广东广悦律师事务所

《游戏法说》——广东广悦律师事务所全新推出的游戏相关法律专栏，由互联网与高新科技部资深律师倾情解读，通过案例带你了解游戏市场中的法律知识。

在全球化略显惨淡的宏观环境中，中国游戏企业出海仍然是个热门话题。根据App Annie统计， 2020年上半年中国手游在海外收入年增长达37%，收入规模超过55亿美金，对中国手游的整体增长贡献接近40%。可见，海外市场已成为中国手游增长的重要来源。在出海目的地的选择上，美国市场一直是重中之重。

美国在全球范围内，最早制订了专门针对儿童个人信息保护的法律——《儿童在线隐私保护法案》（Children’s Online Privacy Protection Act，以下简称COPPA）。COPPA于2000年4月21日生效施行，如今20年过去，作为儿童个人数据保护领域的先行者，美国在该领域有哪些最新监管趋势？本文将从美国现行儿童隐私保护法案出发，梳理近年来其在儿童数据保护立法和执法上的六个趋势，旨在为出海美国的中国游戏公司提供儿童数据治理的合规方向。

一

美国现行及审议中的重要法案

目前，美国联邦层面不存在统一的个人信息保护法案，而是采取分类化立法的路径。针对儿童（系未满13周岁的美国公民）这一特定人群，美国专门制订了COPPA，用以规范在线收集儿童个人信息的行为。此等“规范”，不是禁止或严格限制收集儿童个人数据，而是赋予父母对网站和网络服务运营者向儿童收集信息的决定权，这是COPPA的立法宗旨。

除了专门立法，联邦贸易委员会（Federal Trade Commission ，以下简称FTC）作为美国数字经济和消费者隐私保护的执法机构，先后于2000年、2013年颁布和修订了实施细则（COPPA rule），并出台《六步骤合规计划》（A Six-Step Compliance Plan for YourBusiness）、《常见问题清单》（COPPA FAQs）和《避风港计划》（COPPA Safe Harbor Program）等规范性文件，以指导儿童个人数据保护的执法实践。

在州立法层面，美国加利福尼亚州（以下简称加州）另一部重要的隐私保护法是《加州消费者保护法案》（California Consumer Privacy Act of 2018，以下简称CCPA），于2020年1月1日起正式实施。不同于既往美国针对特定行业或者特定群体隐私权事项立法，CCPA广泛适用于收集加州消费者个人信息的企业。其针对在加州经营业务的企业收集、使用、披露或出售消费者的个人信息，作出了更加严格的规定。

此外，针对儿童数据保护，还有两部值得关注但尚未通过的法律。一部是《儿童互联网设计与安全法案》（Kids Internet Design and Safety Act，以下简称KIDS Act），另一部是《国家安全和个人数据保护法》（National Security and Personal Data Protection Act，以下简称NSPDPA）。

KIDS Act由民主党议员Sens.Ed Markey和Richard Blumenthal于2020年提交至商业、科学和运输委员会审议。该提案主要目的在于限制或禁止线上服务提供者不合理地诱导、鼓励儿童告知、共享其个人信息，以及对线上服务提供者为儿童提供服务的方式作出限制性规定。如果该提案审议通过并正式生效，KIDS Act将成为美国第二部专门针对儿童隐私保护的法案。

NSPDPA由共和党议员Josh Hawley于2019年11月向参议院提交审议。虽然该提案并未针对儿童隐私保护作出特别规定，但是其将中国列为“有疑虑国家”（Country of Concern），并对受“有疑虑国家”管辖的企业在数据管理方面作出一系列严格限制。对在美国经营业务或计划出海赴美的中国企业，该提案值得关注。

二

美国儿童数据保护的监管趋势

基于上述现行法案及正在审议中的相关法律法规，结合美国近年来执法机构的监管动态，我们梳理美国儿童数据保护监管趋势如下。

（一）法案保护对象的年龄适用范围扩大

根据COPPA的规定，COPPA适用于企业线上收集或处理13周岁以下未成年人的相关信息。但是，如果KIDS Act审议通过，根据KIDS Act的规定，美国对儿童隐私保护的年龄范围将扩大至16周岁以下的未成年人。根据美国立法的效力等级原则，对于同一层级的法律，新法优于旧法。未来若与COPPA属于同一效力层级的KIDS Act颁布施行，对保护对象的范围将以新通过的KIDS Act为准。这意味着在美国联邦层面，隐私保护立法对保护未成年人的群体范围将进一步扩大。

此外，由于COPPA自2000年生效至今，20年间并未有过系统修订，学界质疑其法案内容过时或保护力度不足的声音越来越大。例如，美国学界批评COPPA只能为13周岁以下未成年人提供保护，而13周岁以上的未成年人隐私保护则成为了立法保护的“灰色地带”（注1）。

对此，COPPA原起草者参议员Markey于2019年在国会提出COPPA 2.0法案，明确提及扩大COPPA的适用范围，为13至15岁的未成年人提供保护（注2）。一旦提案通过，COPPA对于儿童数据保护的年龄适用范围也将进一步扩大。

