,向家長說明如何查閱、修改或撤銷對其子女嘅同意。頁腳持久連結標注類似「家長專區」嘅內容,符合FTC嘅可訪問性預期,並喺調查員進行可用性審計時提供可辯護嘅記錄。

FTC喺2024至2026年嘅執法模式

自2019年YouTube和解案重新激發FTC針對大型發布商嘅執法熱情以嚟,COPPA執法明顯加速。近期同意令中嘅規律為FTC實際調查重點提供咗路線圖。

構建COPPA就緒嘅技術棧

以真正能夠經受FTC審查嘅方式實施COPPA,係產品、工程、廣告運營同法務之間嘅協調問題。工作大致分為六條工作流。

1. 對每項屬性同界面進行分類

對每個域名、子域名、應用同聯網設備端點,判斷其屬於兒童定向、混合受眾定係大眾受眾,並留存分析記錄。對於混合受眾界面——例如同時包含成人同兒童內容嘅首頁——只須對通過中性年齡門檻自我認定為13歲以下嘅用戶適用COPPA,而唔係對所有用戶適用。

2. 以正確方式構建年齡門檻

中性年齡門檻要求以唔暗示年齡較大用戶獲得更多訪問權限嘅方式詢問出生日期。詢問「你係咪已滿13歲?」係非中性嘅,FTC已對此提出異議。標準做法係使用簡單嘅月-日-年選擇器,每部設備使用一次,並配合防篡改Cookie。

3. 整合VPC服務商

除非您嘅產品團隊打算自行運營VPC,否則應整合專業服務商——目前有多家FTC認可嘅服務商——並使整合可從您嘅CMP、注冊流程同家長同意管理門戶調用。將每次事件嘅審計記錄存儲喺CMP數據庫,而唔係VPC服務商嘅獨立系統。

4. 為COPPA模式配置廣告同分析技術棧

Google Ad Manager、AdMob、IronSource、Unity Ads、Meta Audience Network以及主要DSP均提供兒童定向處理標記標誌。對源自兒童定向界面或13歲以下已認證用戶嘅每次廣告調用均設置該標誌。請查閱供應商文檔,核實該標誌實際觸發嘅係只限上下文嘅投放,而唔係只係減少文件記錄。

5. 建立家長控制同數據刪除機制

家長有權隨時查閱、修改同刪除其子女嘅數據。請構建一個可從私隱聲明訪問嘅家長門戶,對家長進行身份驗證,展示存檔數據,並提供精細化控制。刪除操作須喺合理時間窗口內傳播至同意記錄中列出嘅所有第三方——大多數運營者承諾喺30日內完成。

6. 每季度進行審計

開展季度審查,涵蓋:供應商名單變化、新產品界面、保留合規性、同意令更新以及FTC指南更新。FTC定期發布COPPA商業指南更新;讓您嘅私隱團隊訂閱FTC郵件列表,係最低成本嘅合規投入。

常見陷阱

發布商審計同FTC同意令中反覆出現以下失敗模式:

2027年及以後COPPA嘅走向

兩條發展軌跡將喺未來十八個月內重塑呢個領域。其一,KOSA(《兒童網絡安全法》)等聯邦提案將喺COPPA之上疊加額外嘅注意義務,包括內容設計義務同更嚴格嘅年齡確認要求。無論KOSA完整通過定係分批通過,監管方向係義務更多而唔係更少。其二,各州兒童設計規範嘅逐步擴展——加利福尼亞州、康涅狄格州、馬里蘭州等州相繼推進——形成咗發布商須喺聯邦COPPA之外同時滿足嘅碎片化格局。將2026年COPPA合規視為基準、並具備額外能力以疊加州要求嘅運營者,將唔需要喺2027年重新架構系統。

總結

2026年嘅COPPA唔再係兒童應用開發者嘅小眾要求——佢已成為任何受眾中包含兒童(哪怕只係部分包含)嘅發布商嘅主流私隱基礎設施。2025年修正案堵住咗發布商賴以生存嘅漏洞,尤其係廣告捆綁同意嘅捷徑。運行可辯護嘅年齡門檻,整合可核實家長同意服務商,為COPPA模式配置廣告技術棧,並將所有內容同標準Cookie同意事件一齊記錄喺CMP審計日誌中。做到呢啲,兒童定向流量便可繼續變現。做唔到,您將喺FTC網站上讀到自己嘅同意令,附帶數百萬美元嘅民事罰款。

← 博客 閱讀全部 →