撰文、编辑 / Kaamel Labs
2025 年 9 月 2 日,Porcuna v. Xandr, Inc. 与 Baker v. Index Exchange, Inc.两起集体诉讼在美国联邦地方法院提起。原告指控,被告作为广告技术平台,在未经用户知情或同意的情况下拦截用户与第三方网站的通信内容,并将包括 IP 地址、广告 ID、Cookie 数据等在内的美国用户数据,传输至一家由 EO 14117 所列“受关注国家”控制的电子商务平台 Temu。
两案所依赖的法律基础极具创新性。原告方尝试将《电子通信隐私法》与 EO 14117 相结合,提出一种新的诉讼路径:若拦截行为违反 EO 14117 的国家安全规则,该行为的目的可能符合 ECPA § 2511(2)(d) 所规定的“犯罪或侵权目的”要件,从而使 AdTech 无法再援引 ECPA 中的一方例外(Party Exception)条款作为抗辩。
若法院采纳这一解释,可能意味着 EO 14117 的国家安全义务被间接引入至私法诉讼框架,从而使 AdTech 行业的数据传输合规同时受到国家安全与隐私法规的双重审视。
此外,提起诉讼的时间节点亦具有策略性。两案的立案时间均在司法部(DOJ)执法宽限期2025 年 4 月 8 日至 7 月 8 日结束约两个月后,原告的时点选择可能意在削弱被告基于“正在积极采取合规措施”的抗辩空间,突出其在规则生效后持续存在的合规缺口。
案情分析
两起集体诉讼的指控高度一致。在 AdTech 的运作逻辑中,平台通常会在第三方网站上部署各类跟踪技术,以拦截用户与第三方网站之间通信的内容;随后,平台将通信相关的标识符及上下文数据进一步广播或共享至下游合作方,用于行为定向和广告竞价。
在传统的语境下,AdTech 拦截和共享的 IP 地址、广告 ID、设备 ID 等数据,通常被归类为低风险广告数据,企业的合规风险相对有限。但是,随着 EO 14117 和 Final Rule 生效,这一逻辑将面临重构。
根据新规,原本被认为风险较低的基础标识符,一旦与特定的敏感上下文结合,即可能构成敏感个人数据的组成部分;而当数据规模达到设定的大宗(Bulk)定量门槛时,将会触发新规所确立的禁止或受限交易机制。
原告认为,被告在 EO 14117 和 Final Rule 生效后,仍沿用既有的数据处理模式,未对相关标识符进行敏感化识别或分类,也未在达到阈值或形成特定数据组合时,将其纳入 Bulk U.S. Sensitive Personal Data(大宗美国敏感个人数据)的范畴,并遵守相应的交易限制或禁止要求。
被告的这一行为不仅违反了 EO 14117 所确立的国家安全数据管制义务,也意味着被告在拦截用户通信时,其目的已指向一项潜在的违法行为。由此,原告主张该行为符合 ECPA §2511(2)(d) 所规定的犯罪或侵权目的,因而不再受一方例外(Party Exception)条款的保护。
两起集体诉讼案件概览和细节分析如下:
|
|
|
Porcuna v. Xandr, Inc. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Porcuna v. Xandr Case
Xandr 是一个程序化广告交易平台(programmatic advertising exchange),被嵌入于数千个高流量网站与移动应用程序之中。Xandr 同时拥有需求方平台(demand-side)与供给方平台(supply-side)双重身份:一方面,它为广告商提供投放工具,使其能够在全网竞价广告位;另一方面,它与网站运营者或移动应用开发者整合合作,在其网站或应用中运行多种数据收集技术。这些技术包括:
JavaScript 跟踪器(trackers)。嵌入网页中的小段代码,用于监控用户活动,例如访问了哪些页面、停留多长时间、点击了哪些链接;
Prebid.js 适配器。网站能够在页面完全加载之前,同时向多个广告主拍卖广告位的代码模块;
Cookie 同步端点(cookie-syncing endpoints)。指示用户浏览器与第三方服务器通信并共享标识符,使不同广告技术公司能够识别并跨多个网站与设备追踪同一用户。
通过这些技术,Xandr 直接从用户浏览器中拦截数据,在用户活跃浏览网页时进行。当用户访问带有 Xandr 跟踪基础设施的网站时,Xandr 会捕获并传输该用户在线会话的详细快照,这被称为竞价请求(bid request)。Xandr 传输的竞价请求包含持续性标识符,如 Cookie ID、设备 ID、移动广告 ID 与 IP 地址,以及设备元数据,例如屏幕分辨率、浏览器版本、操作系统、语言设置。
