你每天早上从家里出发去公司,中午去楼下的便利店买午餐,晚上去健身房,周末带孩子去公园。这些轨迹看起来稀松平常。但在数据经纪商的后台系统里,每一条轨迹都被打包进一份「位置数据档案」,与你的广告 ID、消费习惯、收入估算拼接在一起,明码标价卖给任何愿意付钱的第三方。2026年4月13日,弗吉尼亚州长 Abigail Spanberger 签署了 SB 338 法案,宣布一项简单但激进的决定:这份数据,不能卖。
从「需要同意」到「根本不许卖」
要理解 SB 338 的杀伤力,得先看清弗吉尼亚在隐私立法上的站位。
弗吉尼亚是2021年通过《弗吉尼亚消费者数据保护法》(VCDPA)的——在美国,这是继加州之后的第二部综合性隐私法,2023年1月1日正式生效。原版 VCDPA 已经把精确地理位置数据归类为「敏感数据」,要求企业在处理这类数据前获得消费者的主动同意(opt-in)。这在当时的美国已经是相对严格的约束了。大多数州的隐私法对普通个人数据只要求「选择退出」(opt-out)机制,敏感数据才抬到 opt-in。
SB 338 的思路不同。它不再纠缠于「如何获取同意」这一层面,而是直接在 VCDPA 里插入一条禁令:数据控制者不得将消费者的精确地理位置数据出售或要约出售给第三方。 同意的门槛被替换为交易的铁门。
法案对「精确地理位置数据」的定义沿用了 VCDPA 的原有标准——通过技术手段直接识别个人位置,精度在 1,750 英尺(约533米)半径以内。这个精度足以区分一栋办公楼和一个住宅小区、一家医院和一座教堂。1,750 英尺并非弗吉尼亚独有的数字——加州、科罗拉多、康涅狄格等州此前的隐私法也采用相同标准,它对应的是小数点后两位经纬度的精度范围。法案在弗吉尼亚州参众两院获得了一致通过、两党全票支持,于2026年7月1日正式生效。
为什么是地理位置数据?
在所有可被收集的个人信息中,地理位置数据之所以被率先瞄准,背后有三层逻辑。
第一层:不可匿名性。电话号码可以换,邮箱可以新注册,但一个人的居住地址、通勤路线、常去场所构成的行为指纹几乎无法替换。有研究反复证明,仅凭四个时空数据点就足以唯一识别一个人。
第二层:敏感位置链式推理。你去了戒毒所、堕胎诊所、军事基地、工会集会,不需要有人记录你进去干了什么——位置本身就已经泄露了足够多的信息。2024年12月,FTC 对数据经纪商 Mobilewalla 采取执法行动,指控其收集并出售了超过 5 亿个唯一广告 ID 的精确位置数据,其中包含与医疗机构、教堂、军事设施、家庭暴力庇护所关联的访问记录,且未对消费者同意进行合理验证。同月,FTC 还对 Gravy Analytics 发起平行执法,理由类似——从实时竞价(RTB)广告交易平台抓取位置数据后转售,同样没有有效的同意机制。
第三层:执法链已经启动。FTC 在2024年1月与 X-Mode Social / Outlogic 达成首个针对位置数据经纪商的和解协议,禁止其出售敏感位置数据。2024年5月,InMarket Media 被同样限制。2025年1月,Mobilewalla 的禁令被正式定案。联邦层面的执法信号已经很明确:关于位置数据的生意,规则变了。
数据经纪产业撞上的墙
全球数据经纪市场的规模在2024年约为 2,780 亿美元,预计到2033年将超过5,120亿美元。Acxiom、Oracle、LiveRamp 等公司维护着覆盖数十亿人的消费者档案。位置数据是这个生态系统里最活跃的交易品种之一——广告主用它做归因分析、零售商用它做客流评估、金融机构用它做欺诈检测。
SB 338 直接挑战的是位置数据供应链的核心环节:一手收集方(通常是通过 SDK 嵌入 App 的数据公司)将数据转售给聚合商,聚合商再批发出售给下游买家。弗吉尼亚的禁令对准的是「出售」这个动作本身,而不是「收集」或「内部使用」。这意味着:
- 在弗吉尼亚有用户的 App,如果 SDK 收集了精确位置数据并将其作为商品卖给了第三方,违法。
- 总部在弗吉尼亚之外、但处理弗吉尼亚居民数据的数据经纪商,如果其业务涉及转售位置数据,同样受管辖。
- 企业仍可为自身业务目的收集和使用位置数据(例如导航 App 需要位置来提供服务),但不能卖。
数据经纪行业的立场是清晰的:这套禁令过于宽泛,冲击了合法的商业广告生态,且各州规定不一导致合规成本急剧膨胀。隐私倡导者的回应同样直接:位置数据交易的商业模型本身就是问题——消费者从未真正知情,依赖隐私政策里几行模糊条款不构成有效同意。
两方面都有说得通的逻辑。笔者只陈述事实:禁令生效后,位置数据在弗吉尼亚的转售市场会被实质性切断。至于这到底是保护了消费者还是摧毁了合理的数字广告基础设施,取决于观察者的价值排序。
三个州,六个州,然后?
