本文来自微信公众号: Internet Law Review ,作者:张颖
2026年7月8日,美国司法部(DOJ)国家安全司(NSD)“数据安全计划”(Data Security Program,DSP)结束宽限期、进入全面执法即将满一周年。对于在美持有用户数据的中资企业而言,DSP的落地规则《批量敏感数据规则》(28 CFR第202部分,简称BSD)执法理应“全面展开”,但目前,公开渠道确实还没看到专项罚单。
然而近期,美国一场私人诉讼的中间裁决,将美国《批量敏感数据规则》(BSD)合规风险推向远远超过DOJ执法的范畴。该案或许将对未来的中国出海企业及其合作的供应商产生比DOJ执法更广泛的影响:大量实时竞价(RTB)数据相关的私人集体诉讼,并由此产生巨额法定赔偿。
2026年6月16日,美国伊利诺伊州北区地方法院针对“Baker诉Index Exchange”案,驳回了被告方Index Exchange公司提出的“驳回动议”,并裁定涉嫌违反BSD规则足以构成“侵权诉讼”,从而推翻《电子通信隐私法》(ECPA)下的同意抗辩。Index Exchange是一家供应方数字广告平台。原告Baker指控,Index Exchange利用追踪技术获取了他与某网站的互动信息和个人信息,并将这些数据传输给了Temu(与中国公司拼多多有关联的零售商)。
该裁决属于程序性裁决,法院指出存在尚未解决的事实问题,包括批量数据限制是否适用于Temu,案件将继续审理。但ECPA的门已经被撬开:私诉原告不需要等DOJ执法认定,就能把《批量敏感数据规则》(BSD)当弹药,将在美持有用户数据的中资企业拖进ECPA诉讼中。
一、Baker案真正的"新"在哪?——BSD撬动隐私诉讼
美国《电子通信隐私法案》(ECPA)原则上禁止任何人偷听或截取别人的通信内容——不管是打电话、面对面说话还是网上发消息,但有一个关键例外:只要通信的至少一方(比如网站)同意,上述偷听或拦截就不违法。
多年来,在ECPA相关的隐私诉讼中,供应方服务提供商(SSP)作为被告一直依赖于“单方同意抗辩”,使其数据收集完全合法;而隐私侵权诉讼的原告一直试图通过将涉嫌违反其他隐私法规(例如《加州信息隐私法》——需要双方同意的法规)的行为作为一项独立的犯罪,来推翻ECPA单方同意抗辩。有时候,原告律师会声称网站上的底层跟踪脚本违反了联邦窃听法,但鲜有成功。
Baker案中,Index Exchange正是用这个“单方同意”规则为自己辩护——原告Baker访问的BibleGateway.com网站同意了它的追踪脚本,所以它认为自己没有违法。
然而,在该案中法院裁决彻底颠覆了这种辩护策略,首次驳回了原告提出的驳回ECPA诉讼请求的动议,并裁定,即使出版商同意数据追踪,如果其违反DOJ《批量敏感数据规则》(BSD)将大量用户指标传输给境外的“受监管人员”,则该同意完全无效。理由是如果原告同时充分指控了违反BSD规则的行为,则犯罪/侵权例外适用。
Baker案是第一次法院认了“违反BSD规则”可以构成“独立侵权”,把国家安全类行政法规直接变成私权诉讼的弹药。值得注意的是,法院尚未认定Index Exchange真的违反了BSD,只是说“指控够了,案子可以继续”——但这已经足够让一类新型集体诉讼开门。
二、中国企业为什么是"连坐"重灾区?——BSD中“受管控主体”范畴
这里需要注意的是,Baker案里Index Exchange的两个动议理由都被拒了:
(1)Index是加拿大公司不是美国实体,因此不受BSD的约束;
(2)Temu不是“受管控主体”(covered person),因此不适用BSD。
法院两个都否决了。特别是第二个,法院直接把“Temu是否受管控主体”的问题推到事实审去打,而不在驳回阶段了结,同时又认为,认为关于所有权、控制权及与关注国的运营联系的指控足以合理地声称Temu是“受管控实体”。
这里需要进一步澄清BSD中“受管控主体”(covered person)的5个类别:
1、在受关注国(中/俄/伊/朝/古/委,含港澳)设立或主营地在该国的外国实体;
2、被“受关注国”或“受管控实体”直接或间接、单独或合计持股≥50%的外国实体;
3、受关注国或(1)/(2)/(5)类实体的外国雇员/承包商;
4、主要居住在受关注国的外国自然人;
