解码COPPA：美国市场的儿童隐私合规

引 言

在互联网的早期阶段，"儿童上网"一度成为新兴现象，而围绕未成人隐私权的争议也悄然在太平洋的另一边浮出水面。1995年，媒体曝出一家营销公司大规模销售儿童个人信息的事件，引发了社会广泛关注。紧接着，美国联邦贸易委员会（FTC）于1998年启动了对全国超过1400个网站的调查，发现高达89%的儿童网站未能有效披露其隐私政策，并且仅有不到1%的网站在收集儿童个人信息前会取得家长的事先同意。行业自律的缺失与透明度不足，使得公众对儿童隐私保护的担忧达到了空前的高度。

在此背景下，美国国会于1998年制定并通过了《儿童在线隐私保护法》（Children's Online Privacy Protection Act, 以下简称"COPPA"），并于2000年正式生效，确立了适用于所有面向13岁以下儿童在线服务的强制性隐私规则。自那以后，COPPA作为世界上最早针对未成年人网络隐私设立的成文法之一，也成为了美国互联网时代下的代表性立法。

随着互联网技术的持续演进，COPPA在过去二十多年中也经历了多次重要修订。2013年，FTC对其实施规则（COPPA Rule）进行了重要修改，扩大了"个人信息"的定义，并强化了家长通知、信息删除以及数据最小化等关键要求。而在2024年，COPPA Rule迎来了又一次改革，进一步扩大了监管范围，细化了家长同意机制，旨在应对数字平台、移动应用、人工智能技术及广告追踪等新兴技术对儿童数据隐私带来的风险。修订后的规则已于2025年6月23日正式生效，相关企业需在2026年4月22日之前完成全面合规。这一明确的合规期限，也意味着企业需要尽快评估自身产品和数据处理流程，并及时进行必要的合规调整。

二十五年来，FTC通过COPPA多次对知名互联网企业发起诉讼，其中不乏一些在美国开展业务的中国企业。在公开的案例中，涉案企业已向FTC支付超过5.023亿美元的罚款，并且罚款的金额在近年来出现了显著上升的趋势。 ¹ 例如，在2025年底，迪士尼因在YouTube上传的部分儿童向视频未正确标注"专为儿童制作"，导致13岁以下儿童数据被收集并用于定向广告，支付1000万美元与FTC和解。 ² 这些案例不仅展示了COPPA的广泛适用性，也凸显了美国对儿童隐私保护的日益重视。

因此，在全球数据隐私监管日趋严格的今天，COPPA的适用范围、执法趋势与企业责任，已经成为越来越多跨境企业在拓展美国市场时不得不面对和审慎评估的重要问题。

那么，COPPA究竟规定了哪些核心义务？哪些企业需要遵守COPPA？在实践中，企业如何建立一套符合法律要求的儿童隐私保护机制？本文将逐一解读COPPA的核心合规要点，并结合2024年最新修订内容，为企业在产品设计与运营过程中提供实务操作指导。

一、COPPA的适用范围

对于中国出海企业来说，首要任务是确认自己是否会受到COPPA的管辖。

简而言之，COPPA适用于所有收集13岁以下儿童（以下简称"儿童"）的个人信息的网站和在线服务运营商，无论是网站、App、插件还是互联网广告服务商等。根据FTC发布的《儿童在线隐私保护规则：为您的企业制定的六步合规计划》和《常见问题解答》，企业如符合以下条件，则有很大概率属于COPPA规制的对象：

（一）我的网站/在线服务是否"面向儿童"？

"面向儿童的网站或在线服务"是COPPA适用范围中的一个关键概念。如果企业提供的网站或在线服务被认定为面向儿童，则必须采取相应措施（如区分儿童与其他用户、在收集儿童个人信息前向家长提供通知并征求同意）。

