谷歌与经期追踪应用开发商 Flo Health 因未经用户明确同意,将周期日志、排卵预测、怀孕状态等生殖健康数据通过嵌入式 SDK 共享给第三方广告和分析平台,达成总额 5600 万美元(约合人民币 4 亿元)的和解,目前等待美国地区法官 James Donato 批准。其中 Google 承担约 4800 万美元,Flo Health 约 800 万美元。案件先由用户集体诉讼引发,随后美国多州检察长介入,核心指控是违反 CCPA 等州级隐私法、构成对用户隐私的侵犯和欺骗性做法。
TL;DR
案件的争议点与全球隐私共识一致:敏感数据的处理须基于明确、知情、可撤销的同意(explicit, informed, revocable consent)。Flo 与 Google 对经期数据的处理在两个层面越界:
即便只是通过算法推断出的“怀孕”或“患病”信号,也属于高度敏感的生殖健康数据。这类通过第三方 SDK 与追踪像素发生的“影子追踪”(shadow tracking),近年成为监管零容忍的重点。
针对上述两项违规,落地上有两条主线。同意机制方面,应对所有健康、生物识别和生殖数据实施分层、功能级同意:用户对周期预测等核心服务的同意不能被捆绑用于非必要目的,敏感数据的共享须通过用户肯定性行动(explicit opt-in)单独授权。SDK 治理方面,应将所有第三方 SDK、像素与追踪器纳入处理者登记与审计系统,记录每个 SDK 的数据流图和处理目的,默认屏蔽任何可能泄露用户健康状态信号(如标注“怀孕”“患病”的事件)的外部传输。
第三方 SDK 与像素带来的健康数据泄露并非孤例:领英曾因像素暗中抓取用户站外医疗数据在加州连遭诉讼(见Pixel 再惹祸!领英被指控暗中抓取站外医疗数据),像素追踪的技术机理可参考潜藏在表面下的像素追踪。SDK 供应链的责任划分则可参考FTC 罚 Apitor、查七大 AI 巨头:SDK 责任与陪伴 AI。
本案确认了州级隐私执法对敏感数据“影子追踪”的零容忍态度。CCPA 等州法围绕敏感数据的“出售/共享”与退出权展开,企业只要通过 SDK 将健康信号外传,即可能触发欺骗性做法与隐私侵犯的双重指控。CCPA 语境下敏感数据退出机制的技术要求,可参考加州对迪士尼开出 275 万美元 CCPA 罚单。
对经营健康、生殖、生物识别类数据的出海 App,合规重点是:把敏感数据的功能级同意与商业化用途彻底解耦,建立覆盖全部第三方组件的数据流审计,并在默认状态下阻断向广告与分析平台的敏感信号传输。