近日,联想集团(Lenovo)在美国加州正面临一起重大集体诉讼,原告Spencer Christy指控联想违反了美国司法部(DOJ)于2025年4月实施的“大宗敏感数据传输规定”(Bulk Sensitive Data Transfer Rule),未征得用户明确同意,收集并传输美国用户行为数据至境外,可能构成对个人隐私权的侵害。
该案由Almeida律师事务所代理提起,原告申请确认集体诉讼资格,并寻求禁令救济、法定赔偿以及非法所得返还。
起诉状称,原告在2025年11月和12月期间曾多次访问联想官方网站,发现网页部署了多种第三方追踪技术脚本(如TikTok、Facebook、Google等),但未经访问用户的明确同意即开始收集敏感数据。收集内容包括IP地址、广告标识符、浏览历史(URL)及设备元数据等,并将这些大宗敏感数据传输至联想的中国母公司或关联实体,从而违反相关规定、出卖用户隐私。
|
联想方面已公开回应,对该指控予以全面否认。公司表示其数据处理透明且合法,严格遵守包括美国本土和全球数据保护法律规定。联想进一步澄清,美国用户的数据存储于北卡罗来纳州与新加坡的数据中心,并未传输至中国境内。同时,公司指出某些数据收集功能(如联想客户体验提升计划)仅在用户选择参与后运行,不存在未经用户授权而采集敏感数据的情况。
联想美国法务副总裁在声明中称,这起诉讼毫无根据,公司将积极抗辩,并强调公司长期服务美国市场,从未因数据安全问题受到政府处罚。联想还宣布拟聘请前美国国土安全部官员担任独立合规顾问,以提高透明度并回应公众质疑。
目前案件尚处于初步阶段,法院尚未就实体问题作出裁定。
接下来程序的关键在于两点:一是原告能否成功获得集体诉讼资格认证。在集体诉讼制度下,一旦原告成功获得“集体诉讼资格认证”,案件影响将远超单一索赔请求,可能引发数以万计用户加入诉讼,从而对企业造成较大的声誉与法律风险。
二是法院如何界定“大宗敏感数据”的适用范围,以及是否认定相关数据传输行为确实发生并构成违规。关于“大宗敏感数据”,原告在诉状中意指收集的敏感个人标识符数量达到或超过10万名美国用户,触及美国司法部制定的监管红线。起诉方认为,联想官网通过自身或第三方追踪技术脚本,自动拦截并收集了大量未经授权的个人行为数据,并通过技术手段将这些数据传输至国外关联实体,可能违反了联邦隐私保护原则及相关联邦法规。
如果法院认为原告无法证明数据实际被传输至受限制国家,或相关数据未达到规则设定的规模门槛,案件可能在早期阶段被驳回。反之,一旦进入实质审理阶段,案件将成为美国国家安全型数据规则在民事诉讼层面的重要样本。
中国科技企业在全球运营中必须同时面对不同法域对数据收集、存储、使用和跨境传输的合规要求。传统的隐私合规(如欧盟《通用数据保护条例》)强调数据主体权益和透明度,而美国新兴的国家安全型数据规定则更多关注数据去向与外部利用风险。
这类诉讼提醒企业在设计全球运营系统时应更早融合多法域合规策略,避免在隐私与安全的交叉领域出现难以预见的法律风险。
—— END ——
推荐阅读
(点击上面图片链接了解课程详情报名)
(点击上面图片链接了解课程详情报名)
