纽约儿童数据保护法实施指南

本页面最后更新于2025年5月19日。

总检察长办公室 (OAG) 在《纽约儿童数据保护法案》(NYCDPA 或法案)于 2025 年 6 月 20 日生效之前发布了此指南,该法案已编入《纽约一般商业法》(NY Gen. Bus.)中。法律)§§899-ee et seq。  

本指南对通过拟议规则制定的预先通知以及 OAG 与行业参与者的联系向 OAG 提出的关键问题进行了澄清。该法案还赋予总检察长办公室颁布规则的权力,总检察长办公室打算在初始合规期间与利益相关者的接触基础上发布规则,为稍后涉及的一些条款提供进一步的细节和说明。在提出并最终确定此类规则之前,OAG 建议在采取执法行动时将行使自由裁量权,并将考虑运营商为遵守 NYCDPA 所做的真诚努力,与法规和本指南的简单语言保持一致。 

下载本指南的可打印版本

OAG 提供以下方面的指导: 

  • 《儿童在线隐私保护法》(15 USC §§ 6501)的应用 et seq,以及其实施条例和相关的联邦贸易委员会指导(统称为 COPPA),适用于 13 岁以下的未成年人,符合 NYCDPA 的处理限制(NY Gen. Bus.法律第 899-ff(1)(a) 条)。
  • 纽约州关于用户提供的年龄标记的运营商责任将军巴士法律第 899-ii(1) 条。
  • 纽约州“主要针对未成年人”将军巴士法律第 899-ee(6) 条。
  • “绝对必要……”纽约州允许的目的将军巴士法律§§899-ff(2)。
  • NYCDPA 对学校、学区及其第三方承包商的要求。
  • 父母对产品和服务的要求。

本指南指的是 NYCDPA 中使用的“网站、在线服务、在线应用程序、移动应用程序或连接设备”[1] 统称为“在线设备或服务”。

根据 NYCDPA 和 COPPA 进行处理 

对于 13 岁以下的儿童,纽约将军巴士法律第 899-ff(1)(a) 条允许进行 COPPA 允许的处理。换句话说,NYCDPA 采用 COPPA 作为对受保用户数据处理的适用标准,这些用户实际上被运营商知道年龄在 12 岁或以下,或者正在使用主要针对 12 岁或以下受保用户的在线设备或服务。[2] 因此,根据 NYCDPA,COPPA 为这些用户规定了何时可以在未经父母同意的情况下进行数据处理,何时禁止未经父母同意进行数据处理,以及如何获得父母同意。 

年龄标志:NY将军巴士第 899-ii(1) 条 

OAG 认识到与运营商何时以及如何依赖来自用户设备的通信或信号来了解用户的受保用户状态(“年龄标志”)相关的潜在细微差别。未来,OAG 将颁布相关因素或特征的规则,使年龄标志成为运营商在纽约必须遵守的标志。将军巴士法律第 899-ii(1) 条。在这些规则最终确定并生效之前,OAG 建议将自行决定是否对该规定采取执法行动,只要运营商表现出真诚的努力,遵守与本指南一致的 NYCDPA 的所有其他规定。  

值得注意的是,NYCDPA 所涵盖的用户是“运营商实际上知道的……未成年人”[3] 并且此要求与纽约州无关将军巴士法律第 899-ii(1) 条规定了年龄标志。例如,操作员可以获取或了解用户的年龄并将其与该用户的帐户相关联。如果用户是未成年人,运营商在任何地方都可以识别用户的账户,包括用户使用不同的设备登录相同的服务或产品,或使用相同的登录凭证访问不同的服务或产品时,运营商都实际知道用户是受保用户,并且必须遵守相应的法律。  

主要针对未成年人 

在纽约将军巴士法律第 899-ee(1) 条规定,受保用户定义为: 除其他外,指“使用主要针对未成年人的网站、在线服务、在线应用程序、移动应用程序或连接设备”的用户。纽约将军巴士法律第 899-ee(6) 条将“主要针对未成年人”定义为“针对未成年人的在线设备或服务,或其一部分”。 

