2025 年 4 月 22 日,更新后的《儿童在线隐私保护法》(COPPA)在《联邦公报》上正式发布,本次修订为 COPPA 自 2013 年以来的首次重大更新。这些更新包括多个方面:扩大“个人信息”定义,对第三方披露(尤其广告目的)实施更严格的同意要求,明确数据最小化和目的限制原则,强制规定数据保留政策和安全措施,以及加强对“安全港”计划的监管等。新规将于 2025 年 6 月 23 日生效,将直接影响相关企业的运营流程和合规策略。
一、重要修订内容
1. 明确关键定义
(1)“混合受众网站或在线服务”
- 新规正式定义了“混合受众网站或在线服务”(Mixed Audience Website or Online Service):即服务“针对儿童”,但儿童并非其主要目标受众。
- 这类服务可通过设置中立的年龄门槛 (neutral age gate) 来区分用户,仅对识别为 13 岁以下的用户应用 COPPA 要求(如获取 Verifiable Parental Consent,简称 VPC)。关键前提为在通过年龄门槛确认年龄前,不得收集任何个人信息(除非符合 COPPA 极少数例外)。
(2)“在线联系信息”
- 新规扩展“在线联系信息”定义,新增“或者,移动电话号码,但前提是运营者仅将其用于向家长发送与获取家长同意相关的短信。”
(3)“个人信息”
- COPPA 对“个人信息”(Personal Information,简称 PI )的核心定义——“在线收集的关于个人的可识别信息”——保持不变,涵盖姓名、地址、邮箱、电话、社保号、持久性标识符 (Persistent Identifiers,简称 PIDs)、精确地理位置、含儿童图像或声音的文件等。
- 关键扩展 1:生物识别标识符——识别与管理方案
- 新规明确将“生物识别标识符”纳入 PI 范畴,定义为“可用于对个人进行自动化或半自动化识别的标识符”。示例包括指纹、声纹、面部模板等。
- 关键扩展 2:政府签发的标识符——进行风险排查
- 新规将范围扩展至任何“政府签发的标识符”,如州身份证号、护照号。
2. 调整通知和家长同意机制
(1)修订直接通知内容
- 个人信息:新规要求直接通知必须明确说明运营商(运营商指运营互联网网站或在线服务,并从该网站或在线服务的用户或访问者处收集或维护个人信息、代表其收集或维护此类信息,或通过该网站或在线服务提供产品或服务销售的任何主体,且该网站或在线服务的运营以商业为目的)拟如何使用儿童的个人信息(例如 “用于个性化推荐”“数据分析”),强调使用与披露的双重说明。
- 第三方披露:新规新增运营商需在直接通知中按名称或类别披露接收儿童个人信息的第三方(包括公开披露的情况),并说明共享目的(例如 “用于广告投放”“数据处理”)。明确父母可仅同意收集和使用儿童个人信息,而无需同意向第三方披露,除非该披露是服务 “核心功能” 所必需(如支付处理)。
(2)修订网站或在线服务上的通知
- 修订:新规要求运营商在在线通知中披露向其披露个人信息的第三方的身份和类别,以及数据保留政策。
- 新增:新规要求运营商在在线通知中披露其使用持久标识符进行内部运营的一般类别目的,而无需披露可能威胁安全协议或泄露专有信息的细节。
- 新增:新规要求运营商在在线通知中描述其使用音频文件的目的,并说明在响应收集请求后立即删除此类音频文件。
(3)修订父母同意机制
- 单独同意要求:运营商在披露儿童个人信息时必须获得单独的可验证父母同意,除非此类披露对网站或在线服务的本质是不可或缺的。运营商不得将网站或在线服务的访问权限条件化为获得对第三方披露的同意。
- 删除“货币”要求:删除了要求运营商在使用信用卡、借记卡或其他在线支付系统时必须进行货币收费才能获得可验证父母同意的规定。
- 更新家长同意方法:基于知识的认证方法、面部匹配照片 ID 方法、文本加验证方法等。
