COPPA 新规 4·22 全面执法启动：FTC 生物识别扩张 + 分离同意 + $53,088/次累进罚款——中资儿童 App、游戏与 EdTech 出海企业的合规生死线

2026 年 4 月 22 日，美国联邦贸易委员会（FTC）依《儿童在线隐私保护规则》（COPPA Rule，16 CFR Part 312）2025 年最终修订案设定的合规过渡期正式结束。从这一天起，所有面向 13 岁以下儿童（child-directed）或对儿童存在"实际知悉"（actual knowledge）的网站、移动 App 与在线服务运营者，必须完整落地 § 312.2 生物识别扩张定义、§ 312.5(a)(2) 分离式可验证父母同意（separate VPC）、§ 312.10 数据保留期限上限与 § 312.8 书面信息安全计划（WISP）。叠加单次违规最高 $53,088 的民事罚款与 FTC 2025 年针对 Cognosphere（米哈游北美关联）$2,000 万、Disney $1,000 万的高额和解，为面向美国未成年人收集数据的所有中资 App、手游、EdTech 与社交平台企业划下了一条不可回避的合规生死线。

一、法规背景：COPPA 自 2013 年以来最大幅度修订

COPPA 自 1998 年立法以来，FTC 依 15 U.S.C. § 6501–6505 持续制定与修订 16 CFR Part 312 子规则。本轮修订由 FTC 于 2024 年 1 月发布 SNPRM（补充立法预通知），2025 年 1 月 16 日以委员会五人全票通过最终规则，2025 年 4 月 22 日刊登于《联邦公报》（90 FR 16940），2025 年 6 月 23 日生效，对绝大多数条款给出整整一年的过渡期至 2026 年 4 月 22 日全面合规。这是 COPPA 自 2013 年修订以来最大幅度的一次规则更新，其立法动因来自三方面：一是大规模数据掮客（data broker）与广告生态对儿童数据的精准画像；二是 SDK 与第三方追踪器在儿童 App 内的隐蔽采集；三是 AI 与生成式服务对儿童生物识别样本（声纹、面部、步态）的训练性收集。

二、三大核心变化：定义扩张、分离同意、安全计划

1. § 312.2 个人信息定义全面扩张至生物识别识别符

新规则在 "personal information" 定义中明确加入 "biometric identifier"，覆盖可用于自动或半自动个体识别的指纹与掌纹、视网膜与虹膜模板、含 DNA 序列的基因数据、声纹与面部模板、步态识别等。同时新增"政府身份证号"、"出生日期"与精确地理位置（precise geolocation）的进一步限缩。任何儿童 App 中嵌入语音搜索、人脸登录、AR 滤镜、动作捕捉或声音指令唤醒，凡触及上述生物样本，即直接落入 COPPA 的规制范围。

2. § 312.5(a)(2) 分离式可验证父母同意（Separate VPC）

对儿童个人信息的"内部使用"与"向第三方披露"（包括用于定向广告、跨场景画像、SDK 分享）必须取得两项明确分开的 VPC。即使两项同意可在同一界面同时呈现，亦必须以无歧义、肯定性、分别勾选的方式呈现；任何"打包同意"或"必选项预勾选"均构成违规。唯一豁免是该披露对网站/服务的运营"必要且内在"（integral），如客服回应、订单履行等狭义场景。

3. § 312.8 + § 312.10 书面信息安全计划与数据保留上限

运营者必须建立、实施并维护书面信息安全计划（WISP），明确指定责任人、定期风险评估、第三方处理者尽职调查，并形成书面数据保留与删除政策——儿童个人信息保留时间不得超过实现其原始采集目的所需的合理期限。违反 § 312.10 数据最小化与保留上限可独立追究，无需同时证明其他条款的违反。

三、执法动态：千万级和解与每次 $53,088 民事罚款

Cognosphere LLC（米哈游北美关联）— 2025 年 1 月与 FTC 达成 $2,000 万和解，被指控《Genshin Impact》未取得 VPC 即收集 13 岁以下用户数据，并允许通过抽卡（gacha）机制向其销售虚拟物品（FTC v. Cognosphere LLC, D.D.C. No. 1:25-cv-00067）。

