领英像素追踪站外医疗数据,加州三诉不予驳回

领英像素追踪站外医疗数据,加州三诉不予驳回

Kaamel Lab
Kaamel Lab 2025年10月17日

2025年10月10日,美国加州北区联邦地方法院法官 Edward Davila 驳回了领英(LinkedIn)的驳回动议,允许四名用户提起的三起集体诉讼进入后续程序。原告指控,领英向第三方网站分发的 “Insight Tag” 追踪像素,在用户不知情、未明确同意的情况下,从 ReflexMD、CityMD、Headway、Spring Fertility 等医疗服务网站秘密收集 IP 地址、设备标识以及所浏览的健康状况等敏感数据。法院认为这种对个人健康信息的秘密监控足以构成“高度冒犯”,原告依《加州侵犯隐私法》(CIPA)窃听条款及加州宪法隐私权提出的主张可信。对任何在网站部署第三方像素、SDK 的出海企业来说,这个裁定把合规标准从“有没有隐私政策”抬到了“第三方脚本在敏感场景下的每一次记录是否获得有效同意”。

TL;DR

案件概览

领英向第三方广告合作网站提供名为 Insight Tag 的 JavaScript 代码片段。网站嵌入该代码后,无论访问者是否登录领英账户,像素都会启动,收集浏览活动数据并回传领英服务器,用于广告分析与用户画像。

四名领英用户在加州北区联邦法院提起多起独立集体诉讼。他们主张,访问多家医疗服务提供商网站时,Insight Tag 在未获明确同意的情况下捕获了其 IP 地址、设备标识以及所浏览的医疗服务与健康状况等高度敏感信息。涉案的医疗相关实体包括提供司美格鲁肽处方的 ReflexMD、提供紧急护理的 CityMD、提供心理健康服务的 Headway,以及提供生育治疗的 Spring Fertility。

领英请求驳回诉讼,主要提出两点理由:其一,用户注册时已同意隐私政策,即代表同意此类追踪;其二,领英与合作伙伴的协议明确禁止共享敏感数据,公司无意收集此类信息。法官 Davila 拒绝了这两点。他指出,领英的用户协议表述模糊,普通用户几乎无法意识到浏览第三方医疗网站会被如此深入地追踪;这种对个人健康信息的秘密监控,其侵扰程度可能“高度冒犯”任何有合理隐私期待的人。因此法院允许原告依 CIPA 窃听条款及加州宪法隐私权继续推进。

CIPA 第632条的窃听逻辑

本案核心依据是《加州侵犯隐私法》(California Invasion of Privacy Act,CIPA),尤其是第632条禁止未经各方同意窃听电子通信的规定。该条 (a) 项规定,任何人未经机密通信全部参与方同意,故意使用电子放大或录音设备窃听或记录该通信,最高可处2500美元罚款或一年监禁。

CIPA 采“全体同意”标准,即通信所有参与方都须同意记录或窃听,比多数州仅要求单方同意严格得多;其禁止的行为范围也更宽,涵盖使用任何电子设备进行的窃听或记录。第632条 (c) 项对“机密通信”的界定不看内容本身是否秘密,而看通信时的场景是否让参与方有理由相信对话是私密的。

CIPA 制定于1967年,初衷是规制电话窃听。加州法院此后将其原则延伸到互联网环境,这正是领英、Meta 等公司频繁面临集体诉讼的根源。在像素追踪的语境下,用户是第一方、网站是第二方,而在网站部署追踪代码的技术服务商(像素、会话重放、聊天机器人的提供者)则被指为第三方窃听者。原告主张,用户与网站之间的点击、表单输入、页面浏览构成双向通信,第三方技术服务商在未获明确同意时记录了这一切,即扮演了窃听者角色。关于像素技术在普通网站上的隐蔽运作方式,可参见 潜藏在表面下的像素追踪

争议焦点:网站互动是否构成机密通信

诉讼最主要的争议在于网站互动是否属于“机密通信”。原告主张,用户在医疗网站输入个人信息、搜索疾病关键词或与客服机器人私密对话时,有充分理由期待这些互动是与网站之间的机密对话,不应被看不见的第三方记录;访问心理健康、生育治疗网站本身就带有高度隐私期待。被告则抗辩,浏览公开网站不具备合理隐私期待,且用户已通过同意 Cookie 横幅或隐私政策默示同意追踪。

本案裁定倾向于原告一方。法院认为,用户对其与医疗网站之间的互动拥有合理隐私期待;仅仅同意一份模糊的隐私政策,并不等于同意某个具体的、用户并不知情的第三方记录其每一次点击和输入,尤其当互动涉及敏感信息时,隐私期待会显著增强。这一逻辑与加州近年在数据出售/共享退出上的实质合规趋势一致,可对照 加州对迪士尼开出 275 万美元 CCPA 罚单 中“退出选择须被真实执行”的执法立场,以及 《加州隐私权法案CPRA》合规指南 对敏感个人信息处理的限制。值得注意的是,将 IP、设备 ID 等标识符与敏感浏览上下文结合的做法,也正是 EO 14117 被集体诉讼引用,AdTech 生态面临新威胁 一文中原告攻击 AdTech 数据链的切入点。

对出海企业的启示

CIPA 第632条已从一部老旧的电话窃听规则,演变为悬在所有使用第三方追踪技术企业头上的合规风险。与传统数据泄露不同,CIPA 诉讼针对的是企业日常、故意设计的商业运营模式,任何加州用户都可能成为原告,从而引发成本高昂的集体诉讼。落地上应做三件事:

参考资料:https://www.courthousenews.com/linkedin-cant-dodge-claims-it-tracked-users-medical-data/https://news.bloomberglaw.com/litigation/linkedin-stuck-with-three-lawsuits-over-online-data-tracking

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.