2025年11月21日,加州总检察长宣布与手游公司 Jam City 达成140万美元执法和解,核心指控是这家《哈利·波特》《冰雪奇缘》授权手游的运营商在21款应用中违反《加州消费者隐私法》(CCPA):App 内几乎找不到清晰的「Do Not Sell or Share My Personal Information」退出入口,且把13–16岁青少年默认当成年玩家处理、直接开启行为追踪与跨情境广告。这个案子把合规标准从「隐私政策里写没写」抬高到「产品里的按钮、埋点与广告 SDK 实际怎么执行」。
TL;DR
Jam City 运营的游戏基于《哈利·波特》《冰雪奇缘》等知名 IP,商业模式高度依赖广告变现与广告技术合作伙伴对用户数据的收集使用。监管给出的两条主要指控,对面向未成年人的游戏类、教育类出海厂商都高度相关。
第一,在21款应用里,玩家在游戏界面几乎找不到清晰的退出入口,只能在隐私政策里看到一个用于取消个性化广告的邮箱地址,需要自己写邮件过去。对普通玩家来说,这样的设计几乎等于没有退出机制。第二,Jam City 对13岁以下儿童提供功能受限版本,却把13–16岁未成年用户视为成年玩家,既没有单独的保护规则,也没有在开启跨情境广告、向第三方出售或共享数据前取得主动同意。
CCPA 在 Cal. Civ. Code §1798.120 赋予消费者拒绝出售或共享个人信息的退出权,并在 §1798.135 要求企业提供清晰、易于行使的 Do Not Sell or Share 机制。加州总检察长(AG)的关注重点不是隐私政策提没提到可以退出,而在于个人信息在哪些场景被出售或共享,相应的控制权是否在同一场景被有效提供,用户点了按钮后是否真正达成拒绝的效果。
Jam City 的业务决定了广告 ID、设备标识符、行为数据的收集传输主要发生在移动 App 内——用户在游戏中登录、付费、点击和观看广告时,数据处理由 App 端发起。但 Jam City 并未在 App 内提供清晰可见、操作便捷的退出链接或开关,而是要求用户跳转到外部网站或发邮件。数据处理与用户控制之间由此脱节:绝大多数用户很难通过多次跳转、查找政策、撰写邮件完成退出;即使个别用户发了邮件,企业是否建立了将该请求准确映射到设备标识、广告标识或账号并持续执行的流程,也缺乏透明度。监管据此认为,Jam City 未能证明已为消费者提供可实际行使且可验证的退出权。
这与近期加州对流媒体退出实践的执法逻辑一脉相承。加州刚以同样的「退出要跨设备、跨账户真实生效」标准对迪士尼开出更高罚单,可对照加州对迪士尼开出275万美元 CCPA 罚单。
过去很多企业在未成年人隐私上主要围绕 COPPA 的13岁以下儿童设计合规。Jam City 也是这个思路:对13岁以下做了分流和儿童版本,对13–16岁青少年基本当普通成人玩家处理,照样接入广告 SDK、默认开启行为追踪和跨情境广告,没有专门询问是否愿意把数据用于广告和分享。
在儿童与青少年数据保护上,美国监管体系形成了 CCPA 与 COPPA(Children’s Online Privacy Protection Act)的分层衔接:对13岁以下用户,通常需要 COPPA 要求的可验证家长同意;对13–16岁用户,CCPA 专门设计了另一套规则,原则上默认处于 Do Not Sell or Share 状态,只有在其主动勾选、明确同意(Opt-in)后,企业才可以为广告、数据合作伙伴出售或共享其个人信息。
对大量面向青少年的游戏、社交和教育产品来说,这基本是普遍风险:企业往往认为自身并非「儿童产品」,只要在入口排除13岁以下即可,但核心用户其实集中在13–16岁。如果仍采用「默认允许用于广告和分享,事后再给退出选项」的做法,就会与 CCPA 冲突。而「自身并非儿童产品」的判断本身也常常错误:在早前的一站通关 COPPA 合规(上)与一站通关 COPPA 合规(下)中已梳理,Age Gate 只能作为区分不同年龄用户的中立工具,而非阻止儿童访问的手段,只要有儿童元素设计都可能被算入儿童产品。同类儿童数据执法的量级,还可参考Google/YouTube 3000万美元儿童隐私和解与米哈游《原神》违反 COPPA 被罚2000万美元。
Jam City 案的核心信号是:文档合规不等于产品合规,更不等于执行层面的合规。对面向未成年人比例较高的游戏、教育产品,落地上应做三件事。一是把 Do Not Sell or Share 链接的命名、位置和交互设计到与数据实际出售/共享相同的场景(主要是 App 内),并配一套加州请求处理 SOP,让退出后的技术控制可被持续验证。二是把 COPPA 和 CCPA 放在同一套年龄架构下:用 Age Gate 在前端区分13岁以下和13–16岁,前者对接 COPPA 家长同意或受限模式,后者对接 CCPA 的青少年默认 Do Not Sell or Share。三是核对真实数据流,避免出现「政策声明不出售、实际流量在出售或共享」的高风险不一致。
参考:加州总检察长新闻稿 https://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-14-million-settlement-mobile-app-gaming-company ;起诉书 https://oag.ca.gov/system/files/attachments/press-docs/Complaint%20%28People%20v%20Jam%20City%20Inc%29.pdf 。