2026年开年没多久,美国移民与海关执法局(ICE)就扔下一枚重磅“数据炸弹”——1月23日正式在SAM.gov上发布了一份RFI(Request for Information),公开向广告科技(Ad Tech)和大数据经纪商们询问:“你们有哪些‘合规’的位置数据、广告标识符关联数据、甚至健康/金融轨迹数据,可以直接支持联邦调查行动?”
注意,这不是招标,而是赤裸裸的市场摸底。ICE想搞清楚:当下商业世界里,到底有多少个人信息,已经被打包成“可合法购买”的商品,直接喂给执法机构用。
ICE这次到底想买什么?核心诉求一目了然
RFI原文写得很“委婉”:“政府希望了解当前可供联邦调查和行动实体使用的Ad Tech合规位置数据服务现状,同时考虑监管约束和隐私预期。”
翻译成白话就是:我们要买那些广告平台天然收集的高精度位置数据(来自App、WiFi、GPS、广告ID等),以及能把匿名ID关联到真实身份的“增强数据”。
这些东西,本来是给广告主精准投放用的,现在ICE想拿来找人、定位、建档。
他们已经不是第一次干这事了:
过去几年,ICE就向Venntel(Gravy Analytics子公司)采购过位置数据 license;
还跟Palantir合作开发过“精准住址推导”工具;
2025年10月刚发过一份类似RFI,要买开源情报+社交媒体监控服务。
而这一次,直接把目光瞄向了广告科技全产业链——从SDK收集端,到数据聚合商,再到下游经纪商。
为什么隐私组织炸锅了?核心争议点在这里
电子前哨基金会(EFF)调查主任Dave Maass直言:“这只是冰山一角。他们早就已经在用了,现在只是想把市场现状摸得更清楚。”
民主与技术中心(CDT)政策顾问Tom Bowman更是一针见血:“这是把政府监控重新包装成商业交易,以此绕过第四修正案的搜查令要求。”
关键逻辑链条如下:
普通公民的手机位置、就医记录、宗教场所打卡、社交关系……通过广告ID和跨设备关联,已经被数据经纪商聚合成“可购买商品”;
政府机构声称“这是公开市场可得数据,不需要令状”;
但这些数据的原始采集,往往基于用户根本读不懂的“同意”条款,所谓“知情同意”形同虚设。
Bowman警告:行政便利从来不是绕过公民基本权利的理由。
对中国网安从业者的三大启示
虽然发生在美国,但这条“商业数据→政府执法”的路径,对国内安全圈同样是醒目红灯:
数据经纪人生态高度全球化
很多国内App的SDK,底层走的依然是海外广告联盟(如Google AdMob、Meta Audience Network)。你的用户位置数据,可能早已经被聚合后卖到了ICE或其他情报机构手里。“合规数据”正在成为绕过监管的灰色通道
类似《个人信息保护法》《数据安全法》对跨境传输有严格限制,但如果数据以“广告合规”名义先出境、再被外国政府采购,监管链条就断了。企业出海时,务必审计SDK隐私合规性。
个人/企业防御窗口正在快速变窄
关闭手机广告个性化(iOS:设置→隐私→广告→关闭个性化广告追踪;iOS/Android均可重置广告标识符);
对非必要App拒绝位置权限,尤其是车载系统、智能家居设备(现代汽车已成为新的位置数据大漏勺);
企业侧:加强App隐私合规审计,优先选用有明确“不卖数据”承诺的广告平台;部署移动端MTD(移动威胁检测),监控异常数据外发行为。
立法与行业反击的微光
EFF和CDT都力推《第四修正案不售法案》(Fourth Amendment Is Not For Sale Act),要求执法机构购买敏感数据前必须先拿搜查令。该法案已在2024年获众议院通过,但参议院至今未动。
国内同行可以借鉴:加强数据出境合规审查、推动更细化的位置数据分类分级,让“广告数据”不再成为外国政府绕过监管的万能钥匙。
别等数据变成“武器”,再后悔没早做防御
ICE这份RFI,不是技术新闻,而是整个数字监控商业模式的缩影。当广告科技越发达,外国政府绕过司法审查的路径就越多。作为网安人,我们既是防御者,也是潜在的数据源头守护者。别把隐私防护当成“用户侧的事”,它早已是企业合规、业务出海、国家安全的必修课。
安全牛将继续关注这类“商业数据执法化”趋势,为大家提供更具操作性的合规指南和防御方案。你的位置数据,到底值多少钱?或许比你想的更贵。
合作电话:18610811242
合作微信:aqniu001
联系邮箱:bd@aqniu.com
热门跟贴