它甚至还会捕获上下文信息,包括被访问页面的完整 URL 及其引用来源,这些信息可以揭示用户所浏览的具体内容,例如文章、论坛帖子或其他敏感材料等。
除此之外,Xandr 还通过 cookie 同步(cookie syncing)从第三方跟踪公司补充数十个额外的标识符。这一过程要求用户浏览器联系其他跟踪域以交换唯一 ID,以便 Xandr 及其合作伙伴能够在不同网站之间识别同一用户。这种身份关联即便在用户从未直接访问过某些网站的情况下,仍能实现长期跨站追踪。
Xandr 最后还会对这些数据进行行为分组(behavioral segments)。分组是依据此前浏览活动、定位模式或第三方数据叠加生成的,描述用户推测兴趣、人口统计与境况的标签。这些行为分组可能包含高度敏感的分类。这些分组与身份信息一同被传输,为下游接收方提供了关于用户行为与隐私特征的详细画像。例如,原告在起诉状中列举了以下内容:
职业角色 > 法律 > 法官;
乱/伦/虐/待/支持;
HER2 阳/性——乳腺癌;
向保/守/派/政/治捐款;
赌/博/成/瘾;
对 L/G/B/T/Q 权利及支持堕/胎/的自/由/派/观点;
职业 > 残障人士。
Xandr 下游接收方之一是 Temu,当 Temu 通过 Xandr 的广告交易系统参与实时竞价时,它会收到行为分组标签、标识符及与用户相关的页面上下文信息。这使 Temu 不仅能决定是否展示广告,还能保留并分析这些数据以供未来定向之用。因此,即使 Temu 以前从未追踪该用户,它也能从 Xandr 获得的数据,包括浏览行为、行为分组与自身记录相结合,实现持久的跨站画像。
Baker v. Index Exchange Case
而在 Baker v. Index Exchange 案中,指控更为深入。被告 Index Exchange 是供应方平台(SSP),通过实时竞价拍卖,将网站用户及其正在浏览内容的信息传递给广告商。当用户访问参与的网站或应用程序时,Index Exchange 会自动向众多试图向该用户展示广告的合作伙伴发送一组数据。这些数据包括:网页信息、用户唯一标识符,如 IP 地址、Cookie 数据、广告 ID,以及有关用户设备、位置、人口特征、兴趣、浏览行为等推测信息,还包括用户正在查看的网页的完整 URL。这些信息由 Index Exchange 打包,并通过竞价请求的传输方式,与需求方合作伙伴共享。
此外,Index Exchange 也会与部分广告合作伙伴进行 Cookie 同步操作,Index Exchange 会将其内部用户 ID 与第三方,如 Temu 所使用的标识符进行匹配。它会指示用户浏览器访问 Temu 拥有的服务器端点(如 temu.com/api/adx/cm/pixel-index),并在请求中将 Index Exchange 的用户 ID 传递给 Temu。
Temu 随后设置或检索其自己的标识符,使两家公司可以在各自的追踪系统中关联同一用户。这些数据交换是实时进行的,并未获得用户的有效通知或同意。当 Temu 接收来自 Index Exchange 的数据后,它会将这些数据与自身的追踪工具,如像素标识符、点击后分析等结合,以构建更详细、更具侵入性的用户画像。
原告认为,在整个过程中,Temu 同时作为广告商与分析平台,利用这些实时数据进行个性化广告投放、市场预测和用户画像。例如,当某个用户反复访问有关债务整合、怀孕或求职的内容,并点击财务类广告时,Temu 可以推断该用户可能面临经济压力或正处于特定人生阶段。这种画像可以利用用户的脆弱性,从而对其推送针对性极强的广告或商业劝诱。
诉状是这样将本案相关的数据与 EO 14117 联系起来的:“如果这些数据被外国对手掌握,其潜在用途远超广告。Temu 在中国境内运营,受中国情报法律约束,因此可利用这些数据构建美国居民档案,识别脆弱群体、政府雇员、记者、异议人士等目标对象。这些数据可能被用于监视、画像或胁迫美国个人。这种潜在风险正是 EO 14117 需要避免的。”
相关新闻报道见:https://www.hunton.com/privacy-and-information-security-law/plaintiffs-allege-violation-of-bulk-data-transfer-rule-in-class-actions
两起案件主要法律依据之一是《电子通信隐私法》(Electronic Communications Privacy Act of 1986,以下简称 “ECPA”)。ECPA § 2511(1)(a) 明确禁止任何人 “故意拦截、企图拦截,或唆使他人拦截或企图拦截任何有线、口头或电子通信(intentional interception, endeavor to intercept, or procurement of another person to intercept … any wire, oral, or electronic communication)。”
