一、背 景

本月10日，美国谷歌宣布将采取更多的隐私保护措施为使用YouTube及其搜索引擎的儿童和青少年提供更安全的在线体验，使未成年人能够更好地控制其“数字足迹”。措施包括：关闭所有18岁以下用户的定位历史记录，并删除可以重新打开的选项；满足18岁以下用户及其父母、监护人从谷歌图片搜索结果中删除该用户的图片的要求；限制基于年龄、性别、兴趣等线上数据对未成年人进行的广告精准投放等。[1]

本月20日，我国《个人信息保护法》如期通过，而《数据安全法》也将于下月1号正式生效，当前这个风口，数据安全保护无疑是最热的话题。基于儿童认识的局限性，其网络数据安全无疑构成了最易遭遇侵权的对象。本文以第一部儿童网络隐私保护法律——美国《儿童网络隐私保护法》（Children's Online Privacy Protection Act，以下简称COPPA）为焦点，通过将其合规要点与典型执法案例相结合，为计划在美国市场开展儿童相关业务的互联网企业提出合规意见。

二、 向YouTube及其母公司谷歌

开出1.7亿美元“罚单”的COPPA

正如前文所述，世界互联网巨头已在采取更多的隐私保护措施为未成年人提供更安全的在线体验，而该措施指向的合规目标便是COPPA。不得不说，美国的隐私立法确实走在世界前列，1998年，美国国会就制定并由总统签署通过了COPPA，并于2000年正式生效，而我国与之相对应的《儿童个人信息网络保护规定》于2019年8月正式通过，于同年10月正式生效。

COPPA旨在保护 13 岁以下儿童在线活动期间的隐私和安全，并赋予父母权利以更好地控制网站从孩子的在线活动中收集的信息。同时，美国国会根据COPPA授予了美国联邦贸易委员会 （Federal Trade Commission，以下简称FTC)制定规则的权力，以实现其立法目标。COPPA没有赋予私人诉讼权，但赋予公共执法机构（如FTC）相应权力，除了罚款之外，其还可以向违法对象签发禁令、要求合规和提出损害赔偿。

三、 COPPA的两个合规要点

1. 合规主体的确认

确认自己是否在法律法规的射程之内，可谓是合规的基础。在执法案例中，不少公司意图通过主张自己并非属于COPPA的规制范围，从而免除自己的合规义务，却并未获得成功。由此可知，COPPA的执法范围并非仅限于儿童网站或儿童在线服务运营商。通过对立法规定与执法案例的梳理，笔者将为大家展示，即使是面向一般人群提供服务的互联网公司，也需要对COPPA合规问题加以注意。

根据COPPA规定，其适用于：

（1）任何面向儿童（儿童指未满十三周岁的未成年人）的网站或在线服务运营商。

在决定网站或在线服务或其一部分是否面向儿童时，COPPA进一步规定：FTC将考虑其主题、视觉内容、使用动画人物或面向儿童的活动和奖励、音乐或其他音频内容、模特年龄、儿童名人或吸引儿童名人的行为、网站或在线服务的语言或其他特征，以及网站或在线服务上的广告宣传是否针对儿童等因素。此外，FTC还将考虑有力可靠的、关于用户构成的的经验证据，以及有关观众预期的证据。

（2）当网站或在线服务并非面向儿童，但实际知道（has actual knowledge）正在从儿童收集或维护个人信息时，也应遵守COPPA的规定。

首先，我们需要注意的是，“面向儿童的网站或在线服务运营商”，并非仅包括专门面向儿童的网站或在线服务，如果该网站或在线服务的部分内容明确针对儿童，则其也需要受到COPPA的规制。

2019年9月，YouTube 及其母公司谷歌，与FTC和纽约总检察长 (NYAG) 达成1.7 亿美元天价和解金，这也是FTC史上开出的最高罚单。该案中，FTC根据COPPA提出指控：YouTube未经父母同意非法收集儿童个人信息，并通过使用cookies向收看这些频道的儿童投放定向广告，赚取了数百万美元。

本案中，YouTube就声称自己是一个面向一般人群的网站，不需要遵守COPPA。但是FTC指出，Youtube中的一些频道是专门面向儿童的，因此必须遵守COPPA。为此，FTC还提出，YouTube时常向热门儿童产品的品牌制造商宣称自己是儿童广告投放的首选，由此可见，YouTube显然知道其平台上有许多面向儿童的频道。例如，谷歌和YouTube告诉芭比娃娃和怪物高中（MonsterHigh）的玩具制造商美泰，“在接触6-11岁儿童的受众上，YouTube是当今能与顶级电视频道抗衡的引领者”，并告诉孩之宝 （小马宝莉和培乐多的制造商），“YouTube是孩子们定期访问网站的第一名”[2]。