OAG 收到了有关 NYCDPA 下“主要针对未成年人”范围的询问,其中一些询问引用了 COPPA 下的“针对儿童”标准。[4] 对于 12 岁及以下的未成年人,纽约将军巴士法律第 899-ff(1)(a) 条明确允许 COPPA 允许的数据处理。因此,NYCDPA 的“主要针对未成年人”标准涵盖的任何在线设备或服务也属于 COPPA 的“针对儿童”标准,并且如上所述,其运营商可以通过遵守 COPPA 来满足 NYCDPA 规定的合规义务。

对于 13 至 17 岁的未成年人,OAG 认识到 13 至 17 岁的未成年人可能会访问许多普遍感兴趣的在线设备或服务,或者可能将 13 至 17 岁的未成年人视为受众的一部分(但不是主要受众)。因此,与 COPPA 针对较小儿童的标准相比,NYCDPA 规定的“主要指导”标准为运营商提供了一些额外的灵活性。NYCDPA 的要求仅适用于可描述为“主要针对”或“针对”未成年人的在线设备或服务或其部分。

绝对必要 

NYCDPA 通常要求受保用户在处理其个人数据之前授予有效同意。当受保用户年龄在 13 至 17 岁之间时,仅当处理对于纽约州列出的明确目的而言是“绝对必要”时,才允许在未经用户同意的情况下进行处理将军巴士NYCDPA 法律 § 899-ff(2)。[5] 为了促进合规,本指南回应了与其中一些明确目的相关的询问。  

提供或维护受保用户请求的特定产品或服务 

在纽约将军巴士法律第 899-ff(2)(a) 条规定,为了“提供或维护涵盖用户要求的特定产品或服务”而进行的“严格必要”的处理无需征得同意。要依赖此例外,处理必须与“受保用户请求的”“特定”产品或服务相关,这意味着在合理的受保用户对特定产品或服务的期望范围内。例如,大多数产品或服务的用户都会合理地期望处理个人数据以便为所包含的产品或服务提供客户支持。为此目的处理受保用户的个人数据通常不需要用户的单独同意。   

另一方面,大多数理性的用户并不期望运营商追踪他们的在线活动超出他们所使用的特定产品或服务所必需的范围,也不期望运营商将收集到的个人数据用于提供该产品或服务之外的目的。根据 NYCDPA,运营商必须获得用户同意才能进行此类非必要处理。如果运营商明确且显著地将其核心服务推销为跟踪特定用户活动以提供活动记录的服务(例如,预算平台跟踪支出活动以提供每月支出报表),那么为该特定目的处理该类型的用户活动数据将符合此类服务的合理用户的期望。因此,运营商不需要获得此处理的同意。  

然而,运营商不得规避纽约将军巴士法律第 899-ff(1) 条规定,只需将其核心服务营销为包括跟踪受保用户的个人数据以支持个性化(例如行为广告或为特定个人创建个人资料以显示或优先考虑某些媒体)的服务即可。此外,运营商根据本例外情况收集和处理的任何数据只能用于预期目的(例如,收集与每月支出无关的个人数据(例如设备的实时 GPS 坐标)的预算平台不能依赖本例外情况来处理不相关的个人数据)或以其他符合纽约将军巴士法律第 899-ff(2) 条。运营商、其处理者或运营商允许收集个人数据的任何第三方运营商不得将个人数据用于任何其他目的。  

开展内部业务运营 

此外,纽约将军巴士法律第 899-ff(2)(b) 条允许运营商处理“绝对必要”的个人数据……开展内部业务运营。”OAG 建议,COPPA 允许的许多以“支持网站或在线服务的内部运营”为目的的活动在本节下也是允许的。[6] 然而,OAG 还建议,与 COPPA 不同,纽约将军巴士法律第 899-ff(2) 条包括以下但书:“内部业务运营不得包括与营销、广告、研发相关的任何活动,[或]向第三方提供产品或服务。”  

防范恶意、欺诈或非法活动 

纽约将军巴士法律第 899-ff(2)(d) 条针对“恶意、欺诈或非法活动”,允许处理个人数据以防止欺诈,例如限制广告频次。   

自然人的重大利益 

最后,纽约将军巴士法律第 899-ff(2)(b) 条,涉及“内部业务运营”,以及纽约将军巴士法律第 899-ff(2)(i) 条针对“自然人的重大利益”,允许在未经同意的情况下处理与在线设备或服务的用户信任、健康和安全政策相关的个人数据。 

