标准简介
《儿童在线隐私保护法》(COPPA)是美国于 1998 年通过、由联邦贸易委员会(FTC)执行的联邦法律,保护 13 岁以下儿童的在线个人信息。该法要求面向儿童的网站和在线服务的运营商,或实际知晓正在收集 13 岁以下儿童个人信息的运营商,在收集、使用或披露儿童个人信息前获得可验证的家长同意。COPPA 规则于 2000 年 4 月首次生效,2013 年进行了重大修订,2025 年 1 月发布了最新的规则更新。
COPPA 2025 年最新修订加强了对儿童隐私的保护,主要变化包括:扩大了「个人信息」的定义,纳入了生物特征标识符和精确地理位置数据;限制了推送通知的使用;加强了数据保留和删除要求;引入了更严格的第三方数据共享限制。运营商必须发布清晰全面的隐私政策、提供直接通知给家长、获得可验证的家长同意(方法包括签名表格、信用卡验证、视频通话等)、允许家长审查和删除信息,并维护合理的数据安全程序。FTC 可以对违规企业处以每次违规最高 53,088 美元的民事罚款。近年重大执法案例包括对 Epic Games(Fortnite)处以 2.75 亿美元罚款和对 Amazon(Alexa/Ring)处以 3,000 万美元以上罚款。
13 岁以下儿童保护
对面向 13 岁以下儿童或明知会收集 13 岁以下儿童个人信息的网站和在线服务运营者提出要求。
可核实的家长同意
要求运营者在收集、使用或披露儿童个人信息前,取得可核实的家长同意。
FTC 执法
FTC 积极执行 COPPA,每次违规最高可处 53,088 美元民事罚款。创纪录的处罚是 2022 年对 Epic Games 处以的 2.75 亿美元罚款。
list_alt COPPA 核心要求
- 发布清晰、全面的在线隐私政策
- 在收集数据前直接告知家长
- 在收集前取得可核实的家长同意
- 允许家长审查和删除儿童数据
- 将数据收集限制在合理必要范围内
- 保持合理的数据安全程序
- 数据保留和删除要求
- 自我监管的安全港计划
谁需要合规?
面向 13 岁以下儿童,或明知会收集 13 岁以下儿童个人信息的商业网站和在线服务(包括应用程序、游戏和互联设备)的运营者。
关键要求
隐私政策
运营者必须发布清晰、全面的隐私政策,说明有关儿童个人信息的处理方式,包括所收集数据的类型、使用方式及披露实践。
可核实的家长同意
必须在收集、使用或披露儿童个人信息前,取得可核实的家长同意。方式包括签署的同意书、信用卡验证、视频会议以及政府证件核验等。
数据最小化
运营者不得以收集超出合理必要范围的个人信息作为儿童参与活动的前提条件。
数据安全计划
建立并维护书面的信息安全计划,采取合理程序保护从儿童处收集的个人信息的机密性、安全性和完整性。
家长访问权
家长必须能够审查从其子女处收集的个人信息、要求删除,并拒绝进一步收集或使用。
实施路线图
准备范围、责任和监管背景
围绕网站、应用、游戏、联网服务、广告技术、分析、家长流程以及面向儿童或混合受众的体验定义儿童在线隐私合规项目范围。指定责任人,识别适用法律、客户、认证或市场准入驱动因素,并在整改前约定证据模型。
差距分析和基于风险的计划
依据 COPPA 期望和风险背景评估当前实践。审查年龄筛查、直接家长通知、可验证家长同意、数据最小化、家长访问和删除权、第三方共享限制、安全、保留和安全港对齐,并按法律暴露、客户影响、安全或隐私风险以及审核或提交准备度排列差距优先级。
实施控制、文档和证据
部署所需流程、控制、评审、培训、供应商控制和成文信息。围绕隐私通知、同意流程、年龄门槛逻辑、家长验证记录、数据地图、处理方合同、删除日志、安全控制和保留计划建立可追溯证据。
评审、审核并维护合规
在FTC 问询或隐私审查前完成内部评审、准备度检查和纠正措施。产品、供应商、法律、客户、事件或运营变化后保持项目更新。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与改进
处罚与执行
每次违规民事罚款最高可达 53,088 美元。2022 年 12 月,FTC 对 Epic Games(《堡垒之夜》)开出创纪录的 2.75 亿美元 COPPA 罚单。罚款考量违规的严重程度、受影响儿童人数以及公司规模。
常见问题解答
谁需要 COPPA?
expand_more
COPPA 适用于活动落入网站、应用、游戏、联网服务、广告技术、分析、家长流程以及面向儿童或混合受众的体验的组织。采用动因通常来自监管、客户、采购要求、市场准入,或证明组织能纪律化控制高影响风险的需要。
COPPA 的核心目的是什么?
expand_more
核心目的是为年龄筛查、直接家长通知、可验证家长同意、数据最小化、家长访问和删除权、第三方共享限制、安全、保留和安全港对齐建立可重复运行的项目。不同领域细节不同,但实践目标都是让义务可见、分配责任、运行控制并保持证据最新。
首先应做什么?
expand_more
先确认范围和所有权。许多失败源于边界不清、缺少责任人,或证据与实际产品、服务、系统或数据流不匹配。
实施需要多长时间?
expand_more
聚焦实施通常需要数月。周期取决于成熟度、产品或场所数量、供应商参与度、技术复杂度、测试证据以及外部审查深度。
哪些证据最有用?
expand_more
有用证据包括隐私通知、同意流程、年龄门槛逻辑、家长验证记录、数据地图、处理方合同、删除日志、安全控制和保留计划。审核员、监管机构、客户或审评人员通常期望看到控制正在运行,而不仅是政策存在。
应如何管理供应商?
expand_more
供应商责任应通过合同和运行流程明确。高风险供应商需要尽职调查、下传要求、证据请求、绩效监控以及针对发现项或事件的升级路径。
项目应多久评审一次?
expand_more
评审频率应跟随风险和变化。年度评审很常见,但产品发布、事件、监管变化、客户要求、重大供应商或审核发现应更早触发专项评审。
可以与其他合规项目整合吗?
expand_more
可以。COPPA 通常可以与相关标准共享治理、培训、供应商管理、文件控制、问题跟踪、内部审核和管理评审,同时保留自身特定法律或技术证据。