5、总检察长个案指定的任何主体(无论位于何处)——只要被认定(1)受关注国/受管控实体所有/控制/管辖/指挥,(2)代表其行事,或(3)明知导致/指示违反本规则。
针对第二类,DOJ直接借了OFAC的50%Rule,还特意加了“间接”(indirectly)和“合计”(in the aggregate)两个词。在后面解释的“示例8”中进一步解释让这个问题更加清晰:BSD执法过程中DOJ会往上追溯,只要中国方面的持股加起来超过50%,不管是通过几层公司、几个股东,整家公司就会被认定为“受管控主体”。
此外,第五条是口袋条款,是动态的。这对中资常用的“开曼控股→爱尔兰运营→境内VIE”这套隔离是真正的穿透器。
回到Baker案原告对Temu的主张——Temu母公司PDD Holdings虽在爱尔兰/开曼,但“Temu至少50%由中国个人持有”。Index Exchange反驳说PDD Holdings总部在爱尔兰所以Temu不是受管控实体,但法院表示暂时不予置评,而是留给后面的案件中进行审理。
需要注意的是,VIE协议控制、表决权委托等——CFIUS早穿透了。Temu/PDD这类架构,对美国的NSD来说并不是障碍。下一波诉中国出海电商平台的原告律师,诉状里很可能会原样照搬。
三、比"国家安全数据"更宽的陷阱
《批量敏感数据规则》(BSD)的名义靶子是“防止受关注国家获取美国人批量敏感个人数据及美国政府相关数据”,这本应该是反间谍、反情报的国安工具,跟Temu、SHEIN卖日常用品所需要的广告数据没什么关系。但把“敏感个人数据”定义和六类阈值综合来看,BSD的执法范畴或将会充斥着大量是AdTech圈里跑了十几年的“日常商业数据”:IP地址、Cookie、广告ID、设备UA、推断出的用户兴趣、浏览行为、模糊化后的地理位置。这些数据在传统合规框架里连“个人数据”都未必算,但在BSD下,它们要么归入受管控个人标识符(covered personal identifiers),要么通过综合数据(combined data)往下掉档。
更关键的是,“国家安全”这四个字在BSD里可以包罗万象,真正的宽口径藏在三个地方:
第一,加密/脱敏/去标识/匿名,全都不豁免。中国企业过去十年做跨境数据回流最依赖的技术路径这套,在BSD面前等于没做。
第二,12个月滚动+累计。BSD不是单次传输超阈值才算,而是过去一年里“同一个美国网站/App”对“同一个中资对手方”的累计。一个中型出海电商运营一年,10万美国人的数据轻松过线。
第三,综合数据(combined data)取最低阈值——这是真正让“商业数据”变“敏感数据”的杠杆。Temu这种亿级用户的平台,用户池里必然有政府雇员,政府设施周边定位也必然有——也就是说,只要Temu的用户池够大,政府相关数据那条零门槛就会自动激活。
此外,DOJ对“数据经纪(data brokerage)的定义宽到包含了“任何把非自采数据卖给没采过它的人的交易”。SSP的招标、数据管理平台的受众包、甚至集团内部“美国子公司采、中国母公司用”,都在这个定义里。
四、总结
供应方平台(SSP)所使用的是一种广告技术(AdTech)软件平台,它帮助数字出版商和媒体所有者自动打包、管理和销售其可用的广告位。他们通过在网站上使用跟踪脚本来实现广告的自动化“销售代理”,其中的这些脚本与竞价过程的交互是一个庞大的业务,它影响着互联网运作的方方面面,特别是已经出海的中国电商企业。
自美国DOJ的《批量数据规则》(BSD)于2025年生效以来,已有大量基于涉嫌违反该规则而提起的集体诉讼。然而,迄今为止,Baker诉Index Exchange是仅有一起成功进入了审理阶段的诉讼。
目前Baker案还没有正式进入审理阶段,Temu到底算不算“受监管实体”,以及BSD该法规是否在这类案件中有效,或是否超越了DOJ根据《国际紧急经济权力法》(IEEPA)所拥有的权限,很多问题都还没定。
但中国出海企业必须注意,门已经被踢开了——接下来12-24个月,在美国伊利诺伊州(集体诉讼的天堂)会看到一波以“BSD违反→ECPA例外”为模板的诉状,标的全是中资背景的广告主/AdTech。
中国企业现在的合规,不仅仅是应对DOJ检查,还要包括应对原告律师。如何通过构建数据交易结构,使其明显游离于BSD限制之外,更是企业的工作重点之一。