不过,§ 2511(2)(d) 也为 AdTech 的提供了一项重要的免责空间,即所谓的一方例外(Party Exception)条款:
It shall not be unlawful under this chapter for a person not acting under color of law to intercept a wire, oral, or electronic communication where such person is a party to the communication or where one of the parties to the communication has given prior consent to such interception unless such communication is intercepted for the purpose of committing any criminal or tortious act in violation of the Constitution or laws of the United States or of any State.(根据本节规定,非以法律名义行事者截取电话、口头或电子通讯的行为不属违法,但须满足下列条件之一:该人系通讯一方当事人;或通讯一方当事人已事先同意此类截取。除非该通讯截取系为实施任何违反美国宪法或法律、或任何州宪法或法律的犯罪或侵权行为。)
在实践中,AdTech 公司长期依赖这一条款主张豁免,认为其在网站上部署的跟踪器系代表网站行事,因而自身也是通信的一方,其拦截行为合法。然而,需要注意这一 Party Exception 内部同时也存在着一项关键限制:若拦截行为旨在实施犯罪或侵权行为,则例外失效。
另一法律依据之一是 EO 14117 及其 Final Rule,该规则通过禁止或限制美国主体从事涉及向受关注国家或受涵盖个人传输大宗美国敏感个人数据(Bulk U.S. Sensitive Personal Data)的特定交易,建立了一个以国家安全为导向的跨境数据监管机制。然而,EO 14117 本身并未赋予私人诉权。
这两起案件的创新之处正在于此:原告通过将 ECPA 与 EO 14117 结合,提出了一个新的诉讼基础——若拦截行为违反了具有刑事处罚可能性的 EO 14117 国家安全规则,则该行为的目的构成 ECPA § 2511(2)(d) 规定的“犯罪或侵权目的”。
若该理论成立,AdTech 赖以抗辩的 ECPA Party Exception 将不再适用,ECPA 禁止故意拦截的规定将对 AdTech 生效。
这一后果极具深远意义:原告律师事实上绕开了对 DOJ 执法的依赖,创造了一种私法化的代理执法路径——将原本属于国家安全监管的 EO 14117 义务,转化为可在 ECPA 框架下主张高额法定损害赔偿的民事集体诉讼基础。
合规建议
Porcuna v. Xandr, Inc. 和 Baker v. Index Exchange, Inc. 两案应当引起出海企业的高度重视。这两个案件标志着合规风险的转移,风险不再仅仅来自 DOJ 的调查,而是来自成本高昂、反应迅速的民事集体诉讼。
基于此,Kaamel 建议相关企业放弃对 ECPA 一方例外的单方面法律依赖,在技术架构层面实施 Hard Controls,确保在数据离开企业控制范围之前,就已符合 EO 14117 的要求。
立即启动对 AdTech/MarTech数据链的国家安全审计。跨国企业假定其现有广告技术/营销技术堆栈不符合 EO 14117 的要求,并发起紧急审计,详细考察合同对象和用户数据,特别是 IP 地址、广告 ID、设备 ID 的实际流向。
绘制完整的数据流图,识别所有第三方、第四方的数据接收者。应当利用 DOJ 指南对数据链中的每一个节点进行风险评估。因为这两个案件中 Temu 的出现表明,企业的风险不仅仅来自直接的平台供应商,还可能隐藏在广告商客户或下游合作伙伴中。
实施自动化数据分类工具,将 EO 14117 定义的敏感个人数据标记为受限数据。如果数据被标记为受限数据,应在技术上,而非仅仅通过合同阻止其流向任何与受关注国家相关的已知或应当知悉的实体。加速从客户端(Client-Side)跟踪,如诉讼中指控的浏览器标签,向服务器端(Server-Side)标签和数据仓库迁移。服务器端解决方案允许企业在数据发送给 AdTech 供应商之前,集中审查、清洗、屏蔽或阻止不符合 EO 14117 的数据传输。
Kaamel 简介
