anonym.legal
Quay lại BlogCông Nghệ Pháp Lý

COPPA tháng 4 năm 2026: Những gì nền tảng EdTech phải làm trước hạn chót

Quy tắc COPPA cập nhật có hiệu lực ngày 22 tháng 4 năm 2026. Reddit bị phạt £14,47 triệu vì lỗi dữ liệu trẻ em. Các nền tảng EdTech đối mặt rủi ro tương tự.

March 16, 20266 phút đọc
COPPAFERPAchildren data privacyEdTech compliancestudent data2026 deadline

Hạn chót là ngày 22 tháng 4 năm 2026

Cập nhật cho năm 2026

FTC đã cập nhật COPPA. Quy tắc mới có hiệu lực ngày 22 tháng 4 năm 2026. Đây là sửa đổi lớn đầu tiên kể từ năm 2013. Các nền tảng EdTech phục vụ trẻ em dưới 13 tuổi phải hành động ngay bây giờ. Thời gian còn lại chỉ tính bằng tuần, không phải tháng.

Những thay đổi này không phải là điều chỉnh nhỏ. Các nền tảng xây dựng pipeline dữ liệu theo khung năm 2013 sẽ cần kiểm toán và sửa đổi hạ tầng cốt lõi.

Khoản phạt Reddit: Tín hiệu cảnh báo rõ ràng

Tháng 3 năm 2026, ICO của Vương quốc Anh phạt Reddit £14,47 triệu. Lý do: Reddit không bảo vệ trẻ em khỏi nội dung có hại, kiểm tra tuổi không đủ và để người chưa thành niên tiếp xúc với nội dung người lớn.

Khoản phạt đó theo UK GDPR, không phải COPPA. Nhưng lỗi cơ bản giống nhau. COPPA 2026 nhắm vào các nền tảng biết có người chưa thành niên nhưng không triển khai bảo vệ đầy đủ.

Với EdTech, vị trí còn khó hơn. Các dịch vụ này thường biết rõ người dùng của họ là ai — họ bán cho trường học, tiếp thị cho phụ huynh, nhìn thấy địa chỉ email của học sinh. Lập luận "chúng tôi không biết" không còn hiệu lực.

Những gì COPPA 2026 thay đổi

FTC đã thêm năm quy tắc chính cho nền tảng EdTech.

1. Tối thiểu hóa dữ liệu là bắt buộc

Chỉ thu thập những gì dịch vụ thực sự cần. Quy tắc năm 2013 cho phép thu thập nhiều với sự đồng ý của phụ huynh. Quy tắc năm 2026 cấm thu thập dữ liệu không cần thiết ngay cả khi có sự đồng ý. ID thiết bị, tín hiệu theo dõi hành vi và thông tin vị trí không cần thiết cho dịch vụ giáo dục phải dừng lại ngay.

2. Cấm quảng cáo mục tiêu cho người chưa thành niên

Nền tảng EdTech bị cấm dùng dữ liệu trẻ em cho quảng cáo hành vi, bất kể có sự đồng ý của phụ huynh. Điều này đóng một lỗ hổng mà một số nền tảng EdTech lớn đã khai thác bằng cách có được sự đồng ý bao quát.

3. Sự đồng ý riêng biệt cho tính năng AI

Bất kỳ tính năng nào dùng AI xử lý đầu vào của trẻ em — gia sư AI, trợ lý viết, công cụ học thích nghi — đều cần sự đồng ý riêng biệt của phụ huynh. FTC làm rõ rằng sự đồng ý cho dịch vụ giáo dục chính không bao gồm các tính năng AI bổ sung.

4. Quy tắc lưu giữ dữ liệu có hiệu lực thực thi

Dữ liệu trẻ em phải được xóa khi không còn cần thiết. Các nền tảng triển khai xóa tự động theo lịch xác định sẽ có trách nhiệm pháp lý thấp hơn trong các vụ kiện của FTC. Đây là một biện pháp an toàn thực sự — hãy sử dụng nó.

5. Tiêu chuẩn de-identification cao hơn

Chỉ xóa tên không đủ. Các nền tảng phải chứng minh rằng việc tái nhận dạng là không hợp lý có thể xảy ra. Đối với phân tích tổng hợp, điều này có nghĩa là k-anonymity hoặc differential privacy.

FERPA và COPPA: Cả hai đều áp dụng

Với các nền tảng K-12 làm việc với trường học, FERPA áp dụng song song với COPPA. Điều quan trọng:

  • FERPA cho phép trường học chia sẻ hồ sơ học sinh với nhà cung cấp — nhưng chỉ cho các dịch vụ theo hợp đồng
  • COPPA vẫn áp dụng cho trẻ em dưới 13 tuổi ngay cả khi FERPA cho phép chia sẻ
  • Sự đồng ý của trường theo FERPA không thay thế sự đồng ý phụ huynh theo COPPA

Tuân thủ FERPA không đồng nghĩa tuân thủ COPPA. Cả hai phải được đáp ứng riêng biệt.

Danh sách kiểm tra tuân thủ EdTech

Hãy hoàn thành danh sách này trước ngày 22 tháng 4.

