在《一站通关 COPPA 合规（上）》一文中，我们梳理了 COPPA 的法律渊源、产品定位与判断逻辑，并重点分析了混合受众（Mixed Audience）网站和服务的合规建议。

本篇将进一步整理 COPPA 的核心制度与实务要求，涵盖通知机制、家长同意、家长权利、安全保障等六大检查项。这些要求共同构成 COPPA 的操作框架，决定企业在面向儿童提供服务时，应如何设计信息收集、告知与授权机制。

此外，本文还将补充说明 COPPA 对个人信息的特殊定义方式，以及企业是否需要提供儿童友好型隐私政策（Child-Friendly Privacy Notice） 的初步思考。

COPPA 核心制度适用范围

我们已经将产品定位分为了三大类型，分别是：以儿童为导向，或运营者实际知情收集儿童数据的面向儿童（Directed to Children，情形1）、非主要面向儿童，但同时吸引儿童与成人的混合受众（Mixed Audience，情形2）、非主要面向儿童，但运营者实际知情收集儿童数据情况（情形 3.1）、不以儿童为导向，且运营者并无实际知情收集儿童数据情况的一般受众（General Audience，情形 3.2）。

需要强调的是，并非只有情形 1 面向儿童（Directed to Children）的产品或服务必须遵循 COPPA 的规定，情形 2 混合受众（Mixed Audience）和情形 3.2 的产品或服务也需要适用 COPPA。其中，Mixed Audience 的运营者可通过年龄筛选机制将13岁以下用户筛选出来，对其单独适用 COPPA。若未建立有效区分制度，则默认服务整体均受 COPPA 约束。

由于篇幅所限，Kaamel 将以检查项 Checklist 的形式展示 COPPA 的核心要求。以下内容并非条文罗列，而是基于 COPPA Rules 提炼出的六项实务检查点，供企业用于自查与整改参考。

• 项目一：为获取家长同意的直接通知｜Direct Notice to the Parent for Purposes of Obtaining Consent

本项要求企业应在收集、使用或披露儿童个人信息前，通过收集家长邮箱等方式向家长提供直接通知。本通知是下一项收集家长同意的前置程序。

具体有如下要求：

• 项目二：家长同意｜Parental Consent

本条是 COPPA 和 COPPA Rules 的核心要求，即取得家长可验证的同意。

• 项目三：在线通知｜Online Notice

除项目一的为获取家长同意的直接通知外，COPPA Rules § 312.4 还规定了在线通知，要求在网站、APP等界面显著且清晰地标注链接，指向儿童隐私政策。包括：

• 网站的主页、登陆页面，儿童专区的首页

• APP 的设置界面

• 产品其他收集儿童个人信息的页面。

对在线通知的内容和形式，具体有如下要求：

• 项目四：家长权利｜Parental Rights

隐私政策中儿童隐私的条款应当载明家长权利，包括：

• 项目五：禁止通过活动诱导儿童披露超必要信息｜Prohibition Against Using Activities to Induce Excessive Disclosure of Children’s Data

• 项目六：安全保障措施｜Security Measures

（一）“从儿童处”收集的信息

COPPA 的适用范围，仅限于从儿童处（from children）在线收集的个人信息，而非关于儿童（about children）的信息。换言之，COPPA 关注的重点是信息来源，而非信息内容本身。

比如，COOPA Rules 规定的 Application Scope 均强调，不论是directed to children还是with actual knowledge，均要求从儿童处（from children）收集、使用或者披露的个人信息。

FTC FAQ  F. 4. 重点说明了这一内容，翻译如下：

问：该规则是否禁止父母、祖父母、老师或教练等成年人上传儿童照片？

答：COPPA仅涵盖从儿童处在线收集的信息，不包括从成人处收集但可能涉及儿童的信息。因此，以下情形不触发COPPA 适用：(1) 成人在面向大众的网站上传儿童照片；(2) 成人在面向儿童的网站非儿童专属区域（如家长专区）上传儿童照片；(3) 经年龄验证的用户（13岁及以上）在混合受众网站或服务上传儿童照片。

