美国《儿童在线隐私保护法》的立法内容及过程

一、美国《儿童在线隐私保护法》的立法内容及过程

美国是互联网的发源国，尤其在20世纪90年代时期，互联网发展迅猛，成为公民的基本生活方式。在互联网快速发展的同时，美国社会也面临着前所未有的挑战。据研究调查显示，20世纪90年代，美国有三分之二的儿童已经开始使用互联网，[1]而“这些儿童并不安全”，根据1995年CNN的报道，陌生人通过拨打900电话很容易就可以获取孩子的信息。不仅如此，CBS的记者仅仅用了一个声名狼藉的杀手的假名就获取了一系列儿童的姓名[2]。儿童网络隐私的问题引起了整个社会的极大关注。

1998年美国联邦贸易委员会（Federal Trade Commission，简称FTC）通过对1402个网站调研发现，92%的网站会收集用户信息，只有一小部分网站会告诉用户他们的信息将如何被使用。随着儿童上网数量的不断增加，如何保护儿童的网络隐私摆在了立法者和互联网业界人士面前，经过商讨，1998年11月，美国国会通过了《儿童在线隐私保护法》（Children’s Online Privacy Protection Act，简称COPPA）。

美国联邦贸易委员会为COPPA的主管机构，FTC成立于1914年，致力于保护消费者权益并保证国家市场有序竞争，繁荣、高效发展。FTC负责制定、修改COPPA，并对违法企业进行处罚。为了更好地让互联网企业遵守COPPA，FTC还出台了相关细则。

（一）立法内容

《儿童在线隐私保护法》于1998年通过，2000年正式开始实施。该法目的是规范商业网站通过互联网收集和使用13岁以下儿童的可识别信息。[3] FTC为主管部门。根据COPPA的早期规定，以儿童为受众的网站（现已变更）[4]向13岁以下儿童收集可识别个人信息必须：（1）在网站上通知他们收集信息的行为；（2）获得可验证[5]的父母许可：包括网站收集、使用和披露儿童的信息；（3）根据要求，提供给父母一方能够提前为儿童审阅个人信息的收集方案；（4）根据要求，提供给父母一方机会，停止使用或者维护已收集的个人信息；（5）出于在线游戏目的、奖励或者活动中合理的必要的需求对儿童信息进行有限的收集；（6）建立并维持合理的方法来保护信息的保密性、安全性和个人信息的完整性。 [6]

COPPA对相关概念给予了明确的界定：

运营商（operator）是指以营利为目的的、专门针对儿童的收集和存储信息的商业网站或者网络服务。

针对儿童的网站（directed at children）是指针对13岁以下儿童的网站，判断标准包括是否有儿童模特，是否有儿童熟悉的卡通人物，是否有儿童导向的角色和卡通形象等。

可验证的父母许可（verifiable parents consent）是指网站通过传真、邮局、免费电话等方式获得父母同意网站处理未成年子女信息的认证。

根据COPPA的规定，单个违法行为罚款上限为43280美元，会视具体情况而定，进行累积，罚款金额取决于违反的程度：运营商是否曾经违反过本法；涉及儿童的数量，以及个人信息被收集的数量；信息如何被使用，是否被分享给第三方以及公司的体量等。除了罚款之外，还包括删除存储信息、维护个人信息数据库、接受定期数据检查等惩罚。

（二）发展变化

随着技术的迅速发展，移动设备和社交媒体逐渐被未成年人所青睐，2013年COPPA进行了修改。COPPA根据儿童接入互联网方式发生的变化，对监管范围和监管内容进行了修改，并加强了父母对于儿童信息控制的权利。监管范围增加至移动设备和社交网络。监管内容增加至儿童在线行为存储在云端的信息（cookies）以及地理定位、照片、视频和语音记录。2013年COPPA的修改主要体现了以下几个方面的变化：

1.是否专门针对儿童的网站标准发生变化

“专门针对儿童”是判定网站是否违反COPPA最基本的概念，并非所有网站都要接受COPPA的监管，只有专门针对儿童的网站才需要，评判标准也随着互联网的传播方式不断发生变化。

1998年设立之初的COPPA指出，directed at children的网站是指以13岁以下儿童为受众的网站。判断标准为：网站是否设有专门的儿童区域；是否有视频、音频内容，模特的年龄，以及语言和其他相似的特征；是否使用了儿童导向的游戏、玩偶、动画角色或者其他活动。

2013年COPPA的修改，对于网站的范围进行了扩大，包括三个部分：（1）网站以13岁儿童为受众，并收集他们的个人信息；（2）网站或者服务是针对大众的，但是网站经营者实际知道其在收集13岁以下儿童的信息；（3）经营者运营第三方服务，如广告或者手机扩展应用程序，从网站的用户中收集信息或者直接针对13岁以下儿童进行服务。[7](https://www.daowen.com)

2019年3月，COPPA的原起草者参议院爱德华·马基（Edward J. Markey）拟对《儿童在线隐私保护法》进行修订，其中有一条修订将对运营者的“实际知道”（actual knowledge）的标准修订为“推定知道”（constructive knowledge），即对运营者提出了更高的注意义务。

