面向儿童或混合受众的服务确定适用 COPPA 后,真正的操作负担来自六项核心义务:为获取同意的直接通知、可验证家长同意、在线通知、家长权利、禁止通过活动诱导儿童超量披露、安全保障措施。这六项共同构成 COPPA 的操作框架,决定企业在面向儿童提供服务时如何设计信息收集、告知与授权机制。本篇(下篇)以检查清单形式逐项梳理这些要求,并解析 COPPA 对“个人信息”的特殊界定,以及是否需要提供儿童友好隐私政策。上篇的定位判断与混合受众合规见 一站通关 COPPA 合规(上)。
TL;DR
- COPPA 对面向儿童(情形1)、混合受众(情形2)及运营者实际知情收集儿童数据(情形3.1)的服务均要求适用,仅无实际知情的一般受众(情形3.2)豁免。
- 六项核心义务对应 COPPA Rule 具体条款:直接通知 §312.4(b)/(c)、家长同意 §312.5、在线通知 §312.4(d)、家长权利 §312.6、禁止诱导超量披露 §312.7、安全保障 §312.8。
- COPPA 只规制“从儿童处(from children)”在线收集的信息,不包括从成人处收集但涉及儿童的信息;收集涵盖主动、公开发布式与被动(Cookie/像素/SDK)三种。
- 儿童友好隐私政策(Child-Friendly Privacy Notice)并非法律强制,而是 GDPR 第12(1)条、英国 ICO《适龄设计规范》倡导的实践;法律要求的始终是监护人的可验证同意,而非儿童本人授权。
COPPA 核心制度的适用范围
上篇将产品定位分为三大类型。综合实际知情因素,可进一步细分为四种情形:以儿童为导向或运营者实际知情收集儿童数据的面向儿童(情形1)、非主要面向儿童但同时吸引儿童与成人的混合受众(情形2)、非主要面向儿童但运营者实际知情收集儿童数据(情形3.1),以及不以儿童为导向且无实际知情的一般受众(情形3.2)。

需要强调的是,并非只有情形1的面向儿童产品必须遵循 COPPA,情形2混合受众与情形3.1也需适用。混合受众运营者可通过年龄筛选机制将13岁以下用户筛出、对其单独适用 COPPA;若未建立有效区分制度,则默认整个服务受 COPPA 约束。
六大核心义务检查清单
以下六项并非条文罗列,而是基于 COPPA Rule 提炼的实务检查点,供企业自查与整改参考。
- 项目一:为获取家长同意的直接通知(Direct Notice)。在收集、使用或披露儿童个人信息前,通过收集家长邮箱等方式向家长直接通知,作为取得同意的前置程序。要求:采取合理措施确保家长收到通知(§312.4(b));表述清晰完整、不含无关或矛盾信息(§312.4(a));包含数据类型、用途、第三方披露等必要内容(§312.4(c)(1));包含站内完整隐私政策的超链接(§312.4(c)(1)(v))。
- 项目二:家长同意(Parental Consent)。这是 COPPA 的核心要求。在收集、使用或披露前须取得可验证家长同意,例如提供同意书供家长签署返还(§312.5(a)(1)(2));向第三方披露须取得单独的可验证同意,除非该披露为服务正常运作所必需(§312.5(a)(2));信息处理方式发生重大变更须重新取得同意(§312.5(a)(1))。
- 项目三:在线通知(Online Notice)。除直接通知外,须在网站主页/登陆页、儿童专区首页、App 设置界面及其他收集儿童信息的页面显著标注链接,指向儿童隐私政策。内容须包含运营商联系方式、收集信息类型与用途(§312.4(d))及数据保留删除政策(§312.10);若为信息收集页面的在线通知,链接须紧邻收集请求处(§312.4(d))。
- 项目四:家长权利(Parental Rights)。隐私政策须载明:应家长要求提供已收集儿童信息的类别说明(§312.6(a)(1));随时给予家长拒绝继续收集/使用及要求删除的权利(§312.6(a)(2))。
- 项目五:禁止通过活动诱导超量披露。不得以参与游戏、抽奖或其他活动为条件,要求儿童提供超出必要范围的个人信息(§312.7)。
- 项目六:安全保障措施(Security Measures)。采取合理措施保护所收集儿童信息的机密性、安全性与完整性,包括书面信息安全管理制度等(§312.8)。
COPPA 对个人信息的特殊界定
COPPA 对受保护信息的界定有三个容易被忽略的细节:
- “从儿童处”收集。COPPA 仅适用于从儿童处(from children)在线收集的信息,而非关于儿童(about children)的信息;关注的是来源而非内容。FTC FAQ F.4 说明,成人在面向大众网站上传儿童照片、在面向儿童网站的非儿童专区(如家长专区)上传、或经年龄验证的13岁及以上用户在混合受众网站上传儿童照片,均不触发 COPPA。但若服务主要面向儿童,应默认上传者为儿童,须在发布前取得家长同意或主动过滤删除含儿童影像的内容。
- “收集”的三种形式。§312.2 将收集定义为通过任何方式从儿童处获取个人信息,包括主动收集(要求输入姓名、手机号等)、公开发布式收集(允许儿童在聊天室、留言区、昵称中公开身份信息,附安全港条款)、被动收集(通过 Cookie、像素、SDK 等自动化技术)。区分主动与被动不影响适用结果。
- “个人信息”的外延。涵盖姓名、家庭或实际地址、在线联系方式、用作联系方式的用户名、电话号码、社会安全号码、可跨站跨时识别用户的持久性标识符(Persistent Identifier)、含儿童图像或声音的音视频、足以识别街道与城市的地理位置,以及与上述任一标识符结合的儿童或其父母信息。
儿童友好隐私政策:倡导而非强制
许多面向美国市场的企业会发现:COPPA 仅在收集儿童信息时要求告知并取得监护人同意,从法律文本看,这一义务完全可以通过在隐私政策中增设儿童隐私章节实现。然而不少网站仍另行制作一份儿童友好版隐私政策(Child-Friendly Privacy Policy),以动画、分层文本或交互方式直接向儿童解释信息收集规则。

