近日，美国在线广告提供商OpenX科技公司因违法收集儿童信息被美国联邦贸易委员会（FTC）起诉，该案以OpenX科技公司向FTC支付200万罚款的方式结案。而实际FTC给OpenX开出的罚单数额为750万美元，但因Openx无力支付，FTC将罚款数额减少到200万美元。

　　什么是COPPA？

　　COPPA全称为美国《儿童在线隐私保护法》（Children’s Online Privacy Protection Act）。COPPA于2000年4月21日生效，主要针对在线收集13岁以下儿童个人信息的行为。它详细说明了网站经营者必须在隐私政策中包含哪些内容，何时以及如何寻求父母或监护人的可验证同意，以及经营者在线保护儿童隐私和安全的责任规则。

　　COPPA对互联网企业有哪些影响？

　　COPPA法律实施接近二十年了，但在2019年之前形同虚设，几乎未对互联网企业造成任何实质影响，facebook，YouTube一直收集儿童隐私，甚至向儿童展示广告，但2019年FTC加大了对违反COPPA的企业的处罚力度，引起互联网企业的高度重视。2019年2月，抖音海外版TIKTOK因违反COPPA，向FTC支付罚金570万美金，TIKTOK删除全部儿童视频，并禁止13岁以下的儿童上传视频。同年9月，因YouTube违规收集13岁以下儿童信息及向儿童推送定制化广告，被FTC罚款1.7亿美金，成为美国《儿童在线隐私保护法》（下称“COPPA”）自生效以来最高金额罚款。

　　COPPA最重要的内容就是在收集、使用和披露儿童个人信息前，必须征得其父母的可验证的同意。实践中，对于“可验证”的标准，COPPA将这个问题留给企业，要求企业须通过清晰可用的设计，合理选择一个方法以确保作出同意的是儿童的父母，而非儿童本人，这既是企业实操中的难点，也是COPPA合规审查的重点。作为COPPA唯一的监管机构，美国联邦贸易委员会（Federal Trade Commission，简称FTC）为COPPA制定了包括《企业六步合规计划》（A Six-Step Compliance Plan for Your Business）在内的合规指南，为企业遵守COPPA提供了实用指引。

　　该指南提出的可接受的“可验证的同意”方法包括：

　　（1）父母签署一个同意表格并通过传真、邮箱或电子扫描方式邮寄；

　　（2）让父母使用信用卡、借记卡或其他在线支付系统等可以向账户持有人提供每笔单独交易的通知的系统；

　　（3）使父母可以通过免费号码与经过相关知识培训的人员通话；

　　（4）使父母可以与经过相关知识培训的人员进行视频会议；

　　（5）使父母提供政府颁发的可在数据库中查询的ID复印件，但要在完成认证程序后删除认证记录；

　　（6）使父母回答一系列对于父母之外的人很难回答的问题；

　　（7）验证由父母提供的父母的驾照和父母本人照片，通过人脸识别技术进行对比。

　　如果仅将儿童的个人信息用于内部目的而不会披露，可以使用“加强型电子邮件”（email plus）的方法。根据该方法，向父母发送电子邮件并让他们回复以表示同意。然后，必须通过电子邮件，信件或电话向父母发送确认。如果使用“电子邮件+”，必须让父母知道他们可以随时撤销他们的同意。

　　必须让父母选择允许收集和使用他们孩子的个人信息，而不能捆绑式同时同意向第三方披露该信息。如果对父母已经同意的收集，使用或披露做法进行了更改，必须向父母发送新通知并征得父母的同意。

　　只有在运营者对儿童信息进行非披露性的内部使用时，才可以采用较为简单的“加强型电子邮件”(email plus)的验证方式，即通过电子邮件取得父母的同意后，再以邮件、信件、电话等形式发送第二次通知，并告知父母有随时撤回同意的权利。TikTok被处罚并非是因为其未采取任何严重措施，二是因为其所采取的单次邮件验证的方式，连内部使用情况下的“加强型电子邮件”验证的标准都达不到，因此被FTC认为是未取得可验证的同意而被罚款。

　　以下为《企业六步合规计划》的主要内容：

　　第1步：确认公司是否从13岁以下儿童收集个人信息

　　根据COPPA第3条，该规则适用于任何面向儿童的网站或在线服务的经营者，或者任何实际知道其正在从儿童收集或维护个人信息的经营者的收集、使用和披露儿童个人信息的行为。因此，COPPA主要影响的企业包括以下三种：

