德州 S.B.2420 应用商店责任法:年龄验证与家长同意

德州 S.B.2420 应用商店责任法:年龄验证与家长同意

Kaamel Lab
Kaamel Lab 2025年12月9日

德克萨斯州 S.B. No. 2420《应用商店责任法》(App Store Accountability Act)预计2026年1月1日生效,要求应用商店在用户创建账户时验证年龄,把未成年人账户与家长账户关联,并在未成年人下载、购买应用或进行应用内购买前逐次取得家长同意——它是美国州层面迄今最严格的未成年人线上保护立法之一。但2025年10月16日,计算机与通信行业协会(CCIA,成员含苹果、谷歌、亚马逊)已向德州西区联邦地区法院奥斯汀分院起诉州总检察长 Ken Paxton 并申请初步禁令;截至发稿,联邦法官 Robert Pitman 尚未裁决,法案仍处于生效不确定状态。

TL;DR

立法历程与反对诉讼

德州议会几乎以加速模式完成立法。2025年4月16日参议院以30票赞成、1票反对通过,把保护儿童的监管重心从家长端转移到 App Store 平台端;5月9日众议院以120票赞成、9票反对通过修正案,加入细化年龄分层等内容但未稀释核心条款;5月14日参议院以30票赞成、1票反对通过众议院修正案;8月1日州长 Greg Abbott 签字。

反对意见在2025年10月16日出现,CCIA 认为该法案是「对整个移动应用程序领域实施的广泛审查制度」,主要提出五点:

焦点集中在法官 Robert Pitman 身上。有利于 CCIA 的信号是,他曾发出禁令阻止德州 SCOPE Act(社交媒体法)的部分核心条款,论证核心是保护儿童不能以牺牲成年人获取信息的权利为代价。但最高法院近期在类似的色情网站年龄验证案件中对德州政府开了绿灯,这可能赋予德州总检察长更大底气。这种「以年龄验证换内容准入」的监管路线与英国、欧盟的方向一致,可对照英国 ICO 儿童守则进入执法期欧盟官方年龄验证应用首日被破解

法案主要内容

四级用户年龄分级。 应用商店须对所有用户采用统一的四级年龄类别:未满13周岁为儿童(child)、13至16周岁为较年幼的青少年(younger teenager)、16至18周岁为较年长的青少年(older teenager)、18周岁以上为成年人(adult)。该分级构成后续年龄验证、家长同意与内容访问控制的基础。

App Store 运营者的核心义务。 所有在德州创建的账户须接受年龄验证,平台须采用商业上合理的方法(commercially reasonable methods)核验年龄并归类;未成年人账户必须与家长或监护人账户关联(account linking),关联后未成年人方可下载、购买或内购;每一次下载、购买或内购均需家长单独同意,法案明确禁止一揽子同意;平台须向开发者至少传递用户所处年龄档与是否已取得家长同意两类信号;平台原则上仅可为年龄验证与合规留痕收集处理数据,须遵守数据最小化并对传输加密。法案对紧急服务类 App(9-1-1、危机热线等)与标准化考试类应用设有家长同意豁免。

应用开发者的核心义务。 相较之下开发者义务较轻:为每个应用及应用内每个付费内容设定具体年龄等级(age rating)并上报 App Store;根据 App Store 传递的年龄与同意信号,在自身产品内做二次年龄校验(secondary age verification)并实施内容与功能限制;仅可将年龄与同意信号用于年龄分级和未成年人保护,不得挪作广告、画像等用途,完成合规记录后应删除或去标识化。

Apple 目前的应对方式

Apple 于2025年10月8日单独发布《对德克萨斯州可用应用程序的新要求》(New requirements for apps available in Texas),主要措施是:德州用户创建新 Apple 账户时必须确认是否年满18周岁;所有未满18周岁用户的新账户都必须加入家人共享(Family Sharing)群组,其父母或监护人须同意未成年人在 App Store 的下载、内购及通过 Apple 内购系统进行的所有交易。Apple 还推出声明年龄范围 API,允许开发者在应用发生重大变更时调用系统界面请求重新获得家长同意,家长也可撤销同意。

Apple 家人共享界面显示不同年龄的家庭成员,用于德州 App Store 责任法下的家长同意与年龄分级

官方声明强调 Apple「认同加强儿童安全的目标」,但也担心要求下载任何应用时都收集敏感且可识别个人身份的信息,会对用户隐私造成实质影响——即便用户只是想查看天气或体育比分。这与反对诉讼的核心观点一致:法条虽声称数据最小化(data minimization),但在实际可用方案里很难绕开至少强标识符,实质上是强迫应用商店打造一个全州性的年龄身份基础设施,而不是分散到家长、设备、单个服务的选择里。数据一旦出问题,影响的可能是所有德州 iOS/Android 用户。这种把年龄门槛压给平台、而非分散到 SDK 的思路,正是 COPPA 2.0 提案中「运营商」定义扩张的对照面,可参考COPPA 2.0 立法进展:参众两院提案关键要点加州 S.B.243 陪伴聊天机器人法案

对出海企业的启示

无论 Pitman 法官最终是否签发禁令,App Store 责任法的制度设计都会在未来几年持续影响各州立法、平台政策与企业合规基线。对开发商而言,短期内至少可以提前思考三件事:其一,现有账号体系和未成年人识别能力是否具备接入 App Store 年龄信号并做二次分级的技术空间;其二,家长同意与记录留痕流程能否支持逐一同意和查询证明;其三,一旦更多州复制或变体化采纳这一模式,产品线在不同州版本之间如何保持可维护的差异化配置。

参考:Apple 开发者公告 https://developer.apple.com/news/?id=btkirlj8 。S.B.2420 法案全文可在德州立法机关官网检索。

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.