美议员提出COPPA 2.0法案，拟强化未成年人个人信息保护

2019年3月12日，美国参议员Edward J. Markey（以下简称Markey）与Josh Hawley提出新法案，拟对《儿童在线隐私保护法》（COPPA）^[1]进行修订，以加强对儿童和未成年人个人信息的在线收集、使用和披露及其他目的的保护。该修订法案由COPPA的原起草者Markey提出，可被视为COPPA的2.0版本，目前该法案正在美国参议院进行审议。

一、立法背景

美国《儿童在线隐私保护法》于1998年推出，至今已逾20年，虽然联邦贸易委员会（FTC）对相关实施规则进行了多次修订，但是对于立法本身而言已难以跟上目前互联网公司数据收集的发展态势，亟待整体更新。正是看到了当前环境的新变化，参议员Markey指出：“在2019年，儿童和未成年人的一举一动都被在线监控，甚至是上网做作业、与朋友聊天、玩游戏时都会被广告轰炸。在21世纪，需要通过COPPA 2.0立法，将儿童的福祉置于国会优先考虑的首位。^[2]”

就在法案提出的前一个月，美国接连发生了两件牵涉到未成年人个人信息保护的社会热点事件，分别涉及Facebook及Musical.ly（被字节跳动收购后并入抖音国际版TikTok）。关于Facebook秘密运营Project Atlas收集未成年人的个人敏感信息的新闻报道^[3]，Markey连同其他两位参议员向扎克伯格发布公开信加以谴责^[4]。对于TikTok被FTC依据COPPA处以570万美元的历史最高罚款，Markey发表声明认为处罚还不到位，敦促FTC将COPPA执法作为首要任务^[5]。作为COPPA的原起草者，Markey一直是美国国内儿童隐私权的倡导者，不排除以上事件的发生同该新法案的提出有着直接的关联。

二、主要内容

新法案将扩大COPPA的范围，除保护13岁以下儿童外，为13至15岁的未成年人提供新保护，在收集关于儿童和未成年人的个人信息方面设立新限制，并在FTC内设立一个新部门，负责监督针对儿童和未成年人的营销广告和隐私保护等。

主要有如下变化：

一是扩展了原有立法的适用范围。禁止互联网公司在未经父母同意的情况下从13岁以下的任何人处收集个人和位置信息，以及未经用户同意从13至15岁的任何人处收集个人和位置信息。此前COPPA仅针对未满13岁的儿童，而2018年通过的《加州消费者隐私法》（CCPA）规定了从13至16 岁之间的消费者处收集个人信息需取得肯定性授权，该法案对未成年人年龄范围的拓展一定程度借鉴了CCPA的最新监管思路。

二是将COPPA对运营者的“实际知情”（Actual knowledge）的标准修订为“推定知情”（constructive knowledge）。“推定知情”是指本来应该知情并被认为知情，而不论事实上是否知情，类似我国刑法的“应当知道”。此前受COPPA管辖的运营者为面向儿童的运营者及面向一般大众的运营者但“实际知情”其用户中有儿童。“实际知情”易导致运营者故意对用户的年龄视而不见来绕开监管。“推定知情”则意味着运营者是否真的知道用户为儿童或未成年人无关紧要，如果确定运营者未达到法律所要求的合理谨慎及注意义务等，就无法逃避法律责任。

三是禁止针对儿童（特指未满13岁）及未得到可验证同意的未成年人（特指13至15岁范围）的定向广告营销。当存在以下几类情形时，禁止网站、在线服务、在线应用或移动应用程序的经营者使用、向第三方披露或汇集儿童或未成年人的个人信息以进行有针对性的营销：1、儿童或未成年人是网站、在线服务、在线应用或移动应用程序的用户；2、运营者“推定知情”用户是儿童或未成年人；3、网站、在线服务、在线应用或移动应用程序针对儿童或未成年人。以上规定针对儿童时不存在例外情形，而当用户为未成年人时，取得其“可验证同意”则不受上述情形约束。法案还提出在FTC内设立青年隐私和营销部门，以加强儿童和未成年人的隐私保护和监管针对儿童和未成年人的营销。

