大数跨境

美国数据监管再收紧:位置、画像与敏感推断成新焦点

美国数据监管再收紧:位置、画像与敏感推断成新焦点 M姐 数据合规评论
2026-07-03
1
导读:美国数据监管再收紧:位置、画像与敏感推断成新焦点
点击上方蓝字,关注公众号,获取最新合规资讯!
美国数据监管再收紧
DATA · REGULATION · U.S.

美国数据监管再收紧

位置、画像与敏感推断成新焦点

视频播客提供了本期内容速览M姐用3分钟为您划重点,拆解位置、画像与算法推断背后的出海合规红线,附赠中国企业破局指南!
正文共4462字,预计阅读用时11分钟~

导读  | 2026年7月1日,美国康涅狄格、弗吉尼亚和马里兰三项州立法中的个人数据保护条款开始生效。严格来说,不宜将其统称为"三州隐私法":三项立法的载体、主题和修改方式并不相同,只是均包含重要的数据保护内容。

具体而言:

· 康涅狄格州《第25-113号公共法案》(Public Act No. 25-113,原S.B. 1295)是一项涉及宽带、博彩、社交媒体、在线服务和消费者合同的综合性立法,其中第5—12节修订了《康涅狄格数据隐私法》(CTDPA)。[1]

· 弗吉尼亚州S.B. 338是一项针对《弗吉尼亚消费者数据保护法》(VCDPA)的专项修正,核心是禁止出售或要约出售消费者的精确地理位置数据。[2]

· 马里兰州《2026年第874章法案》(Chapter 874,原H.B. 711)涉及消费者数据、公共记录和执法信息系统,其中一项重要修改是将推断出的敏感属性纳入《马里兰在线数据隐私法》(MODPA)。[3]

三项立法并非偶然地同时"加码",但背后的政策问题各不相同:康州关注算法画像、未成年人和较小规模企业游离于法律之外的问题;弗州针对位置数据经纪市场带来的人身安全和监控风险;马里兰州则试图堵住"原始数据不敏感、算法推断结果却高度敏感"的规避空间。

一、三州分别修改了什么,为什么修改

州及立法
隐私相关修改
可能解决的政策问题
与其他制度的联系和区别
康州
PA 25-113
CTDPA适用门槛由年处理10万名消费者数据降至3.5万名;处理敏感数据或要约出售个人数据的部分主体也可能入法。[1]消费者可访问由其数据产生的推断,并对产生法律或类似重大影响的画像要求说明、纠正和重新评估。[4]
将更多中小平台和数据企业纳入监管;回应社交媒体、未成年人保护及算法画像可能造成歧视、经济或声誉损害的问题。官方法案分析也将未成年人安全、画像评估和扩大CTDPA覆盖范围列为重要内容。[10]
与加州2026年生效的自动化决策技术规则存在呼应,但康州更直接地把画像解释、纠错及重新评估写入消费者权利。与中国《个人信息保护法》第24条、欧盟GDPR第22条相比,三者都关注重大自动化决定,但触发条件、例外和权利结构并不相同。
弗州
S.B. 338
在VCDPA §59.1-578(A)增加第6项:控制者不得出售或要约出售消费者的精确地理位置数据。[2]"精确位置"通常指能够在1,750英尺半径内直接识别个人位置的数据。[5]
位置数据可揭示住宅、医疗、宗教活动、政治集会及军政人员活动。立法从"取得同意即可处理"转向禁止特定交易,反映出州议会认为部分位置数据商业化风险无法仅靠同意解决。
俄勒冈州H.B. 2008已有类似禁售规则。[6]加州将精确位置列为敏感个人信息,消费者可以限制其使用和披露、退出出售或共享,但并非当然全面禁售。[7]中国将行踪轨迹列为敏感个人信息并要求单独同意,也不等同于弗州式绝对禁售。
马州
Ch. 874 / H.B. 711
敏感数据不仅包括直接取得的敏感属性,也包括根据其他数据单独或结合其他数据推断出的种族、健康、性取向、移民身份、儿童身份及精确位置等信息。[3]MODPA原则上禁止出售敏感数据。[8]
防止企业通过浏览记录、消费习惯、设备信息和位置轨迹生成敏感标签后,主张"没有直接收集敏感信息";同时限制敏感数据在商业市场和公共记录利用场景中的二次扩散。
加州CCPA已经把用于创建消费者特征画像的推断纳入个人信息,并对部分敏感信息设置限制权;但马州进一步明确"用于识别敏感属性的数据"本身也可能成为敏感数据。欧盟对推断型特殊类别数据亦可能适用GDPR第9条,但需结合处理目的和具体推断判断。

