美国Baker案裁决首次让私诉原告可借美国《批量敏感数据规则》起诉中国出海企业,RTB数据链路合规风险陡增,需提前应对私诉风险。 ## 1. Baker案的突破性变革:国家安全法规成为私诉弹药 Baker案是首个法院认可“违反美国《批量敏感数据规则》(BSD)”可构成独立侵权的案件,程序性裁决就已经打开了新型集体诉讼的大门。 法院推翻了《电子通信隐私法》(ECPA)长期适用的“单方同意抗辩”,裁定即使出版商同意数据追踪,若违反BSD向境外受管控主体传输批量数据,同意仍无效,私诉原告无需等待DOJ执法即可起诉。 ## 2. 中国出海企业成重灾区:BSD穿透式界定受管控主体 BSD将受管控主体分为5类,对中国主体适用穿透认定,采用DOJ的“50%Rule”,要求追溯所有层级持股,只要中国方面合计持股超50%即认定为受管控主体。 中资企业常用的“开曼控股→爱尔兰运营→境内VIE”隔离架构会被直接穿透,法院将Temu是否属于受管控主体留待事实审理,该认定逻辑将被后续起诉中国出海企业的原告直接沿用。 ## 3. 日常广告数据落入监管陷阱:BSD规则口径远超国家安全需求 BSD名义针对国家安全相关数据,实际将IP地址、Cookie、广告ID等AdTech行业日常商业数据都纳入管控范畴,这类数据在传统合规中往往不被认定为个人数据。 BSD规则存在三重宽口径陷阱:加密脱敏等技术不豁免、按12个月滚动累计计算传输量、用户池够大就会自动触发政府相关数据的零门槛阈值,还把绝大多数数据流转都纳入“数据经纪”范畴,中型出海电商一年就很容易过线。 ## 4. 未来风险提示:中国出海企业需同时应对官方执法和私人诉讼 Baker案是首个进入审理阶段的BSD相关集体诉讼,目前Temu是否属于受管控主体等核心问题仍未定论,但集体诉讼的大门已经打开。 未来12-24个月,美国伊利诺伊州将出现大量针对中资背景广告主、AdTech企业的同类集体诉讼,中国出海企业合规不仅要应对DOJ检查,更要重点调整数据交易结构规避BSD限制。
Temu只是开始:Baker案开门后,中国出海企业的RTB数据链路全线承压
2026-07-16 19:51

Temu只是开始:Baker案开门后,中国出海企业的RTB数据链路全线承压

本文来自微信公众号: Internet Law Review ,作者:张颖


2026年7月8日,美国司法部(DOJ)国家安全司(NSD)“数据安全计划”(Data Security Program,DSP)结束宽限期、进入全面执法即将满一周年。对于在美持有用户数据的中资企业而言,DSP的落地规则《批量敏感数据规则》(28 CFR第202部分,简称BSD)执法理应“全面展开”,但目前,公开渠道确实还没看到专项罚单。


然而近期,美国一场私人诉讼的中间裁决,将美国《批量敏感数据规则》(BSD)合规风险推向远远超过DOJ执法的范畴。该案或许将对未来的中国出海企业及其合作的供应商产生比DOJ执法更广泛的影响:大量实时竞价(RTB)数据相关的私人集体诉讼,并由此产生巨额法定赔偿。


2026年6月16日,美国伊利诺伊州北区地方法院针对“Baker诉Index Exchange”案,驳回了被告方Index Exchange公司提出的“驳回动议”,并裁定涉嫌违反BSD规则足以构成“侵权诉讼”,从而推翻《电子通信隐私法》(ECPA)下的同意抗辩。Index Exchange是一家供应方数字广告平台。原告Baker指控,Index Exchange利用追踪技术获取了他与某网站的互动信息和个人信息,并将这些数据传输给了Temu(与中国公司拼多多有关联的零售商)。


