verified_user
Standardful
首頁chevron_right標準chevron_rightCOPPA
現行有效國際標準update 標準更新:2025年1月fact_check 事實核查:2026年6月28日

COPPA

1998 年兒童線上隱私保護法

apartment發布組織:聯邦貿易委員會(FTC)

標準簡介

《兒童線上隱私保護法》(COPPA)是 1998 年 10 月頒布的美國聯邦法律,由聯邦貿易委員會(FTC)透過 COPPA 規則執行,該規則於 2000 年 4 月首次生效。COPPA 對面向 13 歲以下兒童的商業網站和線上服務營運商,或實際知悉正在蒐集 13 歲以下兒童個人資訊的營運商施加特定要求。

COPPA 要求營運商提供清晰的隱私政策,在蒐集資料前取得可驗證的家長同意,賦予家長查閱和控制子女資料的權利,並維護合理的資料安全措施。FTC 積極執行 COPPA 並處以鉅額民事罰款——2022 年對 Epic Games 處以創紀錄的 2.75 億美元罰款。2025 年 1 月最終確定的重大修正案強化了對定向廣告、資料保留和第三方揭露的保護,要求於 2026 年 4 月前完全合規。

child_care

13 歲以下兒童保護

對面向 13 歲以下兒童或明知會收集 13 歲以下兒童個人資訊的網站和線上服務營運者提出要求。

supervisor_account

可驗證的家長同意

要求營運者在收集、使用或揭露兒童個人資訊前,取得可驗證的家長同意。

gavel

FTC 執法

FTC 積極執行 COPPA,每次違規最高可處 53,088 美元民事罰款。創紀錄的處罰是 2022 年對 Epic Games 處以的 2.75 億美元罰款。

list_alt COPPA 核心要求

  • 發布清晰、全面的線上隱私政策
  • 在收集資料前直接告知家長
  • 在收集前取得可驗證的家長同意
  • 允許家長審查和刪除兒童資料
  • 將資料收集限制在合理必要範圍內
  • 維持合理的資料安全程序
  • 資料保留和刪除要求
  • 自我監管的安全港計畫

誰需要合規?

groups

面向 13 歲以下兒童,或明知會收集 13 歲以下兒童個人資訊的商業網站和線上服務(包括應用程式、遊戲和連網裝置)的營運者。

關鍵要求

1

隱私政策

營運者必須發布清晰、全面的隱私政策,說明有關兒童個人資訊的處理方式,包括所收集資料的類型、使用方式及揭露實務。

2

可驗證的家長同意

必須在收集、使用或揭露兒童個人資訊前,取得可驗證的家長同意。方式包括簽署的同意書、信用卡驗證、視訊會議以及政府證件核驗等。

3

資料最小化

營運者不得以收集超出合理必要範圍的個人資訊作為兒童參與活動的前提條件。

4

資料安全計畫

建立並維持書面的資訊安全計畫,採取合理程序保護從兒童處收集的個人資訊的機密性、安全性和完整性。

5

家長存取權

家長必須能夠審查從其子女處收集的個人資訊、要求刪除,並拒絕進一步收集或使用。

實施路線圖

1
階段 1schedule 預計週期: 2-4 周

准备範圍、責任和監管背景

圍繞網站、應用程式、游戏、連網服务、廣告技術、分析、家長流程以及面向兒童或混合受众的体验定義兒童線上隱私合規專案範圍。指定責任人,識別適用法律、客戶、認證或市場准入驅動因素,并在整改前約定證據模型。

2
階段 2schedule 預計週期: 4-8 周

差距分析和基於風險的計畫

依据 COPPA 期望和風險背景評估目前實務。審查年齡篩查、直接家長通知、可驗證家長同意、資料最小化、家長存取和刪除权、第三方共享限制、安全、保留和安全港对齐,并按法律暴露、客戶影響、安全或隱私風險以及稽核或提交準備度排列差距優先順序。

3
階段 3schedule 預計週期: 8-20 周

實施控制、文件和證據

部署所需流程、控制、審查、訓練、供應商控制和文件化資訊。圍繞隱私通知、同意流程、年齡门槛逻辑、家長驗證記錄、資料地图、处理方合約、刪除日誌、安全控制和保留計畫建立可追溯證據。

4
階段 4schedule 預計週期: 持續進行

審查、稽核并維護合規

在FTC 问询或隱私審查前完成內部審查、準備度檢查和矯正措施。產品、供應商、法律、客戶、事件或營運變化后保持專案更新。

合規檢查清單

0 / 12

checklist 範圍与問責

checklist 控制与記錄

checklist 監控与改进

處罰與執行

warning

每次違規民事罰款最高可達 53,088 美元。2022 年 12 月,FTC 對 Epic Games(《要塞英雄》)開出創紀錄的 2.75 億美元 COPPA 罰單。罰款考量違規的嚴重程度、受影響兒童人數以及公司規模。

常見問題解答

谁需要 COPPA?

expand_more

COPPA 適用于活動落入網站、應用程式、游戏、連網服务、廣告技術、分析、家長流程以及面向兒童或混合受众的体验的組織。採用动因通常来自監管、客戶、採購要求、市場准入,或證明組織能紀律化控制高影響風險的需要。

COPPA 的核心目的是什么?

expand_more

核心目的是为年齡篩查、直接家長通知、可驗證家長同意、資料最小化、家長存取和刪除权、第三方共享限制、安全、保留和安全港对齐建立可重複執行的專案。不同領域细节不同,但實務目标都是让義務可见、分配責任、執行控制并保持證據最新。

首先应做什么?

expand_more

先確認範圍和所有權。许多失敗源于邊界不清、缺少責任人,或證據与實際產品、服务、系統或資料流不匹配。

實施需要多长時間?

expand_more

聚焦實施通常需要數月。週期取決於成熟度、產品或場所數量、供應商參與度、技術複雜度、測試證據以及外部審查深度。

哪些證據最有用?

expand_more

有用證據包括隱私通知、同意流程、年齡门槛逻辑、家長驗證記錄、資料地图、处理方合約、刪除日誌、安全控制和保留計畫。稽核员、監管機構、客戶或審評人員通常期望看到控制正在執行,而不仅是政策存在。

应如何管理供應商?

expand_more

供應商責任应通过合約和執行流程明確。高風險供應商需要盡職調查、下傳要求、證據請求、績效監控以及针对發現項或事件的升級路徑。

專案应多久審查一次?

expand_more

審查频率应跟随風險和變化。年度審查很常見,但產品發布、事件、監管變化、客戶要求、重大供應商或稽核发现应更早觸發專項審查。

可以与其他合規專案整合吗?

expand_more

可以。COPPA 通常可以与相关標準共享治理、訓練、供應商管理、文件控制、問題追蹤、內部稽核和管理審查,同时保留自身特定法律或技術證據。

官方文件

查看全部

實施時間線

gavel
1998年10月
COPPA signed into law by President Clinton
check_circle
2000年4月
FTC COPPA Rule takes effect
edit_note
2013年7月
Amended Rule effective — expanded definitions and consent methods
warning
2022年12月
Record $275M penalty against Epic Games (Fortnite)
update
2025年1月
FTC finalizes major COPPA Rule amendments
event
2026年4月
Full compliance deadline for 2025 COPPA Rule amendments

相關分類