EO14117集体诉讼浪潮来袭:高风险场景与实操应对
EO14117集体诉讼浪潮来袭:高风险场景与实操应对
自2025年4月生效以来,美国司法部虽然未针对美国《防止受关注国家获取美国批量敏感个人数据和政府相关数据行政令》(EO14117)及其配套《最终规则》开展大规模联邦行政处罚,但依托美国电子通信隐私法(ECPA)形成的民间集体诉讼已形成常态化追责浪潮,形成了“行政监管悬顶、民事诉讼先行”的合规压力格局。本文将从几起代表性司法案件切入,厘清中企被纳入监管的底层逻辑,归纳高频高风险业务场景,并配套全流程可落地合规实操应对方案,为出海中企搭建EO14117专项数据合规体系提供专业参考。[1]
一、主要案件梳理
(一)EO14117集体诉讼首案
Porcuna和Baker两案并列为全球最早将EO14117作为集体诉讼核心实体依据的案件,其均聚焦RTB实时竞价广告生态。在案件中,原告指控被告通过实时竞价(RTB)系统捕获用户在第三方网站的交互数据,获取IP地址、广告ID、Cookie标识符、浏览路径等数据,并将上述批量用户数据传输给中资平台,违反EO14117下的禁止数据经纪交易,进而触发ECPA下的违法窃听民事责任。若法院支持原告诉求,将直接确立“向中资主体传输批量用户个人标识符 = 民事违法”的司法规则,整个程序化广告行业的跨境数据合作模式将面临全面重构。
(二)集团内部数据流转首案
Christy案是首例针对中资企业境内外母公司数据回流的集体诉讼。原告主张被告公司的美国官网加载Cookie、网页信标、设备识别追踪组件,持续收集美国用户IP、广告标识符、设备元数据等受控个人标识符,并直接批量传输至中国母公司,12个月覆盖用户规模突破10万人法定批量阈值,未落实CISA安全管控、未建立隔离式数据合规计划。案件核心争议在于集团关联主体间数据传输是否适用EO14117禁止性交易规则。若原告主张获得支持,则众多中资集团海内外数据中台互通模式均将面临司法挑战。
(三)海外平台广告生态案
McGrath、Nadeau、Jenkins等系列案件直指被告广告生态接入中资广告主体的合规漏洞。诉状援引《最终规则》示例条款,主张被告通过Cookie同步、实时竞价机制向受限主体批量分发美国用户标识符,构成法定数据经纪禁止交易。因被告方拥有巨大的用户基础,若最终原告胜诉,预计赔偿金额将十分巨大,并且将对中美合作生态造成深远影响。
二、中企难逃EO14117监管的核心根源
(一)中企出海业务架构难逃监管
EO14117监管的是美国主体与“受关注国家”或“受限主体”之间的数据跨境流动行为。其中,“受关注国家”包含中国(含港澳)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。“受限主体”包括(1)总部位于外国受关注国家或根据受关注国家法律成立的外国实体,或50%或以上股权由一个或多个受关注国家或其他受管辖主体拥有(单独或合计);(2)50%或以上股权由受关注国家或另一个受管辖主体拥有(单独或合计)的外国实体;(3)受关注国家或受限主体雇佣或签约的外国个人;(4)主要居住在受关注国家的外国个人。基于前述规则,无论设立在中国境内的实体还是受中资控制的境外实体,只要满足前述条件,都会被归入到“受限主体”中。
考虑到存在通过复杂架构设计的方式避免被纳入“受限主体”的可能性,《最终规则》授予美国司法部国家安全司将指定的主体添加到受限主体名单中的权力。被指定的主体即使位于美国境内,也保留其受限主体身份。
从业务模式来看,跨境电商、游戏文娱、消费硬件、SaaS互联网平台等中企出海运营逻辑决定数据跨区域流转刚需,具体包括两个维度:一是基于集团运营运维、售后风控、产品研发等需求,需要将美国用户订单、行为日志、设备特征数据回传中国境内的实体或受中资控制的境外实体;二是基于业务合作、第三方SDK/API接入等需求,需要从外部获取美国相关数据或者向外部提供美国相关数据。在前述数据跨境流转中,难免因双方主体身份原因导致相关活动被纳入到EO14117的监管范畴。
(二)敏感个人数据类型广泛且阈值较低
EO14117规制的数据有两大类别:一是涉及批量美国人的敏感个人数据;二是与美国政府相关的数据。对于中企而言,其主要接触到的是涉及美国人的敏感个人数据。根据《最终规则》第249条,敏感个人数据可以进一步拆分为六类,即个人标识符、精确地理位置数据、生物特征标识符、人类基因组数据、个人健康数据、个人财务数据或其任意组合。其中,个人标识符包括网络标识符、设备标识符、广告标识符等业务常见的数据,相关数据被广泛用于各种数据跨境场景中。