允许目的的结论 

正如之前所讨论的,总检察长办公室在行使自由裁量权执行纽约将军巴士法律第 899-ff(2) 条规定,运营商无需征得同意即可处理出于列举目的“绝对必要”的个人数据。 

对学校、学区及其第三方承包商的要求 

NYCDPA 不会破坏纽约教育法 (NY教育法)§ 2-d 及其实施条例,或联邦家庭教育权利隐私法案(FERPA),20 USC § 1232g 及其实施条例。这些法律通常允许学校和学区收集和使用纽约州定义的“教育记录”中的“个人身份信息”(PII)。教育法律第 2-d(1)(d) 条和 FERPA 实施条例第 34 CFR 第 99.3 条,[7] 供学生用于教育目的。[8] 这两项法律通常禁止将 PII 用于商业用途,并且还包括其他保护措施。[9] 学校和学区与之签约处理此类 PII 的第三方也受到同样的禁止。[10] COPPA 为这些法律提供了覆盖,为 13 岁以下的儿童提供特殊保护。根据 COPPA,学校可以同意第三方收集和处理其学生的数据,但前提是该收集和处理是为了教育目的。[11] 然而,根据 COPPA,运营商必须获得家长同意才能收集和处理数据,无论是在学校内还是校外,只要不用于教育目的。[12]  

正如之前所讨论的,对于 13 岁以下的儿童,NYCDPA、NY将军巴士法律第 899-ff(1)(a) 条明确允许 COPPA 允许的数据处理。对于何时可以根据学校授权收集和处理数据、何时未经家长同意禁止处理数据以及如何获得家长同意,NYCDPA 采用与 COPPA 相同的标准。因此,对于 13 岁以下的儿童,学校、学区以及与他们签约的第三方可以根据 NYCDPA 在 COPPA 允许的范围内处理数据,包括在有关学校的具体指导下。[13] 同样,在这种情况下,运营商仍然必须遵守纽约教育法律§2-d,并禁止将此类信息用于任何商业目的,包括营销、广告或与提供学校要求的在线设备或服务无关的其他商业目的。  

对于 13 至 17 岁的儿童,NYCDPA 的隐私保护要求为纽约教育法律§2-d与COPPA为13岁以下儿童提供的法律类似。学生 PII 可能会根据纽约州的规定进行收集和处理教育法律§2-d 及其实施条例用于教育目的,无需根据 NYCDPA 触发单独的知情同意。另一方面,对于符合 NYCDPA 定义的“个人数据”[14] 但这不受纽约教育法律§2-d,无论因为它不是 PII 还是因为它不是为教育目的而收集的,运营商都必须遵守 NYCDPA。 

家长要求为 13 至 17 岁未成年人提供产品或服务[15] 

纽约将军巴士法律§899-ff 保护13至17岁受保用户的隐私,禁止在未经用户同意的情况下处理他们的“个人数据”,除非此类处理对于允许的列举目的而言是“绝对必要的”。这包括“遵守联邦、州或地方法律、规则或法规”所严格必要的个人数据的处理。[16]  

因此,NYCDPA 不会扰乱现有的法律框架,根据这些法律框架,父母可以合法地代表其子女同意或签订特定产品或服务的协议。如果父母可以合法地代表其子女或与其子女共同同意产品或服务,例如医疗保健服务或某些金融服务,则数据处理对于纽约州允许的目的而言是绝对必要的将军巴士法律第 899-ff(2) 条规定,提供或维护该产品或服务(包括提供或维护该产品或服务)在 NYCDPA 下是允许的,无需额外同意。如本文所述,允许处理的范围部分取决于涵盖用户对特定产品或服务的期望。  

当父母代表孩子同意某项产品或服务时,运营商可能会认为父母对个人数据处理的期望对于允许的目的而言是严格必要的。NYCDPA 不要求运营商在处理履行父母对产品或服务的协议所严格必要的数据(包括父母提供的任何儿童的个人数据)之前获得儿童的同意。[17] 但是,运营商必须仅出于提供与父母约定的特定产品或服务的目的来处理儿童的个人数据。如果运营商希望将儿童的个人数据用于特定产品或服务所不严格必要的目的,则运营商首先需要根据 NYCDPA 获得儿童的同意。   