此外，还需要注意：若网站或服务主要面向儿童（primarily directed to children），则应默认上传者为儿童用户。此时运营者必须：在内容发布前提供家长告知并取得家长同意，或主动过滤、删除含有儿童影像及其元数据的内容。

（二）从儿童处“收集”的信息

FTC 在 §312.2 特别规定了收集的定义，指通过任何方式从儿童处获取个人信息的行为。此种收集包括以下三种典型情形：

• 主动收集（Active Collection），即通过明确请求、提示或引导儿童在线提交个人信息。例如：要求输入姓名、手机号、电子邮件地址以注册、评论或参与活动等。

• 公开发布式收集（Public Posting Collection），即允许儿童在可识别身份的情况下，公开发布其个人信息。例如：让儿童在聊天室、留言区、游戏昵称或个人资料中可直接展示身份信息。FTC 也特别提到了这一条的安全港条款，如果运营者在内容发布前采取合理措施删除所有或几乎所有个人信息，且不在内部系统中保留，则不视为收集。

• 被动收集（Passive Collection），即通过 Cookie、像素、SDK 或其他自动化追踪技术被动收集儿童的行为数据。

可以看到，COPPA 的收集更宽泛。它区分主动与被动并不影响适用结果，只要信息是由儿童提供或由系统自动从儿童设备获取，就属于受保护的收集行为。

（三）从儿童处收集的“个人信息”

COPPA 明确涵盖的个人信息外延较为广泛，规则包括以下内容：

• 儿童的名字和姓氏；

• 家庭住址或其他实际地址，包括街道名称及所在城市或城镇名称；

• 在线联系方式（Online Contact Information）；

• 用作在线联系方式的屏幕名称或用户名；

• 电话号码；

• 社会安全号码（Social Security Number）；

• 可用于在一段时间内、跨不同网站或在线服务识别用户的持久性标识符（Persistent Identifier）；

• 含有儿童图像或声音的照片、视频或音频文件；

• 足以识别街道名称和城市或城镇名称的地理位置信息；

• 运营者从儿童处在线收集的有关儿童本人或其父母的信息，并与上述任一标识符相结合。

儿童友好的隐私政策

有出海美国的企业，在调研实践中企业提供的儿童隐私政策的时候，可能会发现这样一个现象：COPPA 仅在收集儿童个人信息时要求运营者告知并取得监护人同意。从严格的法律文本上看，这一义务完全可以通过在隐私政策中添加儿童隐私章节来实现。

然而，有许多网站仍会另行制作一份儿童友好版隐私政策（Child-Friendly Privacy Policy），以动画、分层文本或交互式说明的方式，直接向儿童解释信息收集与使用规则。

（一）作为倡导性要求的儿童友好隐私政策

提供儿童友好隐私政策的做法并非法律强制要求，而是一种教育性、倡导性的实践需求，体现了以儿童为中心的合规理念。

例如，GDPR 并未要求单独制作儿童版隐私政策，但 GDPR 第 12 条第（1）款强调：“控制者应采取适当措施，以简明、透明、易懂且便于获取的形式，使用清晰平实的语言提供第 13 条和第 14 条所述的任何信息，特别是针对儿童提供的任何信息。” 因此，可以看到，儿童友好隐私说明属于合规实现路径之一，是为满足简明语言（plain language）原则的倡导性手段。

澳大利亚信息专员公署（Office of the Australian Information Commissioner）近期公布的《儿童网络隐私守则——儿童咨询报告》（Children’s Online Privacy Code — Children’s Consultation Report）中，提到了儿童在公众咨询中最希望在线企业改进的六件事，其中包括：（1）希望企业提供解释收集儿童信息的理由；（2）希望隐私政策间断、有趣、易懂，而不是冗长晦涩的文本。

