引 言

COPPA下的单个违法行为的罚款上限是41,484美元，并且这个处罚金额可以按受影响的人数或违法收集信息的次数进行无限叠加。据此，不排除FTC在未来的案件中做出更高额罚款的可能性。

与中国相关法律法规和欧盟GDPR中有关儿童个人信息保护方面的现有规定相比，COPPA及其配套实施细则在保证父母或监护人（下文统称"父母"）对儿童信息收集的控制权方面，规定最为详细，相关执法案例也最为丰富。本文从实务操作层面，介绍COPPA的适用范围和合规要点，旨在为赴美经营的企业的合规实践提供参考。

美国在联邦层面并不存在一部统一的个人信息保护法案，而是呈现出行业化和分类化立法的特点。COPPA是分类化立法的典型，即针对未满13周岁的美国公民（下称"儿童"）这一特定人群的特别立法。

COPPA的立法过程始于1997年，起因是FTC对一家名为KidsCom的网站展开调查并认定其违反了《联邦贸易委员会法案》（FTC Act）第5条禁止欺诈或不公平行为的规定[2]。调查引发了美国社会对儿童信息保护的关注，并进一步促成了次年美国国会制定并通过了COPPA。此后，FTC于2000年和2013年颁布和更新了COPPA的实施细则（COPPA rule），并发布了《六步合规计划》、《常见问题解答》和《消费者指南》等指导性文件。

需要特别提示的是，COPPA的立法宗旨是赋予父母对网站和在线服务运营者（下称"运营者"）从儿童那里收集信息的决定权[3]。COPPA并不规制在线不良内容或未成年人上网时间等与保护儿童相关的其他问题，也不规制经由成年人发布的涉及儿童的信息。

COPPA所规定的运营者的义务和父母的权利主要包括以下方面：运营者应当发布简明易懂的隐私政策，并披露通过其网站或服务获得儿童信息的第三方运营者的完整名单；在收集、使用和披露儿童的任何个人信息前须直接通知（direct notice）其父母，并取得父母"可验证的同意"（verifiable parent consent）；采取合理措施保护已收集到的儿童个人信息的保密性、安全性和完整性，特别是在分享给第三方前需采取合理措施检查第三方的保护水平；在相关目的实现后，及时删除儿童信息。儿童的父母享有随时访问查看已经收集到的儿童信息并随时撤回同意的权利，并可以选择性地仅同意由运营者收集使用而不同意运营者将收集到的信息进一步披露给第三方。

除在美国注册成立的运营者在美国境内的行为显然受COPPA的管辖外，中国企业还需要注意，在境外注册的运营者向美国儿童收集个人信息的行为也受COPPA管辖。针对美国注册的运营者向外国儿童收集信息的行为，FTC在计算罚款金额的时候，有权把美国之外的部分也计算在内，从而有可能导致更高的罚款金额。

COPPA主要由FTC负责执法。此外，各州检察长（State Attorney General）和其他一些联邦机构也享有执法权。例如，德克萨斯州和新泽西州就有基于COPPA的执法案例，联邦层面的货币监理署（Office of Controller of the Currency）和运输部（Department of Transportation）在相关行业领域中也可以进行执法。

在COPPA及其实施细则的明文规定之外，由于概念的开放性和实践中网络技术的不断发展，运营者经常会对合规问题产生疑问，对此，FTC发布了若干实用的合规指南。[5] 本部分对这些合规指南的重要内容进行了梳理。

COPPA对于面向儿童的运营者和面向一般公众的运营者提出的合规要求不完全相同，面向儿童的运营者相对负有更多的义务。一个运营者是否会被认为是面向儿童的运营者要综合考虑其网站或服务的相关因素，例如网站或服务所采用的卡通图片、儿童喜闻乐见的语言或视频、受儿童欢迎的人物和明星、投放的广告大多为儿童喜爱的玩具和食品等。FTC也会通过实证分析的方式证明某运营者是否为面向儿童的运营者。

