編者按Google正因涉嫌將數億美國使用者的即時瀏覽資料,通過其廣告拍賣系統傳輸給百度、字節跳動等中國關聯公司,而面臨集體訴訟。表面上看,這是一場針對科技行業巨頭Google商業模式的集體訴訟。但細究其脈絡,會發現案件的核心矛盾已超越傳統的隱私侵權範疇,指向了資料時代一個日益尖銳的命題:全球網際網路基礎設施的毛細血管——看似中立的廣告技術管道,如何在不經意間,成為承載地緣政治風險與國家博弈的新前線。案件之所以將矛頭指向百度、字節跳動、拼多多這三家在美國市場有廣泛業務佈局的中國巨頭旗下平台作為資料接收方,並重點引用了中國的《國家情報法》等法律,旨在建構一個關鍵邏輯鏈條:資料一旦流出,便可能因他國法律強制要求而面臨被外國政府獲取的風險。這使得一起商業行為,被迅速抬升至“國家安全威脅”的層面進行審視。而2025年生效的美國《批次敏感資料規則》(BSDR),正為這種指控提供了全新的法律武器。它首次明確將“向受關注國家傳輸批次敏感資料”的商業行為,定義為需被監管乃至禁止的國家安全風險。2026年2月19日,Google被捲入三項集體訴訟,首席原告妮可·麥格拉斯、特裡莎·納多和芭芭拉·詹金斯在不同的訴訟中聲稱,Google違反了包括2025年4月美國司法部頒布的《批次敏感資料規則》(BSDR)及多項加州法律,攔截美國消費者的瀏覽活動資訊,並將資料傳輸給參與Google“廣告生態系統”的第三方,包括受中國政府控制或受其管轄的公司——百度營運的MediaGo、字節跳動營運的Pangle,以及鯨魚營運的Temu。原告稱,Google對原告及集體成員造成了對隱私的侵犯,使用者喪失了對個人資料的控制,並使使用者面臨外國監控和剖析的風險。特別是因敏感資料,如健康、宗教、財務狀況,可能被外國對手獲取對美國國家安全構成威脅。一、技術黑箱:即時競價如何成為資料洩露管道?要理解法律理論,瞭解其運作機制至關重要。使用者每次載入包含Google廣告程式碼的網頁時,Google都會在極短時間內執行即時競價。根據訴狀,Google會向已獲批准的廣告合作夥伴傳送“競價請求”,這些競價請求包含網頁的完整URL、使用者的IP地址、基於IP地址推斷的地理位置資訊以及Cookie資料。但這份投訴遠不止於此,它還引用了Google自身的技術文件。競價請求可能包含來自 IAB TechLab 受眾分類法的受眾分類程式碼。IAB TechLab 受眾分類法是一個標準化的列表和內容分類法的內容分類程式碼。根據這份檔案,這些特徵包括使用者參與航空航天和國防採購的情況,以及他們使用短期貸款和緊急貸款的情況以及使用者的破產、心理健康、藥物濫用、性狀況和特定宗教傳統等。除了競價請求本身之外,Google還會運行一個名為“Cookie匹配”的平行流程:Google會為每個使用者分配一個內部識別碼,即Google GID。該識別碼不會儲存在使用者的瀏覽器中,而是直接嵌入到與廣告合作夥伴的通訊中。一旦建立關聯,合作夥伴Pangle、MediaGo和Temu等公司就可以在後續的每次競價中識別該使用者,並據此建構使用者畫像。例如,在Drugs.com上,搜尋“鋰”或訪問有關阿片類藥物安全性的頁面時,URL中的這些關鍵詞以及使用者的識別cookie、IP地址和裝置資訊都會被傳輸到Google的DoubleClick基礎設施。然後,這些資料會通過即時競價(RTB)請求同時流向這三家中國關聯合作夥伴。該投訴還特別關注了Google的IDE和DSID cookie。IDE cookie即使在使用者未登錄Google帳戶的情況下也會追蹤並分析使用者行為。DSID cookie則直接關聯使用者的Google帳戶,這意味著Google可以將跨第三方網站收集的瀏覽活動與已登錄同一瀏覽器Gmail或YouTube的使用者身份關聯起來。這些識別碼與GoogleGID和IP地址一起,構成了該投訴中所描述的“全面的跨網站檔案”,能夠分析使用者的日常活動和行為。二、規則利劍:何為《批次敏感資料規則》(BSDR)?本案的法律核心是美國2025年4月8日生效《批次敏感資料規則》(BSDR),該規則源於第14117號行政命令,根據該命令,美國總統認定將美國公民的批次敏感個人資料商業傳輸至包括中國在內的相關國家構成國家安全風險。《批次敏感資料規則》最終規則限制了涉及美國公民敏感資料的某些交易,這些交易主要涉及中國等關鍵國家。具體而言,該規則禁止企業不得向這些關鍵國家處理和傳輸一定數量的敏感資料,包括人類組學資料、生物識別資料、精確地理位置資料、個人健康資料或個人財務資料。該投訴引用了司法部自身監管文字中的例證,認為28 CFR § 202.214(b)(4) 中美國司法部所禁止的示例4和5,將廣告資訊提供並傳輸給廣告交易平台或廣告商,與Google案非常相似。根據提交的檔案,Google的即時競價 (RTB) 和 Cookie 同步系統在數千個網站、使用者和拍賣中持續運行,其規模“超過了《批次資料傳輸條例》中定義的 10 萬人門檻”。因此,該投訴認為,Google向 Pangle、MediaGo 和 Temu 傳輸資料的行為構成美國所禁止的受保護資料交易。