FTC v. Kochava 落幕：数据经纪商被全面禁售敏感位置数据——中资企业精准定位合规警示

美国联邦贸易委员会（FTC）与数据经纪商 Kochava 长达近四年的执法拉锯战正式收官。根据已获 FTC 委员会 2 票全票通过、并提交至爱达荷州联邦地区法院的和解令，Kochava 及其承接数据经纪业务的子公司 Collective Data Solutions（CDS），今后未经消费者"明示同意"（affirmative express consent），将被全面禁止出售、许可、转让、共享或披露敏感位置数据。这是 FTC 针对位置数据黑产开出的标杆性禁令，对所有采集、买卖或在产品中嵌入定位能力的企业——包括大量赴美中资企业——划出了清晰的合规红线。

事件背景

FTC 早在 2022 年 8 月即起诉总部位于爱达荷州的 Kochava，指控其采集、使用并披露精准位置数据（precise location data），暴露了来自数亿台移动设备用户的行踪，包括前往生殖健康诊所、宗教场所等"敏感地点"的轨迹。FTC 认为，由于消费者对此类数据共享既不知情、也未同意，根本无从规避由此带来的隐私侵害。案件历经管辖权与诉因之争后，FTC 于 2026 年 5 月 4 日公布拟议和解令，并最终在 6 月底获得批准落地。

法律依据与监管要点

本案的执法基础是《FTC 法》第 5 条（Section 5）关于"不公平或欺骗性行为"的禁止性条款。FTC 的核心立场是：在用户毫不知情的情况下买卖可还原个人行踪的精准位置数据，本身即构成"不公平行为"。和解令对 CDS（以及 Kochava 如继续使用精准位置数据）设定了六项强制义务：

其一，明示同意前置——除非取得消费者明示同意、且数据仅用于消费者直接请求的服务，否则禁止任何形式的敏感位置数据交易。其二，建立敏感位置数据合规计划，编制一份全面的"敏感地点清单"，从技术上阻断相关数据外流。其三，实施供应商评估计划，逐一核验所获位置数据均已取得消费者同意。其四，向 FTC 提交事件报告，当发现第三方违反合同约定共享精准位置数据时及时上报。其五，赋予消费者知情与撤回权：可查询其位置数据被出售给了哪些主体，并提供便捷的撤回同意通道。其六，制定数据留存与删除时间表，到期强制删除。

需特别注意，和解令属"和解性最终命令"（stipulated final order），一经地区法院法官签署即具有法律强制力，违反将面临民事罚款及藐视法庭风险。

对中资企业的合规启示

位置数据是出海 App、车联网、物流、广告投放与营销技术（AdTech/MarTech）企业最易"踩雷"的领域。结合本案，建议中资企业落实以下动作：

第一，开展数据映射（data mapping），盘清自家 App、SDK 及合作方是否采集精准位置（GPS、蓝牙、Wi-Fi），以及数据流向何处、是否进入数据经纪生态。第二，重构同意机制，对敏感位置采集采用"明示、单独、可撤回"的同意（而非默认勾选或捆绑授权），并提供清晰的撤回入口与"被出售方"查询功能。第三，建立敏感地点清单，对医疗、宗教、工会、生殖健康、军事等场所周边数据做技术屏蔽或脱敏。第四，升级供应商与数据采购协议（DPA），要求上游数据供应商书面承诺同意来源合法，并保留审计与事件上报条款。第五，制定数据留存与删除政策，杜绝"无限期囤积"位置数据。

趋势展望

Kochava 案标志着 FTC 即便在仅有两名委员的精简状态下，仍将位置数据、数据经纪商与敏感信息列为执法优先项；与此同时，加州 CPPA、各州《删除法》（Delete Act）及数据经纪商登记制度正从州层面同向收紧。对中资企业而言，"位置数据可自由买卖"的时代已经结束。把"明示同意 + 敏感地点屏蔽 + 供应商审查 + 可删除"四件套纳入产品与合规设计，是规避美国联邦与州双重执法风险的现实路径。