EO 14117 被集体诉讼引用,AdTech 生态面临新威胁

EO 14117 被集体诉讼引用,AdTech 生态面临新威胁

Kaamel Lab
Kaamel Lab 2025年11月10日

2025年9月2日,Porcuna v. Xandr, Inc. 与 Baker v. Index Exchange, Inc. 两起集体诉讼在美国联邦地方法院提起。原告指控这两家广告技术平台在未经用户知情或同意的情况下拦截用户与第三方网站的通信,并将包括 IP 地址、广告 ID、Cookie 数据在内的美国用户数据传输至由 EO 14117 所列“受关注国家”控制的电商平台 Temu。两案的创新之处在于把《电子通信隐私法》(ECPA)与 EO 14117 结合:若拦截行为违反 EO 14117 的国家安全规则,其目的可能符合 ECPA § 2511(2)(d) 所规定的“犯罪或侵权目的”要件,从而使 AdTech 无法再援引一方例外(Party Exception)抗辩。若法院采纳,EO 14117 的国家安全义务将被间接引入私法诉讼,AdTech 行业的数据传输合规将同时受国家安全与隐私法规的双重审视。

TL;DR

案情分析

两起集体诉讼的指控高度一致。在 AdTech 的运作逻辑中,平台通常在第三方网站部署各类跟踪技术拦截用户与网站之间的通信内容,随后将标识符及上下文数据广播或共享至下游合作方,用于行为定向与广告竞价。

在传统语境下,AdTech 拦截和共享的 IP 地址、广告 ID、设备 ID 通常被归类为低风险广告数据,合规风险有限。但随着 EO 14117 及其实施细则(Final Rule)生效,这一逻辑面临重构:原本被认为风险较低的基础标识符,一旦与特定敏感上下文结合,即可能构成敏感个人数据的组成部分;当数据规模达到设定的大宗(Bulk)门槛时,将触发新规确立的禁止或受限交易机制。原告认为,被告在新规生效后仍沿用既有数据处理模式,未对相关标识符进行敏感化识别或分类,也未在达到阈值或形成特定组合时将其纳入大宗美国敏感个人数据(Bulk U.S. Sensitive Personal Data)范畴并遵守相应限制,其拦截行为的目的已指向一项潜在违法行为。

两案概览如下:

维度Baker v. Index ExchangePorcuna v. Xandr
原告John BakerMarissa Porcuna
被告Index Exchange, Inc.Xandr, Inc.(微软子公司)
提交日期2025年9月2日2025年9月2日
法院伊利诺伊州北区地方法院加利福尼亚州北区地方法院
案件编号1:2025cv105173:2025cv07385
核心诉因违反 ECPA § 2510 及以下违反 ECPA § 2510 及以下
指控的侵权目的违反 EO 14117 大宗数据传输规则违反 EO 14117 大宗数据传输规则
指控的数据接收方TemuTemu

Porcuna v. Xandr

Xandr 是一个程序化广告交易平台,嵌入于数千个高流量网站与移动应用,同时具备需求方(demand-side)与供给方(supply-side)双重身份。它通过 JavaScript 跟踪器、Prebid.js 适配器与 Cookie 同步端点,直接从用户浏览器拦截数据。当用户访问带有 Xandr 追踪基础设施的网站时,Xandr 会捕获并传输一份在线会话快照(称为竞价请求 bid request),其中包含 Cookie ID、设备 ID、移动广告 ID、IP 地址等持久性标识符,以及屏幕分辨率、浏览器版本、操作系统、语言设置等设备元数据,甚至包括被访问页面的完整 URL 及引用来源。

Xandr 还通过 Cookie 同步从第三方跟踪公司补充数十个额外标识符,实现跨站长期追踪,并对数据进行行为分组(behavioral segments)——依据浏览活动、定位模式或第三方数据叠加生成描述用户兴趣、人口统计与境况的标签。这些标签可能包含高度敏感的分类(如健康状况、性取向、政治倾向、成瘾问题、职业与残障信息)。这些行为分组与身份信息一同传输给下游接收方。Temu 是接收方之一:当 Temu 通过 Xandr 参与实时竞价时,会收到行为分组标签、标识符及页面上下文,从而即使此前从未追踪该用户,也能结合自身记录实现持久的跨站画像。

