美國的隱私立法一向走在世界的前列, 1998年美國國會制定並由總統籤署通過《兒童網絡隱私保護法》(Child Online Privacy Protection Act,COPPA)並於2000年正式生效。COPPA作為第一部關於兒童網絡隱私保護的法律,有較大的影響力。
(一)COPPA的主要內容
COPPA適用於商業網站的經營者以及專門面向13歲以下兒童的網上服務。商業網站主要指以營業為目的的網站,在確定一個網站是否是針對13歲以下的兒童時,不僅要根據網站經營者的意圖,而且要考慮網站的語言、畫面和整體設計。對於那些並不專門針對兒童的網站或網上服務,如果它們向兒童收集個人信息並實際知道其是在收集兒童在線隱私,也要遵守COPPA的規定。需要特別注意的是,聯邦貿易委員會(Federal Trade Commission, FTC)明確指出,如果外國網站和在線服務針對美國兒童,或者他們知情地收集美國兒童的個人信息,則必須遵守COPPA。此外,COPPA只適用於收集個人信息的網絡運營商,個人信息包括姓名、家庭住址或其他地址、電子郵箱地址、電話號碼、社會安全號碼、FTC確定的能夠與線上或者線下的個人相對應的其他標識符,包括但不限於保存在cookies、IP中的客戶號碼、能夠與本段描述的標識符對應的被收集信息的兒童本人或父母的信息。
COPPA還詳細規定了相關網絡運營商的義務以及兒童家長的權利:
1. 網絡運營商的義務
(1)制定隱私政策。網絡運營商必須制定清晰的隱私政策,解釋其收集兒童個人信息的行為,包括明確提示正在收集有關兒童的信息,並說明將如何使用這些信息。
(2)通知並取得父母可驗證的同意(Verifiable parental consent)。網絡運營商在收集、使用或披露兒童個人信息之前必須通知其父母並且取得可驗證的父母的同意。其必須在網站上設有顯著連結以告知其收集、使用及披露兒童個人信息的方式,說明文字必須語意清晰。除特殊情況外,網絡運營商必須事先取得可驗證的父母的同意,即其通過合理的努力使父母能夠收到授權申請的申明並做出的授權決定。並且,即使先前已經徵得家長同意,但若收集、使用、披露的方式有重大改變時,須再次徵得家長的同意。
(3)禁止故意使兒童暴露過多信息。禁止網絡運營商在兒童參加活動的時候,通過有獎或其他方式使兒童暴露超過合理必要範圍內的信息。
(4)確保個人數據的安全。網絡運營商應當建立和維持合理的程序,確保被收集的兒童個人數據的安全性、保密性與完整性。
(5)應父母要求終止向兒童提供服務。如果家長在收到相關通知後,拒絕同意網絡運營商進一步使用或用可辨認的方式保存信息,網絡運營商應當終止向兒童提供服務。
(6)應當審查父母的身份。網絡運營商在收到父母行使其權利的請求時,應當在不給父母帶來不合理負擔的情況下審查父母的身份,在驗證之後採取相應措施行動。
2. 監護人權利
(1)審查權。父母有權審查兒童向網絡運營商提供的個人信息,並且隨時可以拒絕允許經營者進一步使用或者以後繼續在線收集兒童的個人信息。
(2)刪除權。父母有權要求網絡運營商刪除其從兒童處收集的個人信息。
(3)拒絕收集、使用權。父母有權隨時拒絕網絡運營商對兒童個人數據的繼續收集或進一步使用。