根据COPPA Rule第312.2条，FTC在评估网站或在线服务是否"面向儿童"时，会综合考虑以下几项主要因素：

• 网站/服务的题材、视觉内容、音频内容；

• 是否包含面向儿童的活动、奖励、动画角色、低龄人物形象等；

• 网站/服务的广告是否出现在其他儿童网站上；

• 其他证据，包括营销或促销材料、用户评论及第三方对平台的评价等。

例如在FTC v. Epic一案³ 中，FTC从《堡垒之夜》游戏画面、音乐内容等方面认定，《堡垒之夜》是面向儿童的在线服务：

• 在游戏内容上，《堡垒之夜》使用卡通图形、彩色动画，并在游戏内直播受儿童欢迎的名人的音乐会等；

• 在市场营销上，Epic会与孩之宝、Moose Toys等儿童产品厂商合作，制作《堡垒之夜》品牌的服装、玩具、书籍、文具等。此外，Epic的广告渠道主要通过儿童电视频道（Cartoon Network、Nicklodeon等）或YouTube和Twitch上的儿童视频广告；

• FTC发现证据表明有大量儿童在玩《堡垒之夜》。例如，2019年的一份调查报告结果显示有53%的10-12周岁的美国儿童每周玩《堡垒之夜》；

• Epic明知《堡垒之夜》的玩家中包含大量儿童玩家。Epic为争取微软和索尼的合作时，强调了第三方账户联合功能对儿童的影响。另外，Epic的内部沟通中也多次出现其员工知道《堡垒之夜》的玩家包括大部分儿童的事实。

（二）如果我的目标受众是全年龄段用户，是否也需要遵守COPPA？

即便企业的目标受众涵盖所有年龄段的用户，且不专门针对儿童，并不意味着COPPA就不适用。

FTC在《常见问题解答》中解释称，如果网站/在线服务的目标受众包括13岁以下的儿童，且企业在不区分用户年龄的情况下收集了个人信息，则意味着企业知晓其收集了儿童个人信息，也会适用COPPA规则。除非是一些明显面向大学生或成年人的网站/在线服务，例如就业、财务、政治、家居装修等。

例如在FTC v. YouTube一案⁴ 中，YouTube自称其主要目标受众是所有年龄段的用户，而不仅仅是儿童。并且在与广告公司合作中，YouTube也曾表示其平台上没有13岁以下的用户。因此，即便儿童用户可能会访问其平台，YouTube也认为自己没有故意收集儿童的个人信息，不适用COPPA。

但是，FTC对此有不同的看法。FTC认为YouTube中的一些频道（例如由玩具公司运营的频道）是专门面向儿童的，并且YouTube对此明确知情。具体论证如下：

• YouTube为儿童产品提供市场营销：FTC指出，YouTube明确将自己推销为面向儿童的首选平台，特别是针对6到11岁年龄段的儿童。例如，YouTube向玩具制造商如美泰（芭比娃娃和怪兽高中玩具）和孩之宝（小马宝莉和培乐多玩具）推销自己，表示YouTube是"接触6-11岁儿童的领导者"，并称其为"孩子们定期访问的网站第一名"。这一营销活动显示出YouTube明确知道它的用户中有大量儿童，并专门吸引这一群体。

• YouTube有内容评级和分类系统：FTC指出，YouTube有一个内容评级系统，按年龄分类视频，包括"Y"（适合0-7岁）和"G"（适合任何年龄）。这些评级通过自动化和人工审查相结合的方式进行。此外，YouTube有专门面向儿童的频道，并为这些内容赋予"Made for Kids"标签，进一步证明了YouTube对其平台上儿童导向内容的知情。

• YouTube对儿童频道的实际知情：FTC强调，YouTube明确知道其平台上有许多面向儿童的频道。以"马莎与熊"（Masha and the Bear）为例，这个频道专门针对3-9岁的儿童，YouTube为该频道分配了"Y"评级，并且该频道在YouTube Kids中非常受欢迎。通过这种内容筛选和评级，YouTube知道它在收集来自儿童的个人信息。

• YouTube允许广告商收集儿童个人信息：FTC指出，YouTube确实知道它在收集来自儿童用户的个人信息。尽管YouTube明确知道这些频道是面向儿童的，它仍然收集了个人信息并用于广告投放。

二、合规第一步：年龄验证

如上所述，不难发现即使儿童用户只是企业的用户群体中的一部分，企业也可能需要履行《儿童在线隐私保护法》（COPPA）的合规义务。近年来，FTC愈发重视年龄验证技术在保护儿童在线安全中的作用。在今年1月份，FTC召集了学者、行业代表、政府监管机构等利益相关方，共同商讨年龄验证技术的作用。而后，在2月25日发布的一项声明中，FTC的主席表示："年龄验证技术是几十年来出现的一些最能保护儿童的技术。我们鼓励运营者使用这些创新工具，使父母能够在网上保护他们的孩子。"

