COPPA的全称为Children's Online Privacy Protection Act（《儿童在线隐私保护法》），该法于1988年由美国国会指定并由总统签署通过，是美国为数不多的联邦在线隐私法之一，也是美国第一部儿童网络隐私保护法律，具有较大的影响力。

COPPA的主要目标是让父母控制在线收集的其子女的信息。该法案于2000年4月21日生效，适用于美国司法管辖区内的在线收集13岁以下儿童的个人信息的个人或实体。它详细说明了网站经营者必须在隐私政策中包含哪些内容，何时以及如何寻求父母或监护人的可验证同意，以及经营者在线保护儿童隐私和安全的责任规则[3]。

虽然COPPA是美国法律，但联邦贸易委员会已经明确表示，如果任何网站“针对美国儿童或有意从美国儿童收集信息”[4]，则COPPA的要求将适用于外国运营的网站。作为美国联邦法律，COPPA适用于运行以下网站[5]：

• 美国管辖下的网站；

• 美国服务器上托管的网站；

• 总部设在美国领土的所有者的网站；

• 或美国市场上的商业网站。

2012年12月，联邦贸易委员会发布了自2013年7月1日起生效的修订版，该修订版创建了额外的父母通知和同意要求，修订了定义。2013年7月1日之后，被COPPA涵盖的经营者必须[6]：

1. 发布明确而全面的在线隐私政策，描述其在线收集13岁以下儿童的个人信息的信息实践；

2. 作出合理努力（根据现有技术），向父母直接通知经营者在收集、使用或披露13岁以下儿童的个人信息方面的做法，包括对父母先前同意的任何重大改变的通知；

3. 在收集、使用和/或披露13岁以下儿童的个人信息之前，除有限的例外情况外，获得可核实的父母同意；

4. 为父母提供一种合理的手段，以查看从其子女处收集的个人资料，并拒绝允许经营者进一步使用或维持这些资料；

5. 建立和维持合理的程序，保护从13岁以下儿童收集的个人信息的保密性、安全性和完整性，包括采取合理步骤，只向有能力保密和安全的各方披露/公布此类个人信息；

6. 仅在为实现收集目的所需的时间内保留在网上收集的儿童个人信息，并使用合理措施删除这些信息，以防止未经授权的访问或使用。

7. 禁止经营者以儿童参与在线活动为条件，要求儿童提供比参加该活动合理必要的更多个人信息。

根据上述一般要求，FTC还编制了“六步合规计划”（A Six-Step Compliance Plan）[7]以指导企业遵守COPPA，本文列举和总结值得关注的重点内容如下：

第1步：确定您的公司是否是从13岁以下儿童收集个人信息的网站或在线服务

根据COPPA第3条，该规则适用于任何面向儿童的网站或在线服务的经营者，或者任何实际知道其正在从儿童收集或维护个人信息的经营者的收集、使用和披露儿童个人信息的行为。因此，COPPA主要影响的企业包括以下三种：

1. 面向儿童并收集、使用或披露儿童个人信息的商业网站和在线服务（包括移动应用程序）的经营者；

2. 实际知道其正在从儿童收集、使用或披露个人信息的一般受众网站或在线服务的经营者；

3. 实际知道其直接从另一个面向儿童的网站或在线服务的用户收集个人信息的网站或在线服务的经营者。

也就是说，所有对未成年人有潜在吸引力的数据收集、商业isp、插件、应用和网站都必须遵守这一规则。即使您的网站或应用不是针对未成年人的，但有儿童实际使用，您仍然有责任遵守COPPA规则。

实践中，FTC会考虑各种因素，以确定网站或服务是否针对13岁以下的儿童，包括网站或服务的主题、视听内容、动画角色的使用或其他面向儿童的活动和奖励、模特的年龄、吸引孩子的儿童名人或名人的存在、网站或服务上针对儿童的广告、以及关于实际或目标受众年龄的其他可靠证据。

