修订提案背景
在互联网时代,儿童的学习和生活已与网络深度融合,但随之而来的是儿童个人信息被企业广泛收集、存储和使用。然而,由于儿童心智尚未成熟,通常缺乏对个人信息被滥用的后果的充分理解。在这一背景下,儿童个人信息保护成为全球共同关注的焦点。多个国家通过加强立法等手段来提升儿童个人信息保护水平,而美国的《儿童网络隐私保护法》(COPPA)则是具有里程碑意义的代表性法规。
COPPA 于 2000 年首次生效,其保护对象为美国 13 岁以下的儿童。COPPA 为管理网络运营者收集处理儿童个人数据的行为提供了法律依据。2011 年 9 月,美国联邦贸易委员会(以下简称为“FTC”)对 COPPA 提出修订意见,这是自 2000 年发布 COPPA 以来该法案的首次重大修改,修订案于 2013 年 7 月 1 日正式生效。
随着技术进步和行业发展,移动设备和社交网络的使用日益增长,新的儿童个人信息保护问题随之不断出现,正因如此,关于再次修订 COPPA 以提升儿童信息保护水平的话题从未停止。美国国会议员一直呼吁扩大 COPPA 的保护范围,以适应互联网技术与行业的发展。FTC 主席 Lina Khan 曾在声明中表示:“在网络工具已经成为日常生活不可或缺部分的时代,网络服务商正在使用更复杂的数字工具监控儿童信息,对 COPPA 的提议修改是非常必要的”。2019 年,FTC 开展了对 COPPA 的再次审查,并征求公众对 COPPA 的意见,本次意见征集共收到超过 175,000 条回复,包括来自公众、科技和广告行业贸易团体、学者和国会议员的意见。
在法规审查和意见征集的基础上,FTC 于 2023 年 12 月 20 日公布一项重大提案,提议对 COPPA 进行修改,该提案旨在扩大儿童个人数据的保护范围,进一步限制企业使用儿童个人数据并从中获利,确保数字服务中的儿童个人信息安全。
主要内容
FTC在《联邦公报》发布的提案需要经过接受六十天的公告和评论期,该提案涉及的内容包括:加强 COPPA 对企业处理儿童个人信息的限制、防范定向广告滥用儿童个人信息、填补例外规则带来的漏洞、限制儿童在线时长、禁止教育技术领域滥用儿童个人信息等。主要内容如下:
一、将生物识别标识符纳入“个人信息”的定义中
FTC 提议扩大 COPPA 适用的“个人信息“的定义。扩大的范围包括可以用于自动或半自动识别个体的生物识别标识符,例如指纹、手印、视网膜和虹膜图案、基因数据,或从语音数据、步态数据或面部数据派生的信息。
二、强化定向广告中儿童隐私保护要求
目前 COPPA 对定向广告的要求为:企业必须获得可验证的父母同意后才能投放定向广告,或出于投放定向广告目的向第三方披露必要的信息。但 COPPA 允许企业将该父母同意与其他同意捆绑在一起获取,而非单独获取此类同意。这一规定难以有效规范定向广告中的儿童信息收集处理活动。
因此,提案增加了对定向广告的单独同意要求。首先,企业必须获得单独的、可验证的父母同意,才能将必要披露信息给第三方,除非该信息披露与网站或在线服务的性质密不可分。其次,提案要求与第三方共享信息的企业必须指明与其共享信息的第三方名称以及共享的目的。最后,FTC 就是否对于情景式定向广告进行特别处理,向公众征求了意见。
三、收集持久标识符例外规则限制与透明要求
目前 COPPA 允许企业在未获得可验证的父母同意的情况下收集持久标识符,只要企业不收集任何其他个人信息,并且仅将持久标识符用于提供“网站或在线服务的内部运营支持”。
提案拟对这一例外规则进行限制,要求企业在使用该例外规则时提供在线通知,在其隐私政策中说明收集这些标识符的具体内部运营内容,并说明如何确保这些标识符不被用于识别到特定个人的特定广告等目的。
四、限制企业诱导儿童在线停留
提案要求限制企业鼓励或暗示儿童长时间停留在线的手段。实际上,这一要求已经超出了 COPPA 保护儿童个人信息的使命,表现出限制儿童在线时长的政策倾向。FTC 建议限制企业通过分析使用儿童个人信息以诱导儿童更多使用其服务的行为,如发送定向推送通知等。此外,FTC 还提出应禁止企业借助 COPPA 下某些豁免条款,使用或披露个人信息以诱导儿童长时间在线使用网站或在线服务。这一要求有利于企业在使用或披露持久标识符或其他个人信息之前获得可验证的父母同意。根据提案要求,企业需要在向父母发出的通知中解释他们如何使用儿童信息,以增加透明度。如果企业希望使用儿童个人信息引导儿童在线停留,必须在通知中标注此类使用情况。
