6 月 4 日,马萨诸塞州众议院以 146 比 0 全票通过《消费者数据隐私法》(S2619),正式把“精确位置数据”列入禁止交易清单。州参议院 2025 年 9 月已先行以 40 比 0 通过本院版本,两院文本合并后预计数周内送州长签字,届时麻省将成为美国东部第 7 个、东北部第 2 个综合隐私州。表面看,这又是一个州级数据保护法,但它有两个不寻常的细节:一是把“游客”也纳入保护范围(意味着只要数据采集点在麻省,无论主体是不是本州居民都受约束),二是“精确位置”被明确定义为“可识别半径 1850 英尺以内位置的坐标”。在联邦层面,特朗普政府已于 2025 年 5 月正式废除了拜登时代“禁止数据经纪商出售美国人敏感数据”的行政令,联邦层面“位数据交易监管”长期缺位。这条州法,本质上是一道“州级监管正在替代联邦空转”的公告。

一、新法的核心条款:把“精确位置数据”明文列入禁售清单

麻省众议院本周通过的《消费者数据隐私法》文本有三条值得拆开看。

第一条:把“敏感数据”的范围明文列出。 法案要求,在处理消费者的“敏感数据”之前,企业必须获得“明确且单独的肯定授权”(opt-in),而不是默认勾选。敏感数据包括:生物识别数据(指纹、面部特征、虹膜)、健康与基因信息、宗教信仰、移民身份、性取向——以及精确地理位置数据。

“精确地理位置”在法案里被明确定义为“可识别半径 1850 英尺(约 564 米)以内位置的地理坐标”。换句话说,只要 GPS 坐标能把一个人定位到一栋具体建筑、一个十字路口、一间诊所、一个聚会场所,这个坐标就属于“敏感数据”,不能在没有 opt-in 的情况下买卖、共享或转售给第三方。

第二条:对“游客”也适用。 这是麻省这条法律最值得跨境科技公司注意的细节。法案把“消费者”明确定义为“麻省居民或在麻省境内的自然人”,而不仅仅是户籍意义上的本州居民。这一句话的实际含义是:只要数据采集发生在麻省境内(比如一个用户在新贝德福德的海边拍了张照,或者在波士顿 Logan 机场连了一次机场 Wi-Fi),哪怕这个人来自新罕布什尔、纽约、佛罗里达或者是中国,他们的位置数据也受麻省法管辖。

这等于把“在麻省做生意”的科技公司,按“行为发生地”而不是“主体户籍”重新做了一次合规切片。对任何面向美国市场的应用来说,麻省法不再只是“本州用户的合规问题”,而是“所有走过麻省境内的用户的合规问题”。

第三条:适用范围。 法案对“数据控制者”设了一个门槛:任何“在麻省境内处理或面向麻省消费者处理超过 10 万人个人数据”的企业,都要受这条法律约束。这条门槛既覆盖中型创业公司,也覆盖大科技公司;既包括总部在加州的科技巨头,包括面向美国市场但总部在海外的跨境 SaaS、AI 工具、社交应用。

需要注意的是,法案仍允许“经用户明确同意”的数据共享。这意味着它不是绝对禁止,是一道“先拿到 opt-in,再考虑商业化”的开关。问题是,数据经纪商过去十年的商业模式正是建立在“无需 opt-in 即可批量转售”之上。这条法律,等于把这条商业模式的法律基础直接抽走。

法案 S2619 的二审文本与立法史公开在马萨诸塞州议会官网(链接见文末)。在两院文本合并后,预计 6 月底前将送州长办公室,州长 Healey 此前已多次表态支持“数据隐私是一项基本权利”——法案最终签署几乎没有悬念。

二、跟 AI 训练数据的关系:州法 > 联邦豁免,大模型开始“州级审计”

把“精确位置数据”列入禁售清单,直接命中的不只是广告科技和数据经纪商,更是过去两年悄悄进入训练集的“美国境内位置坐标”。

2024 年起,美国媒体陆续披露 Anthropic、OpenAI、Google 在训练数据里使用了大量公开的位置数据:商户评论里的 GPS 标签、社交媒体签到数据、地图服务的兴趣点(POI)标注、出行应用的位置时间序列等。这些数据,严格意义上属于“美国境内可定位到 1850 英尺以内的坐标”,完全在麻省新法的“敏感数据”定义之内。

