20
25
Specializing in Cross-Border E-Commerce
专注跨境电商
《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,简称 COPPA)是美国联邦法律中专门保护13岁以下儿童在线个人信息的核心法规,由美国联邦贸易委员会(FTC)负责监管与执法。
COPPA将分为三篇文章予以介绍,上篇对《消费者权利指令》的立法目的、历史发展、基本结构与核心内容予以介绍。
中篇与下篇将对COPPA所涉及的核心内容予以介绍。
其核心内容围绕“家长控制、透明告知、数据最小化、安全保障与可问责性”五大原则构建。
中篇与下篇将从以下从七个方面系统介绍 COPPA 的核心内容:
一、适用对象:谁必须遵守?
COPPA 适用于以下两类运营者(Operators):
1.直接面向13岁以下儿童的网站或在线服务
包括移动应用、在线游戏、教育平台、联网玩具、儿童视频频道等;
判断标准:内容、设计、语言、角色、广告是否明显吸引儿童(如使用卡通、奖励机制、简单交互)。
2.明知用户包含13岁以下儿童的通用平台
即使主要受众为成人,但若实际知晓(actual knowledge)有儿童用户(如通过注册年龄、用户举报、内容分析),且收集其个人信息,则同样适用 COPPA。
二、“个人信息”的宽泛定义
COPPA 对“个人信息”采取扩展解释,远超传统身份标识,包括:
传统标识符:姓名、住址、邮箱、电话号码、社保号
持久性标识符:Cookie、设备 ID、IP 地址、广告 ID(可用于跨网站追踪)
地理位置信息:精确到街道级别的位置数据
多媒体内容:含儿童面部的照片、视频、含声音的音频文件
生物识别数据:指纹、面部特征模板(2025年新增)
政府签发标识符:护照号、身份证号等(2025年明确纳入)
三、核心合规义务(“五步法”)
发布清晰、完整的隐私政策(Notice)
1
法律依据
《COPPA 规则》第312.4条要求运营者在收集儿童信息前,向家长提供直接、清晰、全面的通知。
2
具体要求
1.运营者身份与联系方式
包括公司名称、地址、电话、邮箱;若有多方运营(如APP开发商+广告商),需分别列明
2. 收集的信息类型
明确列出所有收集的“个人信息”类别(如姓名、设备ID、位置、照片等),不得笼统表述为“可能收集某些数据”
3. 信息使用目的
说明为何收集(如提供游戏功能、个性化内容)、是否用于内部运营或第三方共享
4. 第三方披露情况
列出所有接收方类型(如广告网络、分析服务商)、其用途及是否受COPPA约束
5. 家长权利说明
清晰告知家长可审查、删除、拒绝进一步收集,并提供操作方式
6. 数据保留与删除政策
说明数据存储期限及自动删除机制(2025年新增强制要求)
3
实施要点
位置显著:必须在网站首页、APP启动页或注册流程前展示;
语言通俗:避免法律术语,使用家长能理解的表达(如“我们会记录您孩子的设备编号,用于防止作弊”);
动态更新:政策变更后需重新获得家长同意;
多语言支持:若服务面向非英语家庭,应提供相应翻译版本。
以可验证方式获得家长同意
1
法律依据
《COPPA 规则》第312.5条:未经可验证的家长同意,不得收集、使用或披露儿童个人信息。
2
FTC认可的VPC方法(部分列举)
1.签署同意书
适用场景:通过邮件、传真、电子签名平台提交
验证逻辑:家长手写签名 + 身份信息匹配
2.信用卡/支付验证
适用场景:扣取小额费用(如$0.5)后退款
验证逻辑:通过银行系统验证持卡人身份
3.政府ID比对
适用场景:上传驾照、护照照片
验证逻辑:与公共数据库或人工审核比对
4.视频通话验证
适用场景:与客服实时视频确认身份
验证逻辑:人脸识别 + 问答验证