该裁决属于程序性裁决,法院指出存在尚未解决的事实问题,包括批量数据限制是否适用于Temu,案件将继续审理。但ECPA的门已经被撬开:私诉原告不需要等DOJ执法认定,就能把《批量敏感数据规则》(BSD)当弹药,将在美持有用户数据的中资企业拖进ECPA诉讼中。


一、Baker案真正的"新"在哪?——BSD撬动隐私诉讼


美国《电子通信隐私法案》(ECPA)原则上禁止任何人偷听或截取别人的通信内容——不管是打电话、面对面说话还是网上发消息,但有一个关键例外:只要通信的至少一方(比如网站)同意,上述偷听或拦截就不违法。


多年来,在ECPA相关的隐私诉讼中,供应方服务提供商(SSP)作为被告一直依赖于“单方同意抗辩”,使其数据收集完全合法;而隐私侵权诉讼的原告一直试图通过将涉嫌违反其他隐私法规(例如《加州信息隐私法》——需要双方同意的法规)的行为作为一项独立的犯罪,来推翻ECPA单方同意抗辩。有时候,原告律师会声称网站上的底层跟踪脚本违反了联邦窃听法,但鲜有成功。


Baker案中,Index Exchange正是用这个“单方同意”规则为自己辩护——原告Baker访问的BibleGateway.com网站同意了它的追踪脚本,所以它认为自己没有违法。


然而,在该案中法院裁决彻底颠覆了这种辩护策略,首次驳回了原告提出的驳回ECPA诉讼请求的动议,并裁定,即使出版商同意数据追踪,如果其违反DOJ《批量敏感数据规则》(BSD)将大量用户指标传输给境外的“受监管人员”,则该同意完全无效。理由是如果原告同时充分指控了违反BSD规则的行为,则犯罪/侵权例外适用。


Baker案是第一次法院认了“违反BSD规则”可以构成“独立侵权”,把国家安全类行政法规直接变成私权诉讼的弹药。值得注意的是,法院尚未认定Index Exchange真的违反了BSD,只是说“指控够了,案子可以继续”——但这已经足够让一类新型集体诉讼开门。


二、中国企业为什么是"连坐"重灾区?——BSD中“受管控主体”范畴


这里需要注意的是,Baker案里Index Exchange的两个动议理由都被拒了:


(1)Index是加拿大公司不是美国实体,因此不受BSD的约束;


(2)Temu不是“受管控主体”(covered person),因此不适用BSD。


法院两个都否决了。特别是第二个,法院直接把“Temu是否受管控主体”的问题推到事实审去打,而不在驳回阶段了结,同时又认为,认为关于所有权、控制权及与关注国的运营联系的指控足以合理地声称Temu是“受管控实体”。


这里需要进一步澄清BSD中“受管控主体”(covered person)的5个类别:


1、在受关注国(中/俄/伊/朝/古/委,含港澳)设立或主营地在该国的外国实体;


2、被“受关注国”或“受管控实体”直接或间接、单独或合计持股≥50%的外国实体;


3、受关注国或(1)/(2)/(5)类实体的外国雇员/承包商;


4、主要居住在受关注国的外国自然人;


5、总检察长个案指定的任何主体(无论位于何处)——只要被认定(1)受关注国/受管控实体所有/控制/管辖/指挥,(2)代表其行事,或(3)明知导致/指示违反本规则。


针对第二类,DOJ直接借了OFAC的50%Rule,还特意加了“间接”(indirectly)和“合计”(in the aggregate)两个词。在后面解释的“示例8”中进一步解释让这个问题更加清晰:BSD执法过程中DOJ会往上追溯,只要中国方面的持股加起来超过50%,不管是通过几层公司、几个股东,整家公司就会被认定为“受管控主体”。


此外,第五条是口袋条款,是动态的。这对中资常用的“开曼控股→爱尔兰运营→境内VIE”这套隔离是真正的穿透器。


回到Baker案原告对Temu的主张——Temu母公司PDD Holdings虽在爱尔兰/开曼,但“Temu至少50%由中国个人持有”。Index Exchange反驳说PDD Holdings总部在爱尔兰所以Temu不是受管控实体,但法院表示暂时不予置评,而是留给后面的案件中进行审理。


