美国 COPPA 2.0 目前由参议院 S.836 与众议院 H.R.6291 两条路径并行推进,尚未形成两院一致的定稿文本,暂不构成可直接适用的现行义务。2025年12月11日,众议院能源与商务委员会下属小组委员会在 markup 会议上把18项儿童网络安全法案推进至全委员会表决,其中 H.R.6291(《儿童与青少年在线隐私保护法》,Children and Teens’ Online Privacy Protection Act)以14比10票通过。两版提案共同的方向是:把保护对象从13岁以下儿童扩展到13–16岁青少年,引入青少年自主同意,并大幅扩张「运营商」(Operator)的定义。
TL;DR
- COPPA 2.0 由参议院 S.836 与众议院 H.R.6291 并行推进,尚未形成两院统一文本,暂不构成可直接适用的联邦义务。
- 2025年12月11日 H.R.6291 在小组委员会以14比10票通过;S.836 已于2025年6月25日在参议院商务委员会层面通过并向全院推进。
- 两版都把保护对象从13岁以下儿童扩展到13–16岁青少年,对青少年采用自愿加入式(Opt-in)同意,对13岁以下仍要求家长可验证同意。
- 两版都扩张运营商定义:允许第三方 SDK、广告网络或插件向用户收集信息即视同已收集,平台难以再用「第三方收集」抗辩。
两份提案与立法进程
除众议院 H.R.6291 外,参议员 Edward Markey(马萨诸塞州民主党)和 Bill Cassidy(路易斯安那州共和党)于今年3月4日再次提出参议院版《儿童和青少年在线隐私保护法》(S.836)。S.836 已于2025年6月25日在参议院商务、科学与交通委员会层面获同意,以带修正案并积极报告的方式向全院推进;H.R.6291 则在近日的小组委员会审议中通过表决,进入下一阶段。
需要强调的是,单一议院通过并不意味着立法完成。联邦法律的生效通常要求参众两院最终通过同一份文本(same text),随后进入总统签署或国会推翻否决等环节。在两院文本尚未统一前,COPPA 2.0 仍属立法草案层面的规范动向,更适合作为观察未来监管走向、评估潜在合规成本的参照。这一修法把青少年纳入保护,正是对现行 COPPA 只覆盖13岁以下的补位,其执法背景可参考FTC 发布 COPPA 修订提案要点与米哈游《原神》违反 COPPA 被罚2000万美元。
众议院版 H.R.6291 的关键改动
- 保护对象从儿童扩展到儿童和青少年:现行 COPPA 核心保护13岁以下儿童,H.R.6291 引入 teen 概念,把监管延伸到13–16岁青少年。关于同意,其表述从 verifiable parental consent 整体替换为更宽的 verifiable consent,涵盖家长同意和青少年自行同意。
- 青少年选择加入式(Opt-in)同意:运营商需获得13–16岁青少年的自愿加入式同意才能收集处理其个人信息;对13岁以下儿童仍需家长同意。
- 运营商定义更宽泛:Operator 不再仅限直接收集儿童信息的主体,只要运营者允许他人直接向用户收集信息、或允许用户自行公开个人信息,就视同已收集。若网站明知自己正从儿童导向服务的用户处收集信息,即便只是第三方模块、广告网络或 SDK,也可能被推定为面向儿童。
- 引入 knowledge 新概念:保留 COPPA 现有的「实际知情」基础,对高影响力社交媒体公司(high-impact social media company)来说,故意无视客观信息也会被算作知情。
- 收紧跨境数据:除非通知儿童的父母或青少年,不得在受保护国家(朝鲜、中国、俄罗斯、伊朗)储存、向其转移或提供儿童或青少年的个人信息。
参议院版 S.836 的关键改动
- 保护对象扩展到青少年:S.836 同样新增 teen 概念,指13岁以上、未满17岁的未成年人,并把大量义务从儿童拓展为儿童或青少年。同意机制与 H.R.6291 一致:13岁以下仍要求家长可验证同意,13–16岁青少年要求获取该青少年本人的可验证同意。
- 运营商概念扩张:外延从网站或在线服务明确扩展到网络应用程序(online application)、移动应用程序(mobile application);只要允许第三方直接向用户收集、或允许用户公开披露个人信息,即视为已收集,平台难以再用「第三方 SDK 或插件收集」抗辩。
- 引入「基于客观情形可合理推知的知情」标准:判断运营商是否知晓特定用户为儿童或青少年时,委员会或州检察长应依赖充分可靠的证据,并考虑一个理性谨慎的人在当时情况下是否会知道。
- 禁止对儿童或青少年个性化广告:运营商若明知或基于客观情形应当知道用户未满17岁,不得对该用户投放个性化广告。
- 允许 FTC 批准可复用的可验证同意机制。
- 明确 COPPA 与州法关系:仅在州法与 COPPA 冲突时 COPPA 才优先。
两版差异与观察
整体来看,两院版本虽都以儿童与青少年在线隐私保护为目标,但侧重点不一致:众议院版本更严格,甚至倾向于把跨境数据流动置于更强的国家安全语境下;参议院版本更强调对 COPPA 原有制度的细化和可执行性。若两院进入文本协调阶段,这些差异很可能成为最终文本的关键谈判焦点。
对企业而言,运营商定义的扩张是最需要提前评估的一点:一旦第三方 SDK、广告网络或插件收集的信息被视同平台自己收集,广告与分析工具的接入方式、以及「面向儿童」的推定风险都会显著上升。禁止对未满17岁用户个性化广告的条款,则与近期各监管机构的执法方向一致,可对照加州 S.B.243 陪伴聊天机器人法案、FTC 罚 Apitor、查七大 AI 巨头:SDK 责任与陪伴 AI与美国 CARU 发布生成式 AI 与儿童风险矩阵。这些条款目前仍处于立法草案阶段,距离构成可直接适用的联邦义务尚有距离,但企业可关注两院文本体现的共同改革方向,评估潜在合规成本与整改路径。
参考:H.R.6291 原文 https://www.congress.gov/bill/119th-congress/house-bill/6291/text ;S.836 原文 https://www.congress.gov/bill/119th-congress/senate-bill/836/text 。