Het congres heeft in 1998 de Children's Online Privacy Protection Act (COPPA) aangenomen om de snelle groei van online marketingtechnieken gericht op kinderen aan te pakken. Programmatic advertising kwam net van de grond met de introductie van banneradvertenties en gerichte advertentieplaatsing.
Websites verzamelden persoonlijke gegevens van kinderen zonder medeweten of toestemming van de ouders, en uit onderzoek bleek dat kinderen de risico's van het online vrijgeven van persoonlijke informatie niet begrepen.
Het congres belastte de Federal Trade Commission (FTC) met het afdwingen van COPPA en het uitvaardigen van regelgeving ter uitvoering ervan. De oorspronkelijke COPPA-regel van de FTC werd in 2000 van kracht en de FTC begon deze te handhaven tegen exploitanten van websites en videogames.
Snel vooruit naar de jaren 2010
Naarmate de technologie evolueerde, bracht de FTC zaken aan tegen makers van mobiele apps, verbonden speelgoed en IoT-apparaten. Maar pas in 2013, toen de COPPA-regel werd gewijzigd, begonnen advertentietechnologiebedrijven er aandacht aan te besteden. Dat is het moment waarop de regel de definitie van persoonlijke informatie heeft bijgewerkt met "[a] persistent identifier die kan worden gebruikt om een gebruiker in de loop van de tijd en op verschillende websites of online services te herkennen."
Deze identifiers (inclusief een cookie, een IP-adres, een processor- of apparaatserienummer of een unieke apparaat-ID) zijn wat online adverteerders gebruiken om consumenten te targeten met relevante advertenties. Deze uitbreiding van de COPPA-regel heeft de potentiële aansprakelijkheid van reclametechnologiebedrijven drastisch vergroot, en dergelijke bedrijven moeten zich bewust zijn van de valkuilen die inherent zijn aan het verzamelen van informatie van kinderen via andere websites en apps.
De COPPA-regel is van toepassing op exploitanten van commerciële websites en onlinediensten gericht op kinderen onder de 13 jaar die persoonlijke informatie van kinderen verzamelen, gebruiken of vrijgeven. Het is ook van toepassing op beheerders van websites voor algemeen publiek of onlinediensten met feitelijke kennis dat zij persoonlijke informatie van kinderen onder de 13 jaar verzamelen, gebruiken of vrijgeven.
Dit is het cruciale onderdeel voor advertentienetwerken, platforms en andere derde partijen: de regel is ook van toepassing op exploitanten van websites of online services die werkelijke kennis dat ze persoonlijke informatie rechtstreeks verzamelen van gebruikers van ander website of online dienst gericht op kinderen.
InMobi en de FTC-schikkingen van Google
De FTC heeft sindsdien meer dan dertig handhavingsacties ingesteld wegens vermeende schendingen van de COPPA-regel. Twee van de acties van de FTC hadden betrekking op advertentienetwerken, de eerste een handhavingsactie uit 2016 tegen InMobi, een advertentieplatform voor app-ontwikkelaars en adverteerders.
De tweede - en aantoonbaar meer prominente - COPPA-zaak die de FTC heeft aangespannen tegen een advertentienetwerk/platform was de handhavingsactie van 2019 tegen Google en YouTube. In dat geval beweerde de FTC dat YouTube de regel had geschonden door persistente identificatiegegevens te verzamelen van kijkers van op kinderen gerichte kanalen om gerichte advertenties weer te geven zonder eerst de ouders op de hoogte te stellen en hun toestemming te vragen.
Tijdens het onderzoek ontdekte de FTC bewijs dat YouTube daadwerkelijk wist dat kinderen onder de 13 naar bepaalde kanalen op hun platform keken. YouTube vertelde bijvoorbeeld aan speelgoedbedrijven dat "YouTube tegenwoordig de leider is in het bereiken van kinderen van 6-11 jaar tegen de beste tv-kanalen" en dat YouTube de "nr. 1 website die regelmatig door kinderen wordt bezocht.” Zelfs terwijl het deze verklaringen aflegde, beweerde YouTube een platform voor algemeen publiek te zijn dat geen inhoud had die gericht was op kinderen onder de 13 jaar.
YouTube heeft standaard gerichte advertenties ingeschakeld op zijn kanalen waarmee inkomsten worden gegenereerd. Dit betekende dat YouTube cookies verzamelde van gebruikers van op kinderen gerichte kanalen zonder ouders hiervan op de hoogte te stellen en hun toestemming te vragen om die gegevens te verzamelen. De schikking vereiste dat YouTube een boete van $ 170 miljoen moest betalen. YouTube moest ook een systeem implementeren waarmee kanaaleigenaren inhoud als op kinderen gericht materiaal kunnen identificeren, zodat YouTube ervoor kan zorgen dat het in de toekomst aan de Regel voldoet.
Vijf dingen die hedendaagse advertentienetwerken zouden moeten doen
Tegen die achtergrond zijn hier vijf belangrijke afhaalrestaurants van de InMobi- en Google/YouTube-schikkingen:
- Verbeter de transparantie. Advertentienetwerken en platforms moeten overwegen een systeem te implementeren waarmee online services (zoals websites, apps of kanalen) aan het advertentienetwerk/platform kunnen zien dat hun inhoud op kinderen is gericht.
- Stop met het verzamelen van kindergegevens. Zodra een advertentienetwerk of platform een systeem heeft opgezet waarmee ontwikkelaars kunnen aangeven dat hun app op kinderen is gericht, moet dat advertentienetwerk stappen ondernemen om geen persoonlijke informatie te verzamelen via die websites, apps of kanalen.
- Betrek ouders indien nodig. Zelfs als een advertentienetwerk geen exacte geolocatie-informatie van kinderen verzamelt, als het draadloze netwerk-ID's verzamelt om de precieze locatie af te leiden, is het verplicht om hiervan kennis te geven en toestemming van de ouders te verkrijgen.
- Bescherm gevoelige gegevens. Als een advertentienetwerk besluit gegevens van kinderen te verzamelen, moet het de vertrouwelijkheid, veiligheid en integriteit van de informatie handhaven. Het mag de gegevens alleen bewaren zo lang als nodig is om het doel te bereiken waarvoor ze zijn verzameld. Het advertentienetwerk moet de gegevens verwijderen op een manier die bescherming biedt tegen ongeautoriseerde toegang of gebruik.
- Blijf streng op het beschermen van kinderen. Als een platform of advertentienetwerk weet dat een kanaal of app op kinderen is gericht, kan het geen persoonlijke informatie zoals persistent identifiers verzamelen om gerichte advertenties weer te geven zonder voorafgaande kennisgeving en toestemming van de ouders.
Waar het op neerkomt: een advertentienetwerk moet vermijden informatie te verzamelen via apps waarvan ze weten dat ze op kinderen zijn gericht, en de veiligste praktijk voor een advertentienetwerk of platform is om om te beginnen geen gerichte advertenties weer te geven op op kinderen gerichte websites, apps of kanalen .