四是要求运营者解释在线收集的个人信息类型、信息的使用和披露方式以及信息收集政策。法案要求运营商以清晰简明的语言提供清晰而显著的通知，包括收集的个人信息类型、如何使用该信息、是否以及为何披露该信息、经营者为确保不从儿童或未成年人处收集个人信息而采用的程序或机制等。法案延续了COPPA的“可验证同意”（verifiable consent）的规定，将其从儿童父母扩展到未成年人中。此外，法案还如参议员所言创建了一个“橡皮擦按钮”（Eraser Button），授权父母和孩子可删除个人信息。

五是除在线隐私外，首次对硬件设备作出规定。法案禁止销售未能满足适当的网络安全和数据安全标准的儿童和未成年人的连接设备，相关标准由FTC制定。同时要求针对儿童和未成年人的连接设备制造商在其包装上突出显示隐私仪表板（Privacy dashboard），详细说明如何收集、传输、保留、使用和保护敏感信息，及连接设备给予父母及儿童、未成年人对个人信息的控制程度等。

三、影响分析

随着数据安全及泄露事件频发，2019年正在成为美国隐私制度改革的关键一年。在CCPA出台后，包括联邦及州层面对于在隐私和数据安全方面讨论热度不减，美国政府在执行消费者隐私和数据安全法律方面将采取更积极的行动，也引起了国会立法者们的更多关注。如Markey于4月12日还提出“隐私权利法案”，试图借鉴有关立法经验，构建全面综合的联邦隐私立法，以保护美国消费者的个人信息。早前，参议员Wyden也发布了一份 “消费者数据保护法案”，采取更加激进而严厉的方式，对滥用消费者数据的行为引入了公司年收入4%的高额罚款及对高管长达20年监禁的处罚。

本法案正是美国隐私改革大背景下的有机组成部分，得到了数字民主中心、消费者行动等数十家组织的公开支持，其中对未成年人个人信息保护趋严的制度变化趋势值得持续跟踪关注，有一定的可能性将在未来落地。对于在美开展业务的我国互联网企业应对趋严的FTC执法和该法案的潜在影响，应当重点关注未成年人这类群体的特殊规定，系统学习FTC发布的合规指南，尤其是其中的禁止性和限制性规定，同时谨慎履行“可验证同意”等合规义务。未来对未成年人和成年人按照不同的监管要求，区分模式乃至提供不同的移动应用程序也许会成为在美业务合规的可行方向之一。

我国自2016年发布的《未成年人网络保护条例(草案征求意见稿)》第一次系统的明确了对未成年人个人信息的特殊保护，虽然条例仍在审议阶段尚未出台，但是其制度设计对凝聚社会共识及加强未成年人个人信息的法治保障产生了积极的影响。近期民法典人格权编二审稿草案，也强调了加强未成年人的个人信息保护，规定了收集使用未成年人个人信息应征得监护人同意。近几年我国对于加强未成年人个人信息的特殊保护可以说已凝聚起广泛共识，为此后体系化的法律、法规与配套规定的出台及落地实施奠定了良好的环境基础。

当前《个人信息保护法》、《未成年人保护法》正在有序的制定或修订中，《未成年人网络保护条例》也正在审议阶段，如何更好的适应新形势下未成年人个人信息保护的需要，适当借鉴美国等国较为成熟的制度经验，加强相关立法之间的衔接协调，建立健全长效保护机制，将是未来一段时期我国亟待推进的工作。

作者简介：沈达，中国信息通信研究院互联网法律研究中心研究员。

[1]http://uscode.house.gov/view.xhtml?req=(title:15%20section:6501%20edition:prelim)#sourcecredit

[2]https://www.markey.senate.gov/news/press-releases/senators-markey-and-hawley-introduce-bipartisan-legislation-to-update-childrens-online-privacy-rules

[3]https://www.hawley.senate.gov/hawley-blumenthal-markey-demand-answers-facebooks-monitoring-teens

[4]https://www.blumenthal.senate.gov/imo/media/doc/Facebook%20Letter%20Regarding%20Project%20Atlas.pdf

[5]https://www.markey.senate.gov/news/press-releases/senator-markey-statement-on-ftc-tiktok-fine

下载法案全文：https://www.markey.senate.gov/imo/media/doc/Leg%20text%20--Markey-Hawley%203.11.19%20FINAL.pdf

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。