　　面向儿童并收集、使用或披露儿童个人信息的商业网站和在线服务（包括移动应用程序）的经营者；

　　实际知道其正在从儿童收集、使用或披露个人信息的一般受众网站或在线服务的经营者；

　　实际知道其直接从另一个面向儿童的网站或在线服务的用户收集个人信息的网站或在线服务的经营者。

　　也就是说，所有对未成年人有潜在吸引力的数据收集、商业isp、插件、应用和网站都必须遵守这一规则。即使您的网站或应用不是针对未成年人的，但有儿童实际使用，您仍然有责任遵守COPPA规则。

　　实践中，FTC会考虑各种因素，以确定网站或服务是否针对13岁以下的儿童，包括网站或服务的主题、视听内容、动画角色的使用或其他面向儿童的活动和奖励、模特的年龄、吸引孩子的儿童名人或名人的存在、网站或服务上针对儿童的广告、以及关于实际或目标受众年龄的其他可靠证据。

　　COPPA经过多次修订，“个人信息”的范畴在逐渐扩大。根据COPPA的当前版本，以下内容均被视为“个人信息”，足以可见COPPA对儿童隐私的保护力度：

　　全名；

　　家庭或其他实际地址，包括街道名称和城市或城镇；

　　在线联系信息，如电子邮件地址或允许某人直接联系某人的其他标识符，例如IM标识符、VoIP标识符或视频聊天标识符；

　　用作在线联系信息的屏幕名称或用户名；

　　电话号码；

　　社会保障号码；

　　持久标识符，可用于随时间和跨不同站点识别用户，包括cookie号，IP地址，处理器或设备序列号或唯一设备标识符；

　　包含儿童图像或声音的照片，视频或音频文件；

　　足以识别街道名称和城市或城镇的地理定位信息；或

　　有关从儿童收集的儿童或父母的其他信息，并与其中一个标识符结合使用。

　　第2步：发布符合COPPA的隐私政策

　　COPPA要求网站发布政策，准确说明如何使用和存储收集的数据。

　　1.隐私政策的发布位置

　　经营者必须在其网站或在线服务的主页上以及在收集儿童个人信息的每个页面发布其隐私政策链接。具有单独儿童区的一般受众网站的经营者必须在儿童区的主页上发布其通知的链接。

　　隐私政策的链接必须清晰和突出。例如在对比鲜明的背景上使用较大的字体大小或不同的颜色类型，使其脱颖而出。页面底部的小字中的链接、或者与您网站上的其他链接无法区分的链接一般被认为不符合清晰和突出的要求。

　　2.隐私政策的内容要求

　　隐私政策必须写得清楚易懂，不应包含任何无关或混淆的内容（例如广告）。必须说明以下信息：

　　（1）收集个人信息的所有经营者的列表。

　　列明通过您的网站或服务收集或维护儿童个人信息每一个第三方经营者（例如广告网络或社交网络插件）的名称和联系信息（地址，电话号码和电子邮件地址）。如果不止一个经营者正在收集信息，可以只提供一个联系信息，只要该公司能回复父母关于您的网站或服务实践的所有询问。即便如此，您仍需在您的隐私政策中列出所有收集者的名称。

　　（2）所收集的个人信息及其使用方式的说明：

　　从儿童收集的个人信息类型（例如，姓名，地址，电子邮件地址，爱好等）；

　　如何收集个人信息，直接来自儿童或被动地，例如通过cookie；

　　如何使用个人信息（例如，向孩子进行营销，通知比赛获胜者，或允许孩子通过聊天室公开提供信息）；

　　是否向第三方披露从儿童收集的个人信息。如果这样做，隐私政策必须列出向其披露信息的企业类型（例如，广告网络）以及他们如何使用这些信息。

　　（3）父母权利的描述：

　　他们可以查看孩子的个人信息，要求删除，并拒绝允许进一步收集或使用孩子的信息；

　　他们可以同意收集和使用他们孩子的信息，但仍然可以不允许向第三方披露，除非这是服务的一部分（例如，社交网络）；和父母行使权利的方式和程序。

　　第3步：在收集儿童的个人信息之前，直接通知家长

　　COPPA要求经营者在收集孩子的信息之前，向父母“直接通知”（“direct notice”）经营者的信息实践（information practices）。此外，如果经营者对父母之前同意的做法做了实质性的改变（material change），也必须发出更新的直接通知。

