20
25
Specializing in Cross-Border E-Commerce
专注跨境电商
概述
COPPA 是一部由美国国会于1998年通过、2000年4月21日正式生效的联邦法律,由美国联邦贸易委员会(FTC)负责监管与执法。
其核心在于:将13岁以下儿童个人信息的控制权交还给家长,要求网站和在线服务在收集、使用或披露儿童个人信息前,必须以可验证方式获得家长同意,并采取合理措施保护数据安全。
COPPA 并非颁发“认证证书”,而是一套强制性合规义务体系。企业需通过建立内部政策、技术流程和响应机制来证明其符合法律要求。
本篇是解读的上篇,将对其基本概念、立法目的、历史发展、适用范围予以解读。
立法目的
保护儿童免受商业性数据剥削
防止企业通过游戏、卡通、奖励等方式诱导儿童提供姓名、地址、电话、照片、位置等敏感信息,并用于广告定向、用户画像或转售牟利。
赋予家长对子女数据的控制权
确保父母作为监护人,有权知晓哪些信息被收集、为何收集、如何使用,并可随时审查、删除或拒绝进一步收集。
建立儿童友好的数字环境
在保障儿童言论、交流与信息获取权利的同时,设置必要的隐私护栏,避免其因缺乏判断力而暴露于风险之中。
统一行业规则,防止“劣币驱逐良币”
通过联邦立法设定最低标准,避免部分企业为降低成本而忽视儿童隐私,从而推动全行业负责任创新。
历史发展脉络与特点
1996–1998
美国消费者联盟、媒体教育中心等组织揭露大量网站秘密收集儿童信息 引发国会关注,推动立法
1998年10月
克林顿总统签署 COPPA 成为法律(Pub.L. 105-277) 全球首部专门针对儿童在线隐私的联邦法
1999年10月
FTC 发布《COPPA 规则》(COPPA Rule)草案 明确实施细则
2000年4月21日
COPPA 及配套规则正式生效 开启执法时代
2013年7月1日
FTC 修订 COPPA 规则,扩大“个人信息”定义 将持久性标识符(如 Cookie、设备 ID)、地理位置、照片、视频、音频纳入规管
2019–2023年
FTC 启动新一轮审查,收到超17.5万条公众意见 聚焦教育科技、语音设备、混合受众平台等新场景
2025年1月16日
FTC 全票通过 COPPA 规则重大修订,60天后生效 强化定向广告限制、数据保留期限、安全港透明度等。
2025年最新修订要点:
禁止捆绑同意:向第三方披露儿童数据用于定向广告,须单独获得家长明确同意;
新增生物识别数据、政府签发标识符为个人信息;
明确“混合受众平台”(如 YouTube、TikTok)的合规责任;
要求制定书面信息安全计划与数据保留政策,禁止无限期存储;
提高安全港计划(Self-Regulatory Safe Harbor Programs)。
发展特点
1
问题导向 + 家长赋权
背景:
1990年代末,大量儿童网站(如 Nickelodeon、Disney)通过游戏、抽奖等方式诱导儿童填写姓名、地址、兴趣等信息,用于精准广告或转售。
标志性事件:
1996年,美国消费者联盟发布报告《Marketing to Kids on the Internet》,揭露35个热门儿童网站秘密收集用户数据;
国会听证会上,FTC 主席展示一个12岁女孩如何在几分钟内被诱导提供家庭住址和父母收入。
立法突破:
首次将“可验证的家长同意”(Verifiable Parental Consent, VPC)作为核心机制;
确立“通知—同意—安全—删除”四步合规框架.
2
执法探索 + 合规路径模糊
2000年《COPPA 规则》生效后,FTC 缺乏明确技术指引,导致企业合规困难:
“个人信息”仅包括传统标识符(姓名、邮箱、社保号);
对 Cookie、IP 地址等追踪技术是否构成“个人信息”存在争议;
“面向儿童”的判断标准主观,平台常以“通用服务”规避责任。
典型案例:
2001年,Kidswb.com 因未获家长同意收集儿童信息被罚 $35,000(首例执法);
多数案件以和解告终,罚款金额低,威慑力有限。
3
预防性治理 + 默认保护 + 全生命周期管理
2025年1月,FTC 全票通过 COPPA 规则新一轮重大更新,体现三大新趋势:
禁止默认开启数据收集:针对智能玩具、语音助手(如 Amazon Echo Kids)自动录音上传
强制数据保留期限:不得无限期存储儿童数据,目的达成后必须删除
限制第三方披露用于广告:即使获家长同意,也不得将儿童数据用于跨站追踪或画像
提升“安全港计划”透明度:要求行业自律组织公开合规标准与审计结果
明确生成式 AI 风险:若儿童与 AI 聊天机器人互动,对话记录视为个人信息
适用范围
COPPA 的适用不以企业注册地为限,而是基于服务对象与行为性质。具体适用于以下两类主体:
1
直接面向13岁以下儿童的网站或在线服务
包括移动应用、在线游戏、联网玩具、教育平台、儿童视频频道等;
判断标准:内容、设计、语言、角色、广告是否明显吸引儿童(如使用卡通形象、简单交互、奖励机制)。
2
明知用户包含13岁以下儿童的通用平台
即使主要受众为成人,但若实际知晓(actual knowledge)有儿童用户(如通过注册年龄、用户举报、内容分析),且收集其个人信息,则同样适用 COPPA。
“推定知晓”风险:若平台内容可能吸引儿童(如动画、小游戏),FTC 可能认定其“应知”存在儿童用户,建议主动实施年龄筛查。
3
关键触发条件
同时满足以下两点即落入 COPPA 管辖:
运营者收集、使用或披露 13岁以下儿童的“个人信息”;
该行为发生在美国境内,或服务明确面向美国儿童(如支持美元支付、使用英语、服务器位于美国)。
作者简介
师伟律师
泰和泰(深圳)律师事务所
具备法院(四川省某人民法院民商事审判庭)、公司法务(超多维集团、环球易购等)和律所三重法律工作背景,拥有10年的法律从业经验。负责多起金额亿元以上的投融资并购交易,另外代理企业500+商事诉讼、仲裁案件,并保持90%胜诉率。
有长达6年的跨境电商行业的从业法律服务经验,在跨境电商企业涉及的境外产品合规、数据合规、广告营销合规、消费者保护合规、跨境电商企业在境内与供应商涉及的产品质量纠纷、与劳动者涉及的竞业限制纠纷、绩效纠纷、商业贿赂纠纷等方面有丰富的司法实践经验,能为客户提供跨境电商行业的常年法律顾问服务、专项服务以及诉讼服务。
电话丨18565822898
邮箱丨wei.shi@tahota.com
免责声明:本文及其内容仅为交流目的。本文任何文字、图片等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权。