合规2026年5月26日 | FlexyConsent

COPPA合规指南:2026年美国发布商的儿童在线隐私与Cookie同意

儿童在线隐私保护法(COPPA)于2024年迎来二十五周年,并随即获得了自颁布以来最重大的一次更新:联邦贸易委员会(FTC)于2025年1月发布最终规则,重写了可核实的家长同意、敏感数据类别以及针对儿童定向服务中第三方广告的相关规则。对于美国发布商——以及全球任何以美国13岁以下儿童为目标或明知正在从儿童处收集数据的运营者——COPPA是一部严格责任法律,单次违规可处以五位数民事罚款,累计罚款可达数亿美元。本指南阐述了2026年COPPA的覆盖范围、FTC修正规则的实质变化、Cookie同意与可核实家长同意的协调配合,以及发布商在不引发FTC同意令的前提下保持儿童定向流量可变现所需采取的运营步骤。

COPPA的实际覆盖范围

COPPA适用于任何商业网站、移动应用、联网设备或在线服务,前提是该服务面向13岁以下儿童,或确知正在从13岁以下儿童处收集个人信息。其覆盖范围比大多数发布商预想的更广,因为FTC对这两项标准均采取积极解释。

服务是否面向儿童需经多因素分析:主题内容、视觉内容、是否使用动画角色或儿童导向活动、音乐、模特年龄、是否出现深受儿童欢迎的明星、语言、服务上的广告是否本身具有儿童导向性,以及关于受众构成的可靠实证数据。一个面向大众的网站,一旦某部分围绕儿童导向内容构建,便可能成为混合受众服务。

发布商常犯的三类错误:

2025年修正案的实质变化

FTC于2025年1月发布的最终规则是自2013年以来首次全面更新,从五个具体方面对COPPA进行了现代化改造,发布商必须深入理解。

第三方广告需单独选择加入

运营者不得再将第三方广告披露纳入使用服务的单一家长同意中。针对儿童定向服务的行为广告,现须获得独立的、选择加入式可核实家长同意,与使用服务的同意相互独立。捆绑方式——广告支持儿童应用和网站的历史惯例——现已被明令禁止。

个人信息定义扩展

修正案将个人信息的定义扩展至能够验证个人身份的生物特征标识符,包括指纹、声纹、视网膜或虹膜图像及面部几何模板。修正案还明确,政府颁发的标识符不限于美国政府,任何政府颁发的均符合条件。在儿童定向服务上运行语音搜索功能、AI助手或照片上传工具的发布商,需根据新定义梳理相关数据流。

数据保留限制

新规则要求运营者发布书面保留政策,将儿童个人信息的存储限制在完成收集目的所合理必要的范围内。无限期保留不再被允许,且该政策须在隐私声明中附上链接。

强化可核实家长同意方式

修正案正式确立了可接受VPC方式的菜单,并新增了一种基于知识的身份验证选项,使用仅父母能够回答的动态多选题。经典方式——信用卡交易、签署表格、与受过培训的操作员进行视频会议、政府ID核验——仍然可用,但须逐次同意事件留存记录。

重大变更通知触发新VPC

数据处理实践的任何重大变更——新增数据类别、新增第三方接收方、新增广告安排——均触发新的可核实家长同意。运营者不得依赖2018年的同意来授权2026年的广告集成。

可核实家长同意的实操

可核实家长同意是COPPA的核心,也是发布商最常实施不当的部分。法律标准是同意须合理设计,以确保提供同意的人确为该儿童的家长——而非仅仅收集了某种同意。

发布商应了解的FTC认可方式:

关键运营问题在于文件记录。对于每位儿童用户,运营者须能够在FTC要求时证明:使用了哪种方式、核验家长是谁、授权的数据类别、具名的第三方接收方,以及同意的时间戳。现代FlexyConsent式CMP应与VPC服务商集成,并将此记录与Cookie同意事件一同存储于同一审计日志中。

儿童定向网站上的Cookie同意

COPPA与Cookie横幅处于不同的法律层面,但必须协同运作。GDPR/ePrivacy或CCPA等州法律下的Cookie同意横幅不能满足COPPA要求,可核实家长同意也不能免除运营者的Cookie披露义务。为儿童提供服务的运营者须协调运行两个合规层。

在获取VPC之前阻止追踪

在儿童定向页面上,在为该用户获取VPC之前,任何广告或分析Cookie均不得触发。标准的「全部接受」横幅是错误的工具——默认状态必须是什么都不触发,直至家长同意存档,且即便如此,也仅限于家长授权的类别。

