一、主要内容

近日，美国联邦贸易委员会（FTC）修订《儿童在线隐私保护法》（COPPA），以加强儿童信息保护，赋予家长更多控制权。

修订内容包括不限于：

（1）定义调整：

• 新增“混合受众网站或在线服务”，即某一网站或在线服务的受众指向儿童，但并非以儿童为主要受众，且在收集年龄信息或采用其他方法合理确定访问者是否为儿童之前，除法律规定的特定情形外，不得收集访问者的个人信息；

• 扩展“在线联系信息”，新增移动电话号码，仅限于向家长发送网站登录验证短信；

• 将敏感个人信息的范围扩展至政府颁发的标识信息（如社保号、护照号）和生物识别信息（指纹、虹膜等）；

• 支持内部运营：明确个人信息可用于维护网站功能，但禁止用于定向广告、联系用户和创建用户画像等用途。

（2）调整通知与家长同意机制：

• 扩展通知要求：直接通知家长时，说明数据收集目的、数据用途、第三方披露详情、明确家长可选择不同意第三方披露。在线通知时，新增数据保留政策（保留目的、期限）、音频文件使用说明（仅用于响应请求并即时删除），强化第三方披露透明度。

• 更新家长同意方法：新增知识验证（动态多选题，难度需确保12岁以下儿童无法回答）、面部匹配认证（对比政府证件照片与实时摄像头图像，验证后立即删除数据）、“文本+”验证方式（短信发送同意链接，需附加确认步骤，如电话回呼，仅限不披露儿童信息的场景），如有特殊情况，允许收集家长同意的音频文件，但需即时删除且仅用于响应儿童请求。

（3）强化数据安全与管理合规：

• 数据安全要求：强制制定书面安全计划，指定专人负责定期评估风险，与第三方共享前需验证对方安全能力并获取书面保证，防止数据泄露；

• 数据保留与删除要求：仅可保留至“实现收集目的所需的合理必要时间”，禁止无限期保留，且制定书面数据保留政策，公开说明保留目的、业务需求和删除时间框架，并将该政策纳入平台在线通知。

（4）加大“安全港计划”监管力度：FTC公开披露获批加入安全港计划的成员名单、认证服务、投诉处理情况和纪律措施，加强对安全港计划成员的合规审查。

该修订案将于2025年6月23日生效。

二、相关背景

美国《儿童在线隐私保护法》的安全港计划允许行业自律组织或其他第三方机构制定符合COPPA基本要求的自律计划，并提交给FTC批准。加入安全港计划的成员，如果遵守该计划的规则，将被视为符合COPPA的要求。

三、中国企业应关注的重点

建议面向美国13岁以下儿童的在线销售商品或服务（包括网站、应用程序、游戏、广告网络等）的企业，重点关注此信息，详细审查现有的数据收集、处理、储存方式，严格遵循COPPA的儿童信息保护要求和家长同意机制，及时就业务发展和规则变化更新隐私政策。

来源：北京市贸促会，编译自：美国联邦公报官方网站