Kaamel白皮书：2025版COPPA落地实操指南

COPPA简介

《儿童在线隐私保护法案》（COPPA）于1998年在美国颁布，其最初的动因源于人们日益增长的对互联网上收集儿童个人信息的担忧。为了响应这一问题，联邦贸易委员会（FTC）被授权制定并执行相关法规。COPPA的主要目标是赋予父母对其年幼子女在线信息的控制权。该法案旨在保护13岁以下儿童的在线隐私，同时考虑到互联网的动态特性。COPPA的持续修订（2013年和2025年）表明，FTC致力于使该法案适应不断发展的数字环境和儿童在线行为。这预示着未来在该领域监管审查将日益严格。最初的法律是为了解决当时的担忧而通过的，但自那时以来，技术发生了巨大变化。FTC有责任审查和更新规则，因此，更新对于维持法律的最初意图至关重要。

2013年COPPA规则概述

2013年的COPPA修订旨在使规则现代化，以应对移动设备和社交网络的日益普及。其主要规定包括扩大了“个人信息”的定义范围，将持久性标识符（如cookies）、地理位置数据、照片、视频和录音纳入其中。此外，该规则还强调了在收集、使用或披露儿童个人信息之前，必须向父母发出通知并获得可验证的父母同意。2013年的更新表明了一种积极的态度，即将新兴的数据形式和在线活动纳入个人信息的定义中，这为未来的扩展（如2025年的修订）奠定了基础。在2013年，移动和社交媒体变得非常重要。法律需要涵盖这些新技术。这涉及到更新个人信息的定义，以包括这些技术产生的数据。

2025年COPPA规则修正的简介

2025年的修订标志着自2013年以来最重大的变革。其主要目标是进一步加强对儿童个人信息的保护，并应对新的技术进步和数据收集实践。本次修订特别强调限制公司在未经明确的父母同意的情况下，通过儿童数据获利的能力。修订规则的生效日期为2025年6月23日，大多数条款的合规截止日期为2026年4月22日。从宣布到生效日期的时间相对较短，但合规期限较长，这表明FTC希望企业立即开始准备，但也承认全面实施需要更长的时间。这为指导和解决方案创造了即时需求。FTC在1月份宣布了最终规则，4月份发布，6月份生效。这个快速的时间表表明了紧迫性。然而，一年的合规窗口表明这些变化足够重要，需要企业进行重大调整。

COPPA 和 GDPR 的比较

• GDPR中与儿童数据隐私和父母同意相关的关键条款概述： GDPR承认儿童个人数据应受到特别保护。对于大多数在线服务，处理儿童个人数据的同意年龄一般为16岁，但成员国可以将此年龄降低至最低13岁。对于未达到同意年龄的儿童，需要获得父母同意。控制者必须尽合理努力验证同意是否由持有儿童监护权的人给出或授权。向儿童提供的关于数据处理的信息必须使用他们能够理解的清晰简洁的语言。GDPR为将儿童数据用于营销或创建个人资料提供了特定的保护。GDPR为儿童数据隐私设定了高标准，强调需要可验证的父母同意和透明的沟通。理解这些原则为美国特定的COPPA法规提供了更广阔的背景。为了充分理解COPPA，将其与国际标准进行比较是有帮助的。GDPR是全面数据保护法律的一个主要例子，它也涉及儿童隐私。

• GDPR要求与更新后的COPPA规则的比较： 注意同意年龄的差异（COPPA下为13岁，而GDPR下通常为16岁，但有例外）。强调父母同意的必要性以及对数据安全和透明度的重视方面的相似性。指出一个法规可能比另一个更严格的任何领域（例如，GDPR的更广泛的范围和对数据最小化的强调 - ）。提及GDPR的域外适用性，适用于处理欧盟居民数据的欧盟以外的企业。虽然COPPA和GDPR都旨在保护儿童的在线隐私，但它们的方法和范围不同。拥有国际业务的企业需要同时考虑这两者。虽然目标相似，但具体要求有所不同。企业需要了解这些差异，尤其是在处理来自欧盟和美国儿童的数据时。

2013年与2025年COPPA规则的详细对比

个人信息的定义

• 2013年规则下“个人信息”的范围： 2013年规则将个人信息定义为包括在线联系方式、姓名、家庭住址、电子邮件地址、电话号码、社会安全号码、持久性标识符、地理位置信息、照片、视频和音频文件。持久性标识符的纳入旨在追踪在线活动。如果屏幕名称允许直接联系，也被视为个人信息。2013年的定义已经很广泛，这表明当时人们已经认识到收集儿童数据的各种方式。2013年的更新认识到在线活动会留下数字足迹。持久性标识符是追踪这种活动的关键，因此被纳入其中。