二、为何必须与CCPA和EO 14117进行比较

1. 加州是美国数据合规的基础坐标

加州《消费者隐私法》(CCPA,经CPRA修订)对多数全国性出海企业具有更强的现实影响。它将精确位置、健康、种族、宗教、性取向等列为敏感个人信息,并赋予消费者限制使用和披露、退出出售或共享等权利。[7]

2026年1月1日起,加州关于自动化决策技术、风险评估和网络安全审计的配套规则也已生效,消费者在特定情形下可以访问或退出企业对自动化决策技术的使用。[11]

因此,三州修改应放在加州框架下理解:弗州比加州更进一步,对精确位置采取禁售,而非仅赋予退出或限制权;马州对推断型敏感数据的定义更加直接,减少了企业围绕"输入数据还是输出标签"的争论空间;康州降低适用门槛,并强化重大画像结果的解释、纠正和重新评估,与加州自动化决策规则形成叠加。

2. EO 14117是另一条"国家安全数据管制线"

第14117号行政令本身已由美国司法部《数据安全计划》最终规则,即28 C.F.R. Part 202具体实施。该规则自2025年4月8日起生效,针对美国政府相关数据以及美国人的批量基因、精确位置、生物识别、健康、金融等敏感个人数据。[9]

EO 14117国家安全数据管制
比较项
三州及加州制度
EO 14117 / 28 C.F.R. Part 202
核心目的
消费者隐私、人格权益和人身安全
防止外国对手利用数据实施监控、间谍活动、AI或军事能力开发
主要对象
在相关州经营、面向州居民提供产品或达到法定门槛的控制者
与"关注国家"或其涵盖主体进行特定数据交易的美国主体
数据范围
个人数据、敏感数据、精确位置、画像和推断
政府相关数据及达到批量门槛的基因、位置、生物识别、健康、金融和其他受管数据
主要措施
告知、访问、删除、退出、限制、评估及部分禁售
禁止数据经纪交易;对部分供应商、雇佣和投资协议施加限制及安全要求
对中国企业的意义
企业直接面临州级消费者保护义务
中国及相关主体可能成为美国合作方不得或受限提供数据的接收方,直接影响云服务、外包、研发和集团内数据流

两套制度可能同时适用。例如,一家美国App向中国关联公司持续提供美国用户位置数据:即使州法层面的消费者同意、退出和禁售问题已经处理,仍需另行判断该数据流是否属于28 C.F.R. Part 202禁止或限制的交易。EO 14117不是州法的替代规则,而是叠加其上的国家安全控制层

三、中国企业需要建立"全国基线+州级差异+国家安全审查"

企业合规架构

1. 广告科技、数据经纪和电商平台

→ 重点对应马州、弗州与加州

企业应同时检查SDK、Cookie同步、实时竞价、广告归因、数据受众包和外部数据采购。首先建立"推断属性目录",识别"疑似怀孕""慢性病风险""高净值""特定宗教消费""移民群体"等标签是否指向法定敏感属性。马州规则意味着,不仅标签结果可能是敏感数据,为产生敏感属性而处理的其他个人数据也可能被纳入。

其次,必须拆解"出售""共享""定向广告"和"数据经纪"在各州的不同定义。弗州的"出售"通常强调金钱对价;加州"出售或共享"覆盖范围更广,跨场景行为广告即使没有直接付款也可能受到约束。

2. 地图、出行、物流、智能汽车和可穿戴设备

→ 重点对应弗州、俄勒冈及加州

应把位置数据用途至少分为:完成导航、配送、安全救援等用户请求所必需的处理;产品分析和内部改进;广告归因和用户画像;向数据经纪商、广告网络或其他第三方提供;向中国总部、研发团队或云服务环境传输。前两类不必然构成出售,后三类风险显著升高。对于弗州和俄勒冈消费者,精确位置不应进入可出售的数据产品;涉及从美国向中国传输批量位置数据时,还需单独审查EO 14117。

3. 金融科技、保险招聘、教育和住房平台

→ 重点对应康州及加州

信用评分、保险定价、招聘筛选、招生推荐和租房审核容易产生法律或类似重大影响。企业应保存决策目的和场景、主要输入数据及来源、输出标签和阈值、影响结果的主要因素、数据纠错和重新运行机制、人工复核及申诉渠道,以及偏差测试、风险评估和模型版本记录。不能仅以"模型属于供应商"为由拒绝解释。采购合同应明确由谁响应访问、退出、解释和重新评估请求。