COPPA在其最新修订版中引入并细化了"混合受众网站或在线服务"（mixed audience website or online service）的概念。所谓"混合受众网站或在线服务"，是指该类平台的目标受众可能包括成年人和其他年龄段的用户，儿童只是其中的一部分。对于这类平台，COPPA要求企业在收集个人信息之前，首先进行年龄筛选，从而确保只针对13岁以下的儿童用户执行COPPA的相关合规要求。同时，FTC允许平台不对非儿童用户履行COPPA的合规义务，从而避免不必要的操作负担。

在2013年的COPPA规定中，明确提出了较为严格的程序性要求：

• 在收集年龄信息之前，平台不得收集任何个人信息；

• 对于自报年龄小于13岁的用户，平台必须首先向家长提供通知，并获得家长的同意，才能收集、使用或披露其个人信息。

与此相比，2024年修订版的COPPA对年龄验证要求进行了细化。尽管在平台收集年龄信息时不再强制要求立即采取家长同意措施，但仍要求平台采取中立且不偏向特定年龄段的方式进行验证。这意味着平台在设计用户注册或数据收集流程时，需要确保年龄筛选工具，如"年龄框"（age box）或滑动条，能够精准地反映访问者的实际年龄，而不是默认设定或允许用户伪造年龄。

在实际操作中，我们观察到许多在线平台，尤其是游戏公司，往往使用"年龄框"或"年龄滑动条"作为筛选手段。这种方式表面上看似简单，但在实际使用时，企业仍需确保该方法符合COPPA的要求，尤其是在避免默认设定或允许用户伪造年龄方面。平台需要清晰地告知用户该操作的目的，并确保儿童和家长在同意数据收集之前，充分理解平台如何收集、使用和保护他们的个人信息。

（一）游戏厂商的实践

例如，用户注册游戏League of Legends时，需主动填写生日的年月日。

又例如，用户在Steam购买游戏时，会被告知所购游戏不适合所有年龄段用户，并被要求在"年龄框"中选择其出生年月日。

（二）社区类平台的实践

社区类或论坛类的应用通常不仅需要满足COPPA的要求，也承担着内容合规的义务。因此在实践中，我们观察到此类应用在未成人用户的年龄管理方面更加慎重，会设置13岁和18岁两个年龄门槛。

对于13岁以下的用户，此类平台会拒绝其注册。例如，用户注册Discord平台时，需主动填写生日的年月日。如果用户提交的出生年月显示其未满13岁的情况下，平台会拒绝用户注册，且该用户退回初始页面后也无法再次进行注册。

此外，对于13岁至18岁的未成年人用户，此类平台会限制其访问成人内容或含有成人内容的频道。例如，当用户首次进入Discord的成人频道时，Discord还会要求用户输入年龄，以验证用户的成人身份。若未成年人用户年满18岁后，需要完成年龄更新的程序才能进入年龄限制频道。用户需要提交一张包含以下内容的自拍照：（1）含照片的身份证件，其中记载了用户的出生日期；（2）一张填写用户的完整帐号名的白纸。

（三）电商类平台的实践

电商类平台通常不是COPPA的主流适用对象。在2003年FTC对于Amazon的审查中，FTC认为Amazon平台上的商店（包括玩具商店）均为向成年人销售产品，不包含典型的儿童元素，因此不构成COPPA意义上的"儿童定向网站"，并且其会在获知该存在儿童个人信息后及时删除，说明Amazon并无"实际知情"其收集了儿童个人信息。因此，Amazon不触发COPPA的合规义务。 ⁵

在这背景下，我们观察到目前美国主流的电商平台（如Amazon，Ebay，Etsy）都没有设置年龄验证机制，但是会在隐私政策和用户协议中明确表明不向儿童销售商品和提供服务。

同时，我们注意到也有电商平台在此基础上，还采取了更严格的合规措施。例如电商平台Wish要求用户在注册账号时选择年龄段，且最低的年龄设置为13-17岁。若用户勾选了13-17岁的年龄段，则仅能浏览网站内容，但无法在平台上完成购物。未成年用户点击所有商品，都将会看到"Sold Out"的结果。