　　经营者可以使用任何有效的方法来通知家长，例如向家长发送电子邮件或通过邮政邮件发送通知。

　　“直接通知”应当包含以下内容：

　　您为了获得他们的同意而收集了他们的联系方式信息；

　　您想从他们的孩子那里收集个人信息，需要征得他们的同意；

　　想要收集的具体个人信息以及如何向他人披露这些信息；

　　附上在线隐私政策的链接；

　　父母如何表示同意（参见第4步）；以及

　　如果父母在合理的时间内未同意，您将从您的记录中删除父母的联系方式信息。

　　第4步：在收集儿童的个人信息之前获得父母的可验证同意

　　在收集，使用或披露儿童的个人信息之前，经营者必须获得其父母的可验证同意。如何得到父母的可验证同意呢？COPPA列出了几种非详尽的选项，但最终由经营者来决定，重要的是选择一种（或任意种）根据现有技术合理设计的方法，以确保给予同意的人是孩子的父母。

　　FTC批准了几种可接受的方法在前文中已经介绍，此处不再赘述。

　　第4步是整个COPPA规则中最为关键的一环，也是最为繁琐和给企业带来负担的一步。实践中，企业可以根据自身的业务类型采取相对较为方便的方式。

　　第5步：尊重家长对收集的儿童个人信息的持续权利

　　根据COPPA的规定，即使父母同意了从他们的孩子那里收集信息，父母仍有持续的权利，包括随时能够：

　　审查从其孩子那里收集的个人信息；

　　撤销他们的同意并拒绝进一步使用或收集他们孩子的个人信息；和

　　要求删除孩子的个人信息。

　　企业应当设置合理的机制，为父母行使其权利提供便利，并在隐私政策及“直接通知”中告知父母行使权利的方式。

　　第6步：实施合理手段，保护儿童个人信息安全

　　COPPA要求经营者建立并维护合理的程序，以保护从儿童收集的个人信息的机密性，安全性和完整性。最大限度地减少收集的信息内容。采取合理措施，仅向能够保持信息机密性，安全性和完整性的第三方服务提供商发布个人信息，并得到他们的保证，将履行这些责任。只有在收集个人信息的目的合理需要的情况下才能保留个人信息，一旦不再有合法理由保留，请安全地处置这些个人信息。

　　FTC对违反COPPA企业的处罚，对中国企业的启示

　　首先，并非只有美国境内注册的企业才适用COPPA。COPPA的适用范围不仅包括美国境内的企业，也包括在美国服务器上托管的网站和面向美国市场的商业网站。因此，中国企业走出去之前，需要特别注意，如果提供的互联网服务面向美国市场，其行为也受COPPA约束。

　　其次，鉴于中美之间目前的微妙关系，不排除FTC会持续加大对中国出海企业的监管和处罚力度，这就对出海企业的合规风险控制提出了更高的要求，企业需要严格按照COPPA以及《企业六步合规计划》设立隐私政策，树立并增强数据合规意识，避免因水土不服导致企业出海扬帆受阻。

　　数据是互联网企业的重要资产和发展动力，作为一把双刃剑，数据在为互联网企业提供助力的同时，如何对其有效、合规的使用也对企业提出了更高的要求，尤其是企业如果想在国际化的舞台上展现自身竞争力，需要首先配置好合规的“铠甲”，才可以合法合规的挥洒汗水，征战商场。

　　参考文献：
　　[1]https://www.sohu.com/a/510049081_121124603
　　[2]https://www.shangyexinzhi.com/article/2575512.html
　　[3]Children’s Online Privacy Protection Rule:A Six-Step Compliance Plan for Your Business|Federal Trade Commission(ftc.gov)
　　[4]COPPA中对运营者的定义：
　　The term"operator"-
　　(A)means any person who operates a website located on the Internet or an online service and who collects or maintains personal information from or about the users of or visitors to such website or online service,or on whose behalf such information is collected or maintained,where such website or online service is operated for commercial purposes,including any person offering products or services for sale through that website or online service,involving commerce-
　　(i)among the several States or with 1 or more foreign nations;
　　(ii)in any territory of the United States or in the District of Columbia,or between any such territory and-
　　(I)another such territory;or
　　(II)any State or foreign nation;or
　　(iii)between the District of Columbia and any State,territory,or foreign nation;but
　　(B)does not include any nonprofit entity that would otherwise be exempt from coverage under section 45 of this title.