同样地，英国信息专员公署（ICO）在《适龄设计规范》（Age-Appropriate Design Code）中也提出要求：企业应采用符合儿童年龄特点的方式呈现隐私信息，例如使用图表、卡通、图形、视频、音频内容，以及游戏化或互动形式，以吸引儿童注意力，而非仅依赖书面文字沟通。

（二）实践启示

需要特别指出的是，在现行法律框架下，针对儿童本人并无独立的同意要求。无论是 COPPA、GDPR 还是 PIPA，所要求的都是监护人的可验证同意，而非直接向儿童本人征求授权。因此，隐私政策中单独设置儿童隐私章节已足以满足这一合规要求。

至于独立于一般隐私政策之外的儿童友好隐私政策，其真正价值在于教育与尊重——让儿童能够理解数据被收集的原因、方式与权利，而非让他们签字同意。

不少企业在操作中误解了这一点，例如，将面向成年人的隐私政策原封不动地再写一遍提供给儿童，甚至额外设置一个同意按钮，将其视为一种形式上的合规动作。这种做法不仅逻辑上荒谬，也与儿童友好化的初衷相悖。它既无法提升儿童的理解，也可能因向未成年人展示复杂法律文本而造成新的认知风险。

符合儿童友好隐私政策的实践形式主要有以下两种：

• 动画化呈现：以短片或漫画形式讲解信息收集过程。

  

链接来源：https://dataprotection.education/freebies/child-friendly-privacy-notices?utm_source

文件来源：https://dataprotection.education/media/attachments/2022/03/06/cfpn_comic-strip-v4_easy-read-font.pdf

• 分层式说明：通过多层信息结构区分必读内容和供儿童阅读的隐私政策，比如 LEGO 的隐私政策。

• 独立的儿童版政策：专门面向儿童制作的简版文件，通常与家长版隐私政策并行，如本节开头提到的 Novakid Global Policy。

总结

数据保护法的核心在于赋予数据主体对自身数据的控制权。在多数国家与地区的立法中，这一权利主要通过“知情—同意”制度得以实现：数据主体在个人信息被收集前，应当被充分告知，并自主作出决定。

然而，当这一制度应用于儿童群体时，问题将变得复杂。立法者意识到，年幼的儿童往往难以理解数据收集所带来的风险，也更容易受到营销与劝诱的影响。因此，在涉及儿童场景下，法律倾向于采用一种替代性控制机制（substituted control），即以家长的同意代替儿童的自主决定。

这一理念，COPPA 建立并细化了相应的规则体系：

首先，要实现这一制度，首先明确哪些产品或服务以儿童信息的收集为重点。COPPA 将产品或服务划分为三类：面向儿童（Directed to Children）、混合受众（Mixed Audience）以及一般受众（General Audience）。其中最具争议的类型是混合受众——在整体特征上符合面向儿童标准，但其主要受众并非儿童的网站或服务。这是上篇分析的重点。

其次，对于确实以收集儿童个人信息为重点的产品或服务，即面向儿童（Directed to Children）和混合受众（Mixed Audience）两种类型，COPPA 要求上述企业履行多项法定义务。其中包括：直接通知、家长同意、家长权利保障、在线告知、安全措施，以及禁止通过活动诱导儿童披露超出必要范围的信息。这些制度构成了 COPPA 的合规核心，也是下篇的主要内容。

此外，COPPA 还通过对个人信息的特殊界定，进一步明确了受保护数据的范围。不仅涵盖可直接识别身份的信息，也包括可用于持续追踪、识别或定位儿童的技术性标识符。

最后，需要特别注意的是，这种以家长为中心的替代性控制机制，虽然在现实中有效地防止了儿童被过度干预，却也延续了他们在信息秩序中的被动位置。正因如此，立法与监管机构开始重新思考：如何通过教育、设计与语言的改进，让儿童逐步具备理解和参与的能力，使其从被保护的对象成长为理解被保护的个体。这正是儿童友好隐私政策的真正意义所在。