关键的法律问题在于“联邦豁免”不适用。 长期以来,美国 AI 训练数据的合规讨论,大多建立在“训练用数据属于合理使用”、“通用数据保护不针对 AI 训练场景”等联邦层面论述上。但麻省这条法律走的是州法路线,受约束的是“在麻省境内处理个人数据的企业”和“面向麻省消费者提供商品服务的企业”,不依赖联邦层级的“合理使用”豁免。州法的优先级不靠“联邦是否禁”决定,靠“是否在本州发生”决定。

实操含义有三层:

  • 第一层,任何模型如果用到了“在麻省采集的位置数据”,无论后续是否在加州、纽约或境外完成训练,这条模型的部署方、API 提供方如果面向麻省市场,都构成“对麻省消费者处理敏感数据”——必须先拿到 opt-in。
  • 第二层,数据来源方(应用、平台、经纪商)在把数据卖给模型训练方时,等于承担了“协助售卖敏感数据”的责任链,这是州法层面的连带责任。
  • 第三层,因为麻省把“游客”也纳入保护,任何面向美国市场的模型,都要重新过一遍“训练数据中是否包含麻省境内采集的位置坐标”——这是一次实打实的“州级数据流审计”。

这条法律真正的影响,不是“美国多了一条州法”,而是“美国 AI 训练数据合规的执法主体,从联邦 FTC 切换到州 AG”。联邦层面,特朗普政府已经放弃了“数据经纪商规则”,州 AG 的执法就成为唯一可执行的牙齿。

三、从“联邦空转”到“州级实操”:美国 AI 监管的范式切换

把麻省这条法律放进美国州级隐私立法的全图,可以看出一个更长的趋势线。

美国目前还没有一部联邦层面的综合隐私法。2022 年 ADPPA(美国数据隐私与保护法)在参议院被搁置,此后拜登政府试图通过行政令与“数据经纪商规则”在联邦层面堵口子,但 2025 年 5 月特朗普政府以“减少监管负担”为由正式废除了拜登时代的“数据经纪商规则”,联邦层面在“敏感数据交易”上的监管长期缺位。

空出来的真空,被各州填上。截至 2026 年 6 月,美国已有 20 个州生效或通过了综合隐私法,从西部沿海的加州(CCPA/CPRA)、俄勒冈(OCPA)、华盛顿(My Health My Data)、弗吉尼亚(VCDPA)、科罗拉多(CPA)、康涅狄格(CTDPA)、犹他(UCPA),到中西部的爱荷华、明尼苏达、印第安纳、肯塔基、马里兰、纽约,再到南部的田纳西、得克萨斯、新泽西,以及东北部的麻省、佛蒙特。州法之间的口径差异不小:有的覆盖“精确位置”,有的不;有的对“游客”适用,有的只对本州居民;有的设 10 万人门槛,有的设 5 万;有的对健康数据要求 opt-in,有的允许 opt-out。

但 2026 年这个窗口期内,州法开始出现两条共同的“升级路径”:

  • “敏感数据”定义在收紧。 加州 2023 年通过 CPRA 修正案率先把“精确位置”列入敏感数据;康涅狄格 2024 年跟进;佛蒙特 2025 年通过 VCDPA 修订版;麻省 2026 年 6 月 4 日全票通过。正在审议中的纽约《S929》和新泽西《A4903》也都包含类似条款。
  • “行为发生地”在扩域。 麻省把“游客”纳入保护,意味着“在麻省发生的数据”开始走“行为地法”而不是“主体地法”。这一改,直接影响所有面向美国市场提供服务的跨境应用、AI 工具、电商平台。
美国州级隐私立法时间线
图1:美国“敏感数据”州级监管时间线(2018–2026)

这条图想说明的事是:美国在“敏感数据州级监管”上,已经从 2018 年加州 CCPA 一家独行,走到 2026 年 20 个州累计生效的“州级监管网络”。麻省这次的 146-0 全票,意味着这一波州法已经越过了“党派分歧”,进入“两党共识”区间——后续被联邦层面接纳或被州 AG 推为执法重点,只是时间问题。

四、跨境科技公司的“美国数据流”开始要“州级审计”

把视角切换到跨境科技公司。麻省这条法律,加上加州、得州、纽约、新泽西等近 10 个州已经生效或正在审议的同方向立法,意味着任何一家面向美国市场提供服务的中国科技公司,都将在 2026 年下半年进入“州级数据合规”窗口期。