总检察长办公室认识到许多法律允许父母代表其子女行使权利,并将酌情对真诚努力遵守所有适用法律的运营商采取执法行动。然而,OAG 警告称,运营商必须遵守 NYCDPA,并且 NYCDPA 授予 13 至 17 岁未成年人控制其个人数据处理的权利不容轻易忽视。 

[1] 例如,纽约将军巴士法律第 899-ff(1) 条。

[2] 参见下文第 2 条(“主要针对未成年人”)和纽约将军巴士法第 899-ll(3) 条(“本条中的任何内容均不得解释为对根据 15 USC § 6501 开展的商业活动或行动施加责任,如果与根据 15 USC § 6502 开展的此类活动或行动的处理方式不一致。”)。

[3]纽约将军巴士法律第 899-ee(1)(a) 条。

[4] 16 CFR § 312.2 

[5]如上所述,对于 12 岁及以下的用户,CDPA 应用 COPPA 的标准来确定是否允许数据处理,包括在什么情况下可以在未经父母同意的情况下进行处理。

[6] 16 CFR § 312.2;另请参阅16 CFR § 312.5(c)(7)-(8)。请参阅联邦贸易委员会的《遵守 COPPA:常见问题 - 企业和家长指南》和《小型实体合规指南》https://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions(上次访问时间为 2025 年 5 月 5 日),尤其是同上,第 J 节“事先父母同意的例外情况”。

[7]这通常是与特定学生相关的信息。纽约公司代码 R. 和 Regs.山雀。8、§121.1(f)、(m)(参考FERPA及其实施条例的规定)。

[8]纽约公司代码 R. 和 Regs.山雀。8、第 121.5(c) 条(使用必须“使学生和教育机构受益(例如,提高学业成绩、为家长和学生提供信息、和/或提高学校运作的效率和效果)”。);另见纽约教育法第 2-d(5)(b)(1) 条;20 USC 第 1232g(a)(4)(A) 条。

[9]纽约教育法律§2-d(3)(b)(1);纽约州教育部,商业和营销备忘录https://www.nysed.gov/sites/default/files/programs/data-privacy-security/cm-june-2023-guidance-final.pdf (上次访问时间为 2025 年 5 月 5 日),第 2 页(涵盖的数据不能用于“广告或开发、改进或向学生推销产品或服务”)。请参阅34 CFR § 99.30(要求父母或学生同意披露 PII,除非其他 FERPA 条款明确允许)和 20 USC § 1232g(b)(要求父母或学生同意披露 PII,除非其他 FERPA 条款明确允许)。  

[10]纽约教育法律 2-d § 5(f)。

[11]联邦贸易委员会, 《遵守 COPPA:常见问题——企业和家长指南》和《小型实体合规指南》https://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions(最后访问时间为 2025 年 5 月 5 日)。

[12]美国联邦贸易委员会,新闻稿:FTC 称教育技术提供商 Edmodo 非法使用儿童个人信息进行广告宣传并将合规工作外包给学区https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ed-tech-provider-edmodo-unlawfully-used-childrens-personal-information-advertising(最后访问时间为 2025 年 5 月 5 日)。

[13] 请参阅联邦贸易委员会的《遵守 COPPA:常见问题 - 企业和家长指南》和《小型实体合规指南》https://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions(上次访问时间为 2025 年 5 月 5 日);联邦贸易委员会, 《联邦贸易委员会关于教育技术和儿童在线隐私保护法的政策声明》, https://www.ftc.gov/system/files/ftc_gov/pdf/Policy%20Statement%20of%20the%20Federal%20Trade%20Commission%20on%20Education%20Technology.pdf (最后访问时间为 2025 年 5 月 5 日)。

[14]纽约将军巴士法律第 899-ee(4) 条(定义为“可直接或间接识别自然人或设备,或可合理地与自然人或设备关联起来的数据”)。 

[15]如下所述,对于 13 岁以下的未成年人,适用《COPPA》中概述的标准。

[16]纽约将军巴士法律第 899-ff(2)(f) 条。

[17]适用的联邦或州法律可能会对运营商如何处理父母的请求施加自己的要求,并且此类要求继续适用。遵守 NYCDPA 并不能成为违反其他法律的辩护理由。例如,OAG 期望任何与 NY 所定义的教育机构签约的第三方教育法律§2-d继续遵守纽约的规定教育有关父母权利和通知的法律§2-d及其实施条例。