COPPA 2.0 落地满月：FTC § 312 新规 4·22 强制合规 + $53,088/违规 + Cognosphere $2,000 万 / Disney $1,000 万双重先例——中资游戏 / 教育 / 短视频企业五项立即合规重构动作

2026 年 4 月 22 日，美国联邦贸易委员会（Federal Trade Commission, FTC）修订后的《儿童在线隐私保护规则》（Children's Online Privacy Protection Rule, 16 C.F.R. Part 312，下称 "COPPA 2.0"）正式触发强制合规——距今恰满 36 天，所有面向 13 岁以下美国未成年人开展业务、或"已知"其用户中含 13 岁以下未成年人的在线服务运营者，已无任何缓冲窗口。叠加 Cognosphere（米哈游 HoYoverse）2025 年 1 月 $2,000 万 + 第一份针对中资互联网企业的 COPPA 同意令、以及 Disney 2025 年 9 月 $1,000 万和解、2025 年 12 月 31 日联邦法院终局批准的连续两记重锤，FTC 委员 Mark Meador 在公开声明中已明确表态——委员会"已做好准备并热切期待"对 COPPA 2.0 新增义务展开执法。本文逐条拆解 § 312.2、§ 312.4、§ 312.5、§ 312.8、§ 312.10 修订要点、$53,088/违规的处罚口径与 2026 年 2 月 25 日 FTC 关于年龄验证技术的政策声明，并为中资游戏 / 教育 / 短视频 / SDK 服务商开出五项立即合规重构动作。

一、法规背景：COPPA 2.0 修订时间线

COPPA（15 U.S.C. §§ 6501-6506）自 2000 年生效以来仅在 2013 年进行过一次实质性修订。本轮 COPPA 2.0 修订路径如下：2025 年 1 月 16 日，FTC 全票通过最终规则；2025 年 4 月 22 日，规则在《联邦公报》（Federal Register）公告（90 FR 16930）；2025 年 6 月 23 日，规则正式生效；2026 年 4 月 22 日，所有运营者必须达成全面合规（§ 312.11(d)(1)、(d)(4)、(g) 三项关于"Safe Harbor 项目"的子条款另设 2026 年 4 月 22 日同期适用）。今天是 2026 年 5 月 28 日，强制合规窗口已开启 36 天。

二、§ 312 五项核心修订条款

§ 312.2 "个人信息" 定义扩张。修订后的 "personal information" 明确纳入两类新数据：（1）生物识别标识符（biometric identifier），包括指纹、声纹、视网膜 / 虹膜图像、面部模板、步态数据、DNA 序列；（2）政府颁发的标识符（government-issued identifier），包括驾照号、社保号、出生证号、护照号。此扩张直接吃掉了过去依赖"声纹 / 面部识别非个人信息"抗辩的游戏与短视频应用空间。

§ 312.4 / § 312.5 "可验证父母同意" 双层结构。修订后，运营者除收集儿童信息时取得 verifiable parental consent（VPC）外，还需就向第三方"披露"儿童个人信息的行为，单独取得一次 VPC——典型场景：定向广告、第三方分析 SDK、广告中介、社交分享插件。同意书必须分别罗列各类接收方、披露目的、保留期限，并提供逐项勾选选项。

§ 312.8 强制书面信息安全计划（Written Information Security Program, WISP）。所有运营者必须制定、实施并维护一份书面信息安全计划，涵盖：（1）指定专人负责；（2）风险评估；（3）行政、技术、物理保障措施；（4）服务提供方筛选与合同；（5）至少每年评估一次。这是 COPPA 历史上首次将 WISP 写入规则正文。

§ 312.10 数据保留与删除"必要期限"原则。运营者不得无限期保留儿童个人信息，仅可"为完成收集时书面记载的特定目的所必要的期限内"保留，目的完成后必须删除。规则进一步要求运营者书面记录其数据保留政策，并向父母公开披露。"无限期归档作为产品迭代素材"的旧做法被彻底封死。

§ 312.11 Safe Harbor 透明度。经 FTC 批准的 COPPA Safe Harbor 自律项目须每年向公众公开成员名单，并向 FTC 提交各成员合规审计结果。这一改动直接打通了 FTC 执法情报与第三方自律项目的数据通路。

三、罚款口径与执法工具箱

依据 15 U.S.C. § 45(m) 与 16 C.F.R. § 1.98，2025 年 1 月 17 日后评定的 COPPA 违规罚款上限为每违规 $53,088——"每违规"按"每名被违规收集 / 披露信息的儿童 × 每类违规行为"计算，单一案件常累积至数千万乃至数亿美元。配合工具包括：（1）FTC 法案 § 5 的不公平 / 欺骗性行为认定；（2）法院禁令（permanent injunction）；（3）算法删除（algorithmic disgorgement）——要求删除用违规数据训练的模型与衍生算法；（4）20 年合规监督期，定期向 FTC 报告。

四、两记先例：Cognosphere $2,000 万 + Disney $1,000 万

Cognosphere LLC（米哈游 / HoYoverse）案——FTC v. Cognosphere（C.D. Cal. 2:25-cv-00405），2025 年 1 月 17 日和解。FTC 指控《原神》（Genshin Impact）作为"指向儿童的在线服务"（child-directed online service），在明知 13 岁以下用户存在的情况下，未取得 VPC 即收集个人信息，并通过 lootbox / gacha 机制向 16 岁以下未成年人销售氪金道具，构成 COPPA 与 FTC 法案 § 5 双重违反。和解结构：$2,000 万民事罚款 + 永久禁令（16 岁以下未取得父母同意不得购买 lootbox）+ 20 年合规报告期。这是首例针对中资游戏发行商的 COPPA 联邦执法案件。