实务中，面向儿童的运营者是一个较宽泛的概念，既包括主要受众为儿童的运营者，也包括主要受众为少年（和儿童家长等成年人），次要受众为儿童的运营者。抖音海外版TikTok就属于后者，FTC经调查认为TikTok把儿童作为其目标受众之一，因此虽然TikTok的主要用户可能不是儿童，但TikTok仍然被定性为"面向儿童的运营者"。FTC全面考虑了TikTok的各类特征，包括TikTok视频背景音乐的可选项中有迪斯尼动画片的音乐选项。

可否通过拒绝向儿童提供服务的方式避免COPPA下的义务，需要区分运营者的身份而定。如果基于上述（一）中提到的判断方法，某运营者被认为属于COPPA下的面向儿童的运营者，则该运营者不得拒绝向儿童提供服务。原因是该网站不可避免地会吸引到儿童，如果允许运营者为了规避COPPA义务而拒绝向儿童提供服务，则有失公平且不符合社会公共利益。

如（一）中所述，面向儿童的运营者是一个较宽泛的概念，包括主要受众为少年（和儿童家长等成年人）、次要受众为儿童的运营者。那些主要受众为少年的运营者虽然不能完全拒绝为儿童提供服务，但是可以通过年龄筛选的方式，选出儿童用户，为其提供另外一个版本的网站或服务。以TikTok为例，在与FTC达成的和解协议后，TikTok计划开发专门为儿童提供服务的版本。

与面向儿童的运营者不同，面向一般公众的运营者则可以通过拒绝向儿童提供服务的方式避免COPPA下的义务。需要特别提示的是，运营者要持续关注其网站或服务中是否存在儿童特征，以防由于经营过程中出现了儿童特征而被认为是属于面向儿童的运营者。

如第一部分概述中提到，受COPPA管辖的运营者分为两类：（1）面向儿童的运营者，（2）面向一般大众的运营者实际知道（actual knowledge）其用户中有儿童或者其有意识地通过面向儿童的运营者收集信息。因此，对于面向一般大众的运营者而言，其是否"实际知道"是一个关系到其是否受COPPA规制的重要问题。

实务中，是否构成实际知道取决于大量事实的综合判断。COPPA并不要求面对一般公众的运营者对其用户的年龄进行积极调查。因此，也不要求运营者必须设置年龄筛选等工具来发现儿童。如果运营者设置了年龄筛选，而儿童填报了虚假的年龄，则向该儿童收集个人信息的行为仍然不受COPPA规制。话虽如此，但运营者只要设置了年龄筛选，就必须以中立的方式进行，采取合理措施防止儿童虚假填报年龄，例如，应当避免提前对儿童加以暗示，填报实际年龄将无法使用服务；通过cookie防止儿童在键入实际年龄并发现无法使用服务后，又返回重新键入一个虚假年龄。

在下列情形下，经营者可能被认为是实际知道存在儿童用户：（1）收到来自父母的投诉；（2）用户发来的邮件内容中可以明确看出其为儿童；（3）用户发帖暴露了自己的年龄，而运营者对其网站的帖子采取监控措施。也就是说，运营者越是对网站或服务采取监控措施，越是有可能实际知道儿童用户的存在，也越需要注意履行COPPA义务。（4）用户发帖暴露了自己的年龄，而有证据证明运营者的相关负责人员看到了帖子。对此，一个较好的合规实践是建立内部管理制度指派特定负责人员，以防止任何无关紧要的人员偶然看到或听说了帖子的内容就被推定为该运营者实际知道。

COPPA实施细则所规定的儿童个人信息的范围不仅包括姓名、联系方式、电话号码和社保号码等常见类型，还包括几项容易被忽视的类型，例如，作为联系方式使用的用户名、精确到街道的地址或可定位信息、永久标识（persistent identifier）、带有儿童影像或声音的照片音频或视频等。

COPPA所指的收集行为也是一个宽泛的概念，不仅包括收集、使用和处理，还包括鼓励儿童提交个人信息，或仅仅使儿童有机会将个人信息公之于众，或对儿童进行被动在线追踪（passive tracking）。