《最终规则》对敏感个人数据设定了“大量(bulk)”的限制,“大量(bulk)”的定义为在给定的12个月期间达到或超过阈值的任何数量的此类数据。规则对不同类型的敏感个人数据设定了不同的阈值。其中,对于个人标识符的阈值是100,000人,精确地理位置数据、生物识别数据、人类组学数据的阈值是1,000人,个人健康数据和个人金融数据是10,000人。相关阈值较低,中企相关数据跨境场景通常可以达到。
(三)行政监管与集体诉讼并行的追责体系
《最终规则》赋予了司法部广泛的调查和信息获取权。司法部有权要求相关主体提交报告、记录以及其他信息,以核实其是否遵守《最终规则》的要求。对于违反《最终规则》任何规定的行为,包括违反依据该规则发布的命令、法规或者许可证,均可依据IEEPA承担相应的行政责任和刑事责任。受行政监管资源的限制,实践中司法部难以对海量的违规行为进行调查,迫使其将执法重心放在实质危害较大的违规行为中。对于一些虽然不符合EO14117以及《最终规则》,但实质危害有限的行为,有较大概率不会被纳入行政监管。
然而,美国的集体诉讼制度赋予当地的商业维权个人、组织相当强劲的维权动力。在EO14117规制的行为十分广泛而普遍的情况下,当地的商业维权个人及组织依托美国《电子通信隐私法》(ECPA)创设 “犯罪侵权例外”规则,以EO14117为实体依据开展集体维权活动。原告可以借助Blacklight网站追踪工具、隐私政策公示文本、流量日志自主固定证据,以较低的诉讼成本发起全国性集体诉讼,以此获取巨额收益。这无疑将放大中企合规暴露风险。
三、EO14117高频高风险业务场景
结合目前已经提起的EO14117相关集体诉讼案件、美国司法部《最终规则》以及中企出海实践,可以发现,美国监管关注的并非传统意义上的“数据出境”本身,而是美国主体是否通过特定交易安排,将达到法定数量阈值的美国敏感个人数据提供给受限主体。因此,企业需要重点关注其交易行为是否构成《最终规则》规定的禁止交易(Prohibited Transactions)或限制交易(Restricted Transactions)。就中企出海而言,涉及EO14117的高频高风险业务场景有:
(一)RTB广告投放与程序化广告合作场景
程序化广告(Real-Time Bidding,RTB)是目前EO14117风险最高、也是诉讼最集中的业务场景。RTB广告的运行机制决定了,在广告竞价开始之前,大量用户数据已经被实时广播至广告交易平台、DSP、SSP、广告网络以及数据管理平台(DMP)等多个参与方,以完成广告匹配和竞价。在这一过程中,广告请求(Bid Request)通常会包含Cookie ID、广告标识符(AAID/IDFA)、IP地址、设备型号、浏览历史、地理位置、兴趣标签等信息。
如果其中任何一家广告合作伙伴属于EO14117项下的受限主体,或者最终将上述数据提供给受限主体,则可能被认定构成向受限主体提供批量敏感个人数据的数据经纪交易。
目前Porcuna、Baker等案件,均围绕这一商业模式展开,其共同特点包括:(1)美国网站部署第三方广告SDK或广告标签;(2)RTB过程中实时共享美国用户个人标识符;(3)数据最终流向中资主体;(4)原告进一步援引ECPA主张非法电子通信截获。
对于大量依赖国际广告生态开展海外营销的中国企业而言,即使自身并非广告平台,只要其参与广告数据共享链路,也可能成为共同被告。
(二)集团内部数据集中管理与数据中台场景
长期以来,中资企业普遍采用全球统一数据中台模式,即海外子公司负责前端运营,将美国用户产生的数据统一回传中国总部进行客服支持、产品研发、算法训练、风险控制及经营分析。
然而,EO14117下最大的变化在于,集团内部数据流转并不当然享有集团内部豁免。Christy案正是针对这一业务模式展开。案件中,原告认为,被告公司美国官方网站通过Cookie持续采集美国用户数据,并批量回传中国母公司进行集中处理,而中国母公司属于EO14117项下受限主体,因此构成禁止交易。虽然案件目前尚未形成最终判决,但其已经释放出重要信号,即美国消费者已开始主动调查集团官网数据回传路径,集团内部共享可能成为未来EO14117重点执法对象。
对于大量采用“海外业务、本地采集、中国研发”模式的中国企业而言,需重新梳理全球数据架构,对美国数据与其他国家数据进行逻辑隔离,避免美国数据默认进入国内统一数据湖或统一分析平台。同时,应重新评估集团内部各主体的数据访问权限,尽量采用区域化部署、最小权限访问及数据脱敏等技术措施,降低集团内部数据共享被认定为受限交易的风险。