五、加强教育科技场景下儿童个人信息的保护
FTC 已提议对当前有关教育科技的使用指南进行编撰整理,以防范教育科技公司将儿童个人信息用于商业用途,加强教育科技场景下儿童个人信息的保护措施。提案要求学校和教育科技公司仅能出于教育目的收集、使用和披露学生的个人信息,不得用于任何商业目的。教育科技公司与学校之间的书面协议应明确指明做出同意的人员姓名与职称,并确认学校已经授权该人员做出同意。学校有权利审查教育科技公司收集的儿童个人信息、撤回同意或要求删除相关信息。
六、加强数据安全要求
提案要求企业建立、实施和维护儿童个人信息安全方案,例如指定员工负责维护安全方案、进行年度风险评估并完善数据保护措施、定期测试和监测保护措施的有效性、针对不同敏感程度的儿童数据设置差异化保障措施等。如果公司与其他企业、服务提供商或第三方共享儿童个人信息,应当签订书面协议,并采取合理措施对服务提供商或第三方进行安全审查,以确定他们是否采取必要措施保障儿童数据的机密性、安全性和完整性。
七、限制数据保留
当前的 COPPA 对数据最小化要求进行了初步规定。本次提案针对数据保留提出了更为具体的规范建议。提案指出,企业应创建、维护和公开儿童数据的数据保留政策,明确其保留儿童个人信息的业务需求以及删除信息的时间计划。同时,提案禁止公司无限期保留儿童数据,明确指出“儿童数据的保留不得超出实现收集时特定目的的合理必要时间范围,且不能用于其他目的”。
修订提案价值
随着技术的迅猛发展,儿童所处的互联网环境与十年前相比发生了翻天覆地的变化。个性化定向广告以个人数据为基础成为主流推广方式,而人脸信息等生物识别数据广泛应用于网络空间。新冠疫情期间,在线教育等互联网新业态迅速崛起,技术的进步为我们带来了便利的同时,也使得儿童个人信息更易被收集和滥用。在技术发展的同时,我们必须与之并行推进数据保护,以制度性的回应来解决新兴的儿童个人信息保护问题。
本次修订提案是自 2013 年修正案后对 COPPA 的又一次重大修订,涵盖了通知、同意、数据安全和数据最小化要求等多个方面。正如美国参议员比尔·卡西迪和爱德华·马基在发布的联合声明中所述,这一修订提案对于现代儿童隐私保护的发展具有重要意义。当前,大型科技公司利用各种复杂技术和新型策略获取和利用儿童个人信息,因此需要更加严格和具体的法规来规范这一行为。FTC 的这一提案为应对儿童信息保护困境提供了有力的回应。
出海企业启示
在数字时代,网络服务已经深度融入儿童的生活,然而,随之而来的是儿童个人信息被滥用的风险不断升高。近年来,FTC 及其他政府监管机构对违反 COPPA 的企业实施了更严厉的指控和处罚,谷歌、Meta 等大型科技公司都受到了审查和惩罚,整改成本高、罚款额度大,对企业声誉产生不良影响。本次 COPPA 修订提案再次凸显了 FTC 对儿童信息保护的高度关切,表现出更为严格规范的监管趋势。确保儿童在网络上获得更安全的体验已经成为当前数据法律保护的关键目标之一。
此次修订提案聚焦于儿童在线网络服务市场的发展,关注儿童高频使用的场景,特别关注教育科技等领域,并对定向广告推送等商业化使用儿童个人信息的行为进行了限制。修订提案细化了之前 COPPA 未能完全涵盖的问题和规则,体现了对儿童个人信息保护的更为具体要求。监管趋势呈现出更完善的同意机制、更高的数据安全标准、更强的执法力度和频率。
面对这一趋势,出海企业应提升隐私风险防范意识,重视儿童个人信息保护。及时审查并确认服务对象是否包含美国地区 13 周岁以下的儿童,完善儿童个人信息的收集、存储和使用机制,构建全面的数据安全方案。此外,要关注儿童数据商业化使用的限度,确保在合规的轨道上开展相关业务。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。