需要注意的是,VIE协议控制、表决权委托等——CFIUS早穿透了。Temu/PDD这类架构,对美国的NSD来说并不是障碍。下一波诉中国出海电商平台的原告律师,诉状里很可能会原样照搬。


三、比"国家安全数据"更宽的陷阱


《批量敏感数据规则》(BSD)的名义靶子是“防止受关注国家获取美国人批量敏感个人数据及美国政府相关数据”,这本应该是反间谍、反情报的国安工具,跟Temu、SHEIN卖日常用品所需要的广告数据没什么关系。但把“敏感个人数据”定义和六类阈值综合来看,BSD的执法范畴或将会充斥着大量是AdTech圈里跑了十几年的“日常商业数据”:IP地址、Cookie、广告ID、设备UA、推断出的用户兴趣、浏览行为、模糊化后的地理位置。这些数据在传统合规框架里连“个人数据”都未必算,但在BSD下,它们要么归入受管控个人标识符(covered personal identifiers),要么通过综合数据(combined data)往下掉档。


更关键的是,“国家安全”这四个字在BSD里可以包罗万象,真正的宽口径藏在三个地方:


第一,加密/脱敏/去标识/匿名,全都不豁免。中国企业过去十年做跨境数据回流最依赖的技术路径这套,在BSD面前等于没做。


第二,12个月滚动+累计。BSD不是单次传输超阈值才算,而是过去一年里“同一个美国网站/App”对“同一个中资对手方”的累计。一个中型出海电商运营一年,10万美国人的数据轻松过线。


第三,综合数据(combined data)取最低阈值——这是真正让“商业数据”变“敏感数据”的杠杆。Temu这种亿级用户的平台,用户池里必然有政府雇员,政府设施周边定位也必然有——也就是说,只要Temu的用户池够大,政府相关数据那条零门槛就会自动激活。


此外,DOJ对“数据经纪(data brokerage)的定义宽到包含了“任何把非自采数据卖给没采过它的人的交易”。SSP的招标、数据管理平台的受众包、甚至集团内部“美国子公司采、中国母公司用”,都在这个定义里。


四、总结


供应方平台(SSP)所使用的是一种广告技术(AdTech)软件平台,它帮助数字出版商和媒体所有者自动打包、管理和销售其可用的广告位。他们通过在网站上使用跟踪脚本来实现广告的自动化“销售代理”,其中的这些脚本与竞价过程的交互是一个庞大的业务,它影响着互联网运作的方方面面,特别是已经出海的中国电商企业。


自美国DOJ的《批量数据规则》(BSD)于2025年生效以来,已有大量基于涉嫌违反该规则而提起的集体诉讼。然而,迄今为止,Baker诉Index Exchange是仅有一起成功进入了审理阶段的诉讼。


目前Baker案还没有正式进入审理阶段,Temu到底算不算“受监管实体”,以及BSD该法规是否在这类案件中有效,或是否超越了DOJ根据《国际紧急经济权力法》(IEEPA)所拥有的权限,很多问题都还没定。


但中国出海企业必须注意,门已经被踢开了——接下来12-24个月,在美国伊利诺伊州(集体诉讼的天堂)会看到一波以“BSD违反→ECPA例外”为模板的诉状,标的全是中资背景的广告主/AdTech。


中国企业现在的合规,不仅仅是应对DOJ检查,还要包括应对原告律师。如何通过构建数据交易结构,使其明显游离于BSD限制之外,更是企业的工作重点之一。

AI原生产品日报频道: 前沿科技
本内容来源于网络 原文链接,观点仅代表作者本人,不代表虎嗅立场。
如涉及版权问题请联系 hezuo@huxiu.com,我们将及时核实并处理。
正在改变与想要改变世界的人,都在 虎嗅APP