到底多少岁的美国孩子要被游戏公司保护？

在这种逻辑下，基本（企图合规的）一些厂商，都会设置13岁年龄的弹窗勾选环节。但可以看到，从2023年开始，美国开始手紧未保的监管，并把未保+消费作为未来监管的组合技能。

联邦参议院在2024年7月通过《儿童在线隐私保护法案2.0》（COPPA 2.0）及《儿童网络安全法案》（KOSA），上述法案正在送往众议院审议。同时也有多个州颁布州法，如《加州适龄设计规范法案》（CAADCA）、犹他州《社交媒体监管修正案》（SB194）、《2024 年马里兰州在线数据隐私法案》 (MODPA)等对未成年人提供额外保护。

执法方面，2022到2024年间，Epic、Xbox与Amazon因不符合未成年保护的要求支付了总计约6亿美元的罚款/和解金，具体可以参考我们之前的文章。

Xbox花了2000万美元告诉你：儿童保护的监管规则变天了！

我们推荐在年龄填写环节后，对18岁以下的未成年人实施家长同意措施，并且在涉及个性化推荐、定向广告、地理信息采集与删除权等重点功能时注意相关法规。在目前的修法趋势下，向18岁以下的未成年人提供服务不仅会面对额外的隐私保护要求（注意不仅仅是13岁以下），在部分州也需要额外获得家长同意。从降低监管风险与确保用户协议有效性的层面，都值得在年龄填写环节对18岁以下的用户做分流。而上述的重点功能则是目前法规的规范重点。

以下我们会结合美国的立法动向与争议要点，聊聊怎么在未保改革的浪潮中，降低被监管盯上的概率。

一、《加州适龄设计规范法案》CAADCA——未满18都是儿童

《加州适龄设计规范法案》（California Age-Appropriate Design Code Act，CAADCA）于2022年9月16日签署，原定于2024 年 7 月 1 日生效，目前因为诉讼原因而暂时被冻结。

然而，该法案仍有生效的可能，而且也代表着目前的监管趋势。首先《加州适龄设计规范法案》提出了大量的额外未保要求，要求服务提供者在默认为儿童开启最高隐私设置、要求服务提供者完成数据保护影响评估，并限制应用程序收集、出售或保留未成年人的地理位置，也限制引导或鼓励未成年人提供个人信息。

此外，服务提供者还要提供易用的工具帮助儿童或其父母或监护人行使隐私权。

需要特别注意的就是，该法中的儿童都是指18岁以下的未成年人。这就导致适用上述高规格保护的人群已经大幅增加。

二、犹他州《社交媒体监管修正案》——将保护措施扩及到所有未成年人

犹他州的《社交媒体监管修正案》（Social Media Regulation Amendments）于2024年3月13日由州长签署，并且将在2024年10月1日生效。该法案并未将18岁以下都定义为儿童。但是直接将相关的保护适用于所有未满18岁的未成年人，并且要求所有社交媒体公司应当对未成年人的账户进行有效识别，并实施保护措施，如将未成年人账号设置为只能与关联账户发送信息，不得实施自动开播、下拉推送等功能。并且应让父母可以对未成年人的账号设置时间限制、可用时段等限制。

三、《2024 年马里兰州在线数据隐私法案》(MODPA) ——禁止向未成年人定向广告

2024 年马里兰州在线数据隐私法案（Maryland online Data Privacy Act of 2024，MODPA）虽然没有调整儿童年龄，但是却额外的对未满18岁的消费者的数据处理作出规定。具体而言，如果控制者知道或应该知道消费者未满 18 岁，MODPA 禁止控制者出售或处理未成年人的数据以用于定向广告，特别的是该规定适用于控制者知道或应该知道消费者未满 18 岁的情况。

MODPA 加入应该知道这一规定，将此要求的门槛从许多其他州的综合隐私法中常见的已知儿童门槛扩大，远远超出了其他州消费者隐私法的范围。

四、《儿童网络安全法案》KOSA——必须为未满17岁的用户提供额外保障

2024年7月30日，参议院Richard Blumenthal与Marsha Blackburn提出的《儿童网络安全法案》（Kids online Safety Act，KOSA）通过参议院的表决，将送往众议院进行进一步审议。其中最为重要的是，该法案虽然名为《儿童网络安全法案》，但是其中大量的数据保护要求是直接针对未成年人（Minors，在该法的定义下为未满17岁的人），该法案主要对未成年网络安全做出了以下几个重点要求：

(A) 要求社交媒体平台为未成年人提供保护其信息、禁用令人上瘾的产品功能以及选择退出个性化算法推荐的选项。

(B) 平台必须默认为未成年人启用最强的隐私设置。

(C) 为父母提供新的控制手段来帮助保护孩子并发现有害行为，并为父母和教育工作者提供专门的渠道来举报有害行为。

(D) 通过要求进行独立审计和研究这些平台如何影响儿童和青少年的福祉，确保家长和政策制定者知道在线平台是否正在采取有意义的措施来应对儿童面临的风险。

五、《儿童网络隐私保护法2.0》 COPPA 2.0——为未满17岁的用户提供额外保障

2024年7月30日，参议院Ed Markey与Bill Cassidy提出的《儿童网络隐私保护法2.0》（Children’s online Privacy Protection Act 2.0，COPPA 2.0）通过参议院的表决，将送往众议院进行进一步审议。

该法案主要对未成年隐私保护做出了以下几个重点要求：

(A)禁止针对儿童和青少年的定向广告；

(B)修改 COPPA的实际了解(actual knowledge)标准,也就是要求平台在可以合理认定用户是儿童的情况下就要遵守儿童隐私保护的相关规定；

(C)为父母和孩子创建橡皮擦按钮，要求公司在技术可行的情况下允许用户删除儿童或青少年的内容或个人信息；

前述的两个联邦法案将许多保护扩及到未满17岁的未成年人。因此应考虑对17岁以下的用户都适用该法案规定的高标准保护，并考虑减少算法推荐、定向广告等涉及用户画像的功能。并设置橡皮擦按钮。

第一，虽然，考量美国的立法环境以及《加州适龄设计规范法案》被暂时冻结的情况，KOSA与COPPA 2.0等新法案可能短时间内还不会生效。然而，这明确显示了美国参议院对于将13岁以下儿童隐私保护措施扩张到17岁以下未成年人的高度共识。也显示了多州的州法早就直接把保护年龄拉到18岁。

第二，不仅隐私条款会面临问题。而签署的用户协议也存在被法院认定为无效的风险——这也就是前面所说的，未保+消保的组合技能。

结合上述情况，将家长同意年龄设置为13岁后，不仅需要确保用户在同意用户协议前取得家长同意，也可能面临加州、犹他州等特殊州法或后续通过的KOSA、COPPA2.0的监管。

因此，若要统一降低相关的争议风险，我们认为可以在年龄确认环节，直接针对所有未满18岁的用户进行分流，并启动家长同意机制——如果连13岁年龄确认机制都没有的，那就看要不要赌一把FTC的枪里没有子弹。