2.关于儿童个人信息认定的变化

最初，COPPA认为儿童信息包括：姓名，住宅地址（包括街道或者城市名字），电子邮箱地址，电话号码，社保号码，任何可识别个人信息以及被网络运营商收集的其他能够确定孩子身份的信息。在2013年COPPA最新修改的标准，儿童信息范围扩大了，包括：姓名；住宅地址（包括街道或者城市名字）；在线联系信息；用作在线联系的屏幕或用户名；社保账号；永久性识别信息，这种信息能够超越时间和不同的网站或者在线服务；包含孩子形象的照片、视频或者声频；能够确定街道或者城市、村庄名字的地理信息；以及被网络运营商收集的其他能够确定孩子身份的信息。

3.审查范围不断扩大

COPPA适用的范围不仅局限于网站，还适用于手机应用软件、智能语音玩具以及在线服务（online service）。根据FTC的解释，在线服务包括任何可以通过互联网进行的服务，或者需要连接到互联网/局域网。在线服务允许用户玩网络游戏，进行网络社交，购买产品或者在线服务，接收广告信息或者与其他用户互动。连接互联网的应用程序、网络游戏平台、互联网语音协议服务，以及互联网定位服务都是COPPA监管的在线服务类型。[8]

2015年11月，因为对个人信息保护措施不当，中国香港玩具制造公司伟易达（Vtech）500多万用户的个人信息被黑客窃取。2018年1月，伟易达公司被FTC罚款65万美元。由于该公司制造的玩具需要搭配手机App，该App未明确告知家长将收集儿童信息且未获得家长同意，私自搜集大量儿童信息，还没有采取有效措施来保护搜集的信息。[9]除了罚款之外，伟易达公司还向FTC保证将遵守COPPA的规定，加强信息安全保护。该案是FTC第一起涉及智能玩具的案件。[10]

2019年3月，COPPA的原起草者之一爱德华·马基声称拟对COPPA进行新的修订，主要修改五方面的内容，除了前文提到的对运营者的“实际知道”的标准修订为“推定知道”外，还包括：扩展了原有立法的适用范围。禁止互联网公司在未经儿童的父母同意的情况下从13岁以下的任何人处收集个人和位置信息，以及未经用户同意从13岁至15岁的任何人处收集个人和位置信息；禁止针对儿童（特指未满13岁）及未得到可验证同意的未成年人（特指13岁至15岁范围）推送定向广告营销；要求在FTC内部设置专门的青年隐私和营销部门，以加强未成年人的隐私保护和监管针对未成年人的营销；要求运营者解释在线收集的个人信息类型、信息的使用和披露方式以及信息收集政策；除在线隐私外，首次对硬件设备作出规定。

---

[1]HERTZEL,DOROTHY A. Don’t Talk to Strangers: An Analysis of Government and Industry Efforts to Protect a Child’s Privacy Online［J］. Federal Communications Law Journal, 2000: 430.

[2]FTC.Children’s Online Privacy Protection Act（ COPPA）［ EB/OL］.（2019-11-12）［2019-12-12］. https://epic.org/privacy/kids/.

[3]FTC.Children?Online Privacy Protection Rule, 16 C.F.R. B 312.1 ［EB/OL］. （2013-01-17）［2019-12-12］. https://www.ecfr.gov/current/title-16/part-312.

[4]FTC.Children’s Online Privacy Protection Rule: Not Just for Kids’ Sites［EB/OL］（2013-04-17）［2019-12-12］. https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-not-just-kids-sites.

[5]根据COPPA要求，可验证是指：（1）提供有父母一方签字的同意表格并通过邮局或者传真给网站运营者；（2）要求父母一方在交易中有可使用的信用卡；（3）有父母一方的免费电话号码；（4）接收电子邮件以及电子签名。在以下几个情况下，网站运营者可以不需要获得父母同意：（1）为了符合本法规范或者获得父母同意而收集儿童姓名和在线联系信息的；（2）为了维护网站或者线上服务的完整性和安全性而不得不收集儿童信息的；（3）为了回应儿童的一次特殊需求，而收集儿童在线联系信息的；（4）为了保护儿童在线安全的。

[6]CHILDREN’S ONLINE PRIVACY PROTECTION RULE §312.3, （a） Provide notice on the Web site or online service of what information it collects from children, how it uses such information, and its disclosure practices for such information （§312.4（b））; （b） Obtain verifiable parental consent prior to any collection, use, and/or disclosure of personal information from children（ §312.5）;（ c） Provide a reasonable means for a parent to review the personal information collected from a child and to refuse to permit its further use or maintenance（ §312.6）;（ d） Not condition a child’s participation in a game, the offering of a prize, or another activity on the child disclosing more personal information than is reasonably necessary to participate in such activity （§312.7）; and （e） Establish and maintain reasonable procedures to protect the confidentiality, security, and integrity of personal information collected from children（ §312.8）.

[7]FTC.Children’s Online Privacy Protection Rule: Not Just for Kids’ Sites. ［EB/OL］. （2013-04-17）［2019-12-12］. https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-not-just-kids-sites.

[8]FTC. Complying with COPPA: Frequently Asked Questions［EB/OL］.（ 2015-03-17）［2020-01-12］. https://www.ftc.gov/tips-advice/business-center/guidance/complyingcoppa-frequently-asked-questions.

[9]FTC.Electronic Toy Maker Vtech Settles FTC Allegations That it Violated Children’s Privacy Law and the FTC Act［EB/OL］.（ 2018-01-08）［2020-01-12］. https://www. ftc.gov/news-events/press-releases/2018/01/electronic-toy-maker-vtech-settles-ftcallegations-it-violated.

[10]沈达. 美国FTC处罚首例联网玩具侵犯儿童隐私案解读及启示［J］. 信息通信技术与政策，2018（6）：55.