2025年6月20日，纽约州《儿童数据保护法案》（New York Child Data Protection Act，简称NYCDPA）正式生效。该法案的出台，旨在填补联邦立法《儿童在线隐私保护法案》（Children’s Online Privacy Protection Act，简称COPPA）在儿童用户年龄覆盖、数据控制权和技术适应性等方面的空白，标志着州一级在儿童及青少年数据保护领域迈出关键一步。

一、立法基础与适用范围（§899-ee）

CDPA是纽约州通过的面向未成年人的全面性数据保护法规，适用于以下情形：

• 适用主体：运营网站、在线服务、移动应用或联网设备的实体；
• 适用条件：运营者“实际知道”其收集的数据来自未成年人；或者其服务“主要面向未成年人”（primarily directed to minors）；
• 年龄范围：适用于未满18岁的“minor”；
• 数据定义：包括可识别自然人或其设备的数据（直接或可合理关联）（§899-ee(4)）；
• 若设备发出“将用户视为未成年人”的信号，运营者必须将其视为未成年人（§899-ii(1)）。

二、NYCDPA的核心内容

（一）处理规则

在处理规则上，运营者若未取得13至17岁用户的有效知情同意，则仅可在“严格必要”（strictly necessary）的法定情形下处理其个人数据。这与COPPA允许在“内部运营支持”或“安全保障”等场景下收集数据的机制大体一致。但NYCDPA在例外的边界设定上更加严格，明确排除了广告、营销、产品研发等情形，并要求处理目的的“具体性”与“合理用户期待”保持一致，防止运营者借“功能必要性”之名滥用用户数据。

1. 13岁以下儿童：处理行为必须符合联邦COPPA规定（15 U.S.C. §6502），即需取得父母同意。
2. 13–17岁未成年人，数据处理必须满足以下两种之一：

• “知情同意”（informed consent）；
• 或者处理是**“严格必要”（strictly necessary）**，用于以下法定目的（§899-ff(2)）：
  • 法定目的包括：提供或维护用户请求的具体产品/服务；运营方内部业务运作（非广告/营销/研发）；修复功能缺陷；防范恶意、欺诈或违法行为；法律主张的建立与防御；遵守法律法规或政府调查；应对安全威胁；保护自然人的生命安全或健康。

1. 知情同意的要求（§899-ff(3)）
2. 必须明确、具体，内容应使用户可理解处理目的与权利；
3. 同意必须可自由撤回；
4. 运营者每年最多请求一次同意；
5. 若设备信号表达拒绝同意，运营者必须遵守；
6. 不得以拒绝同意为由降级服务质量或提高价格（§899-ff(4)）。
7. 用户设备发出的关于其身份的通信或信号（“年龄标识”）
8. 如果用户的设备 “传达或表明该用户是未成年人或应被视为未成年人”，运营者必须 “将该用户视为未成年人”；
9. 但标准尚未完善，OAG 建议，只要运营者在其他方面表现出善意遵守 NYCDPA 所有条款及本指南的努力，将在就该条款采取执法行动时行使自由裁量权。
10. 禁止数据买卖（§899-ff(5)）：明确禁止出售或购买未成年人数据，包括有价或“其他有价值对价”的交换行为。

（二）数据处理委托与第三方义务

1. 处理者（Processor）要求（§899-gg）
2. 与处理者签署书面合同，约定其仅根据运营者指令或法律处理数据；
3. 处理者须协助主运营者履行CDPA义务。
4. 第三方运营者规则（§899-jj）

• 第三方运营者（例如通过像素追踪技术或应用程序接口（API）从其他运营者运营的网站收集数据的主体）被视同为 “运营者”。此类主体仅在获得用户（年满 13 周岁及以上）或其父母（用户未满 13 周岁）的知情同意后，方可处理未成年人的个人信息，但存在以下三种例外情形：
  • 数据处理系《加州民法典》第 899-ff (2) 条所明确规定目的的** “严格必要”** 行为；
  • 第三方运营者 “已从其数据收集所依赖的运营者处获得合理书面承诺，确认用户已对该等数据处理提供知情同意”；
  • 第三方运营者既 “实际不知晓 [用户] 为未成年人”，且 “不知晓其正从主要面向未成年人的网站、在线服务、在线应用程序、移动应用程序或联网设备（或其组成部分）收集数据”。