将供应商名单限制为COPPA安全合作伙伴

儿童定向属性上的供应商名单必然比面向大众的网站更短。SSP、DSP和分析服务商必须在合同中保证不将儿童数据用于行为定向,也不将儿童数据传递至下游行为网络。大多数主要SSP均发布了COPPA合规库存模式;请将您的技术栈配置为该模式,并移除不合规的合作伙伴。

在页脚展示家长控制

隐私声明须包含一个清晰、通俗的章节,向家长说明如何查阅、修改或撤销对其子女的同意。页脚持久链接标注类似「家长须知」的内容,符合FTC的可访问性预期,并在调查员进行可用性审计时提供可辩护的记录。

FTC在2024–2026年的执法模式

自2019年YouTube和解案重新激发FTC针对大型发布商的执法热情以来,COPPA执法明显加速。近期同意令中的规律为FTC实际调查重点提供了路线图。

构建COPPA就绪的技术栈

以真正能够经受FTC审查的方式实施COPPA,是产品、工程、广告运营和法务之间的协调问题。工作大致分为六条工作流。

1. 对每项属性和界面进行分类

对每个域名、子域名、应用和联网设备端点,判断其属于儿童定向、混合受众还是大众受众,并留存分析记录。对于混合受众界面——例如同时包含成人和儿童内容的首页——仅须对通过中性年龄门槛自我认定为13岁以下的用户适用COPPA,而非对所有用户适用。

2. 以正确方式构建年龄门槛

中性年龄门槛要求以不暗示年龄较大用户获得更多访问权限的方式询问出生日期。询问「您是否已满13岁?」是非中性的,FTC已对此提出异议。标准做法是使用简单的月-日-年选择器,每台设备使用一次,并配合防篡改Cookie。

3. 集成VPC服务商

除非您的产品团队打算自行运营VPC,否则应集成专业服务商——目前有多家FTC认可的服务商——并使集成可从您的CMP、注册流程和家长同意管理门户调用。将每次事件的审计记录存储于CMP数据库,而非VPC服务商的独立系统。

4. 为COPPA模式配置广告和分析技术栈

Google Ad Manager、AdMob、IronSource、Unity Ads、Meta Audience Network以及主要DSP均提供儿童定向处理标记标志。对源自儿童定向界面或13岁以下已认证用户的每次广告调用均设置该标志。请查阅供应商文档,核实该标志实际触发的是仅限上下文的投放,而非仅仅减少文件记录。

5. 建立家长控制和数据删除机制

家长有权随时查阅、修改和删除其子女的数据。请构建一个可从隐私声明访问的家长门户,对家长进行身份验证,展示存档数据,并提供精细化控制。删除操作须在合理时间窗口内传播至同意记录中列出的所有第三方——大多数运营者承诺在30天内完成。

6. 每季度进行审计

开展季度审查,涵盖:供应商名单变化、新产品界面、保留合规性、同意令更新以及FTC指南更新。FTC定期发布COPPA商业指南更新;让您的隐私团队订阅FTC邮件列表,是最低成本的合规投入。

常见陷阱

发布商审计和FTC同意令中反复出现以下失败模式:

2027年及以后COPPA的走向

两条发展轨迹将在未来十八个月内重塑这一领域。其一,KOSA(《儿童在线安全法》)等联邦提案将在COPPA之上叠加额外的注意义务,包括内容设计义务和更严格的年龄确认要求。无论KOSA完整通过还是分批通过,监管方向都是义务更多而非更少。其二,各州儿童设计规范的逐步扩展——加利福尼亚州、康涅狄格州、马里兰州等州相继推进——形成了发布商须在联邦COPPA之外同时满足的碎片化格局。那些将2026年COPPA合规视为基准、并具备额外能力以叠加州要求的运营者,将不必在2027年重新架构系统。

总结

2026年的COPPA不再是儿童应用开发者的小众要求——它已成为任何受众中包含儿童(哪怕只是部分包含)的发布商的主流隐私基础设施。2025年修正案堵住了发布商赖以生存的漏洞,尤其是广告捆绑同意的捷径。运行可辩护的年龄门槛,集成可核实家长同意服务商,为COPPA模式配置广告技术栈,并将所有内容与标准Cookie同意事件一同记录于CMP审计日志。做到这些,儿童定向流量便可继续变现。做不到,您将在FTC网站上读到自己的同意令,附带数百万美元的民事罚款。

← 博客 阅读全部 →