Disney 案——United States v. Disney Worldwide Services, Inc. et al.（C.D. Cal. 2:25-cv-08382），2025 年 9 月 2 日提交，2025 年 12 月 31 日法院终局批准。FTC 指控 Disney 未对部分 YouTube 视频正确标注 "Made for Kids"，导致定向广告在面向儿童的视频上运行，且未取得 VPC。和解金额 $1,000 万 + 永久禁令 + 强制审计。这一案件首次将 COPPA 责任延伸至"平台元数据标签错配"——即便底层平台（YouTube）已部署 COPPA 控件，内容上传方未正确标注仍需承担 COPPA 独立责任。

五、2026·2·25 年龄验证政策声明的"安全港"

2026 年 2 月 25 日，FTC 发布《关于年龄验证技术的政策声明》（Policy Statement on Age Verification Technologies），明确：仅为判定用户年龄而收集、使用、披露个人信息的运营者，FTC 在符合三项条件时不会依 COPPA 规则展开执法——（1）数据使用范围严格限于年龄判定；（2）判定完成后立即删除；（3）不得用于画像、广告、产品个性化等任何其他目的。该声明为部署独立年龄门控（age gate）的运营者提供了有限的"安全港"，但不豁免 § 312.4 / § 312.5 项下对通过年龄门控后的儿童用户仍须取得 VPC 的义务。

六、对中资企业的合规要点

第一，数据图谱重建 + § 312.2 "新型个人信息"识别。对所有面向美国用户的游戏、教育、短视频、社交、SDK 产品，立即重新清点采集字段，明确标注是否含生物识别（面部模板、声纹）与政府 ID；如有，立即启动 VPC 流程改造。

第二，双层 VPC 流程上线（采集 + 披露）。核心动作：将"接受隐私政策"单一勾选弹窗，重构为"收集同意"+"第三方披露同意"双确认弹窗，并按 § 312.5(b) 列举的七种可接受方式（信用卡 + 微额扣款、政府 ID 上传、视频通话等）至少部署两种。

第三，WISP 书面化 + 服务商合同 COPPA 条款穿透。起草符合 § 312.8 的书面信息安全计划，逐项落实风险评估、保障措施、定期审计；与所有 SDK、CDN、广告中介、数据分析服务商重签合同，纳入 COPPA 数据处理条款（DPA）、删除义务、违约通知、审计权。

第四，数据保留期限公开化 + 自动删除管道。为每一类儿童数据建立"收集目的—保留期限—自动删除触发条件"三段式登记表，并将保留政策逐条写入面向父母的隐私通知。技术侧部署自动删除任务（cron job + audit log）。

第五，lootbox / gacha / 算法推荐机制 COPPA + § 5 双轨自审。参照 Cognosphere 和解条款，对所有面向 16 岁以下未成年人的付费机制、抽卡机制、算法推荐机制进行赔率披露、概率合规、未成年消费限额改造，避免 COPPA 与 FTC 法案 § 5 叠加追责。

七、格知律所如何协助

针对 COPPA 2.0 执法窗口已开启的紧迫场景，格知律师事务所（Getech Law）可为中资企业提供端到端的合规重构与执法应对支持：（1）COPPA 2.0 全面合规审计——对游戏、教育、短视频、社交应用进行 § 312.2、§ 312.4、§ 312.5、§ 312.8、§ 312.10 五条款穿透审计，输出整改清单与优先级排序；（2）双层 VPC 流程与年龄门控法律意见书——结合 2026·2·25 FTC 政策声明，设计可在 FTC 安全港范围内运行的年龄验证 + 双层 VPC 架构；（3）WISP 书面信息安全计划起草与服务商 DPA 重签——交付符合 § 312.8 的书面合规体系，并主导与第三方 SDK、广告中介、CDN 服务商的 COPPA 数据处理协议谈判；（4）Lootbox / Gacha 算法 COPPA + FTC § 5 合规改造——比对 Cognosphere 同意令条款，对游戏内付费机制、概率披露、未成年消费限额进行前置自审；（5）FTC 调查应对与同意令谈判——在收到 FTC 信息函（CID）或起诉前，协调内部调查、特权保护、与 FTC 工作层级的早期沟通，控制罚款金额与合规监督期长度。我所合伙人团队拥有联邦贸易委员会 / 加州 CPPA 执法应对、跨境数据合规设计与游戏行业合规审计的复合经验，可为中资互联网企业在美合规风险最高发的窗口期提供决策级支持。

八、结语 / Outlook

COPPA 2.0 强制合规窗口已开启 36 天，FTC 在 Cognosphere 与 Disney 两起先例之后展现的执法节奏与 § 312 新条款的可诉性提示中资互联网企业："低龄用户存在但未正式承认"的灰色路径——所谓 actual knowledge 抗辩——正在被 § 312.2 扩张定义、§ 312.4 双层 VPC 与算法删除工具系统性封堵。预计 2026 年下半年至 2027 年上半年，FTC 将持续推出针对游戏、教育、短视频、AI 陪伴类应用的 COPPA 执法。中资企业的最优解不再是"逐案应对"，而是在执法落地前主动完成 COPPA 2.0 五条款穿透改造、双层 VPC 部署与 WISP 书面化——以合规架构换取在美持续经营空间。

格知律所将持续追踪 FTC 后续个案、加州 CPPA 与 COPPA 的双重叠加管辖，以及《儿童在线安全法》（KOSA）联邦立法动态，并在重大节点为客户输出实务备忘录。