• 2025年修正案中定义的扩展： 2025年的修正案明确纳入了生物识别标识符，如指纹、手印、视网膜/虹膜图案、基因数据、声纹、步态模式、面部模板/印记。此外，政府颁发的标识符也被添加进来，如社会安全号码、州身份证、出生证明、护照号码。值得注意的是，由于担心过于宽泛，最终规则中删除了提议纳入的“源自语音数据、步态数据或面部数据的数据”。规则还明确，除非与其它个人信息结合使用，否则屏幕名称和头像不会自动被视为个人信息。生物识别和政府颁发的标识符的加入反映了数据收集技术的日益复杂以及与这些类型信息相关的高度敏感性。这标志着保护更内在和可能更具唯一性的识别数据的趋势。生物识别数据随着面部识别等技术变得越来越普遍。政府身份证件高度敏感，容易被滥用。将这些纳入定义确保了它们在COPPA下获得最高级别的保护。

• 扩大定义对数据收集和处理的影响： 运营者需要重新评估其数据收集实践，以确定是否收集了任何新定义的个人信息类别。对于收集和使用这些扩展的数据集，将适用更严格的通知和同意要求。此外，还需要加强数据安全措施，以保护这些更敏感的个人信息类别。扩大定义可能会增加许多在线运营者的合规负担，因为他们可能需要实施新的技术和程序控制，以安全地处理生物识别和政府颁发的标识符，并符合COPPA的要求。这直接为Kaamel在安全和合规方面的专业知识创造了需求。更多类型的数据现在被认为是个人信息。这意味着更严格的规则适用于它们的处理。企业需要更新其流程，以遵守更广泛的数据的新规则。

数据治理机制

• 2013年规则中的数据收集、使用和存储要求： 2013年规则要求运营者向父母提供关于其数据收集实践的直接通知。在收集、使用或披露儿童个人信息之前，需要获得可验证的父母同意。运营者必须维持合理的程序，以保护所收集数据的机密性、安全性和完整性。数据保留仅限于实现收集目的所需的合理时间，并要求安全删除。2013年的规则为父母控制和数据安全奠定了基础，但2025年的修正案在这些领域引入了更具体和更严格的要求。2013年的规则确立了通知、同意、安全和保留的基本原则。2025年的更新在这些原则的基础上提供了更详细的说明。

• 2025年修正案中的新要求：

  • 加强对父母的直接通知要求： 直接通知现在必须包括如何使用收集到的个人信息。如果适用，通知必须明确将接收信息的第三方的身份或类别以及披露的目的。必须告知父母，他们可以同意收集和使用，但不同意披露，除非披露是服务不可或缺的一部分。运营者还必须在其直接通知中包含其数据保留政策。加强通知要求旨在通过向父母提供关于数据如何使用以及与谁共享的更详细信息，从而提高父母对其子女数据的透明度和控制权。这需要在线运营者更精细地追踪数据使用情况和第三方关系。模糊的通知对父母没有帮助。新规则要求提供关于数据使用和共享的具体细节，使父母能够做出明智的决定。

  • 强制性地为第三方披露获得单独的可验证的父母同意： 运营者现在必须在向第三方披露儿童个人信息以用于并非网站或在线服务“不可或缺”的目的之前，获得单独的可验证的父母同意。这为儿童数据的出售或共享（特别是用于定向广告）增加了一项新的选择加入要求。禁止将同意非必要第三方披露作为访问服务的条件。“不可或缺”的定义被明确为提供消费者要求的服务所必需的信息共享。这是一个重大变化，直接影响依赖第三方广告和数据共享的商业模式。运营者需要实施机制来获得和管理这种单独的同意，这可能会导致为非必要目的共享的数据量减少。Kaamel可以为管理这些同意工作流程提供解决方案。旧规则允许一次性同意收集、使用和披露。新规则将披露的同意分开，以便让父母对广告等有更精细的控制。