（二）取得儿童父母同意的验证方式受到严格规制

根据COPPA的规定，企业线上收集、使用、披露儿童个人信息需要事先征求其父母或监护人的同意。KIDS Act并未针对企业在收集、使用儿童相关信息的告知义务作出具体规定。据此，在没有新的相关提案提交审议或新法通过之前，关于企业线上收集、使用、披露儿童个人信息的告知义务将仍然遵循COPPA的规定。

值得注意的是，COPPA规定，网络服务运营者应当发布简明易懂的隐私政策，并完整披露通过其网站或服务获得儿童信息的第三方运营者的名单；在收集、使用和披露儿童个人信息前必须直接通知其父母，并获得父母“可验证的同意”（verifiable consent）。

结合美国FTC近年来的监管案例，FTC对于征求父母或监护人同意的验证方式较为严格。例如2019年3月的TikTok案中，FTC认为TikTok仅向父母发送验证邮件的方式不能满足COPPA的监管要求（注3）。

（三）儿童数据使用收集增加新的限制

COPPA对企业线上收集、使用儿童的个人信息作出了明确规定。例如，企业必须向父母或监护人披露收集的儿童信息类别以及如何使用这些信息；在不同的信息收集场景下须向儿童父母或监护人的告知信息应包含哪些内容；企业不能超出合理范围或在未告知父母或监护人的前提下使用所收集的儿童信息等。

在行为形态的界定上，COPPA所指的“收集”是一个较为宽泛的概念，不仅包括直接收集、使用和处理，还涵盖了鼓励儿童提交个人信息，使儿童有机会将个人信息公之于众，或者对儿童进行被动在线追踪的行为。

此外，参议员Markey提交的COPPA 2.0版本中，在原有收集使用信息的限制上，增加了新的限制，如禁止利用所收集的儿童信息向儿童推送特定的商业广告（注4）。

KIDS Act对于儿童隐私保护的要求更加明确，其规定面向儿童的线上平台经营者不得出于任何商业目的使用收集到的儿童身份验证信息。与GDPR以及其他国家地区的法律法规相比，COPPA本身的监管要求已详细且严格。如果KIDS Act审议通过，美国对于互联网企业收集、使用儿童个人信息的限制将会更加明确。在美经营或有意赴美的游戏公司，在儿童数据保护方面须投入更多时间和成本，确保海外运营合规。

（四）儿童数据披露共享受到进一步规范

企业如何向公众或第三方披露所共享的儿童数据也是美国隐私保护法律的核心制度之一。根据COPPA的规定，企业披露或者向第三方共享其收集到的儿童个人信息之前，必须取得父母的明示同意。同样，CCPA亦有类似规定，其要求企业在出售儿童个人信息前，必须征得父母的明示同意。

此外，COPPA还特别规定禁止企业诱使儿童直接或者间接披露自己的个人信息。综合COPPA以及CCPA的规定，企业在披露儿童个人信息时受到多重规范的约束。

值得注意的是，相比COPPA以及CCPA，KIDS Act新增了一项特别规定，要求互联网平台运营者禁止显示或披露儿童线上收到的来自其他用户的互动及反馈数量。

对此，首当其冲就是线上社交媒体及带有社交属性的各类互联网平台。如果提案通过，互联网企业需要投入一笔额外成本用于筛选平台16周岁以下的用户，屏蔽用户在社交平台上显示“获赞”或评论的数量。

（五）执法频率和监管力度加大

在法案执行层面，COPPA主要由FTC执法。同样，KIDS Act也将执法权赋予了FTC。如果KIDS Act审议通过，FTC将仍然是美国儿童数据保护最主要的执法机构。

近年来，FTC对儿童数据保护的监管力度不断加大。自COPPA生效以来，截止至2020年11月，FTC针对儿童隐私保护一共公布了35起执行案例（注5）。其中，近5年的案例有13起。2019年，FTC指控YouTube违反了COPPA，未经父母或监护人同意违法收集儿童个人信息，YouTube最终向FTC支付了高达1.36亿美元的处罚金。FTC对于COPPA的执法态度越来越主动积极。

同时，美国立法机构以及监管部门对互联网时代的新数据类别，关注度与日俱增。例如，人脸信息在美国属于高度敏感及高风险的个人信息，人脸识别技术在美国学界和社会一直存在诸多争议。加之美国民众对个人隐私保护始终保持非常高的关注度，近年来社会呼吁为人脸信息设置特别保护的呼声越来越高（注6）。在未来的监管趋势中，FTC很有可能对高度敏感个人信息进行特殊监管，加大保护力度。

（六）执法主体趋向多部门共同监管

如前所述，根据COPPA的监管要求，儿童数据保护的执行权力属于FTC。但是，FTC可以根据实际情况将权力授予其他相关部门执行。例如，德克萨斯州检察院（the Texas Attorney General）于2008年依据COPPA的规定对Doll Palace Corp提起了诉讼。同时，新泽西州检察院（the New Jersey Attorney General）以及马里兰州检察院（the Maryland Attorney General）亦有过相关执法案例。除此之外，FTC亦对国家信用联盟委员会（National Credit Union Administration）在其行业领域内监管赋予执法权。