三、合规第二步：通知

COPPA的核心要求之一就是"通知"义务。具体来说，企业在收集儿童个人信息之前，必须通过清晰、直接、易于识别的方式，向儿童的家长提供信息收集、使用和披露的通知。这一义务的关键目的是让家长能够基于充分的信息决定是否同意平台收集和使用儿童的个人信息。

在形式上，与中国个人信息保护法中的告知义务不同，COPPA不仅要求企业在其网站或APP上发布隐私政策链接，COPPA还强调企业有义务通过直接方式（如电子邮件）向儿童的家长发送通知，确保家长能够获得完整的信息。在COPPA Rule第312.4条中，明确区分了四类需要通知的场景，每种场景下，平台所需提供的通知内容也有所不同。

四、合规第三步：同意

在完成了对家长的有效通知之后，COPPA要求企业在任何收集、使用或披露儿童个人信息之前，必须取得家长的"可验证的同意"（Verifiable Parental Consent，简称VPC）。这是COPPA中最核心、最具操作性的一项义务，其目的是确保儿童的数据处理行为真正建立在家长知情与授权的基础之上。

（一）什么是VPC？

所谓"可验证的家长同意"（VPC），是指企业通过合理方式确保提供同意的人确实是儿童的父母或法定监护人，并可在必要时提供相关记录或证据。无论是首次收集信息，还是在已获得同意后因用途或披露范围发生实质性变更，企业都必须重新取得家长的VPC。

COPPA明确要求企业提供"差异化的同意选项"，即家长有权在选择同意企业收集和使用儿童个人信息的同时，拒绝将相关个人信息提供给第三方。如果向第三方提供个人信息对于网站或服务的基本功能是不可或缺的，运营者需告知家长并取得额外的单独同意。

（二）VPC的验证方式

根据2024年修订后的COPPA，企业可以选择多种已认可的验证方式来确认家长身份，包括但不限于：

• 书面签名表单：要求家长填写同意表，并通过邮寄、传真或扫描件方式返还。

• 支付验证：通过信用卡、借记卡或具备交易通知功能的支付工具验证身份。

• 电话或视频验证：家长通过拨打客服电话或与客服人员进行视频通话完成身份核实。

• 政府证件比对：上传政府签发的身份证件，与数据库进行比对，验证后立即删除副本。

• 知识问答验证：家长需回答多道动态生成的问题。问题需有一定难度，确保儿童无法轻易猜出答案。

• 人脸识别与证件比对：家长上传身份证件与实时自拍照，结合人脸识别技术进行双重验证，由人工审核确认一致性。

• 电子邮件验证（不适用于向第三方提供的情形）：通过邮件发送确认内容，并辅以后续验证步骤（如电话确认、回信等）。

• 短信验证（不适用于向第三方提供的情形）：发送确认短信并进行二次验证。

值得注意的是，对于不会向第三方提供儿童信息的运营者，COPPA允许使用相对简化的验证方式，但仍需确保流程具备一定的"可验证性"。也就是说，运营者并不能仅凭一个"请点击这里表示家长已同意"的按钮就认定家长已授权。

在实践中，由于游戏行业是重监管领域，我们看到一些企业已经形成了非常成熟的儿童保护机制，可供其他企业参考。例如，Epic Games：

六、尾声：美国儿童网络保护的未来

2024年7月30日，美国参议院以91票对3票通过《儿童在线安全与隐私法案》（Kids Online Safety and Privacy Act, "KOSPA"）的法案包，内含《儿童在线安全法案》（Kids Online Safety Act，"KOSA"）、《儿童和青少年在线隐私保护法案》（the Children and Teen's Online Privacy Protection Act, "COPPA 2.0"）以及《过滤泡沫透明度法案》（Filter Bubble Transparency Act, "FBTA"）。KOSA⁶与COPPA 2.0⁷ 在2025年进行了更新，并在第119届国会重新提出。目前两党对这两个法案的框架及内容尚存在分歧。

就COPPA 2.0及KOSA草案而言，可以看到美国儿童网络保护整体呈现强化趋势，具体表现为：

第一，受保护群体的范围将大幅扩大。

COPPA 2.0将受保护群体的年龄范围从COPPA的"13岁以下儿童"扩展至"17岁以下儿童及青少年"。该法案禁止过度收集、使用和共享该年龄段用户的数据，并全面禁止针对该年龄段用户投放定向广告。