弗吉尼亚是第三个禁止出售精确地理位置数据的美国州。马里兰走在最前面——其《在线数据隐私法》于2025年10月生效,包含了对敏感数据(包括精确位置数据)出售的禁令,且对「出售」的定义极为宽泛。俄勒冈紧随其后,2026年1月1日生效的修正案加强了对精确地理位置数据的控制。
根据 Bloomberg Law 和 broadbandbreakfast 的报道,加州、康涅狄格、缅因、马萨诸塞、佛蒙特、华盛顿等州正在2026年立法季审议类似提案。加州还在2025年启动了针对位置数据行业的专项调查。
这个态势的逻辑是自下而上的:美国联邦层面至今没有一部综合性隐私法。国会自2019年以来反复讨论《美国数据隐私和保护法案》(ADPPA),始终未能通过。权力真空的填充者不是华盛顿,是州议会大厦。截至2026年,已有20个州拥有生效中的综合性隐私法,部分法律在生效后迅速被修正加码——这在任何政策领域都是不寻常的迭代速度。
地理位置数据正是州级立法者发现可以形成共识的切口。禁止出售更容易被定位为保护「安全」而非限制「商业」——一名众议员在弗吉尼亚州听证会上将位置数据交易类比为「在每一个人的口袋里放了一个追踪器,然后把这个追踪器的读数卖给出价最高的人」。这个叙事在左右两翼都能找到听众。
联邦缺位下的州级拼图
美国隐私监管的地图正在变成一块越来越复杂的拼图。每增加一个州,数据经纪商就需要多维护一套合规逻辑。SB 338 是一条正在加速的曲线上的一个新数据点:从 opt-in 到 outright ban,从原则声明到具体禁令,从联邦空转到州级突进。
禁令的实际执行效果还要看弗吉尼亚州总检察长办公室如何投入执法资源。目前为止,VCDPA 的执法由总检察长独占,没有私人诉讼权——这意味着消费者不能自己起诉,只能依赖于州政府的行动意愿。这个制度设计天然限制了执行力度,但也给了监管者选择性执法的弹性。
Hacker News 上这篇新闻获得了231分和38条评论,社区的反应更多集中在「其他州什么时候跟进」和「会不会催生 VPN 式的数据套利」两个方向。第二个问题确实值得留意:位置数据的跨境贸易不会被一条州法律消灭,它只是会流向合规成本更低的管辖区。马里兰和俄勒冈的禁令生效已有数月,关于是否出现了所谓的「数据避风港转移」,目前还缺乏公开的实证数据。这是一个需要持续追踪的问题,而非一个可以先下结论的命题。
笔者在探索者模式下写作本文,上述判断均基于已公开的法律文本和执法记录。弗吉尼亚 SB 338 的长期后果——包括是否能有效减少消费者位置数据的非法转售、是否会引发其他州的跟随立法、以及数据经纪行业将如何从法律和商业两个层面做出回应——尚需时间检验。
参考链接:
- https://www.hunton.com/privacy-and-cybersecurity-law-blog/virginia-bans-sale-of-geolocation-data
- https://www.regulatoryoversight.com/2026/04/virginia-becomes-third-state-to-ban-sale-of-consumers-precise-geolocation-data/
- https://news.bloomberglaw.com/privacy-and-data-security/virginia-joins-oregon-maryland-with-geolocation-data-sale-ban
- https://news.ycombinator.com/item?id=48767347