（三）主要面向未成年人

1. 定义
2. 在《纽约州一般商业法》第 899-ee (1) 条中，涵盖用户定义为 “使用主要面向未成年人的网站、在线服务、在线应用程序、移动应用程序或联网设备” 的用户；
3. 《纽约州一般商业法》第 899-ee (6) 条将 “主要面向未成年人” 定义为 “针对未成年人的在线设备或服务，或其一部分”。
4. OAG 认为，任何属于 NYCDPA “主要面向未成年人” 范畴的在线设备或服务，也属于 COPPA “面向儿童” 的标准范畴，且如上所述，其运营者可通过遵守 COPPA 来满足 NYCDPA 下的合规义务。
5. 许多普遍感兴趣的在线设备或服务可能会有 13 至 17 岁的未成年人访问，或可能将 13 至 17 岁的未成年人视为其受众的一部分（但非主要部分）。因此，与针对更年幼儿童的 COPPA 标准相比，NYCDPA 规定的 “主要面向” 标准为运营者提供了一定的额外灵活性。NYCDPA 的要求仅适用于可被界定为 “主要面向” 或 “针对” 未成年人的在线设备或服务，或其部分功能。

三、NYCDPA与COPPA：补充兼容

值得注意的是，NYCDPA并未脱离COPPA既有框架，而是通过法律明文确认，将COPPA纳入对12岁及以下儿童的适用规则中。根据NYCDPA § 899-ff(1)(a)条文及总检察长发布的指导意见，只要运营者的数据处理活动符合COPPA规定，即可视为符合NYCDPA义务。

1. NYCDPA在法律条文中明文确认，对于12岁及以下的儿童，其个人数据的处理须完全参照COPPA的规范进行：
2. NYCDPA § 899-ff(1)(a) 明确规定；
3. 只要运营者的数据处理活动符合COPPA的要求，即视为也符合NYCDPA的要求；
4. 包括：何时可以不经父母同意处理数据，何时必须经父母同意，以及如何取得父母同意的程序等，都依COPPA操作；
5. 简言之，在12岁以下儿童的数据处理上，NYCDPA不设置额外义务或更高门槛，而是承认并引入联邦COPPA机制。
6. 相较之下，COPPA对13至17岁未成年人没有任何保护机制，这一点长期被视为联邦法律的“盲区”，NYCDPA弥补了这一空白，采取以下制度设计：
7. 定义“覆盖用户”（covered users）概念，将13–17岁群体纳入适用范围；
8. 要求运营者在处理13–17岁用户的个人数据时，必须取得其本人“明示、知情的同意”（informed consent）；
9. 不再由父母作为法定代表人，而是将决定权赋予青少年本人；
10. 体现出“能力递进”或“渐进式自主权”理念：认为13岁以上青少年具备一定隐私判断能力，应逐步享有信息控制权。
11. NYCDPA对“主要面向未成年人”的服务施加特别义务，规定若某在线服务或设备系“主要面向”未满18岁的用户，即需主动履行识别与保护义务。这一判定标准借鉴了COPPA中“directed to children”的判定逻辑，如内容设计、受众构成、广告策略等均可作为判断依据。但不同于COPPA仅聚焦13岁以下儿童，NYCDPA的适用范围更广、标准更灵活，尤其是在判定“是否主要面向13至17岁群体”时，允许更细致的产品结构划分。例如，一个平台的某一子频道若明显面向青少年，即可独立适用NYCDPA的高保护标准，而不因平台整体面向成年人而豁免。
12. 对于 13 岁以下儿童，《纽约州一般商业法》第 899-ff (1)(a) 条允许 COPPA 所允许的数据处理。换言之，当运营者实际知晓覆盖用户为 12 岁或以下，或该在线设备或服务主要面向 12 岁或以下覆盖用户时，NYCDPA 采用 COPPA 作为数据处理的适用标准。因此，在 NYCDPA 框架下，COPPA 管辖此类用户的数据处理何时可在无需父母同意的情况下进行、何时禁止在无父母同意时进行，以及如何获得父母同意。