Baker v. Index Exchange

Index Exchange 是供应方平台(SSP),通过实时竞价将网站用户及其浏览内容的信息传递给广告商。用户访问参与网站时,Index Exchange 自动向众多合作伙伴发送一组数据:网页信息、IP 地址、Cookie 数据、广告 ID,以及关于用户设备、位置、人口特征、兴趣、浏览行为的推测信息,还包括所查看网页的完整 URL。此外,Index Exchange 会与部分广告伙伴进行 Cookie 同步,将其内部用户 ID 与 Temu 等第三方标识符匹配——指示用户浏览器访问 Temu 拥有的服务器端点(如 temu.com/api/adx/cm/pixel-index)并传递用户 ID,使两家公司能在各自追踪系统中关联同一用户。这些交换实时进行,未获用户有效通知或同意。诉状主张,Temu 在中国境内运营、受中国情报法律约束,若这些数据被外国对手掌握,可用于构建美国居民档案、识别脆弱群体、政府雇员、记者、异议人士等目标,用于监视、画像或胁迫——这正是 EO 14117 需要避免的风险。

法律解读:ECPA 与 EO 14117 的嫁接

两案主要依据之一是《电子通信隐私法》(Electronic Communications Privacy Act,ECPA)。§ 2511(1)(a) 禁止任何人故意拦截或企图拦截任何有线、口头或电子通信。但 § 2511(2)(d) 为 AdTech 提供了一项一方例外(Party Exception):非以法律名义行事者,若系通信一方当事人、或通信一方已事先同意此类拦截,则拦截不属违法——除非该拦截系为实施违反美国或任何州宪法或法律的犯罪或侵权行为。

实践中 AdTech 公司长期依赖这一条款,主张其部署的跟踪器系代表网站行事、自身即通信一方,故拦截合法。但该例外内部存在一项关键限制:若拦截旨在实施犯罪或侵权行为,例外失效。

另一依据是 EO 14117 及其 Final Rule,该规则通过禁止或限制美国主体向受关注国家或受涵盖个人传输大宗美国敏感个人数据的特定交易,建立了以国家安全为导向的跨境数据监管机制。然而 EO 14117 本身并未赋予私人诉权。两案的创新正在于此:原告将 ECPA 与 EO 14117 结合,主张若拦截违反具刑事处罚可能性的 EO 14117 国家安全规则,则该行为目的构成 ECPA § 2511(2)(d) 的犯罪或侵权目的,AdTech 赖以抗辩的一方例外不再适用,ECPA 禁止故意拦截的规定随即生效。这实际上绕开了对 DOJ 执法的依赖,创造出一种私法化的代理执法路径——把原属国家安全监管的 EO 14117 义务,转化为可在 ECPA 框架下主张高额法定损害赔偿的民事集体诉讼基础。这一理论与 EO 14117 生效一周年:举报激励与私人诉讼补位执法 中描述的私人诉讼补位趋势一致;类似把 EO 14117 引入民事诉讼的案例分析见 Lenovo、Temu、Google 涉华数据传输诉讼解读

对出海企业的启示

这两起案件标志着合规风险的转移:风险不再仅来自 DOJ 的调查,而是来自成本高昂、反应迅速的民事集体诉讼。企业应放弃对 ECPA 一方例外的单方面依赖,在技术架构层面实施硬性控制(Hard Controls),确保数据在离开企业控制范围前就已符合 EO 14117 的要求。具体三步:

是否需要立即启动 EO 14117 合规治理,可参考 5分钟自测!你的企业需要立即启动 EO 14117 合规治理吗?;像素追踪本身的隐蔽性风险见 潜藏在表面下的像素追踪,同类以拦截为核心的诉讼见 领英像素追踪站外医疗数据,加州三诉不予驳回

相关报道见:https://www.hunton.com/privacy-and-information-security-law/plaintiffs-allege-violation-of-bulk-data-transfer-rule-in-class-actions

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.