KOSA同样覆盖13至17岁的未成年人，旨在保护该年龄段的网络用户免受包括心理健康问题、网络欺凌、性剥削、成瘾行为等在内的互联网风险的侵害。

第二，需要合规的企业数量将有所增加。

如前文所述，按照COPPA的规定，就目标受众涵盖所有年龄段用户的网站或在线服务商而言，其只有在明确知情有13岁以下儿童用户时，才须遵守COPPA。但事实上，相关企业已经具备较为成熟的能力通过各种年龄线索计算得出并定位到大量儿童用户。因此，为进一步避免监管漏洞，COPPA 2.0将原文中简单的"actual knowledge"替换为"actual knowledge or knowledge fairly implied on the basis of objective circumstances"（"明确知情或基于客观情境可合理推断的知情"），促使所有网站或在线服务商评估和记录其用户年龄线索，并主动适用COPPA 2.0。

KOSA的受规制平台则包含社交媒体服务、社交网络、在线游戏（含教育游戏）、消息应用、视频流服务及其他面向或可能面向未成年人的在线平台，监管范围也非常广泛。在第119届国会重新提出的KOSA草案要求适用平台制定合理政策、实践和程序，以防止已知未成年人遭受以下危害（如暴力威胁、性剥削、毒品推广等）。

第三，保护机制变为数据最小化为主，通知与同意为辅。

如前文所述，COPPA的隐私保护机制是"年龄验证-通知-可验证的家长同意（VPC）"，而COPPA 2.0将直接通过默认的数据最小化来提供一种更为全面的未成年人隐私保护。COPPA 2.0 默认禁止针对儿童和青少年进行个性化广告投放，也禁止为该广告投放之目的而收集、使用、披露或保留个人信息，仅当信息收集与未成年人与运营商的交易或服务关系相符，且为履行该交易或服务所必需时，方可收集、使用或披露，且保留个人信息不得超过合理履行交易或提供服务所需的期限。也就是说，仅在法案允许的例外情形下，家长同意才起到额外的保护作用。

第四，企业的合规义务增加，且不仅限于未成年人隐私保护。

总体而言，COPPA、COPPA2.0专注于未成年人网络隐私保护，而KOSA则旨在应对未成年人在网络环境中面临的更广泛的安全风险。根据KOSA草案，平台必须采取合理措施，预防和减轻对未成年人的多种危害，包括心理健康问题（如焦虑、抑郁等）、暴力与骚扰、性剥削虐待及不良产品推广等；平台需遵守多种设计要求，包括为未成年人启用默认的安全保护设置，并为家长提供管理及监控子女在线活动的工具；符合条件的平台需遵守透明度规定，每年发布报告披露未成年人使用情况、风险评估、保障措施效果及改进计划等，并通过独立第三方审计；等等。

总而言之，KOSA与COPPA 2.0在保护对象、合规主体与合规义务方面均引入了大量新内容，这在很大程度上体现了美国立法机构在加强未成年人网络保护方面的共识，也将为互联网企业带来更加广泛和深入的合规挑战。因此，我们建议广大互联网企业密切关注相关立法进展，提前评估和调整自身的合规策略，以应对可能到来的更为严格的监管要求。

注释：

1 https://www.ftc.gov/enforcement/cases-proceedings/terms/1421+950?page=0

2 https://www.ftc.gov/news-events/news/press-releases/2025/12/court-approves-order-requiring-disney-pay-10-million-settle-ftc-allegations-firm-enabled-unlawful

3 参见https://www.ftc.gov/news-events/news/press-releases/2022/12/fortnite-video-game-maker-epic-games-pay-more-half-billion-dollars-over-ftc-allegations。

4 参见https://www.ftc.gov/news-events/news/press-releases/2019/09/google-youtube-will-pay-record-170-million-alleged-violations-childrens-privacy-law。

5 详见

https://www.ftc.gov/system/files/documents/closing_letters/amazon.com-inc.staff-response-complaint-epic/112404epic.pdf

6 详见：https://www.congress.gov/bill/119th-congress/senate-bill/1748。

7 详见：https://www.congress.gov/bill/119th-congress/house-bill/6291/text。

* 安杰世泽实习生郭芳菲对本文亦有贡献。