三、內部證據:訴狀指Google“明知故犯”該訴訟檔案重構了一條長達十餘年的內部溝通記錄。從2016-2021年,Google都在內部表示過,“基於使用者資料的即時競價”是“不好的”,且設定了未來三年“確保RTB隱私安全”的目標。然而,Google未能落實這一目標。隨後,在2024年12月,Google宣佈了一項政策變更,該公司在其平台政策檔案中稱,該變更“放寬了對合作夥伴在廣告定位和效果衡量方面的限制”。投訴指出,此舉實際上是放寬了此前對使用IP地址和裝置級資料識別單個使用者的限制,這與Google高管此前呼籲的安全改進背道而馳。四、“中國”的資料接收者:何為“關聯”?訴訟涉及的三家“中國公司”體現了3種不同的與中國關聯關係和法律框架。MediaGo由百度美國有限公司(Baidu USA LLC)所有並營運,該公司是百度公司(Baidu, Inc.)的關聯公司,總部位於北京。根據訴狀,MediaGo自身的隱私政策明確提及了其與百度的關係以及與百度公司營運相關的資訊處理。Pangle 由字節跳動私人有限公司(ByteDance Pte. Ltd.)所有並營運,該公司與TikTok同屬於字節跳動有限公司(ByteDance Ltd.)的子公司。字節跳動與中國政府的關係一直是國會調查和行政部門採取行動的對象。儘管訴狀指出,為了遵守美國行政令2026年1月22日TikTok USDS 合資公司宣佈成立,字節跳動僅保留了 19.9% 的股份,但訴狀仍堅持將Pangle視為中國公司。Temu 由 Whaleco, Inc. 在美國營運,該公司是PDD Holdings Inc.的全資子公司。儘管 PDD Holdings 名義上的主要行政辦公室位於愛爾蘭,但該案訴狀指出其在中國擁有大量業務和人員,並援引了包括《國家情報法》、《網路安全法》和《資料安全法》在內的中國法律,這些法律可以強制其與政府情報機構合作。五、國安焦點:敏感資料如何描繪“攻擊地圖”?這份檔案不同尋常之處在於其對國家安全的廣泛關注。檔案援引了愛爾蘭公民自由委員會研究人員於2023年11月發佈的一份報告,該報告記錄了市面上可購買的Google即時競價(RTB)細分資料,這些資料能夠將使用者識別為“政府部門(特別是國家安全和國際事務部門)的決策者”、“航空航天製造公司員工”、“現役軍人”以及“可能成為法官的人員”。此外,電子隱私資訊中心(EPIC)和愛爾蘭公民自由委員會執法部門(ICCL Enforce)於2025年1月聯合向聯邦貿易委員會(FTC)提交的投訴中還引用了其他細分資料,這些資料根據使用者的預估收入水平、健康狀況、處方藥使用情況、性取向、種族以及政治媒體消費情況來識別使用者。投訴中還引用了《連線》雜誌2024年的一項調查,該調查記錄了從RTB系統獲取的資料已在商業市場上被購買,並被用於追蹤美國軍方和情報人員前往敏感設施的行蹤。2025年1月16日,兩家知名的隱私保護組織EPIC 和 ICCL Enforce向美國聯邦貿易委員會(FTC)提交正式投訴,指控Google的即時競價(RTB)系統將美國公民的敏感資料暴露給外國敵對勢力。該投訴指出,Google的即時競價(RTB) 系統運行於 3540 萬個網站、91% 的Android應用和 75% 的 iOS 應用上運行,傳播美國公民資料每天約310億次。該投訴是首例依據《保護美國人免受外國對手侵犯資料法》(Protecting Americans' Data from Foreign Adversaries Act) 提交的投訴。如今,Google與 RTB 系統之間的國家安全關聯從監管投訴已升級為聯邦訴訟。六、行業風暴:訴訟浪潮中的Google廣告生態這場訴訟正值Google廣告基礎設施面臨前所未有的法律壓力之際。2025年9月,一項價值14億至216億美元的里程碑式即時競價(RTB)隱私和解協議提交至加州北區法院,等待法院批准。該協議設立了一項新的“RTB控制”,允許使用者從競價請求中移除所有識別碼。和解協議要求Google在2026年2月13日前實施該控制。與此同時,弗吉尼亞州的一位聯邦法官於2025年4月裁定,Google在發佈商廣告伺服器和廣告交易市場擁有非法壟斷地位,相關補救措施聽證會將持續到秋季。2025年9月,法院裁定Google必須披露其廣告競價機制的重大變更。集體訴訟的訴訟狀中列舉的行為與上述所有訴訟都有重疊之處,但在法律上卻截然不同。RTB和解協議關注的是Google帳戶持有者的國內隱私權,而新的訴訟則援引國家安全法,並指控了一種完全不同的損害:將美國公民的敏感行為資料傳輸給受外國政府情報法規強制披露義務約束的實體。美國《批次敏感資料規則》(BSDR)的民事和刑事處罰條款凸顯了聯邦政府對此類資訊傳輸行為的嚴肅態度。根據訴狀,Google的違規行為並非其營運的附帶行為,而是其廣告商業模式的核心。訴狀請求法院認定所有美國公民為集體訴訟成員,這些公民與使用Google廣告技術的網站之間的電子通訊被攔截,並且其個人資訊在2025年4月8日或之後被傳輸給了Pangle、MediaGo、Temu或其他受《聯邦法規》第28篇第202.211條約束的實體。 (Internet Law Review)