  • 更严格的数据安全和保留要求： 运营者现在必须“建立、实施和维护书面的信息安全计划”，该计划应包含与所收集儿童个人信息的敏感性以及活动范围相适应的保护措施。这包括指定人员、进行年度风险评估、实施保护措施、定期测试其有效性以及每年评估和修改该计划。明确禁止运营者无限期地保留个人信息，并且只能在实现收集信息的特定目的所需的合理时间内保留。运营者必须制定并公开关于儿童个人信息的书面数据保留政策，明确收集目的、保留的商业需求以及删除的时间表。运营者还必须采取“合理步骤”确保接收儿童数据的第三方能够维护数据的机密性、安全性和完整性，并获得这方面的书面保证。这些加强的要求更加强调数据安全和生命周期管理的责任和尽职调查。运营者需要投资于强大的安全计划，并实施明确的数据保留和删除协议。这是Kaamel的安全专业知识可以发挥宝贵作用的关键领域。仅仅采取一些安全措施已经不够了。新规则要求制定正式的、有记录的安全计划，并定期进行评估。同样，禁止模糊的数据保留；企业必须定义明确的保留期限和删除程序。

  • 验证父母身份的新方法： 除了现有方法外，运营者现在还可以使用：足够困难的基于知识的多项选择题、使用政府颁发的带照片的身份证进行面部识别技术（在验证后立即删除身份证和照片）、以及“短信+”方法（发送短信后进行额外的验证步骤）。新验证方法的引入为运营者提供了更多获取父母同意的灵活性，可能在保持安全性的同时改善用户体验。Kaamel可以为客户提供选择和实施最适合其服务的验证方法的建议。旧的同意方法可能很麻烦。FTC现在允许更多现代方法，如基于知识的问题和面部识别，以使父母的流程更顺畅。

• 这些变化对在线运营者的实际影响： 需要对隐私政策和数据处理协议进行重大更新。需要实施新的同意管理系统，以处理第三方披露的单独同意。需要制定和实施全面的书面信息安全计划和数据保留政策。可能需要对员工进行关于新要求的强化培训。FTC的审查力度可能会加大，不合规行为可能会面临执法行动。这些变化的范围和深度表明，合规对于许多运营者来说将是一项重要的任务，需要仔细规划和执行。Kaamel可以将自己定位为指导企业完成这一过渡的关键合作伙伴。这些不是微小的调整。新规则要求企业在处理儿童数据的方式上进行重大改变，从政策更新到技术实施和员工培训。

合规义务范围

• 2013年规则下“运营者”和“针对儿童的网站或在线服务”的定义： “运营者”包括运营针对13岁以下儿童的网站或在线服务的人，或实际知晓正在收集13岁以下儿童个人信息的人。该定义涵盖了整合了外部服务（如插件或广告网络）的针对儿童的网站，这些外部服务会收集其访问者的个人信息。“针对儿童的网站或在线服务”的确定取决于各种因素，包括主题、视觉和音频内容、模特年龄、语言、广告以及动画角色的使用。2013年的规则已经对参与在线收集儿童数据的各种实体进行了广泛定义。重点在于谁在收集数据，以及服务是否针对儿童，无论它是主要网站还是其中集成的第三方服务。

• 2025年修正案中的澄清和更新，包括“混合受众网站或在线服务”的定义： 引入了“混合受众网站或在线服务”的新独立定义：指根据规则标准针对儿童，但并非以儿童为主要受众，并且在以中立方式收集年龄信息之前，不会收集任何访问者的个人信息（有限的例外情况除外）的网站或在线服务。这些混合受众网站可以区分用户，并且仅需对标识为13岁以下的用户遵守COPPA。现在，“在线联系方式”的定义包括手机号码，但仅限于用于发送短信以获取父母同意的情况。确定网站或服务是否“针对儿童”的因素已扩展至包括营销材料、向消费者或第三方的声明、用户/第三方评论以及类似服务用户的年龄。不会基于运营者对其受众构成（表明只有一小部分用户未满13岁）的分析而提供“针对儿童”的豁免。对“混合受众”的澄清为同时服务儿童和成人的网站提供了更具体的指导，允许采取更细致的合规方法。“针对儿童”因素的扩展表明对网站意图和受众的评估更加全面。将手机号码纳入同意范围旨在简化父母同意流程。许多网站并非专门针对儿童。FTC正在为这些“混合受众”网站提供更清晰的规则。此外，认识到移动通信的普及，他们允许使用手机号码进行同意。