- 音频文件例外:新增条款允许运营商在回应儿童特定请求时收集音频文件,且不用于其他目的、不披露,并在回应后立即删除,无需获得可验证的父母同意。
3. 个人信息的保密、安全与完整性
(1)信息安全计划要求
- 运营商必须建立、实施和维护一个书面的信息安全计划,该计划应包含与从儿童处收集的个人信息的敏感性以及运营商的规模、复杂性、性质和活动范围相适应的保障措施。
(2)风险评估和保障措施
- 运营商必须指定员工协调信息安全计划,进行风险评估,设计、实施和维护保障措施以控制风险,并定期测试和监控这些保障措施的有效性。
(3)第三方保障
- 运营商在将儿童个人信息发布给其他实体之前,必须采取合理措施确定这些实体能够维持信息的保密性、安全性和完整性,并获得书面保证。
4. 数据保存与删除要求
(1)数据保留期限
- 运营商必须仅在为实现收集目的所必需的合理时间内保留从儿童处收集的个人信息。
- 运营商不得将儿童个人信息用于收集时未披露的任何次要目的。
(2)删除要求
- 运营商必须在信息不再合理必要时删除儿童个人信息。
- 运营商必须制定并维护一个书面的数据保留政策,明确保留目的、保留期限和删除时间表。
(3)透明度和通知
- 运营商必须在在线通知中包含其书面的数据保留政策,以提高透明度并帮助父母做出知情决策。
5. 安全港项目
(1)综合审查
新规加大“安全港计划”监管力度,要求 FTC 批准的 COPPA 安全港计划在对成员运营商的年度评估中包括对成员运营商的“信息隐私和安全政策、实践和表述”的全面审查。
(2)年度报告要求
新规要求安全港计划在年度报告中识别成员运营商、描述其业务模式、提交消费者投诉副本,以及公开发布成员运营商列表。
(3)三年报告
新规要求 FTC 批准的 COPPA 安全港计划每三年提交一份报告,详细说明每个安全港计划的技术能力和评估成员运营商适应性的机制。
(4)指南修改
新规要求安全港计划在最终规则发布后六个月内提交指南修改。
二、Kaamel 的应对
🚸 助力儿童隐私合规 | 一站式 COPPA & KidSAFE 认证支持服务上线!
在数字产品越来越多地面向未成年用户的今天,儿童隐私保护已成为企业不可回避的重要议题。Kaamel 致力于为企业提供专业、系统、高效的隐私合规服务,特别是在美国《儿童在线隐私保护法》(COPPA)合规及 KidSAFE 认证方面,已帮助多家客户成功实现合规落地。
🔒 什么是 KidSAFE 认证?
🛡️ KidSAFE 认证是由 FTC 批准的 COPPA“安全港计划”(Safe Harbor Program)之一。获得 KidSAFE 认证,不仅意味着您的产品符合 COPPA 合规标准,还能在服务中展示权威认证标志,彰显企业在儿童隐私保护方面的决心和态度,显著增强用户信任,为企业提供市场竞争优势,助力产品打开海外市场。
🧩 我们能为您做什么?
Kaamel 的 COPPA 合规与 KidSAFE 认证服务覆盖合规全流程,助您轻松应对政策要求、赢得市场先机:
✅ SaaS 隐私扫描工具支持:自动识别潜在风险点;
🎓 定制化合规培训:为产研团队讲解 COPPA 核心要点和 KidSAFE 认证流程;
🔍 资产合规评估:全面审查网站、APP 中的隐私设置与数据实践;
📋 差距分析与整改建议:基于 KidSAFE 认证 Checklist,输出专业整改方案;
🛠️ 整改计划制定与推进:协助实施合规修复路径;
💬 认证答疑支持:应对 KidSAFE 官方审核过程中可能出现的问题;
🏅 协助认证落地:陪伴企业走完从合规到认证的每一步。
Kaamel 将持续关注法案的最新进展,致力于为您提供最新的隐私保护信息和动态。请大家持续关注我们的更新,我们将为你带来更多的隐私保护的相关信息,敬请期待!
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