(三)网站分析工具、Cookie及第三方SDK接入场景
除广告平台外,大量网站分析工具、统计SDK及第三方插件同样成为当前集体诉讼的重要对象。目前大量跨境电商、游戏平台、SaaS平台、网站均会部署海外各类客服插件、热力图工具、用户行为分析SDK等工具。这些工具通常持续收集Cookie ID、IP地址、设备指纹等。虽然企业认为这些数据属于运营分析数据,但EO14117将网络标识符、设备标识符、广告标识符均纳入个人标识符范围,当达到十万人阈值后,即可能进入监管范围。
此外,对于大部分企业而言,其往往并不了解第三方SDK的数据最终流向。如果SDK开发商、数据处理商或其关联主体属于受限主体,或者进一步向受限主体提供相关数据,企业可能被认定未履行合理尽职调查义务,并面临共同责任风险。
(四)美国用户数据回传中国开展算法训练和产品研发场景
近年来,越来越多的企业将海外用户数据作为模型训练、产品优化和算法迭代的重要数据来源。例如:推荐算法持续学习美国用户行为、AI模型训练使用美国用户上传内容、智能客服持续分析美国聊天记录、自动驾驶/智能硬件利用美国终端数据优化模型、游戏企业分析美国玩家行为优化推荐系统。上述业务均可能涉及持续、大规模向中国研发团队提供美国用户数据。
EO14117监管的重点并非算法训练行为本身,而是训练过程中是否发生了向受限主体提供达到法定数量阈值的美国敏感个人数据。因此,企业不能简单认为研发属于内部业务即可免责。
(五)跨境客户服务与远程运维场景
大量出海的智能硬件、SaaS软件、云服务及工业互联网企业普遍建立全球统一客服和远程运维体系。例如,美国用户提交工单后,中国客服人员可直接查看用户账户信息、设备日志、故障记录及远程调试数据;云平台运维人员可访问运行日志、错误报告、设备标识符等信息,以开展故障排查和系统优化。若中国团队作为受限主体能够持续访问达到法定数量阈值的美国敏感个人数据,且相关访问缺乏必要的访问控制、最小权限管理及安全保障措施,可能引发EO14117监管关注。
(六)数据采购、数据合作与联合营销场景
EO14117重点规制对象之一即为数据经纪交易。因此,企业通过购买、交换、授权或合作获取美国用户数据,同样属于高风险业务场景。
实践中,部分企业会通过第三方数据供应商购买消费者画像、广告标签、位置数据、营销名单等,用于精准营销、商业分析或市场拓展;也有企业与合作伙伴开展联合营销、会员互通、数据共享等活动。如果相关数据涉及美国敏感个人数据,且交易对手或最终接收方属于受限主体,即可能被认定为受禁止或受限制的数据经纪交易。
四、中企 EO14117 专项合规落地实操方案
从目前已经公开的案件可以看出,EO14117并非传统意义上的隐私保护法律,而是一项以国家安全为导向的数据跨境管制制度,其监管逻辑也不同于GDPR、CCPA等个人信息保护法律。对于中企而言,仅完成隐私政策更新、取得用户同意或者签署数据处理协议,并不能当然满足EO14117要求。真正需要解决的是“数据是否流向受限主体”“是否属于禁止或限制交易”“是否达到批量敏感数据阈值”“是否建立符合美国司法部要求的安全控制措施”等核心问题。
因此,企业应以EO14117《最终规则》为基础,结合美国网络安全和基础设施安全局(CISA)《Security Requirements》要求,围绕“主体识别—数据识别—交易识别—安全控制—持续审计”五个层面,建立覆盖业务全生命周期的EO14117专项合规体系。
(一)开展EO14117专项适用性识别,明确是否属于监管对象
EO14117并非适用于所有跨境数据流动,因此企业开展专项治理的第一步,并非直接实施技术整改,而是首先判断自身是否属于《最终规则》的适用对象。实践中,应重点围绕主体、数据和交易三个维度开展专项识别。
一是识别企业是否属于受限主体。除注册于中国境内的企业外,还应进一步穿透股权结构、控制关系及实际控制人情况,核查境外关联公司、海外运营平台、海外研发中心等是否因股权控制关系被认定为受限主体。同时,应持续关注美国司法部国家安全司发布的受限主体指定信息,防止合作主体因后续被指定而产生新的合规风险。
二是识别企业处理的数据是否属于《最终规则》规定的敏感个人数据。企业应建立EO14117专项数据分类目录,将Cookie标识符、广告ID、设备标识符、IP地址、GPS定位、生物识别信息、健康数据、金融数据等重点数据进行专项标识,并结合业务场景统计12个月内涉及美国用户的数据规模,判断是否达到法定“Bulk Data”阈值。
