一、监管重点
这次焦点不是是否继续保护位置数据,而是 FCC 能否继续用现有行政执法路径开罚。美国最高法院在 2026 年 6 月 4 日支持 FCC,等于确认通信监管处理 CPNI、实时位置数据和第三方共享失控问题时,仍可先由机构作出罚没决定,再进入司法复核;对 AT&T、Verizon 而言,这意味着围绕程序合宪性的拖延空间被压缩,隐私执法不必重走更慢的民事起诉路线。
二、对企业的影响
对企业通信团队来说,风险点会从「是否有用户同意」继续延伸到「是否能证明下游使用受控」。如果号码验证、短信路由、反欺诈、营销归因或客服定位链路接触到位置或网络使用数据,监管会追问供应商、聚合商和内部系统之间的授权、最小化和审计留痕,而不是只看隐私政策页面。对于 CPaaS、MVNO、运营商合作项目和移动广告技术栈,合同分责写得模糊,未来就更容易被认定为控制失效。
三、操作建议
现在更应把位置数据、信令数据、呼叫明细衍生标签和 CPNI 放进同一张数据流转清单,逐项标明来源、用途、保存期、出境路径和下游接收方。凡是涉及 OTP 风控、SIM 变更识别、漫游判断、LBS 服务、号码画像或广告归因的项目,都应补做供应商穿透审查,核对是否存在聚合转售、二次共享或超用途调用;如果做不到逐笔审计,至少要先把高风险接口降权、限期、去标识化。
常见问题
我们只做 OTP 和通知短信,也会受这类位置数据执法影响吗?
会,前提是你的风控、号码核验、漫游识别或送达分析接入了运营商位置、信令或 CPNI 衍生数据。监管不只看营销用途,也会看认证、反欺诈和运维场景是否超用途使用,以及第三方是否被过度授权。
和运营商或聚合商合作时,合同里最该补哪几类条款?
优先补四类:用途限制、禁止转售或二次共享、审计权和删除时限。若合同只写「为服务目的使用」而未细分 OTP、定位、反欺诈、分析等场景,未来很难证明供应商没有把同一批数据转作画像或商业化使用。
现阶段最容易被忽略的内部控制短板是什么?
最常见的是把数据分类做在政策里,却没做进接口和权限。很多团队知道位置数据敏感,但 API 仍允许宽字段返回、长期缓存或跨团队查询;一旦无法回答谁在何时为哪项业务调用过数据,合规风险就会迅速放大。
参考来源
本文仅供信息参考,不构成法律意见。