5.知识认证问题(KBA)
适用场景:回答只有家长知道的问题(如房贷金额)
验证逻辑:基于信用报告或公共记录生成问题
6.面部识别+活体检测
适用场景:通过APP摄像头验证
验证逻辑:生物特征匹配 + 防照片欺骗
3
禁止的“伪同意”方式
仅勾选“我已满18岁”复选框;
通过儿童账户发送同意请求;
依赖学校或教育机构代为同意(除非符合特定教育例外)。
赋予家长充分控制权(Parental Rights)
1
法律依据
《COPPA 规则》第312.6条:家长享有四项法定权利。
1.审查权
在合理时间内(通常≤30天)向家长提供其子女被收集的全部信息副本
2. 删除权
应家长要求,立即停止使用并彻底删除儿童信息(包括备份、日志)
3. 拒绝进一步收集权
允许家长阻止未来信息收集,但不得因此剥夺儿童使用核心功能(除非信息为必要前提)
4. 撤回同意权
提供便捷渠道(如专用邮箱、在线表单)让家长随时撤回同意
2
实施建议
设立家长专用联系通道(如 privacy@company.com);
建立儿童数据隔离存储机制,便于快速定位与删除;
删除操作需覆盖所有系统(包括第三方云存储、分析平台);
记录所有家长请求及响应过程,保留至少3年以备审计。
实施合理信息安全措施
(Data Security)
1
法律依据
《COPPA 规则》第312.8条:必须采取“与风险相称”的技术和管理措施保护数据。
2
2025年强化要求
1.制定书面信息安全计划
明确数据分类、访问控制、加密策略、应急响应流程
2. 数据最小化与加密
仅收集必要字段;静态数据加密(AES-256)、传输加密(TLS 1.2+)
3. 访问权限控制
员工按需授权;定期审查权限;离职即时停用账号
4. 第三方风险管理
与广告商、云服务商签订DPA(数据处理协议),确保其同样合规
5. 定期安全测试
每年至少一次渗透测试、漏洞扫描
限制第三方共享与广告追踪
1
法律依据
《COPPA 规则》第312.2 & 312.7条:禁止未经同意向第三方披露儿童信息用于商业目的。
2
核心禁令
1.向广告网络共享设备ID
原则禁止;除非获得单独VPC且明确告知用途
2.基于儿童行为推送个性化广告
禁止;即使获家长同意,也不得创建持久性画像
3.将儿童数据用于跨站追踪
禁止;如通过Cookie关联其他网站行为
4.向研究机构匿名化共享数据
允许;但必须彻底去标识化(移除所有18项标识符)
3
平台责任延伸
若APP集成第三方SDK(如Google Analytics、Facebook SDK),运营者需确保其不擅自收集儿童数据;
推荐使用COPPA兼容的SDK(如Google AdMob 的“Designed for Families”模式);
定期审计第三方数据流,防止“隐蔽收集”。
作者简介
师伟律师
泰和泰(深圳)律师事务所
具备法院(四川省某人民法院民商事审判庭)、公司法务(超多维集团、环球易购等)和律所三重法律工作背景,拥有10年的法律从业经验。负责多起金额亿元以上的投融资并购交易,另外代理企业500+商事诉讼、仲裁案件,并保持90%胜诉率。
有长达6年的跨境电商行业的从业法律服务经验,在跨境电商企业涉及的境外产品合规、数据合规、广告营销合规、消费者保护合规、跨境电商企业在境内与供应商涉及的产品质量纠纷、与劳动者涉及的竞业限制纠纷、绩效纠纷、商业贿赂纠纷等方面有丰富的司法实践经验,能为客户提供跨境电商行业的常年法律顾问服务、专项服务以及诉讼服务。
电话丨18565822898
邮箱丨wei.shi@tahota.com
免责声明:本文及其内容仅为交流目的。本文任何文字、图片等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权。