美国首部青少年隐私法生效:阿肯色州 HB 1717 将儿童隐私保护扩展至16岁——中资 App、游戏与电商出海的定向广告新禁区
2026年7月1日,阿肯色州《儿童与青少年在线隐私保护法》(Children and Teens' Online Privacy Protection Act,HB 1717 / Act 952,编纂于 A.C.A. § 4-88-1501 及以下条款)正式生效。这是美国第一部将联邦 COPPA 式的全面儿童隐私保护扩展至 13–16 岁青少年的州法律,其核心是禁止为定向广告目的收集儿童与青少年的个人信息。对于面向美国市场运营 App、游戏、社交与电商平台的中资企业而言,用户年龄分层、广告变现与同意机制都需要按这一新基线重新校准。
立法背景
联邦《儿童在线隐私保护法》(COPPA,15 U.S.C. §§ 6501–6505)自1998年颁布以来仅保护13岁以下儿童,而将保护范围扩展至青少年的联邦修法(即"COPPA 2.0")多年悬而未决。阿肯色州州长于2025年4月21日签署 HB 1717,率先在州层面填补空白,法案于2026年7月1日生效。该法以 COPPA 及联邦 COPPA 2.0 草案为蓝本,沿用"通知—同意—数据最小化—用户权利"的经典框架,但首次将全套儿童隐私义务整体适用于青少年。鉴于未成年人隐私保护在美国是两党共识议题,业界普遍预期其他州将陆续跟进。
适用范围与关键定义
该法适用于为商业目的运营网站、在线服务、在线应用或移动应用并收集用户个人信息的"运营者"(operator)。值得注意的是,允许第三方经由其服务直接向用户收集个人信息的,视同运营者自行收集(A.C.A. § 4-88-1502(9)(A))——这直接将广告 SDK、像素与追踪器纳入运营者的责任范围。
"儿童"指位于阿肯色州的12岁及以下个人;"青少年"(teen)指13岁以上、未满17岁的个人。"定向广告"指基于消费者跨非关联网站或应用的长期活动数据预测其偏好而投放的广告。义务的触发条件是服务"面向儿童或青少年",或运营者对收集儿童/青少年个人信息存在"实际知情"(actual knowledge);法律并未强制要求运营者实施年龄验证(A.C.A. § 4-88-1505)。
核心禁止行为与合规义务
第一,定向广告禁令:不得为定向广告目的收集或维护儿童及青少年的个人信息,也不得允许第三方收集(A.C.A. § 4-88-1503(a)(1)(B)),仅保留履行交易、提供用户请求的产品或服务、法律要求等有限例外。第二,留存限制:不得超出完成交易或提供服务合理必要的期限留存儿童或青少年个人信息。第三,对存在"实际知情"的运营者,法律还要求:发布列明收集类别、处理目的、披露实践、用户权利、共享类别及第三方类别的隐私声明;取得同意——儿童须经家长同意,13–16岁青少年可由本人或其家长同意,这一"双层同意"架构是该法最具特色的设计;保障访问、删除、更正权;遵守数据最小化——不得以披露超额个人信息作为儿童参与游戏或抽奖的前提;并建立合理安全措施。
豁免与执法机制
非营利组织、州公立学校及州政府机构不属于"运营者";已遵守 COPPA 规则的"互动游戏平台"亦获豁免(A.C.A. § 4-88-1502(9)(B))。执法方面,州总检察长享有专属执法权,可代表阿肯色州居民提起民事诉讼,请求损害赔偿、返还或其他补偿;该法编纂于阿肯色州《欺诈性贸易行为法》体系之下,不设私人诉权。
对中资企业的合规启示
一、数据映射与年龄分层:立即梳理美国用户中13–16岁群体的触点与数据流。过去按 COPPA 只需关注"13岁以下"的企业,现在必须为青少年建立独立的数据台账。
二、广告 SDK 与追踪器审查:对嵌入的广告 SDK、分析像素逐一排查,在识别为儿童或青少年的会话中关闭跨站定向广告;因第三方收集视同自行收集,应同步更新与广告与分析供应商的数据处理协议(DPA),明确禁止性条款与审计权。
三、同意流程改造:搭建"儿童—家长同意、青少年—本人或家长同意"的双轨机制,并更新隐私政策以覆盖法定六项披露内容。
四、DSAR 流程扩展:将现有的访问、删除、更正请求流程扩展至青少年本人及其家长,设定身份核验与响应时限。
五、留存与产品设计审查:制定儿童/青少年数据留存时间表;游戏、抽奖等增长玩法不得以收集额外个人信息为参与条件,产品与增长团队应在设计阶段引入合规评审。
趋势展望
HB 1717 与2026年生效的 FTC 修订版 COPPA 规则、多州社交媒体未成年人法案共同构成美国未成年人数据保护的"州—联邦"双层收紧格局。对中资出海企业而言,青少年数据已从"灰色地带"变为高风险资产,建议以最严格州法为基线统一全美合规方案,避免逐州打补丁的被动局面。格知律师事务所将持续跟踪各州立法与执法动态。