三是识别相关业务是否构成《最终规则》项下的禁止交易或者限制交易。对于广告合作、数据共享、集团内部传输、算法训练、远程运维、第三方SDK调用等业务,应逐项分析数据提供对象、交易方式及处理目的,形成专项风险评估结论,并作为后续治理措施的基础依据。
(二)全面梳理美国用户数据流向,建立EO14117数据流转台账
当前大量集体诉讼均围绕“数据究竟流向何处”展开,企业若无法准确说明美国用户数据的采集、传输、存储及共享路径,将难以有效应对监管调查和司法诉讼。因此,企业应开展EO14117专项数据流梳理,形成覆盖数据全生命周期的数据流转台账。重点梳理以下内容:
第一,明确美国用户数据的采集入口,包括官方网站、移动应用、智能终端设备、SDK、Cookie、API接口、广告平台等;
第二,明确数据处理主体,包括集团内部各关联公司、云服务商、第三方处理商、广告平台及其他合作伙伴;
第三,明确数据跨境流向,包括是否传输至中国境内、是否同步至全球数据中台、是否提供给境外研发团队或算法平台;
第四,明确数据访问权限,包括哪些部门、哪些岗位、哪些系统可以访问美国用户数据,是否存在默认开放权限或长期授权情形;
第五,明确数据最终用途,包括广告投放、画像分析、算法训练、客户服务、运营分析等具体处理目的。
在此基础上,建议企业绘制EO14117专项数据流向图,并同步建立业务场景与数据类别对应关系,为后续交易性质判断、安全控制部署及证据留存提供基础支撑。
(三)建立第三方合作伙伴尽职调查机制,重点管控数据经纪交易风险
从现有案件可以发现,EO14117风险往往并非直接来源于企业自身,而是来源于广告平台、数据供应商、SDK开发商及其他第三方合作伙伴。因此,企业应建立第三方EO14117专项尽职调查机制,将合作伙伴身份识别作为供应链合规的重要组成部分。具体而言,应重点核查以下事项:
一是合作方是否属于受限主体,是否存在受中资控制、股权穿透后属于受关注国家主体等情形;
二是合作方是否涉及数据经纪业务,是否会进一步向其他主体提供美国用户数据;
三是合作方是否具备符合EO14117要求的数据安全控制措施,包括访问控制、日志审计、加密传输、多因素认证等;
四是合作方是否曾涉及美国隐私诉讼、数据泄露事件或监管调查;
五是合作协议是否明确约定数据用途限制、禁止二次共享、审计权、删除义务及违约责任。
对于广告平台、RTB合作伙伴及第三方SDK,应建立动态准入机制,对新增合作伙伴开展专项审查,对存量合作伙伴定期复核,避免因第三方原因引发共同责任风险。
(四)按照CISA安全要求建立限制交易安全控制体系
对于《最终规则》允许开展的限制交易,企业不得仅依赖合同约定,而应按照CISA发布的《Security Requirements》落实相应技术和组织措施。结合目前规则要求,企业至少应建立以下安全控制体系:
一是身份与访问控制机制。实施最小权限原则,对涉及美国敏感个人数据的访问实行基于角色的权限管理,并部署多因素身份认证,确保仅授权人员能够访问相关数据。
二是数据传输与存储安全机制。对跨境传输及静态存储的数据实施强加密保护,确保密钥管理独立、安全,防止数据在传输和存储过程中被非法获取。
三是日志记录与持续审计机制。对美国用户数据的访问、复制、下载、共享及删除等操作进行完整留痕,确保能够满足监管调查及司法举证需要。
四是网络隔离与环境管理机制。对于涉及美国数据处理的系统,应建立独立网络区域,限制跨区域访问,避免美国数据与其他国家数据混合处理。
五是持续风险监测机制。建立异常访问监测、账户行为分析及安全事件响应机制,对异常批量下载、异常跨境访问等行为及时预警并处置。
需要注意的是,CISA安全要求不仅是技术规范,也是判断企业是否履行合理安全保障义务的重要依据。在未来司法程序中,上述措施亦可能成为企业证明已履行合规义务的重要证据。
(五)重构美国业务数据治理模式,降低数据跨境依赖
从Christy案可以看出,传统“全球统一数据中台+中国集中处理”的运营模式,正在成为EO14117重点关注对象。因此,中企应结合自身业务特点,对全球数据治理架构进行调整,逐步降低美国用户数据向受限主体持续流转的必要性。实践中,可重点采取以下措施:
对于美国业务,优先采用本地化部署模式,在美国或其他非受限司法辖区建立独立的数据处理环境,实现美国用户数据本地存储、本地分析、本地客服及本地运维。