三个具体动作开始变得急迫:

第一,数据流审计。 在美国有用户的产品,需要在产品架构层面区分“哪些用户在哪个州”已不够用——因为麻省等州把“行为发生地”也纳入了适用范围。需要重新做“按地理行为切片”的数据流图:用户登录位置、IP 归属、设备 GPS 读数、广告 SDK 拉取的位置标签、AI 训练数据中是否有“在麻省境内采集的位置坐标”,都要被单独列出来。

第二,训练数据血缘。 对任何一家用第三方语料、公开抓取数据或合作方提供的数据来训练自有模型的 AI 公司,都需要建立“训练数据血缘表”——这份表要能回答“我们的训练集中,有多少条目是来源于美国境内采集的位置数据”。这不只是一个合规动作,这是接下来两年州 AG 调查的“第一道关”。

第三,合同层 opt-in 链。 对面向美国市场的 B2B SaaS、广告平台、AI 工具,需要在与下游分发方、渠道方、应用方的合同里,补上“美国敏感数据 opt-in 链”条款。下游合作方拿到数据后,如果转售给一个州法禁止的第三方,合同方需要承担连带责任。这条“链”的颗粒度,要从“用户协议”层做到“数据合作合同”层。

一个反直觉的事实是:对真正“端到端全栈在美国做”的科技公司(美国团队、美国服务器、美国用户),这些动作其实早就在做,影响有限;对“美国以外团队、但服务美国市场”的公司(也就是绝大多数中国出海公司),这些动作才刚开始,2026 年下半年是窗口期。

五、启示:接下来怎么办

对普通读者,这次事件最值得记住的一句话是:在美国做 AI 产品,联邦豁免不是护身符,州法才是天花板。

对产品经理,先做一次“州级数据流切片”。把产品里的位置数据流(广告 SDK 拉取、设备 GPS、签到打卡、地图搜索)按“行为发生州”切片,做一份“州级敏感数据分布表”。加州、得州、纽约、新泽西、麻省这五个州,是 2026 年最需要先做的对象。

对数据/AI 团队,建立“训练数据血缘表”。这不只是一个合规文档,也是接下来两年州 AG 调查时“我们到底用了哪些数据”的唯一证据。建议在 Q3 2026 内把“按数据源、按地理位置、按是否敏感”三维度切片的血缘表跑出来。

对出海公司,合同层补 opt-in 链条款。与下游分发方、SDK 提供方、数据合作方的合同,需要把“美国敏感数据 opt-in 链”作为独立条款,不能藏在“用户协议”或“隐私政策”里。这一条,接下来 12 个月是合同改签的高峰期。

对创业者,重新评估“位置数据变现”作为商业模式的合规成本。过去十年美国本土“位置数据 + 广告”形成了一条成熟的变现链(LBS 广告、POI 推荐、出行洞察),这一波州法之后,这条链的合规成本会显著上升,商业模式需要重写。

六、写在最后

麻省这条法律,表面看只是又一条州级数据保护法。但它把“精确位置数据”明文列入敏感数据、把“游客”也纳入保护、并将州法的优先级凌驾于联邦“合理使用”论述之上,意味着美国 AI 训练数据合规的执法权,正在从联邦 FTC 切到州 AG。

州级监管正在替代联邦空转。

在麻省通过立法的同一天,纽约州《S929》法案、新泽西州《A4903》法案都还在参众两院审议中。2026 年下半年,这个州级监管网络还将继续扩张。

参考来源

  • TechCrunch 2026/06/08: Massachusetts votes to pass new privacy rights bill that bans sale of precise location data
  • Massachusetts 州议会 S2619 立法史:https://malegislature.gov/Bills/194/S2619/BillHistory
  • WBUR 2026/06/05: Massachusetts Beacon Hill data privacy sale consent
  • Hacker News(2026/06/08)对 TechCrunch 报道的社区讨论
  • TechCrunch 2025/05/14: White House scraps plan to block data brokers from selling Americans’ sensitive data
  • TechCrunch 2026/03/18: FBI is buying location data to track US citizens(Kash Patel/Wyden)
  • Fight for the Future、ACLU 对麻省法案的公开声明(2026/06/04)

本文由 AI 协助撰写, 最终内容由本站编辑团队审核。