4. AI和SaaS企业

→ 重点对应康州和马州

应区分企业在不同场景中是控制者、处理者,还是与客户共同决定处理目的。训练数据合规并不是终点,嵌入向量、风险评分、推荐结果和模型推断也应进入数据地图、保存期限及删除流程。如果模型可以生成健康、族裔、宗教或性取向推断,应考虑默认关闭相关功能,或要求客户证明特定用途、必要性和适用法律基础。

四、App无法按州投放,是否应全国采用最严标准

App Store或Google Play的"美国区"通常不能可靠区分用户属于哪个州。IP地址反映当前连接位置,GPS反映实时位置,也不必然等于法律意义上的居民身份。因此,仅靠应用商店区域或一次定位实施州法合规并不稳妥。

01全国统一适用禁止性底线:对精确位置出售、敏感数据出售等高风险行为,可按弗州、俄勒冈和马州的较严标准在全美统一阻断。

02全国统一提供核心权利:向美国用户统一提供访问、删除、纠正、退出出售或共享、限制敏感信息使用的入口,并识别全球隐私控制信号(GPC)。

03州级处理额外权利:对康州画像解释和重新评估、加州自动化决策访问或退出等差异化权利,可结合用户声明、账户地址、账单或配送地址等较稳定信号判断;不能只依赖IP或GPS。

04保留规则引擎而非只改隐私政策:系统应根据居民州、数据类别、处理目的、交易对价、决策影响和接收方所在地,决定是否允许处理、是否需要退出入口、是否必须评估,以及是否触发EO 14117审查。

全国采用"最严标准"通常适合禁止出售、权利入口和供应商控制,但并非所有事项都必须机械统一。不同州的适用门槛、豁免、消费者定义和请求期限仍需分别配置。更准确的策略是:高风险处理全国从严,程序性义务按州精细化,跨境数据另设国家安全审查。


▎ 条文依据

[1] 康州PA 25-113第6节,修订Conn. Gen. Stat. §42-516:覆盖处理不少于3.5万名消费者数据、处理敏感数据或要约出售个人数据的主体。

[2] 弗州S.B. 338,Va. Code §59.1-578(A)(6):Not sell or offer for sale precise geolocation data concerning a consumer.

[3] 马州Chapter 874,Md. Code, Commercial Law §14-4601:Sensitive data包括由控制者根据个人数据推断的敏感属性。

[4] 康州PA 25-113第8节,Conn. Gen. Stat. §42-518(a):涉及inferences about the consumer、画像理由、纠错和重新评估。

[5] Va. Code §59.1-575:Precise geolocation data以1,750英尺精度为核心标准。

[6] 俄勒冈H.B. 2008:禁止出售可在1,750英尺范围内识别消费者或设备位置的数据。

[7] Cal. Civ. Code §§1798.121、1798.140;消费者享有限制敏感个人信息使用和披露、退出出售或共享等权利。

[8] Md. Code, Commercial Law §14-4707(a):A controller may not … sell sensitive data.

[9] EO 14117及28 C.F.R. Part 202,美国司法部Data Security Program。

[10] 康州立法研究办公室对S.B. 1295的法案分析。

[11] 加州自动化决策技术、风险评估和网络安全审计规则,2026年1月1日生效。

▎ 官方文本

康州PA 25-113:
https://www.cga.ct.gov/2025/act/pa/pdf/2025PA-00113-R00SB-01295-PA.pdf

弗州S.B. 338:
https://lis.virginia.gov/bill-details/20261/SB338/text/SB338

马州Chapter 874:
https://mgaleg.maryland.gov/2026RS/chapters_noln/Ch_874_hb0711T.pdf

加州CCPA说明:
https://oag.ca.gov/privacy/ccpa

加州2026年配套规则:
https://cppa.ca.gov/regulations/ccpa_updates.html

美国司法部Data Security Program:
https://www.justice.gov/nsd/data-security

— END —

上述内容不代表我们对有关问题的法律意见,任何仅依照本文件的全部或部分内容而作出的作为或者不作为决定及因此造成的后果由行为人自行负责,如需专业法律意见,请联系M姐律师团队。


【声明】内容源于网络
0
0
M姐 数据合规评论
全球数据合规及隐私保护立法动态介绍;热点事件时评;政策法规分析;企业合规良好实践分享;经典案例评析。
内容 1034
粉丝 0
M姐 数据合规评论 全球数据合规及隐私保护立法动态介绍;热点事件时评;政策法规分析;企业合规良好实践分享;经典案例评析。
总阅读2.6k
粉丝0
内容1.0k