FTC v. Kochava 和解令2026年5月4日落槌：数据掮客"敏感位置数据"销售禁令成型——中资 App、车联网与 AdTech 的5项立即合规动作

2026年5月4日，美国联邦贸易委员会（FTC）在爱达荷州联邦地区法院提交了拟议和解令（Proposed Stipulated Order, Doc. 137-1），正式终结了对数据掮客 Kochava, Inc. 及其继承公司 Collective Data Solutions, LLC（CDS） 长达近四年的诉讼（FTC v. Kochava, Inc., Case No. 2:22-cv-00377-BLW, D. Idaho）。FTC 以 2-0 票通过该方案。和解令一旦获联邦法官批准即具法律强制力，并将成为继 2024 年 X-Mode/Outlogic 与 InMarket 案之后，FTC 依据《联邦贸易委员会法》第 5 条（15 U.S.C. § 45）针对"精准位置数据掮客"的第三份具有里程碑意义的执法和解。对在美投放广告、运行 SDK、采购第三方位置数据或经营车联网／出行类 App 的中资企业而言，这一裁判文本相当于划出了一条全行业必须立即对标的"敏感位置红线"。

一、案件背景：从 2022 起诉到 2026 和解

2022 年 8 月 29 日，FTC 在爱达荷州联邦地区法院对总部位于爱达荷州 Sandpoint 的数据掮客 Kochava 提起 § 13(b) 诉讼，指控其向任何能够付费的客户出售来自数亿台移动设备的精准地理位置数据，且无需事前征得用户同意；该等数据可被用于追踪个人前往生殖健康诊所、宗教场所、家庭暴力庇护所、戒毒中心、少数族裔活动场所等极度敏感地点的轨迹。FTC 主张 Kochava 行为构成第 5 条意义下的"不公平行为或做法"（unfair act or practice），因为消费者无从知悉、无从拒绝该等数据共享，且由此造成"实质性损害"（substantial injury）。

2023 年初，爱达荷州地区法院曾以诉因不足为由批准被告的撤诉动议（Doc. 24），但允许 FTC 重新起诉。FTC 此后两度修改诉状，于 2024 年 7 月 15 日提交的第二份修订诉状（Doc. 86）中扩充了对"实质损害"和"不可避免"两项第 5 条要件的事实陈述。2024 年 2 月，法院驳回了被告的再次撤诉动议（Doc. 71），认定 FTC 已充分主张消费者无法合理避免该等损害。本案随后进入和解谈判。

二、和解令核心条款：定义 + 五项强制项目

1. "精准位置数据"（Precise Location Data）的定义。和解令将其界定为可以将个人或设备定位到半径小于 1,850 英尺（约 564 米）范围内的位置信息，包括 GPS 坐标、手机基站三角定位数据、Wi-Fi SSID／BSSID 推断位置、蓝牙信标数据，且与移动广告标识符（MAID）、IDFA 等持久性唯一标识符相结合。仅停留在邮政编码或人口普查街区（半径 ≥ 1,850 英尺）等粗粒度数据被明确排除。

2. "敏感位置"（Sensitive Locations）的五大类。 (i) 医疗设施，包括家庭计划诊所、心理健康中心、戒毒康复机构；(ii) 宗教场所；(iii) 主要为未成年人提供教育或托管的场所；(iv) 为无家可归者或家暴幸存者提供临时收容或社会服务的场所；(v) 美国军事或联邦执法设施。任何指向上述地点的精准位置数据，在销售、许可、转移、披露之前，必须取得消费者的"主动明示同意"（affirmative express consent），且数据用途必须与消费者直接请求的服务相关。

3. 敏感位置数据合规计划（Sensitive Location Data Program）。被告须建立并维持书面计划，包括动态列出敏感位置清单、技术性过滤敏感地点周边的精准坐标、定期再评估、对违反者实施供应链处罚等。

4. 供应商评估计划（Supplier Assessment Program）。被告须对每一位置数据上游供应商进行尽调，核实终端用户的有效同意路径（包括 SDK 同意提示语、隐私政策与年龄筛查），并保留同意记录。任何无法证明同意的供应链都须切断。

5. 消费者权利与事故报告。被告须向消费者提供：(i) 查询其位置数据被披露给哪些第三方的渠道；(ii) 易于操作的撤回同意机制；同时须建立数据保留期限表，到期主动删除。一旦发现下游违反合同披露位置数据的，需 30 天内向 FTC 提交事故报告。该等义务持续 20 年，且 Kochava／CDS 须保留所有合规文件以备 FTC 抽查。

