2026年刚刚开年不久,美国移民与海关执法局(ICE)便向市场抛出了一枚重磅的“数据炸弹”——1月23日,该机构在SAM.gov官网上正式发布了一份RFI(信息征集书),公开向广告科技行业和大数据经纪商们发问:“你们手中哪些‘合规’的位置数据、广告标识符关联信息,甚至是健康或金融轨迹数据,能够直接支持联邦调查行动?”
这并非一次普通的招标采购,而是一次赤裸裸的市场摸底。ICE试图搞清楚:当今商业世界中,究竟有多少个人信息已被打包成“可合法购买”的商品,能够直接提供给执法机构使用。
ICE这次究竟想买什么?核心诉求一目了然
这份RFI的原文措辞相当“委婉”:“政府希望了解当前可供联邦调查与行动实体使用的、合规的Ad Tech位置数据服务现状,同时考量监管约束与隐私预期。”
翻译成大白话就是:我们要购买那些广告平台天然收集到的高精度位置数据(来自App、WiFi、GPS、广告ID等),以及能将匿名ID关联到真实身份的“增强数据”。
这些东西,原本是给广告主进行精准投放用的,现在ICE想拿来用于找人、定位和建档。
他们已经不是第一次这么做了:过去几年,ICE就曾向Venntel采购过位置数据授权;还曾与Palantir合作开发过“精准地址推导”工具;2025年10月刚发布过一份类似的RFI,意图购买开源情报与社交媒体监控服务。
而这一次,更是直接将目光瞄准了广告科技的全产业链——从SDK收集端,到数据聚合商,再到下游的经纪商。
为什么隐私组织炸锅了?核心争议点在这里
电子前哨基金会调查主管Dave Maass直言:“这只是冰山一角。他们早就已经在用了,现在只是想更清楚地摸清市场现状。”
民主与技术中心政策顾问Tom Bowman的批评则更为一针见血:“这是将政府监控重新包装成商业交易,以此绕过第四修正案对搜查令的要求。”
关键逻辑链条如下:普通公民的手机位置、就医记录、宗教场所打卡、社交关系……通过广告ID和跨设备关联,早已被数据经纪商聚合成“可购买商品”;政府机构声称“这是公开市场可得数据,不需要令状”;但这些数据的原始采集,往往基于用户根本读不懂的“同意”条款,所谓“知情同意”形同虚设。
Bowman警告:行政便利从来不是绕过公民基本权利的理由。
对中国网安从业者的三大启示
虽然发生在美国,但这条“商业数据→政府执法”的路径,对国内安全圈同样是醒目的红灯:
数据经纪人生态高度全球化,很多国内App的SDK,底层走的依然是海外广告联盟。你的用户位置数据,可能早已经被聚合后卖到了ICE或其他情报机构手里。“合规数据”正在成为绕过监管的灰色通道。
类似《个人信息保护法》《数据安全法》对跨境传输有严格限制,但如果数据以“广告合规”名义先出境、再被外国政府采购,监管链条就断了。企业出海时,务必审计SDK隐私合规性。
个人/企业防御窗口正在快速变窄:关闭手机广告个性化追踪;对非必要App拒绝位置权限,尤其是车载系统、智能家居设备;企业侧:加强App隐私合规审计,优先选用有明确“不卖数据”承诺的广告平台;部署移动端MTD,监控异常数据外发行为。
立法与行业反击的微光
EFF和CDT都力推《第四修正案不售卖法案》,要求执法机构购买敏感数据前必须先拿到搜查令。该法案已在2024年获众议院通过,但参议院至今未动。
国内同行可以借鉴:加强数据出境合规审查、推动更细化的位置数据分类分级,让“广告数据”不再成为外国政府绕过监管的万能钥匙。
别等数据变成“武器”,再后悔没早做防御
ICE这份RFI,不是技术新闻,而是整个数字监控商业模式的缩影。当广告科技越发达,外国政府绕过司法审查的路径就越多。作为网安人,我们既是防御者,也是潜在的数据源头守护者。别把隐私防护当成“用户侧的事”,它早已是企业合规、业务出海、国家安全的必修课。
