美国 COPPA 儿童隐私新规全面进入执法:FTC 重塑「13 岁以下」数据合规——中资 App、手游与智能玩具企业的红线全解析
美国联邦贸易委员会(FTC)修订后的《儿童在线隐私保护规则》(COPPA Rule)已于 2026 年 4 月 22 日正式进入全面执法阶段。这是该规则自 2000 年生效、2013 年上一次重大修订以来逾十年来最深刻的一次升级。对面向美国市场、用户中可能包含 13 岁以下儿童的中资 App、手游、短视频、智能玩具与教育科技企业而言,"先收集、再说明"的旧打法已彻底失效——单笔违规最高可被处以 53,088 美元的民事罚款。
监管背景:十年来最大一次儿童隐私规则升级
COPPA(《儿童在线隐私保护法》,1998 年立法)禁止运营者在未获得"可验证的父母同意"(verifiable parental consent, VPC)的情况下,收集、使用或披露 13 岁以下儿童的个人信息。FTC 于 2025 年 4 月 22 日在《联邦公报》(Federal Register)公布修订终稿,规则于 2025 年 6 月 23 日生效,并及予运营者一年过渡期至 2026 年 4 月 22 日完成全面合规。该日期是"硬性截止日",而非建议目标——逾期未达标的运营者现已直接暴露于执法风险之下。
规则适用对象包括三类:面向儿童(child-directed)的网站与在线服务;"混合受众"(mixed-audience)服务;以及"实际知悉"(actual knowledge)正在收集 13 岁以下儿童个人信息的一般受众服务。许多中资企业误以为"我们不专门做儿童产品"即可豁免,但只要存在"实际知悉"或属于混合受众,合规义务同样适用。
监管要点:六项新增实质义务
修订规则新增多项实质性合规要求,运营者最容易出现缺口的领域包括:
一、第三方披露须单独取得父母同意。"收集 + 第三方披露"打包在一份同意书中的旧做法不再被接受。向第三方披露儿童个人信息(除非属于"服务所必需"),必须单独取得可验证的父母同意。定向广告(targeted advertising)与人工智能模型训练(AI model training)均被明确排除在"必需"之外——这意味着将儿童数据用于广告变现或喂养 AI 模型,必须事先获得专门的、独立的父母授权。
二、书面信息安全计划。运营者须建立并维护覆盖儿童个人信息的书面安全计划,包含指定负责人、年度风险评估、书面安全保障措施、对措施的定期测试,以及对计划的年度评估与修订。
三、书面数据留存政策。必须制定书面留存政策,明确收集了哪些儿童个人信息、留存的商业目的,以及具体的删除时限,并须在在线隐私声明中公布。无限期留存被明确禁止。
四、扩展的在线告知义务。隐私声明须披露接收儿童信息的第三方身份或类别、披露目的,以及数据留存政策;依赖"内部运营支持"例外的运营者,还须说明所支持的具体运营及防止未经授权使用的安全保障。
五、第三方安全保证。在与供应商或其他第三方共享儿童个人信息前,运营者须采取合理步骤确认对方具备维护适当数据安全的能力,并获得书面保证。
六、扩展的"个人信息"定义与数据主体请求。修订规则将生物识别标识符(声纹 voiceprint、面纹 faceprint、面部模板)以及政府签发的身份证件号码纳入"个人信息"范围。运营者在父母行使访问权时,必须将这些数据类型一并纳入响应。此外,FTC 也扩充了可接受的 VPC 验证方式,新增动态多选题的知识型身份验证、政府签发带照片证件、以及"短信加确认步骤"等方法。
年龄验证的平行进展
FTC 于 2026 年 2 月 25 日发布政策声明,对混合受众或一般受众服务仅为"验证用户年龄"而收集儿童数据、且未事先取得父母同意的情形,给予有限的执法豁免。但适用该豁免须满足严格条件:所收集数据仅用于年龄验证、采取合理安全保障、验证完成后即删除、在隐私政策中清晰告知,并对验证方法准确性负责。FTC 已表示将另行通过正式的"通知—评论"程序,就年龄验证机制推进专门立法。
对中资企业的合规启示
对在美展业或向美出口数字产品的中资企业,建议立即落实以下动作:
1. 全生命周期数据测绘。从收集到删除,完整梳理儿童个人信息流向,核实实际做法与已公布政策是否一致——"政策写一套、系统做一套"是 FTC 执法的高发点。
2. 重构同意流程。对任何超出"服务必需"范围的第三方披露(尤其是定向广告与 AI 训练),单独设置独立的可验证父母同意环节,切勿与基础收集同意捆绑。
3. 落地两份书面制度。分别完成书面信息安全计划与书面数据留存政策,均须专门针对儿童个人信息,并将留存政策公布于在线隐私声明中。
4. 审查供应商与 SDK 合同。许多中资 App 通过第三方广告 SDK、分析工具变现,须确认相关协议中已纳入书面安全保证,并对 SDK 是否会触发儿童数据外传进行尽职审查。
5. 更新告知与 DSAR 响应。修订隐私声明与给父母的直接告知,纳入第三方披露与留存披露;同时确保生物识别等新增数据类型已纳入数据主体访问请求的响应范围,并对相关岗位人员开展培训。
趋势展望
此次修订是二十余年来美国儿童在线隐私义务的首次全面更新,标志着 FTC 将儿童隐私列为执法优先事项。值得注意的是,COPPA 仅是底线:得克萨斯、加利福尼亚等州的儿童隐私与"适龄设计"法规、以及 FTC 后续就年龄验证的专项立法,正在叠加构筑更高的合规门槛。对中资出海企业而言,儿童隐私合规已不是"一次性项目",而需纳入持续监测与年度复核机制。在产品设计阶段即嵌入"隐私优先 / 适龄设计"理念,方能在美国市场行稳致远。
本文仅为一般性法律信息,不构成针对具体事务的法律意见。如贵司产品涉及美国 13 岁以下用户的数据处理,建议结合自身业务获取专项合规分析。