判断一款产品是否受 COPPA 约束,第一步不是看它有没有收集儿童数据,而是看它的“受众定位”属于哪一类:面向儿童(Directed to Children)、混合受众(Mixed Audience)还是一般受众(General Audience)。前两类都要在收集13岁以下儿童个人信息前取得可验证的家长同意(verifiable parental consent),只有确实不吸引儿童、且运营者无实际知情(actual knowledge)的一般受众才完全豁免。这套定位逻辑里最容易踩坑的是混合受众:很多企业以为在入口加一道 Age Gate 屏蔽掉13岁以下用户就能“转为一般受众”,这恰恰是 FTC 明确否定的错误做法。本篇(上篇)梳理 COPPA 的法律渊源、两步判断逻辑与混合受众的三种合规路径。
TL;DR
在互联网商业化迅速扩张的20世纪末,美国立法者首次意识到儿童个人信息在数字环境中面临的系统性风险。当时网站与广告平台在缺乏明确约束的情况下,通过游戏、社区论坛、电子注册大规模收集未成年人数据,形成以“儿童注意力”为核心的商业模式。《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,COPPA)正是在这一背景下于1998年颁布、2000年生效,成为全球首部专门规范儿童在线隐私的立法。其核心目标是让家长掌控儿童在线信息的收集与使用。
COPPA 的法律体系主要由两部分构成:
此外,FTC 发布的非约束性指引《COPPA 常见问题》(COPPA FAQs)虽不具正式法律效力,但作为执法机构的权威解释,常被视为理解与适用 COPPA Rule 的重要辅助,对实际知情(actual knowledge)、混合受众、可验证家长同意等问题提供了操作性解释。
COPPA 将运营商提供的产品或服务分为三类典型情形:
判断遵循两步测试:

需要注意,面向儿童(情形1)与混合受众(情形2)在 FTC 的认识中都属于“以儿童为导向的网站和服务”(child-directed)的子集。
混合受众是三类中最容易误解的一类。COPPA Rule §312.2 规定,混合受众指整体符合面向儿童定义第(1)款标准、但主要受众并非儿童的网站或服务,且在收集年龄信息或以合理技术手段确认访问者是否为儿童之前,除有限目的外不得收集任何访问者的个人信息;年龄信息的收集须以中立方式进行,不得默认设定年龄或诱导访问者虚报。
实践中最常见的错误,是把 Age Gate 当作“防御性合规手段”,以为只要在入口设置年龄问答、屏蔽13岁以下用户,就能自动转为一般受众。FTC COPPA FAQ Q6 明确否定了这一点:如果网站属于混合受众,可以对用户进行年龄筛选,但不得完全阻止儿童参与;规则允许用年龄门区分13岁以下用户与其他用户,可按年龄提供不同功能,但在未取得可验证家长同意前,不得收集已表明未满13岁用户的个人信息。
原因有二。其一,判断是否为儿童导向属于客观导向测试,依网站主题、视觉、语言、广告、角色及受众构成综合判断,不取决于企业主观意图或自我声明;只要网站客观上具有儿童吸引力,即使入口标注“仅限成人”也不改变其法律性质。其二,既然混合受众本质上仍属 child-directed,Age Gate 在此只能用作区分年龄段,而非阻断儿童访问。
对混合受众网站,三种应对方式的对错如下图所示:

本篇聚焦 COPPA 的法律渊源、产品定位与两步判断逻辑,以及混合受众的合规路径。COPPA 的定位判断只是起点,真正的操作负担在于面向儿童服务须履行的通知、家长同意、家长权利、安全保障等义务,以及 COPPA 对“个人信息”的特殊界定——这些是 一站通关 COPPA 合规(下) 的主题。
儿童隐私执法的最新动态可对照 FTC 对陪伴型聊天 AI 启动调查,七家公司在列、美国CARU发布关于生成式人工智能与儿童的新风险矩阵,以及经典执法案例 旧案重拾:千万不能忽视的美国《儿童网络隐私保护法》。国会层面的修法进展见 COPPA 2.0要来了?美国参众两院提案关键要点梳理。