• 对不同类型的在线服务和实体的影响： 针对儿童的网站、移动应用程序、在线游戏、社交网络、物联网设备（如智能玩具）均受覆盖。实际知晓正在收集13岁以下儿童数据的普通受众网站也受COPPA约束。修正案将影响K-12领导者与教育技术公司的互动方式，对于教育目的，需要更高的透明度，并且可能需要学校直接同意代替父母同意。安全港计划对透明度和报告有新的要求。COPPA及其修正案的广泛范围意味着各种在线服务和实体都需要了解并遵守这些法规。Kaamel的专业知识可以满足这一领域不同客户的需求，从娱乐平台到教育技术提供商。COPPA不仅仅是关于儿童网站。它涵盖各种在线服务，甚至影响学校与教育技术的互动。这种广泛的影响为合规解决方案创造了巨大的市场。

实施2025年COPPA规则的实践指南

• 企业的关键合规步骤和时间表： 了解生效日期（2025年6月23日）和一般合规截止日期（2026年4月22日）。安全港计划的某些条款有更早的截止日期。绘制所有涉及儿童数据的数据流，标记生物识别、政府身份和音频输入。立即开始修订隐私政策、直接通知和年龄筛选流程。制定并实施书面的信息安全计划和数据保留政策。建立获取和管理第三方披露的单独可验证的父母同意的流程。实施或更新年龄验证机制，考虑新的批准方法。对儿童个人信息的收集和处理进行全面的风险评估。对相关员工进行关于新要求和合规程序的培训。监控FTC的指南和执法行动，以获取进一步的澄清。详细的时间表和行动项目突出了企业为确保合规需要采取的积极步骤。Kaamel可以通过提供直接解决这些步骤的服务（如政策审查、同意管理解决方案和安全计划开发）来提供巨大的价值。企业不能等到最后一刻。本节概述了合规所需的立即和近期行动的明确路线图。

行动项目	截止日期/时间表
绘制所有涉及儿童数据的数据流，标记生物识别、政府身份和音频输入	立即
开始修订隐私政策、直接通知和年龄筛选流程	联邦公报发布后60天内
如果您运行安全港计划，请发布您的会员名单	90天
制定并实施书面的信息安全计划和数据保留政策	2026年4月22日之前
建立获取和管理第三方披露的单独可验证的父母同意的流程	2026年4月22日之前
实施或更新年龄验证机制	2026年4月22日之前
对儿童个人信息的收集和处理进行全面的风险评估	持续进行
对相关员工进行关于新要求和合规程序的培训	2026年4月22日之前
监控FTC的指南和执法行动	持续进行

• 更新隐私政策和通知的建议： 确保隐私政策清晰、全面且易于理解，即使对于儿童也是如此。更新“个人信息”的定义，以包括生物识别和政府颁发的标识符。清楚说明如何收集、使用和披露儿童个人信息。具体说明与之共享数据的第三方的类别或身份以及共享的目的。包含运营者的数据保留政策，概述收集目的、保留的商业需求和删除时间表。对于“混合受众”网站，解释年龄筛选过程以及13岁以下用户的不同处理方式。提供清晰的联系方式，供家长咨询或行使权利。更新隐私政策是合规的基础步骤。Kaamel可以提供审查和修订这些政策的服务，以确保它们符合新要求并对家长透明。隐私政策是企业沟通其数据实践的主要方式。它需要根据2025年COPPA规则的所有新要求进行更新。

• 获取和管理可验证的父母同意的策略： 在收集、使用或披露儿童个人信息之前，实施获取可验证的父母同意的机制。确保为非必要第三方披露建立单独的同意流程。除了现有方法外，还可以使用新批准的验证父母身份的方法（基于知识的问题、面部识别、“短信+”）。保留父母同意的记录。为父母提供审查、修改和删除其子女个人信息以及撤销同意的能力。管理父母同意，尤其是新的单独同意要求，可能很复杂。Kaamel可以提供同意管理平台或提供集成此类解决方案的建议。获得同意至关重要。现在，企业需要以更具体的方式获得同意，并随着时间的推移有效地管理这些同意。

• 符合新要求的数据安全、保留和删除的最佳实践： 制定并实施包含指定人员和定期风险评估的书面信息安全计划。实施适当的技术和组织保障措施，以保护儿童个人信息。根据数据收集的具体目的，建立明确的数据保留时间表。实施安全的数据删除程序，以防止未经授权的访问或使用。对第三方服务提供商进行尽职调查，以确保他们也能维持所需的安全标准。更严格的安全和保留要求需要对数据管理采取更积极和结构化的方法。Kaamel在网络安全和数据治理方面的专业知识可以直接满足这些需求。这不仅仅是收集数据；而是要保护数据的整个生命周期。企业需要实施强大的安全措施，并制定明确的规则来规定数据的保留时间和删除方式。