三、监管信号：第 5 条"不公平性"标准的进一步具象化

本案延续了 FTC 自 2024 年 X-Mode/Outlogic（Matter No. 212-3038）与 InMarket Media（Matter No. 202-3088）以来的执法逻辑：即使没有适用《公平信用报告法》(FCRA)、HIPAA 或州综合隐私法，FTC 仍可仅凭第 5 条挑战未经同意的精准位置数据交易，认定其构成"对消费者的不可避免的实质损害"。本案进一步将"医疗+宗教+教育+收容+军事"五大类敏感地点写入命令文本，事实上为整个广告技术（AdTech）行业树立了"准规则"基准。同时，第十州隐私监管联盟（Consortium of Privacy Regulators）成立后，加州、康涅狄格、特拉华、印第安纳、新泽西、俄勒冈等州司法部长正在以本案为模板提起平行州法行动，最高将面临 每违规一次 7,500 美元的州级民事罚款（参见加州《CCPA》§ 1798.155(a)）。

四、对中资企业的合规要点

1. SDK 与广告链路体检。在美投放广告或集成第三方 SDK（如归因 SDK、推送 SDK、Map SDK）的中资 App 应立即开展"位置数据流向审计"，确认是否向 Kochava／CDS 或同类掮客回传 MAID/IDFA + 精准坐标；若有，须在 60 天内完成同意刷新或断链。

2. 重写位置权限的同意话术。"Affirmative express consent" 在 FTC 解释下要求"清晰、未预勾选、与所请求服务相关"的分层同意，且不得与服务条款捆绑。中资 App 的 iOS／Android 弹窗（NSLocationWhenInUseUsageDescription、ACCESS_FINE_LOCATION 提示语）需要中英文双轨重写。

3. 供应链尽调与 DPA 重谈。所有上游位置数据供应商、下游广告网络的数据处理协议（DPA）须新增"敏感位置过滤""消费者同意证据保留""违规通报 30 天"条款，并同步加入审计权与单方终止权。

4. 敏感地点过滤的工程化部署。建议建立"地理围栏黑名单"，对 FTC 五大类敏感地点（可结合 Google Places 类目与本地公开登记数据）实施服务端遮罩，将位置精度降至 ≥ 1,850 英尺半径。

5. 与中国《个人信息保护法》(PIPL) 第 28、29、39 条协同。PIPL 将"行踪轨迹"与"医疗健康"列为敏感个人信息，单独同意要求与 FTC "affirmative express consent" 高度趋同。中资集团可借此机会将美国合规体系与境内 PIPL 影响评估（PIA）、出境安全评估打通，避免双轨重复建设。

五、格知律所如何协助

格知律师事务所长期为中资企业在美国数据合规与广告技术领域提供一体化法律服务。针对本次 Kochava 和解令引发的合规升级，本所可提供以下专项支持：(i) 位置数据流向审计，对客户在美移动 App 的 SDK 集成、广告归因链路、第三方数据交换关系进行端到端梳理，输出"敏感位置敞口图谱"；(ii) "主动明示同意"机制重构，按 FTC 第 5 条标准与各州综合隐私法要求重写权限弹窗、隐私政策、Cookie/SDK 同意管理平台（CMP）配置；(iii) 供应商 DPA 与同意证据托管方案，起草符合 Kochava 和解令第 IV、V 节要求的供应商评估计划与同意记录留存制度；(iv) FTC 调查与州 AG 询问应对，在收到 CID（民事调查传票）或第 6(b) 信函时提供应诉策略、内部调查协调与披露材料把关；(v) 跨境数据治理整合，将 FTC 同意标准与 PIPL 单独同意、出境安全评估、CBPR 体系一并纳入企业全球数据治理框架。本所芝加哥总部、华盛顿特区办公室与上海、成都协同团队，可全程提供中英双语支持。

六、结语与展望

FTC v. Kochava 和解令的真正意义不在于一家爱达荷数据公司的退出，而在于"第 5 条 + 敏感位置 + 供应链同意"三位一体的执法范式被正式定型。可以预见，自 2026 年下半年起，FTC 与州 AG 联盟将以本案为模板，对 AdTech、车联网、外卖配送、共享出行、健身追踪等高密度位置数据行业发起新一轮"扫雷式"执法。在美中资科技与消费类企业若仍以"数据存在境外、用户协议泛同意"为风控逻辑，将面临远超 X-Mode 时代的合规风险敞口。建议各企业在 90 天窗口期内完成同意机制重构与供应链 DPA 重谈，把本案命令文本作为内部最低合规基线，方能在"后 Kochava 时代"于美国市场行稳致远。