4 月 22 日截止期限
2026 年更新版
FTC(美国联邦贸易委员会)更新了 COPPA 规则,新规将于 2026 年 4 月 22 日正式生效。这是自 2013 年以来首次重大修订。面向 13 岁以下儿童提供服务的教育科技平台必须立即行动——留给准备的时间以周计算,而非月份。
本次修订力度较大,基于 2013 年旧规构建的平台必须审查并更新核心系统,小修小补远远不够。
Reddit 被罚款:明确的警示信号
2026 年 3 月,英国信息专员办公室(ICO)对 Reddit 开出 1,447 万英镑罚单。原因是:Reddit 未能有效阻止儿童接触有害内容,年龄核验机制存在漏洞,导致未成年人得以通过审查。
此次处罚依据的是英国 GDPR,而非 COPPA。但违规行为的性质如出一辙。COPPA 2026 年新规的打击对象,正是那些明知平台上有未成年人却未能提供有效保护的平台。
教育科技平台处境更为严峻。这些平台清楚地知道用户是谁——它们面向学校销售,向家长营销,能看到学生的电子邮件地址。「我们不知道有未成年人」的抗辩根本站不住脚。
COPPA 2026 年新规的变化
FTC 本次更新为教育科技平台新增了五项关键规定。
1. 数据最小化成为强制要求
只收集服务真正所需的数据。2013 年旧规允许平台在获得家长同意后进行大量数据采集。2026 年新规即便在获得同意的情况下,也禁止超出服务所需的数据采集。设备 ID、追踪信号以及非服务必需的位置信息,必须立即停止收集。
2. 禁止向未成年人投放定向广告
教育科技平台不得将儿童数据用于行为定向广告,家长同意也无法改变这一点。部分平台曾以概括性同意为由,为大范围数据使用进行辩护,这一漏洞现已被明确堵死。
3. AI 功能须单独获取同意
使用儿童输入内容的任何 AI 功能,均需独立的同意表单。AI 辅导、写作工具和自适应学习引擎均在此列。对主服务的同意,不涵盖 AI 附加功能。
4. 删除规则具有实质约束力
儿童数据在不再需要时必须删除。按固定计划执行自动删除的平台在 FTC 执法行动中将承担更低的法律责任——这是真实存在的安全港条款,请务必利用。
5. 去识别化要求标准提高
仅删除姓名远远不够。平台必须证明重新识别在合理情况下不可能实现。对于聚合分析,这意味着需要采用 k-匿名性或差分隐私技术。
FERPA 与 COPPA:双重适用
对于与学校合作的 K-12 平台,FERPA 与 COPPA 同时适用,以下几点至关重要:
- FERPA 允许学校向供应商共享学生记录,但仅限于合同约定的服务范围
- 对于 13 岁以下儿童,即便 FERPA 允许共享,COPPA 仍然适用
- 学校在 FERPA 下的同意,不能替代 COPPA 要求的家长同意
FERPA 合规不等于 COPPA 合规,两者必须分别满足。
4 月 22 日前的行动清单
在截止日期前,请逐项完成以下工作。
数据清查
- 列出所有从 13 岁以下用户处收集的数据
- 找出每个接收儿童数据的第三方工具——分析工具、CRM、监控系统
- 核查每种数据采集类型的同意情况
匿名化处理
- 在学生内容写入日志前添加个人信息检测
- 从分析事件中剥离姓名、电子邮件地址和学生 ID
- 对产品工作中使用的聚合报告进行去识别化
- 清洗包含学生输入内容的 AI 训练集
同意管理
- 为每项 AI 功能单独构建同意流程
- 记录带时间戳的同意日志
- 添加可立即触发删除操作的同意撤回流程
数据保留
- 为每类数据设定保留期限
- 在期限届满时自动执行删除
- 检查备份系统是否存在遗漏
供应商管理
- 审查所有次级数据处理方的协议
- 确认分析供应商不将儿童数据用于广告
- 更新协议,使其符合 2026 年去识别化新标准
匿名化如何提供帮助
新的去识别化要求是 COPPA 2026 年新规中技术难度最高的部分。仅删除姓名无法满足要求,平台需要能够在所有数据流中找到并删除所有个人信息的系统。
anonym.legal 可检测 48 种语言中的 285+ 种实体类型。许多教育科技平台服务多语言学生群体,学生个人信息以西班牙语、普通话、阿拉伯语及数十种其他语言出现——广泛的语言覆盖不是锦上添花,而是合规的基本要求。
该平台还能捕获人工审查容易遗漏的边缘情况:电话号码、学生 ID 模式和间接标识符在学生内容中十分常见。自动检测能够大规模发现这些信息,人工审查则无法做到。
批量处理功能允许团队对现有数据库运行处理任务,覆盖现在必须达到更高标准的历史学生数据。追溯去识别化是 2026 年新规下合规图景的重要组成部分。
请参阅我们的安全与合规概览了解我们如何处理敏感数据,法律合规页面详细说明了 FERPA 和 COPPA 的合规要求。
不行动的代价
COPPA 罚款最高可达每项违规每天 51,744 美元。对于拥有 10 万名学生账户的平台,去识别化系统性缺陷可能意味着数千万美元的罚款。
Reddit 的罚款为 1,447 万英镑,而 Reddit 拥有数十亿美元的营收。对于中等规模的教育科技平台而言,同等量级的罚款足以令企业走向终结。
4 月 22 日近在眼前。现在开始行动,任务仍然可以完成。监管机构已明确表示将执行新规,等待观望不是可行的策略。
数据来源
- FTC COPPA 规则更新,联邦公报,2025 年(2026 年 4 月 22 日生效)
- ICO 对 Reddit 的执法通知,2026 年 3 月 — 1,447 万英镑罚款
- FERPA,《美国法典》第 20 编第 1232g 条及实施细则《联邦法规》第 34 篇第 99 部分
- FTC COPPA 常见问题:AI 功能与家长同意,2026 年