【数据合规28】美国COPPA核心内容解读（3）

因为专注所以专业

什么是“混合受众平台”？

指主要面向一般公众（包括成年人），但其内容、功能或社区生态客观上吸引13岁以下儿童用户的在线服务。典型例子包括：

YouTube（含大量卡通、儿歌、玩具开箱视频）

TikTok（儿童模仿舞蹈、使用滤镜）

Roblox（儿童创建和游玩虚拟游戏）

Discord（部分服务器含儿童友好内容）

教育类APP（如Khan Academy Kids虽非专为儿童设计，但通用版可能被儿童使用）

FTC 的判断标准：“应知”原则（Constructive Knowledge）

根据《COPPA 规则》第312.2条及FTC执法实践，即使平台未明确声明服务儿童，若满足以下任一情形，即视为“应知存在儿童用户”，须履行 COPPA 义务：

1.内容性质

使用卡通形象、鲜艳色彩、简单语言、儿歌、教育性动画、玩具展示等明显吸引儿童的元素  

2. 用户行为数据

后台数据显示大量低龄账户（如注册生日<13岁）、儿童常用设备（如平板）、儿童高频使用时段    

3. 第三方评价   

 媒体、家长组织、应用商店将其归类为“儿童友好”或“适合全家”    

4. 广告投放    

在儿童频道、学校网站、亲子博客等渠道推广    

平台必须采取的合规措施

一旦被认定为混合受众平台，运营者需实施以下结构性合规机制：

1. 年龄筛查与内容标记

推荐做法：

要求内容创作者标记其视频/频道是否“Made for Kids”（如 YouTube 的标签系统）；

对未标记内容，通过AI+人工审核自动识别儿童向内容；

对疑似儿童用户（如使用儿童头像、观看儿歌）触发年龄验证流程。

 注意：仅依赖“用户自称≥13岁”不足以免责——FTC 强调“实质性审查义务”。

2. 对儿童内容实施 COPPA 默认保护

一旦内容被标记或识别为面向儿童：

自动禁用个性化广告（不得使用 Cookie、设备 ID 进行追踪）；

关闭评论、直播、位置共享等高风险功能（除非获得 VPC）；

不收集持久性标识符（如广告 ID），除非用于内部运营且获家长同意。

3. 分离数据处理系统

儿童数据必须与成人数据物理或逻辑隔离；

确保第三方 SDK（如分析工具、广告插件）在儿童内容页面自动停用或进入“COPPA 模式”。

4. 提供家长控制接口

允许家长通过专用门户审查、删除子女在平台上的活动数据；

提供一键举报“误标为成人内容”的儿童向内容。

2025年新规强化责任

明确平台对算法推荐的责任：若算法主动向儿童推送内容，平台需承担更高注意义务；

禁止“默认成人”策略：不能将所有未标记内容自动视为成人向；

要求年度第三方审计：大型平台需聘请独立机构评估其儿童识别与保护机制有效性。

什么是安全港计划

安全港计划是 FTC 批准的行业自律合规框架。企业加入经认证的安全港组织并遵守其准则，可在 FTC 执法中获得一定宽容待遇（如优先调解、减轻处罚），但不免除基本法律责任。