The Walt Disney Co. — 2025 年 9 月就在 YouTube 儿童定向视频中允许 Google 收集儿童数据达成 $1,000 万和解。

Apitor Technology Co., Ltd.（深圳教育机器人厂商）— 2025 年 9 月就在其儿童编程机器人 App 内嵌入 Adjust / Bytemobile 等第三方 SDK 未取得 VPC 擅自采集儿童数据达成和解。

FTC 2026 年 2 月 25 日年龄验证政策声明 — 对仅用于年龄判定目的的数据采集给予执法豁免，反向确认了所有"超出年龄判定目的"的数据采集均落入新规。

民事罚款上限：单次违规最高 $53,088（依 16 CFR § 1.98 物价指数调整后），违规以"每名儿童每项行为"计算——一个 100 万 DAU 的儿童 App 理论曝光面将以亿美元计。

四、对中资企业的合规要点

1. 重新审核年龄筛查与 actual knowledge 风险点。对 App Store / Google Play 评级标签、广告投放素材、UI/UX 设计、角色与音乐使用、营销文案、KOL 合作内容进行 child-directed 多因素自评，将"目标受众"分析与"实际知悉"风险点书面化归档。

2. 拆解并重写 VPC 流程。将"内部使用"与"对第三方披露"的同意流程在产品端彻底分离，重写父母同意页面与隐私政策模块，VPC 取得方式（信用卡、身份验证、知识题、政府 ID）须与 § 312.5(b) 列举方法一致，并保留同意日志至少 6 年以备稽查。

3. SDK 与第三方处理者全面清单化。建立 SDK 注册册（SDK Inventory）、对每一个嵌入 SDK 重新执行 due diligence、重新签署 Data Processing / Vendor Privacy Agreement，要求 SDK 厂商提供 COPPA 合规书面承诺与数据流向图（data flow diagram）。

4. 生物识别功能下线或单独同意。对涉及声纹、人脸、面部表情、步态、AR 试戴等功能进行特别评估，对 13 岁以下用户场景下默认下线，或单独设计 VPC 流程并通过法律意见书固定边界。

5. 落地 WISP + 数据保留政策。指定 COPPA 合规负责人（一般为 DPO 或合规总监），落实年度风险评估，将数据保留上限文档化（按数据类型分类设定），删除机制需具备可审计性；安全事件 30 日内书面通知 FTC。

五、格知律所如何协助

格知律所长期为中资游戏、手游发行、EdTech、社交平台、智能玩具、儿童内容与短视频平台提供 COPPA 与州级儿童数据法（佛州 HB 3、犹他 SMRA、加州 SB 976、马里兰 MODPA、得州 SCOPE Act 等）双轨合规服务。本所为客户提供：(i) child-directed 因素与 actual knowledge 风险评估及书面意见书；(ii) 分离式 VPC 流程的产品端设计、隐私政策起草与父母同意页面合规审阅；(iii) SDK 与第三方处理者尽职调查、DPA / VPA 起草与谈判；(iv) § 312.8 书面信息安全计划（WISP）与 § 312.10 数据保留政策起草；(v) FTC 调查应对、Civil Investigative Demand（CID）回复与和解谈判；(vi) 集团诉讼防御与多州 AG 并行执法协同应对，特别擅长结合 Cognosphere、Disney、Apitor 等先例案件做战术对标，为中资客户在跨境合规与诉讼防御两端构建一体化方案。

六、结语 / Outlook

COPPA 4·22 全面执法只是一连串儿童数据立法的起点。佛州 HB 3 已于 2026 年 1 月生效、犹他 SMRA 经联邦法院二度修订后于 2026 年 5 月可执行、加州 SB 976（CA AADC）经第九巡回 2025 年裁定部分条款生效——美国已经进入"联邦 COPPA + 州综合性儿童社交媒体法 + 州 AG 单独诉权 + 私人 BIPA 类追偿"四轨并行的执法格局。对于把美国未成年用户纳入运营版图的所有中资企业，2026 年 4 月 22 日不是合规建设的终点，而是一场漫长的、由 FTC、各州 AG 与原告律师团联合驱动的执法长征的真正开始。