美国犹他州《数字选择法》(HB 418) 7月1日生效:社交平台"数据可携+互操作"强制令——中资社交、内容出海企业的"数据搬家"合规新关口
2026年7月1日,美国犹他州《数字选择法》(Utah Digital Choice Act,HB 418)的核心条款正式生效。该法由州长Spencer Cox于2025年3月27日签署,编入《犹他州法典》第13编第81章(Utah Code Title 13, Chapter 81),是全美第一部强制社交媒体平台实现数据可携(data portability)与互操作性(interoperability)的州级立法。它把欧盟《数字市场法》(DMA) 式的"反锁定"思路引入美国州法,对在美运营的中资社交、内容与平台型出海企业提出了一套全新的、以"让用户把数据和人际关系搬走"为核心的合规义务。
立法背景:从"隐私保护"转向"打破用户锁定"
与CCPA、CTDPA等以"知情同意+删除/退出"为主线的综合隐私法不同,犹他《数字选择法》的立法目标更偏竞争政策:立法者认为大型社交平台通过囤积用户的内容、关注关系和互动数据形成事实上的"围墙花园",使用户难以转投竞品。该法因此赋予消费者一项新权利——不仅能拿到自己的数据,还能在不同社交平台之间无障碍地迁移内容与社交关系。这是美国首次将"数据搬家"上升为社交平台的法定义务,监管逻辑从"保护静态数据"转向"保障数据流动与用户选择权"。
法律依据与核心义务
一、数据可携权与"社交图谱"。平台须应用户请求,提供其个人数据的副本,且范围明确包括社交图谱(social graph)——即用户与其他用户的连接关系、自己创建的内容、对他人内容的评论与反应、他人对本人内容的回应,以及相关元数据。数据须以可被自动化处理、便于传输给另一控制者的格式提供,并"在技术与实践可行范围内尽可能可携、可用"。
二、互操作性义务。平台须支持基于透明、开放、第三方可获取协议的互操作。法律未点名ActivityPub或AT Protocol,而是授权犹他州消费者保护司(Utah Division of Consumer Protection)通过规则制定指定合格协议;采用被指定协议的平台可获得"合规推定"。
三、适用范围与执法。该法针对在犹他州运营、达到规模门槛的社交媒体公司,由犹他州消费者保护司负责执法与规则制定。这意味着用户体量较大的中资社交、短视频与内容社区类App,只要在犹他州有实质性业务,即可能落入适用范围。
监管要点
第一,可携范围"超纲"。它不止于传统隐私法下的个人信息导出,而要求交付社交关系图谱这一过去被视为平台核心资产的数据,技术与产品改造成本不容低估。第二,互操作是"持续性义务"而非一次性导出,平台需对接外部协议、长期维护接口。第三,"合规推定"机制实质鼓励平台尽早采用州方指定的开放协议,以降低执法风险。
对中资企业的合规启示
尽快完成适用性评估。梳理在犹他州的用户规模与业务形态,判断是否构成该法下的"社交媒体公司",并将犹他州纳入美国多州隐私合规地图(与CCPA、CTDPA、德州TDPSA等并表管理)。
构建"社交图谱"级数据导出能力。在现有DSAR(数据主体请求)流程之外,单独建设可导出关注关系、互动、评论及元数据的管道,并采用机器可读、可迁移的标准格式,避免以PDF等不可携格式敷衍。
提前布局互操作协议。密切跟踪犹他州消费者保护司的规则制定与"指定协议"清单,评估对接开放协议的技术路径,争取落入"合规推定"安全区。
同步更新隐私政策与用户告知。在面向美国用户的隐私政策中增加数据可携与互操作权利的说明,并打通前端用户入口与后端响应流程。
统筹数据出境与国家安全合规。在设计数据导出与跨平台迁移功能时,须与中国《个人信息保护法》《数据安全法》下的出境合规,以及美国DOJ依第14117号行政令实施的"数据安全计划"对敏感数据跨境流动的限制相协调,避免可携性改造无意中触发跨境数据风险。
趋势展望
犹他州《数字选择法》标志着美国数据治理出现新方向:在隐私与儿童保护之外,"数据可携+互操作"正成为各州规制大型平台、促进竞争的新工具,预计将有更多州跟进类似立法。对中资出海平台而言,这意味着合规重心不再局限于"少收集、给删除、可退出",而要进一步具备"让用户带着数据和关系离开"的工程能力。建议相关企业把数据可携与互操作纳入产品与法务的中长期规划,在满足美国州法的同时,统筹好与中国数据出境制度及美国国家安全审查的衔接,化被动合规为竞争中的主动布局。