💡 目的：鼓励行业制定高于法定最低标准的细则，提升整体合规水平。

FTC 批准的主要安全港组织

（截至2025年）

PRIVO    

提供 VPC 技术解决方案 + 合规认证，服务全球企业    

CARU 

专注广告合规，隶属 BBB National Programs   

TrustArcCOPPA Certification  

结合 GDPR/CCPA，提供一站式隐私合规    

Evidon（现 OneTrust）    

侧重 Cookie 与第三方管理    

安全港计划的核心要求

（2025年统一标准）

根据 FTC 2025年1月新规，所有安全港组织必须包含以下要素：

1.公开透明的标准    

准则全文必须公开，不得设置会员专属条款    

2. 独立监督机制    

设立投诉受理通道，每年至少一次现场或远程审计成员    

3. 实质性合规审查    

不得仅依赖企业自我声明，需验证技术实现（如检查 VPC 流程）    

4. 违规惩戒权    

可对不合规成员暂停或撤销认证，并向 FTC 报告    

5. 与 FTC 协同执法    

配合调查，提供成员合规记录    

执法主体

1. 主要执法机构：美国联邦贸易委员会（FTC）

FTC 是 COPPA 的首要监管与执法机关，依据《联邦贸易委员会法》第5条（禁止不公平或欺骗性行为）及 COPPA 授权开展调查与处罚。

具体由 FTC 的 消费者保护局（Bureau of Consumer Protection）下属的 儿童隐私团队 负责案件处理。

2. 辅助执法力量

各州检察长（State Attorneys General）：可代表本州居民提起民事诉讼，寻求禁令或损害赔偿；

特定联邦机构：如涉及教育数据，教育部（ED）可协同执法；

私人诉讼权受限：COPPA 不赋予个人直接起诉权，但家长可通过州消费者保护法或侵权法间接维权。

执法触发方式

公众投诉：家长、倡导组织（如 EPIC、CCFC）通过 FTC 官网提交举报（占案件70%以上）    

媒体曝光：如《华尔街日报》调查报道揭示某APP秘密收集儿童数据。 

国会质询：议员要求 FTC 对特定平台（如 TikTok、Meta）启动调查  

主动监测： FTC 使用“暗访账号”、自动化爬虫扫描儿童向网站    

第三方审计失败：安全港组织上报成员严重违规

处罚标准与金额（2025年最新）

1. 法定罚款上限

根据《联邦民事罚款通胀调整法》，FTC 每项 COPPA 违规的最高罚款为 $50,120 美元（2025年标准，每年随通胀调整）。

“每项违规”通常按受影响儿童人数 × 违规行为类型计算，导致总额极高。

2. 处罚考量因素（FTC《执法政策声明》）

违规持续时间；

是否故意或疏忽；

对儿童造成的实际或潜在伤害；

企业规模与支付能力；

是否配合调查、采取补救措施。

与美国国内法律的关系

1. 《联邦贸易委员会法》第5条

COPPA 的执法基础源于 FTC Act §5 对“不公平或欺骗性行为”的禁止；

即使某行为不直接违反 COPPA 条文，若构成对家长的欺骗（如虚假声称“不收集儿童数据”），仍可被处罚。

2. 州级儿童隐私法（新兴趋势）

（1）加州《适龄设计规范法案》（CA ADPPA, 2024生效）：

要求默认开启“高隐私设置”面向未成年人（<18岁）；

与 COPPA（仅<13岁）形成年龄分层保护；

COPPA 合规可作为 CA ADPPA 的抗辩理由之一。

（2）其他州（如纽约、犹他）正在制定类似法律，可能提高家长同意年龄至16岁。

（3）关系定位：COPPA 是联邦最低标准，州法可更严格（无优先条款冲突）。

3. 《家庭教育权利与隐私法》（FERPA）

FERPA 保护学校持有的学生教育记录（如成绩单、心理评估）；

若教育科技公司（EdTech）通过学校获取儿童数据，同时受 FERPA 与 COPPA 约束：

• FERPA：学校需获家长同意才能共享记录；

• COPPA：EdTech 公司自身收集数据仍需 VPC。

FTC 与教育部联合发布《EdTech 合规指南》协调二者适用。

4. 《视频隐私保护法》（VPPA）

禁止披露用户租借/观看视频记录；

若儿童视频平台分享观看历史给第三方，可能同时违反 VPPA 与 COPPA。

与国际法律的关系

要求处理不满14周岁未成年人个人信息，应取得监护人同意；

明确禁止向未成年人推送可能影响身心健康的信息；

设立“未成年人模式”，默认屏蔽不良内容、限制使用时长。

借鉴 COPPA 理念，但覆盖年龄更广（14岁 vs 13岁），且包含内容治理。

英国：ICO 发布《适龄设计规范》（Age Appropriate Design Code），要求默认高隐私保护；

加拿大：PIPEDA 无专门儿童条款，但 OPC 将儿童视为“脆弱群体”从严解释；

巴西（LGPD）：要求对13岁以下数据处理获得监护人同意，与 COPPA 高度相似。

COPPA 无“优先条款”（Preemption Clause），因此：

州法若更严格（如加州要求16岁同意），州法优先适用；

企业需同时遵守 COPPA 与更严州法。

国际场景：若外国法律与 COPPA 冲突（如某国禁止数据出境），企业需通过数据本地化或分区域部署解决。