适用场景
面向全球市场、尤其涉及美国或中国市场的出海企业,其产品或服务可能收集或处理14周岁(中国)或13周岁(美国)以下儿童的个人信息时,必须重点关注。适用于产品设计、开发、上线及运营全阶段。
核心要点
1. 核心原则:监护人同意是前提
无论是中国的《儿童个人信息网络保护规定(征求意见稿)》还是美国的COPPA,处理儿童个人信息都必须首先获得监护人的有效同意。中国要求“监护人的明示同意”,美国要求“父母的可验证同意”。这是企业合规不可逾越的红线。
2. 同意机制:中美实践存在差异
中国法规目前对“明示同意”的具体形式规定较为原则。而美国COPPA及FTC的合规指引则提供了更具体的“可验证同意”操作路径,例如签署同意书、使用支付系统验证、视频通话、回答知识性问题等多种方式,为企业提供了明确的合规抓手。
3. 例外情形:严格限定且目的明确
两国法规均规定了无需获得同意的例外情况,但范围严格受限。中国例外主要基于国家安全、公共利益及儿童紧急危险。美国COPPA的例外规定更为细致,包括为获得同意而进行的临时收集、响应儿童特定请求、保护儿童或网站安全等,且对可收集的数据类型和后续处理有严格限制。
4. 合规粒度:美国经验可供借鉴
美国COPPA经过长期实践,其合规指引在同意验证方法、例外情形的适用条件(事由、数据类型、通知义务)等方面颗粒度更细,操作性更强。中国出海企业,尤其是业务涉及多国时,可参考其精细化思路来设计自身的合规流程,以应对可能趋严的全球监管。
实务建议
- 立即开展数据流审计:识别业务中是否涉及收集、使用14/13周岁以下儿童的个人信息,明确收集场景、数据类型和用途。
- 设计清晰的同意机制:针对儿童用户,必须设置阻断流程,确保在获得监护人有效同意前,无法收集其个人信息。研究并采用可靠的监护人身份验证技术。
- 详细规划例外情形处理:如确需依据例外条款处理儿童信息,必须严格对照法规,确保事由、数据类型、处理方式完全符合规定,并做好记录。
- 更新隐私政策与用户界面:以显著、清晰的方式向儿童监护人告知信息处理规则,单独设置儿童隐私条款,并确保交互设计符合合规要求。
- 建立内部合规流程:将儿童个人信息保护要求嵌入产品开发、运营和审核流程,对相关员工进行专项培训。
风险提示
- 切勿混淆“儿童”定义:中国标准为14周岁以下,美国为13周岁以下,需根据业务运营的司法管辖区分别遵守,高年龄段标准从严。
- 避免“捆绑式”同意:在获取监护人同意时,不能将信息收集使用与向第三方披露等不同事项捆绑在一起要求一次性同意,必须提供单独选择。
- 例外情形不是“后门”:例外条款适用范围极窄,绝不能滥用作为常规收集儿童信息的借口,否则将面临严厉处罚。
- 注意动态合规:中国《儿童个人信息网络保护规定》尚为征求意见稿,需密切关注其正式出台及后续细则,及时调整合规策略。