对于确需开展全球研发协同的业务,应尽可能采用匿名化、去标识化、聚合统计或模型参数共享等方式替代原始数据跨境传输,降低数据流向受限主体的风险。
对于集团内部共享需求,应重新划分数据访问权限,建立区域隔离的数据治理架构,避免美国数据默认进入全球数据中台,并通过审批机制严格控制跨区域访问。
对于算法训练场景,应探索“数据不动、模型移动”“联邦学习”“隐私计算”等技术路径,在满足研发需求的同时减少美国敏感个人数据跨境流动。
(六)完善专项制度体系与诉讼应对机制,形成持续合规能力
EO14117的风险具有持续性和动态性,仅依赖一次性整改难以满足长期监管要求。企业还应建立覆盖制度建设、人员管理、持续监测和应急响应的专项治理机制。
制度层面,应制定EO14117专项合规管理制度,明确业务部门、法务、数据合规、安全、采购及研发部门的职责分工,建立涉及美国用户数据处理活动的审批、评估及备案机制。
运营层面,应定期开展EO14117专项培训,提高广告运营、产品研发、市场营销、客服运维等岗位人员对受限主体识别、数据共享限制及第三方合作风险的认识,将EO14117要求嵌入业务流程。
审计层面,应建立年度专项审计机制,定期对RTB广告合作、第三方SDK、集团内部数据流转及美国用户数据处理活动开展抽查,及时发现并整改潜在风险。
应急层面,应建立针对美国监管调查和集体诉讼的专项响应机制,提前制定调查配合流程、证据保全方案及法律应对预案。一旦收到美国司法部调查通知、律师函或集体诉讼材料,能够迅速组织法务、合规、安全及业务团队开展事实核查、证据固定和风险评估,最大限度降低行政处罚、民事赔偿及声誉损失。
综上,EO14117对中企提出的挑战,已经从传统的数据跨境合规扩展至国家安全、供应链治理、广告生态、集团治理及技术架构等多个维度。企业应当将EO14117作为全球数据合规体系的重要组成部分,构建覆盖主体识别、数据识别、交易评估、安全控制、第三方管理、持续审计和应急响应的闭环治理机制,实现从“事后整改”向“事前预防、事中控制、事后审计”的合规管理模式转变,以有效应对行政监管与集体诉讼并行发展的新型合规环境。
[注释]
[1] 本文撰写得到了某大厂国际法务周素华的支持,特表示感谢。
[参考链接]
[1]https://dockets.justia.com/docket/california/candce/3:2025cv07385/455618 [2]https://www.courtlistener.com/docket/71256090/baker-v-index-exchange-inc/#:~:text=Oct%2031%2C%202025%0AMOTION%20by%20Defendant%20Index%20Exchange%2C%20Inc.%20to%20dismiss%20for%20lack%20of%20jurisdiction%2C%20or%20in%20the%20alternative%2C%20pursuant%20to%20Rule%2012%28b%29%286%29%20for%20failure%20to%20state%20a%20claim%20%28Newby%2C%20Tyler%29%20%28Entered%3A%2010%2F31%2F2025%29
[3]https://www.courtlistener.com/docket/72303117/mcgrath-v-google-llc/#:~:text=Rule%207.1%20Disclosures%20by%20Google%20LLC%20identifying%20Corporate%20Parent%20Alphabet%20Inc.%2C%20Other%20Affiliate%20XXVI%20Holdings%20Inc.%20for%20Google%20LLC.%20%28Softness%2C%20Benjamin%29%20%28Filed%20on%203%2F23%2F2026%29%20%28Entered%3A%2003%2F23%2F2026%29
[4]https://www.courtlistener.com/docket/72303748/nadeau-v-google-llc/
[5]https://dockets.justia.com/docket/california/candce/4%3A2026cv01481/464545