COPPA经过多次修订，“个人信息”的范畴在逐渐扩大。根据COPPA的当前版本，以下内容均被视为“个人信息”，足以可见COPPA对儿童隐私的保护力度：

• 全名；

• 家庭或其他实际地址，包括街道名称和城市或城镇；

• 在线联系信息，如电子邮件地址或允许某人直接联系某人的其他标识符，例如IM标识符、VoIP标识符或视频聊天标识符；

• 用作在线联系信息的屏幕名称或用户名；

• 电话号码；

• 社会保障号码；

• 持久标识符，可用于随时间和跨不同站点识别用户，包括cookie号，IP地址，处理器或设备序列号或唯一设备标识符；

• 包含儿童图像或声音的照片，视频或音频文件；

• 足以识别街道名称和城市或城镇的地理定位信息；或

• 有关从儿童收集的儿童或父母的其他信息，并与其中一个标识符结合使用。

第2步：发布符合COPPA的隐私政策

COPPA要求网站发布政策，准确说明如何使用和存储收集的数据。

 1.隐私政策的发布位置

经营者必须在其网站或在线服务的主页上以及在收集儿童个人信息的每个页面发布其隐私政策链接。具有单独儿童区的一般受众网站的经营者必须在儿童区的主页上发布其通知的链接。

隐私政策的链接必须清晰和突出。例如在对比鲜明的背景上使用较大的字体大小或不同的颜色类型，使其脱颖而出。页面底部的小字中的链接、或者与您网站上的其他链接无法区分的链接一般被认为不符合清晰和突出的要求。

2. 隐私政策的内容要求

隐私政策必须写得清楚易懂，不应包含任何无关或混淆的内容（例如广告）。必须说明以下信息：

（1） 收集个人信息的所有经营者的列表。

列明通过您的网站或服务收集或维护儿童个人信息每一个第三方经营者（例如广告网络或社交网络插件）的名称和联系信息（地址，电话号码和电子邮件地址）。如果不止一个经营者正在收集信息，可以只提供一个联系信息，只要该公司能回复父母关于您的网站或服务实践的所有询问。即便如此，您仍需在您的隐私政策中列出所有收集者的名称。

（2）所收集的个人信息及其使用方式的说明：

• 从儿童收集的个人信息类型（例如，姓名，地址，电子邮件地址，爱好等）；

• 如何收集个人信息，直接来自儿童或被动地，例如通过cookie；

• 如何使用个人信息（例如，向孩子进行营销，通知比赛获胜者，或允许孩子通过聊天室公开提供信息）；

• 是否向第三方披露从儿童收集的个人信息。如果这样做，隐私政策必须列出向其披露信息的企业类型（例如，广告网络）以及他们如何使用这些信息。

（3）父母权利的描述：

• 他们可以查看孩子的个人信息，要求删除，并拒绝允许进一步收集或使用孩子的信息；

• 他们可以同意收集和使用他们孩子的信息，但仍然可以不允许向第三方披露，除非这是服务的一部分（例如，社交网络）；和

• 父母行使权利的方式和程序。

第3步：在收集儿童的个人信息之前，直接通知家长您的信息实践

COPPA要求经营者在收集孩子的信息之前，向父母“直接通知”（“direct notice”）经营者的信息实践（information practices）。此外，如果经营者对父母之前同意的做法做了实质性的改变（material change），也必须发出更新的直接通知。

经营者可以使用任何有效的方法来通知家长，例如向家长发送电子邮件或通过邮政邮件发送通知。

“直接通知”应当包含以下内容：

1.   您为了获得他们的同意而收集了他们的联系方式信息；

2. 您想从他们的孩子那里收集个人信息，需要征得他们的同意；

3. 想要收集的具体个人信息以及如何向他人披露这些信息；

4. 附上在线隐私政策的链接；

5. 父母如何表示同意（参见第4步）；以及

6. 如果父母在合理的时间内未同意，您将从您的记录中删除父母的联系方式信息。

第4步：在收集儿童的个人信息之前获得父母的可验证同意

在收集，使用或披露儿童的个人信息之前，经营者必须获得其父母的可验证同意。如何得到父母的可验证同意呢？COPPA列出了几种非详尽的选项，但最终由经营者来决定，重要的是选择一种（或任意种）根据现有技术合理设计的方法，以确保给予同意的人是孩子的父母。

