Lenovo、Temu、Google 涉华数据传输诉讼解读

Lenovo、Temu、Google 涉华数据传输诉讼解读

Kaamel Lab
Kaamel Lab 2026年3月5日

自2026年2月起,Lenovo、Temu 母公司 PDD Holdings 与 Google 相继在美国卷入涉华数据传输诉讼,共同特征是私人原告与州检察机关不再等待联邦执法,而是用州隐私法、消费者保护法与《电子通信隐私法》(ECPA),把本质上属于国家安全与地缘政治的跨境数据流动,转化为可主张高额赔偿的传统民事或州级行政争议。对出海企业来说,这意味着 EO 14117 的合规风险正在通过“规范路径转换”绕过其对私人诉权的限制,落到前端代码与数据流的技术细节上。

TL;DR

自2026年2月5日起,Lenovo 遭遇集体诉讼,原告主张其未经充分披露,将美国用户的 IP 地址、设备标识符等敏感信息传输至中国关联实体。2026年2月19日,德州总检察长对 Temu 母公司 PDD Holdings 提起诉讼,指控其隐瞒向中国政府共享个人数据的事实,主张 Temu 实际上是一款伪装成间谍软件的购物应用,涉嫌商业欺诈。同期 Google 亦面临 McGrath v. Google LLC、Nadeu v. Google LLC、Jenkins v. Google LLC 等多起集体诉讼,原告主张谷歌将用户 IP 及其他网络层信号与 Cookie、持续性广告标识符整合,并向包括 Pangle 在内的中国主体传输。

这一系列诉讼显示,私人原告与州级执法机关正有意识地依托各州既有的隐私与消费者保护法律框架,弥补 EO 14117 及相关国家安全规范在民事诉权与州级执法权限方面的制度空白:本质上属于国家安全与地缘政治的数据跨境流动问题,被转化为侵权责任、非法窃听或消费者欺诈等私人可诉的传统争议类型。在联邦层面对 EO 14117 及 Final Rules 形成直接执行机制之前,州法与私人诉讼正通过这种路径转换,对跨国企业的跨境数据合规体系进行全方位围剿。

Lenovo 案

Spencer Christy v. Lenovo (United States) Inc. 集体诉讼起诉状

原告首先主张联想的拦截行为违反具刑事处罚可能性的 EO 14117 国家安全规则,以削弱联想援引 ECPA 一方同意例外(Party Exception)进行抗辩的空间。这一策略在2025年9月的 Porcuna v. Xandr 与 Baker v. Index Exchange 两案中已被运用。

其次,通过股权穿透论证联想与中国政府的关系。触发 EO 14117 的前提之一是数据接收方须构成受关注国家控制的主体(covered person),而联想在美国注册运营,形式上属于美国公司,仅以注册地并不足以证明违规。原告的论证路径是:先引用中国《国家情报法》说明强制披露义务,再指出联想集团最大股东是联想控股(Legend Holdings),联想控股由中国科学院(CAS)建立,CAS 隶属中国国家机构;由此建立联想与中国国家机构之间的制度与资本联系,主张其母公司构成 covered person。在此基础上,即便具体处理行为发生于美国子公司层面,只要存在向集团层级共享或可访问的安排,便可能被纳入规制范围。

在诉讼策略上,原告在 ECPA 基础上叠加多层加州州法以扩大赔偿基础,同时援引《加州侵犯隐私法》(CIPA)第631条(非法窃听)与第632条(窃听机密通信),以及《加州综合计算机数据访问与欺诈法》(CDAFA),将网站嵌入第三方追踪代码类比为安装窃听装置或未经授权接入计算机系统。CIPA 具惩罚性赔偿设计,每次违法可主张5000美元法定赔偿而无需证明实际损失。原告还提出不当得利(unjust enrichment)的衡平法请求作为兜底,将焦点从是否存在损失转向被告是否取得不当收益,进一步降低举证负担。