Kiểm kê dữ liệu

  • Liệt kê tất cả dữ liệu thu thập từ người dùng dưới 13 tuổi
  • Xác định mọi công cụ bên thứ ba nhận dữ liệu trẻ em — phân tích, CRM, giám sát
  • Kiểm tra sự đồng ý cho từng loại thu thập

Lớp ẩn danh

  • Thêm phát hiện PII vào nội dung do học sinh tạo ra trước khi ghi log
  • Loại bỏ định danh trực tiếp (tên, địa chỉ email, ID học sinh) khỏi sự kiện phân tích
  • De-identify các báo cáo tổng hợp dùng cho phân tích sản phẩm
  • Ẩn danh dữ liệu huấn luyện AI có chứa đầu vào của học sinh

Hạ tầng đồng ý

  • Xây dựng luồng đồng ý phụ huynh riêng biệt cho tính năng AI
  • Ghi lại hồ sơ đồng ý có dấu thời gian
  • Triển khai cơ chế rút đồng ý kích hoạt xóa dữ liệu ngay lập tức

Tự động hóa lưu giữ

  • Xác định thời gian lưu giữ cho từng loại dữ liệu
  • Triển khai xóa tự động khi hết hạn
  • Kiểm tra hệ thống sao lưu để tìm lỗ hổng

Đánh giá nhà cung cấp

  • Xem xét thỏa thuận với tất cả bên xử lý phụ
  • Xác nhận nhà cung cấp phân tích không dùng dữ liệu trẻ em cho quảng cáo
  • Cập nhật DPA để đáp ứng tiêu chuẩn de-identification của COPPA 2026

Cách ẩn danh PII phù hợp với kiến trúc tuân thủ

Yêu cầu de-identification là phần kỹ thuật đòi hỏi nhất trong quy tắc năm 2026. Đáp ứng nó đòi hỏi nhiều hơn việc chỉ xóa tên — cần một cách tiếp cận hệ thống để xác định và loại bỏ PII trên tất cả luồng dữ liệu.

anonym.legal phát hiện hơn 285 loại thực thể trên 48 ngôn ngữ. Với các nền tảng EdTech có dân số học sinh đa ngôn ngữ — phổ biến ở các trường công Mỹ và sản phẩm EdTech quốc tế — điều này rất quan trọng. PII của học sinh không chỉ xuất hiện bằng tiếng Anh: tên, ID quốc gia và định danh trường xuất hiện bằng tiếng Tây Ban Nha, tiếng Trung, tiếng Ả Rập và hàng chục ngôn ngữ khác.

Tính năng xử lý hàng loạt của nền tảng cho phép nhóm EdTech xử lý cơ sở dữ liệu nội dung học sinh hiện có, loại bỏ PII khỏi hồ sơ lịch sử để đáp ứng yêu cầu de-identification cao hơn trong quy tắc cập nhật.

Xem trang tổng quan bảo mật và tuân thủ về cách chúng tôi xử lý dữ liệu nhạy cảm. Trang tuân thủ pháp lý bao gồm chi tiết cả FERPA và COPPA.

Chi phí của việc không hành động

Vi phạm COPPA mang hình phạt lên đến $51.744 mỗi vi phạm mỗi ngày. Đối với nền tảng có 100.000 tài khoản học sinh, lỗ hổng hệ thống trong de-identification — nếu bị phát hiện trong cuộc điều tra của FTC — có thể dẫn đến hình phạt hàng chục triệu đô la.

Khoản phạt Reddit là £14,47 triệu — Reddit có doanh thu hàng tỷ đô. Với nền tảng EdTech tầm trung, một khoản phạt tương đương sẽ là kết thúc doanh nghiệp.

Ngày 22 tháng 4 đang đến gần. Công việc tuân thủ có thể thực hiện được nếu bắt đầu ngay bây giờ.

Bắt đầu ẩn danh dữ liệu học sinh ngay hôm nay →

Nguồn

  • Cập nhật Quy tắc COPPA của FTC, Federal Register, 2025 (có hiệu lực ngày 22 tháng 4 năm 2026)
  • Thông báo thực thi Reddit của ICO, tháng 3 năm 2026 — khoản phạt £14,47 triệu
  • FERPA, 20 U.S.C. § 1232g và các quy định thực hiện 34 CFR Phần 99
  • Câu hỏi thường gặp COPPA của FTC: Tính năng AI và sự đồng ý của phụ huynh, 2026

Các Bài viết Liên quan

Công Nghệ Pháp Lý

Mixed Format E-Discovery: Compliance Gap

E-discovery productions and GDPR DSARs span PDFs, Word docs, Excel, and JSON exports. Using different tools for each format creates consistency gaps that.

Công Nghệ Pháp Lý

The PDF Redaction Trap: Data Exposed

The DOJ Epstein files, the Manafort case, and NSA leaks all share the same failure: cosmetic redaction that leaves underlying text extractable.

Công Nghệ Pháp Lý

Legal PII: Privilege Detection

Case reference numbers, bar admission numbers, court docket numbers, and client matter IDs are legally sensitive identifiers that standard PII tools miss.

Sẵn sàng bảo vệ dữ liệu của bạn?

Bắt đầu ẩn danh PII với 285+ loại thực thể trên 48 ngôn ngữ.

Bắt đầu Dùng Thử Miễn PhíXem Tính Năng

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.