而对于上述COPPA规定的第二点，适用COPPA主体范围中“实际知道”自己会从儿童处收集信息的公司，由于立法解释的空缺，就显得有些难以界定。但我们也可以通过一起执法案例，对如何定义“实际知道”进行更深的了解。

2019年2月，FTC指控“Musical.ly”（现更名为“Tiktok”)在未征得监护人同意的情况下，非法收集了13岁以下儿童的姓名、电子邮件等个人信息，并使得这些信息对其他用户公开可见。该案的和解金额亦是高达 570 万美元。

“Musical.ly”是一个短视频分享创作平台，想要注册的用户必须提供电子邮箱地址、电话号码、用户名、姓名和个人资料照片，这显然已经构成了个人数据的收集。

在论证Musical.ly “实际知道” 其正在收集儿童个人信息的过程中，FTC援引了2016年至2018年间的大量新闻文章，以证明该应用程序在青少年和儿童中的受欢迎程度。FTC 还指出，Musical.ly收到了来自父母的数以千计的投诉，称他们 13 岁以下的孩子在未经父母同意的情况下创建了帐户。FTC还指出，在仔细阅读用户的图片及其他个人资料时很容易看出，其中许多人不到 13 岁[3]。

2. 父母的“可验证同意”

COPPA实施指南规定，在收集、使用或披露儿童的个人信息前，运营者必须基于现有技术采取合理措施，以确保作出同意的人确实是儿童的父母。对此，FTC采用了列举式+兜底式条款的立法方式，这一法律规定，在形式上区别于其他国家立法或国际条约，具有很强的实践指引意义。

(1)  父母签署同意表格后，通过传真、邮递、电子扫描等寄回；

当然，不论运营者采取何种方法，都必须选择一种基于现有技术的合理方式，这一方式能够确保同意的人是孩子的父母。在此，我们需要特别注意的是，COPPA实施指南中的验证标准还是比较高的，Facebook曾经采取的变通方法，如朋友验证、银行卡号验证，FTC都表示未达到COPPA要求的验证标准。

四、 提供在线服务的

出海企业的三步合规思路

计划在美国开展业务的互联网企业需要注意，与我国《儿童个人信息网络保护规定》相比，COPPA对儿童个人信息保护提出了更细致的合规要求。

笔者建议，第一步，出海企业可以先根据本文上述内容，判断自身是否数据COPPA所规制的对象。毕竟，这部让玩具公司、社交平台、音乐巨头纷纷被罚的法案，规制的范围可能远比企业预设的更为宽广。对于企业而言，一方面，需要着重关注其网站或提供的在线服务是否有针对儿童的板块。另一方面，在衡量企业是否有可能被认定为“实际知道其正在收集儿童个人信息”时，企业自身也需要考量新闻媒体的报道、家长的投诉以及网站上公开的个人资料内容，如果这些材料足以证明该网站或该服务在儿童中的火热程度，那么企业的COPPA合规需求便已迫在眉睫了。

第二步，企业可根据FTC官方为进一步助力企业合规发布的参考性文件《企业六步合规计划》来对自身情况进行简要自查，合规六步走内容如下：

步骤1：确定您的网站或者提供的在线服务是否从13岁以下儿童那里收集个人信息。

最后一步，企业可以根据自己的行业属性，参考FTC官网上公布的先前案件与达成的和解协议，对自身的合规措施进行补充与完善。如，视频内容的提供平台可以参考YouTube与FTC达成的和解协议中的内容，在其平台建立一个系统，让频道所有者能够标示视频内容是否针对儿童，并通知频道所有者在上传面向儿童的视频时明确标识，面向儿童的视频将不被收集个人信息数据，也不会投放定向广告。

[1]https://blog.google/technology/families/giving-kids-and-teens-safer-experience-online/

[2]https://www.ftc.gov/news-events/press-releases/2019/09/google-youtube-will-pay-record-170-million-alleged-violations

[3]Complaint for Civ. Penalties, Permanent Injunction, and Other Equitable Relief at 1, U.S. v. Musical.ly, No. 2:19-cv-1439 (C.D. Cal. Feb. 27, 19) [hereinafter Musical.ly Complaint].

[4]https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance

陈馨文

上海市协力律师事务所 律师助理

陈馨文，上海市协力律师事务所知识产权团队律师助理，先后于中国政法大学、美国加州大学洛杉矶分校取得法学学士、德语专业文学学士以及娱乐法专业法学硕士学位。

在团队中协助主办律师，为盛趣游戏、波克城市、上海音乐厅等单位提供知识产权等方面的法律服务。