在如今大数据运用的全球趋势下，美国社会活动的各个方面都越来越与互联网挂钩，很多传统领域亦开始采用大数据分析以及互联网相关技术。FTC作为联邦层面儿童数据保护的主要监管部门，在愈渐复杂的互联网商业生态中，仅靠自身进行监督执行，可能会越来越“力不从心”。故而，FTC在未来更可能倾向于将监管权力授予各个领域的专门管理机构，从社会生活的各个方面对儿童数据进行治理。

（七）公司整体的法律风险及制度应当逐步完善

公司在日常的经营管理中，除了对常见的考勤、工资、奖惩等形成管理制度，对合同的审批、公章的使用、邮箱及名片的管理等也应当形成制度，尽量通过规范化的日常管理来降低法律风险。

其次，对于公司的管理层而言，也应当建立起法律风险防范意识，并落实在公司的日常管理全过程中，逐步的形成公司内部的法律风险评估预警机制，定期对可能出现的法律风险进行排查。

再者，应当着重培养业务一线或者执行人员的法律意识，严格按照公司规定执行流程，在每个风险控制点各司其职，从而更好的防范合同履行当中的交易风险。

三

游戏公司出海的儿童数据合规建议

综上所述，对于出海目标市场是美国的游戏公司而言，除了遵守COPPA对于儿童数据保护的现行要求，还需要根据最新监管趋势，制定符合监管要求的产品合规策略。对此，我们建议如下：

1.关注COPPA对于儿童数据保护的年龄适用范围。一旦COPPA 2.0法案通过，则其适用范围将由13周岁以下的未成年人扩展至13至15岁的未成年人。

2. 明确取得父母“可验证的同意”具体操作方式。对于企业而言，复杂的验证方式不仅显著增加了获客成本，还对潜在用户转化率造成直接打击。加之COPPA亦未明确规定何种方式才是符合监管的验证方式，游戏公司须重点关注取得儿童父母同意的验证方式，在合规和效率之间找到平衡。实操中，企业可以通过向FTC申请确认新验证方式是否符合COPPA的监管要求。

3.关注对儿童数据收集、使用或披露的相关限制。对于部分敏感度较高的行为或产品功能，比如利用所收集的信息向儿童推送特定商业广告、出于任何商业目的使用收集到的儿童身份验证信息、或者披露儿童线上收到的其他用户互动及反馈等，企业应关注其是否存在最新限制性或禁止性规定。如果有相关限制，应当及时升级产品，并对用户协议、隐私政策及儿童隐私政策等法律文件作出修订。

4.适当了解执法机构的执法案例和执法权。通过FTC公布的执法案例，企业可以了解受处罚企业违法行为的具体形态和罚金数额，这有助于参考评估公司自身产品的合规情况，进而进行有针对性的规范整改。

5.保持关注新法案的审议动态。对于KIDS Act和NSPDPA，建议保持关注其审议动态。需要特别指出，NSPDPA将中国及俄罗斯列为“有疑虑国家”（Country of Concern）。如果生效施行，来自中国的企业将在美国受到额外的监管压力。例如，受“有疑虑国家”管辖的企业将被禁止把位于美国的相关数据直接或间接地传输至“有疑虑国家”。对于中国游戏公司而言，NSPDPA对未来美国儿童数据保护监管可能产生的影响，值得持续关注。

美国作为最早发展互联网技术的国家，一直走在互联网领域监管前沿。一方面，其立法和执法机构对互联网领域的数据合规和隐私保护，特别是儿童数据保护的监管方式值得我们参考借鉴。另一方面，中国游戏公司出海开展业务时，应当审慎评估美国儿童数据保护的合规要求和监管趋势，做好产品合规和风险防范。

参考目录

[1] 参见Lindsey Barrett, Ban Facial Recognition Technologies for Children - And for Everyone Else, 26 B.U. J. Sci. & TECH. L. 223 (2020).

[2] 详见Ed Markey, SENATORS MARKEY AND HAWLEY INTRODUCE BIPARTISAN LEGISLATION TO UPDATE CHILDREN’S ONLINE PRIVACY RULES, [online] Available at [Accessed 13 November 2020]

[3] 2019年2月27日，抖音海外版TikTok被 FTC指控违反COPPA，双方达成和解协议，内含570万美元的民事罚款。

[4] 详见Ed Markey, SENATORS MARKEY AND HAWLEY INTRODUCE BIPARTISAN LEGISLATION TO UPDATE CHILDREN’S ONLINE PRIVACY RULES, [online] Available at [Accessed 13 November 2020]

[5] 详见FTC.GOV, Legal Resource filter, [online] Available at , [Accessed 12 November 2020]

[6] 参见Lindsey Barrett, Ban Facial Recognition Technologies for Children - And for Everyone Else, 26 B.U. J. Sci. & TECH. L. 223 (2020).

声明：

本文章仅为交流探讨之目的，不得视为广悦律师事务所或其律师出具的正式法律意见，任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。