当然，COPPA顾名思义是保护在线隐私的，如果一个APP并未将儿童的照片传输至服务器，而仅保存在用户的个人设备上，则不会构成COPPA下的"收集行为"。

鉴于cookie等永久标识属于COPPA定义的个人信息的范围，运营者在收集儿童的永久标识之前，通常需要向父母发出通知并获得可验证的同意。只有在同时满足以下两个条件的例外情况下，运营者不需要取得父母同意：（1）运营者除了永久标识外未收集儿童的任何其他个人信息；并且（2）运营者收集的永久标识仅为提供网站或网络服务的内部支持（internal operations）之用途，不用于任何其他目的。通过永久标识和儿童保持联系或者将永久标识披露给第三方，均属于用作了其他用途。

COPPA实施细则规定，在收集、使用或披露儿童的个人信息前，运营者必须在考虑现有技术的基础上，采取合理措施确保作出同意的人确实是儿童的父母。这是一个身份验证问题，而COPPA实施细则规定的验证标准是比较高的。以最近的TikTok案为例，TikTok并不是没有试图获得父母的同意，但是TikTok所采取的验证手段仅仅是给儿童的"父母"发邮件验证。FTC认为这种验证方法明显不符合COPPA的验证标准。

符合COPPA要求的验证方法有以下几种：父母签署同意表格后，通过传真、邮递、电子扫描等寄回；使用信用卡、借记卡或其他网络支付手段，当场完成交易并当场向父母发送通知；电话同意，须提供经专业训练的客服负责接听的免费电话；与经专业训练的工作人员视频通讯；通过政府颁发的身份证件复印件用于验证；运用面部识别技术进行验证等。一些貌似比较合理的变通手段，例如Facebook朋友验证和银行卡号验证，FTC都曾表示达不到COPPA要求的验证标准。

只有在运营者对儿童信息进行非披露性的内部使用时，可以采用较为简单的"加强型电子邮件"(email plus) 的验证方式，即通过电子邮件取得父母的同意后，再以邮件、信件、电话等形式发送第二次通知，并告知父母有随时撤回同意的权利。可见，TikTok所采取的单次邮件验证的方式，连内部使用情况下的"加强型电子邮件"验证的标准都达不到，被FTC认为是未取得可验证的同意，也就不足为奇了。

另一方面，只要运营者采取了符合FTC要求的验证措施，就被认为已尽到了合理义务。即使儿童通过虚假手段完成了验证，仍然是有效的。

随着技术的不断发展，必然会出现新的并且更高效的验证方式。对于运营者而言，在自我评估或请第三方评估之外，最稳妥的方法是向FTC申请确认新验证方式符合COPPA。

COPPA规定，父母有权选择仅同意运营者收集、使用儿童的个人信息，但禁止运营者披露这些信息给第三方。实务中，该权利是否可以行使还需要区分网络服务的类型。如果分享信息并非提供该网络服务所必需的，则父母享有这一选择权。反之，对于社交软件、聊天室和信息版等以分享信息为核心属性的网站或APP而言，则父母没有该项选择权。

实务中，虽然运营者并无义务告知第三方自己的网络服务是针对儿童的，但是，COPPA的实施细则认为运营者有义务防止第三方从其服务中不当收集儿童个人信息。因此，较好的做法是，明确告知第三方自己服务的性质，并与第三方协商分配COPPA下的合规义务。

此外，依据父母的授权同意与第三方分享儿童信息时，运营者最好在与第三方的合同中写明其希望第三方如何对待这些儿童信息，并且应尽到合理的注意义务确保第三方数据安全措施的充分性，例如定期进行检查。

运营者也可以选择加入经FTC批准的第三方认证机构的隐私保护计划，或称"安全港"（safe harbor）[6]。当然，这些计划并不直接免除运营者的合规义务，仅说明运营者的合规情况可能比较好。FTC仍然会对这些认证机构进行监督，例如FTC曾处罚过TRUSTe未按照其承诺的标准对其认证的运营者进行监督检查的行为。

实习生张弘毅对本文亦有贡献

注：