Temu 案

针对 Temu 的诉讼文件

德州总检察长细化了“跨国公司向中国传输数据是间谍行为、可能威胁国家安全”的叙事,引入第三方 Grizzly Research 的技术鉴定报告,认为 Temu 包含对电商应用完全不必要的危险功能,例如:本地调用 getRuntime().exec() 执行 “package compile” 编译,可能允许向手机发送单独代码编译成可运行程序;从 /system/bin/logcat 请求系统日志;将 MAC 地址写入 JSON 并发送至服务器;申请 android.permission.INSTALL_PACKAGES 权限。

Grizzly Research 报告中列举的 Temu 应用敏感行为

基于此,检方将 Temu 定性为伪装成购物 App 的木马/间谍软件,并把隐瞒信息与危害国家安全高度绑定。Temu 案主要依据《德州欺骗性贸易行为法》(DTPA)§ 17.46(b)(24)“隐瞒已知信息以诱导交易”条款,主张 Temu 隐私政策存在重大遗漏——未披露“根据中国法律,Temu 被要求向中国政府提供消费者数据”这一事实,直接构成消费者欺诈。这是一种高明的执法策略:直接指控间谍活动举证责任极高,转化为消费者欺诈后只需证实隐私政策有隐瞒即可启动 DTPA 罚款(每次违规最高1万美元)。检方还精准指出 Temu 高频使用人群为59岁及以上用户,因为 DTPA 对65岁及以上受害者设有加重罚则,单次违规可额外增加最高25万美元罚款。

Google 系列案

针对 Google 的诉讼文件

Google 面临的系列诉讼指向其利用广告生态拦截与追踪敏感信息,通过实时竞价与 Cookie 同步将数据传给中国实体,包括字节跳动旗下 Pangle、百度旗下 MediaGo 及拼多多旗下 Temu 等,这些实体受中国《国家情报法》《数据安全法》约束。诉状特别列举高度敏感场景:医疗网站 Drugs.com 中搜索锂或阿片类药物安全性的记录被传给 MediaGo、Pangle 及 Temu;宗教网站 BibleHub.com 中搜索特定经文的记录被传给 Temu 和 Pangle;育儿网站 Parents.com 中浏览儿童行为障碍文章的记录被传给 Temu 和 Pangle。

原告的法律依据主要是 ECPA § 2511,但除 EO 14117 外还列明《马里兰州窃听法》——该法要求全员同意(All-Party Consent),仅有网站发布者的拦截同意不构成豁免;即便 Google 被视为通信一方,由于其行为涉及向被禁外国实体传输数据、属实施犯罪/侵权目的,同样失去豁免权。

当前态势表明,EO 14117 已不再仅是联邦层面的行政监管工具,而被私人原告与州检察机关纳入诉讼策略框架:原告无需等待联邦启动执法,即可借助州法的通信窃听、消费者保护或不正当竞争条款,将抽象的国家安全违规风险转化为可主张高额赔偿的责任。与此同时,地缘政治风险被主张为信息披露义务的一部分——若企业母公司位于受关注国家,仅以“数据可能与关联公司共享”作为一般性披露已不足够,还需明确提示数据在特定法律环境下可能被国家机关依法调取,否则可能构成误导性陈述或重大遗漏。更重要的是,合规重心正从文本披露转向技术实现:任何未隔离的跨境数据回传、未取得明确同意的前端追踪机制,都可能在诉讼中被认定为事实证据。

观察与建议

这一系列诉讼在证据结构上仍具较强推定性质。原告通常并未掌握企业后端存在实际违规跨境传输的直接证据,而是通过自动化扫描审查企业全球官网或 App 的前端代码,一旦发现未取得充分同意即加载的第三方追踪技术,便结合企业母公司或主要股东的中国背景,推导数据可能被进一步共享至中国境内主体。这类路径的关键在于把宏大的国家安全指控转化为普通侵权或商业欺诈,以规避 EO 14117 对私人诉权的限制。

上述案件目前均处于起诉初期,具有明显试探性质。未来数月的核心观察点,是联邦法院在被告的驳回起诉动议(Motion to Dismiss)阶段是否认可原告构建的法律逻辑,尤其是在因果关系、具体损害以及国家安全规则与州法责任衔接问题上。合规应对因此应回归可验证、可控制的技术层面风险:

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.