提供儿童友好隐私政策并非法律强制,而是一种教育性、倡导性实践。GDPR 并未要求单独制作儿童版政策,但第12(1)条强调控制者应以简明、透明、易懂的清晰平实语言提供信息,特别是针对儿童。澳大利亚信息专员公署《儿童网络隐私守则——儿童咨询报告》提到,儿童最希望企业解释收集其信息的理由,并希望隐私政策简短、有趣、易懂。英国信息专员公署(ICO)《适龄设计规范》(Age-Appropriate Design Code)也要求企业用符合儿童年龄特点的方式呈现隐私信息,如图表、卡通、视频、音频及游戏化互动,而非仅靠书面文字。
需要特别指出,现行法律框架下针对儿童本人并无独立同意要求。无论 COPPA、GDPR 还是韩国 PIPA,要求的都是监护人的可验证同意,而非直接向儿童征求授权。因此隐私政策中单独设置儿童隐私章节已足以满足合规要求;独立的儿童友好版政策的真正价值在于教育与尊重——让儿童理解数据被收集的原因、方式与权利,而非让他们签字同意。一个常见误区是把面向成人的隐私政策原封不动再写一遍给儿童、甚至加一个同意按钮,这既无助于理解,也与儿童友好化的初衷相悖。
符合儿童友好实践的形式主要有三种:

- 动画化呈现:以短片或漫画讲解信息收集过程。
- 分层式说明:通过多层信息结构区分必读内容与供儿童阅读的部分,如 LEGO 的隐私政策。
- 独立的儿童版政策:专门面向儿童制作的简版文件,通常与家长版并行,如 Novakid 的全球政策。

对出海企业的启示
数据保护法的核心在于赋予数据主体对自身数据的控制权,多数立法通过“知情—同意”实现。应用于儿童时,立法者以家长同意代替儿童的自主决定,形成一种替代性控制机制(substituted control)。COPPA 据此建立了完整的规则体系:先通过三类定位明确哪些产品以收集儿童信息为重点,再对面向儿童与混合受众施加直接通知、家长同意、家长权利、在线告知、安全措施与禁止诱导超量披露六项义务,并通过对个人信息的特殊界定把持久性标识符等技术性数据纳入保护范围。落地上,企业应把这六项检查点嵌入产品设计与自查流程,并认识到儿童友好隐私说明虽非强制、却能提升信任与降低认知风险。
儿童隐私的执法案例与最新监管动态可对照 旧案重拾:千万不能忽视的美国《儿童网络隐私保护法》、游戏出海必读:从两个判例看FTC对儿童数据隐私保护问题的关切、美国CARU发布关于生成式人工智能与儿童的新风险矩阵,以及 英国儿童隐私监管迈入执法深水区。