FTC批准了几种可接受的方法，包括让父母：

1. 签署同意书并通过传真，邮件或电子扫描发回；

2. 使用信用卡，借记卡或其他在线支付系统向账户持有人提供每笔单独交易的通知；

3. 拨打配备了训练有素的人员的免费电话；

4. 通过视频会议连接到训练有素的人员；

5. 提供一份政府颁发的身份证件的副本，经营者对照数据库核对，并在完成验证过程后从记录中删除身份证明；

6. 回答一系列基于知识的挑战问题，这些问题对于父母以外的人来说很难回答；或者

7. 验证父母提交的其他照片ID的驾驶执照照片，然后使用面部识别技术将该照片与父母提交的第二张照片进行比较。

    

这一步是整个COPPA规则中最为关键的一环，也是最为繁琐和给企业带来负担的一步。实践中，企业可以根据自身的业务类型采取相对较为方便的方式。例如，包含付费业务的企业，可以选择第2种方式，举例来说，微软收取少量费用，作为核实家长同意的一种方式，这笔费用捐赠给国家失踪和受剥削儿童中心，Skype从家长的信用卡中扣除少量金额，验证完成后，返还给家长或者充值到其账户；再如，已经设置有较为完善的免费客服电话体系的企业，可以选择第3种方式。

在某些情况下，根据COPPA，经营者可以在未经父母同意的情况下收集一小部分个人信息，限于本文篇幅，不在此列举这些例外情况。

第5步：尊重家长对收集的儿童个人信息的持续权利

根据COPPA的规定，即使父母同意了从他们的孩子那里收集信息，父母仍有持续的权利，包括随时能够：

1. 审查从其孩子那里收集的个人信息；

2. 撤销他们的同意并拒绝进一步使用或收集他们孩子的个人信息；和

3. 要求删除孩子的个人信息。

企业应当设置合理的机制，为父母行使其权利提供便利，并在隐私政策及“直接通知”中告知父母行使权利的方式。

第6步：实施合理手段，保护儿童个人信息安全

COPPA要求经营者建立并维护合理的程序，以保护从儿童收集的个人信息的机密性，安全性和完整性。最大限度地减少收集的信息内容。采取合理措施，仅向能够保持信息机密性，安全性和完整性的第三方服务提供商发布个人信息，并得到他们的保证，将履行这些责任。只有在收集个人信息的目的合理需要的情况下才能保留个人信息，一旦不再有合法理由保留，请安全地处置这些个人信息。

这一步看似空泛，却至关重要，文章开头的伟易达正是由于安全漏洞才导致大量信息泄露，进而被处以高额罚款。

我国2016年发布了《未成年人网络保护条例》（草案），2017年1月发布了（送审稿），但目前还未施行。根据《未成年人网络保护条例》（以下简称《条例》）的当前版本，只有第二、十六、十七、十八、三十一、三十五条涉及到未成年人的个人信息保护，且这5个条款中，存在个人信息的定义不明确、收集主体的义务原则性较强、缺乏明确的指引等问题。立法者应当引起重视，在谨慎借鉴COPPA[8]的基础上，结合我国实际情况，制定和完善更加具体和可执行的规则。

虽然COPPA公布以来也具有较大的争议性，“容易鼓励年龄欺骗”[9]且给中小企业带来了较大的负担，受到部分美国法律专家和大众媒体的质疑[10]，但美国在如何为儿童构建一个安全、健康的网络世界上的探索为我们提供了宝贵的经验。根据中国互联网信息中心2018年8月发布的第42次《中国互联网络发展状况统计报告》[11]，在我国所有的网络用户中，未成年人占比已经超过20%。当前，我国在个人隐私保护立法上仍然缺少明确的规范，互联网企业也缺少社会责任感，整个社会更是对个人信息保护处于一种无力的状态，更遑论未成年人保护。保护儿童就是保护民族，保护儿童就是保护未来，唯有社会各方联合起来，共同为儿童创造一个安全、健康的网络环境，才能守护儿童在充分利用互联网提升自己的同时，坚守住内心的真诚与纯净。

特别声明：本文仅为交流之目的使用，不构成正式律师意见，亦不得依赖本文进行任何的商业决策或采取法律行动。