• “混合受众”网站和服务的注意事项： 实施中立的年龄筛选机制，不鼓励用户伪造年龄。仅对标识为13岁以下的用户适用COPPA要求。确保在年龄筛选之前进行的任何数据收集都属于允许的有限例外情况（例如，收集年龄信息）。避免拒绝未满13岁用户的访问，而是要求父母同意或提供不收集其个人信息的体验。正确识别和处理来自混合受众网站的用户需要仔细实施年龄筛选和有条件地应用COPPA要求。Kaamel可以为设计和部署这些机制提供建议。同时拥有成人和儿童用户的网站需要一种区分他们并仅对年轻用户应用COPPA规则的方法。年龄筛选是关键，但需要公平地进行。

2025版COPPA对儿童场景业务的影响

• 安全、隐私和合规领域企业面临的潜在挑战和机遇： 对COPPA合规方面的专业知识的需求增加，尤其是在同意、数据安全和保留的新要求方面。对管理父母同意（特别是第三方披露的单独同意）的专门解决方案的需求。强大的数据安全计划和数据生命周期管理的重要性日益增加，为安全服务提供商创造了机会。严重依赖第三方广告和儿童数据货币化的企业可能面临挑战。对透明度和问责制的日益关注，要求企业在其数据实践中更加谨慎。更新后的COPPA规则为像Kaamel这样的泛安全提供商带来了重要的市场机遇，因为企业将需要专家指导和解决方案来应对新法规的复杂性。更新后的COPPA规则给企业带来了挑战，这转化为可以帮助他们克服这些挑战的公司的机遇。泛安全公司有能力提供这种帮助。

• 对Kaamel当前和潜在客户的具体影响： 在线游戏、教育技术、娱乐和社交媒体等行业的客户将受到特别影响。即使是可能无意中收集儿童数据的普通受众网站也需要了解个人信息的扩展定义和更严格的同意要求。客户可能会寻求帮助来更新其隐私政策、实施同意管理系统以及增强其数据安全实践。了解不同客户群体的具体需求将使Kaamel能够有效地调整其服务和信息传递。不同类型的企业以不同的方式处理儿童数据。Kaamel需要了解这些细微差别，以便提供相关和有针对性的解决方案。

Kaamel针对更新后COPPA的合规解决方案和服务

• 确定Kaamel可以在哪些领域为客户提供专业知识和支持，以实现COPPA合规： 审查和修订隐私政策，使其符合2025年的要求。开发和实施同意管理平台，包括获取和管理单独的可验证的父母同意的解决方案。评估和增强数据安全计划，以满足新标准。创建数据保留和删除策略，并实施相关程序。为“混合受众”网站提供实施适当年龄验证机制的指导。为客户员工提供关于更新后的COPPA法规和最佳实践的培训计划。持续的合规监控和支持服务。专门针对儿童个人信息收集和处理的风险评估服务。Kaamel在安全、隐私和合规方面的广泛专业知识使其能够很好地提供全面的服务，以解决更新后的COPPA规则的各个方面。Kaamel现有的服务可能已经涵盖了许多与COPPA合规相关的领域。本节重点介绍如何将这些专业知识具体应用于新要求。

• 与数据安全、隐私评估、同意管理和合规监控相关的潜在服务产品： 提供专门的COPPA合规审计和评估。开发或与供应商合作，提供处理新规则复杂性的同意管理解决方案。提供针对儿童个人信息保护的定制化托管安全服务。为客户组织内的不同受众（法律、技术、市场）提供关于COPPA合规的研讨会和培训计划。开发工具或模板，以帮助客户创建符合规定的隐私政策和数据保留计划。通过积极开发和推广这些特定的服务产品，Kaamel可以确立自己在帮助企业遵守更新后的COPPA规则方面的领导地位。本节将Kaamel的一般专业知识转化为具体的服务产品，这些产品直接解决了面临新COPPA法规的企业需求。

结论

2025年对COPPA的修订显著加强了对儿童个人信息的保护，对在线运营者提出了更严格的合规要求。这些变化为泛安全领域的企业（尤其是像Kaamel这样的公司）创造了重要的机遇，可以为寻求应对这些新挑战的客户提供专业的指导和解决方案。通过积极开发和推广针对COPPA合规的服务，Kaamel可以成为客户值得信赖的合作伙伴，并确立自己在这一关键和不断发展的领域的领导地位。