谷歌向ICE交数据不通知用户，EFF要求两州调查

过去十年，谷歌向数十亿用户承诺：执法机构调取你的数据前，我们会先通知你。但2024年5月，康奈尔大学前博士生Amandla Thomas-Johnson发现，这个承诺可能是个谎言——国土安全部（DHS）调走了他的个人邮箱数据，而他的学校邮箱是否被同步调取，至今成谜。

电子前沿基金会（EFF）本周向加州和纽约州总检察长提交正式投诉，指控谷歌存在"系统性欺骗性商业行为"。核心指控很尖锐：谷歌为"节省时间和避免延迟"，在部分情况下绕过用户通知流程，直接向执法部门交出数据。

这不是抽象的政策争议。Thomas-Johnson因参与校园亲巴勒斯坦活动，在特朗普政府针对性抓捕学生积极分子的背景下，于2024年4月主动离境。一个月后，他收到谷歌通知——DHS已传唤其个人邮箱。但他向康奈尔大学询问学校邮箱情况时，校方沉默以对。

「关键问题是，他们是否也在用我们的（康奈尔）邮箱追踪我们，」Thomas-Johnson对校媒《Cornell Daily Sun》说。

十年承诺与"隐藏操作"的裂缝

EFF的投诉信逐条拆解了谷歌的公开承诺。2016年透明度报告中，谷歌写道："我们的政策是通知用户任何法律程序，除非法律禁止。"2023年隐私政策更新后，表述微调为"除非法律禁止或存在真正紧急情况"，但核心承诺未变。

投诉信指出，Thomas-Johnson案暴露了谷歌执行层面的漏洞。根据EFF掌握的信息，谷歌内部存在一种"隐藏但系统性的做法"——在某些情况下，数据被直接移交，用户通知被跳过，理由是"节省时间、避免延迟"。

这种做法的隐蔽性在于：用户永远不会知道自己被"静默移交"了。只有当像Thomas-Johnson这样，个人邮箱和学校邮箱分属不同管辖主体时，裂缝才会暴露——谷歌通知了个人邮箱的调取，但对学校邮箱的潜在调取保持沉默。

康奈尔大学的情况尤为复杂。该校使用Google Workspace for Education，理论上受《家庭教育权利和隐私法》（FERPA）保护。但EFF投诉信暗示，这种"教育场景"可能成为规避用户通知的灰色地带——当数据请求通过学校行政渠道而非直接面向谷歌时，通知链条可能断裂。

执法数据请求的冰山一角

谷歌最新透明度报告（2024年上半年）显示，美国执法部门向其提交了约8.2万次数据请求，涉及超过15万个账户。谷歌对其中约82%的请求提供了部分或全部数据。

关键数字是"延迟通知"的比例。谷歌报告披露，约7%的案例中，通知被完全禁止（通常因法院命令）；另有未公开比例的案例中，通知被"延迟"——延迟时间从几天到数年不等。

但EFF指控的是另一回事：完全绕过通知流程的"静默移交"。这类操作不会出现在透明度报告中，因为谷歌从未定义其为"延迟通知"——它们根本不被记录为"未通知"，而是被归类为"已合规"的常规流程。

Thomas-Johnson的遭遇提供了罕见的外部验证。他同时是个人Gmail用户和康奈尔Google Workspace用户，两个账户的差异化处理，让"系统性差异"浮出水面。

「谷歌发言人当时对《Sun》的回应很标准：『我们的执法传唤处理流程旨在保护用户隐私，同时履行法律义务。』」EFF高级律师Saira Hussain在投诉信附注中评论，「但当'保护隐私'和'履行义务'冲突时，谷歌选择了后者，而且不让用户知道。」

ICE数据调取的特定风险

投诉信将焦点对准移民与海关执法局（ICE），并非偶然。2024财年，ICE向谷歌等科技公司提交的数据请求同比增长34%，远超其他联邦执法机构。

更关键的是ICE的"广泛撒网"策略。与传统刑事调查针对特定嫌疑人不同，ICE常基于地理位置、学校注册记录等批量获取数据。例如，2023年曝光的"地理围栏令"（Geofence Warrant）案例中，ICE曾要求谷歌提供特定时间段内、特定区域（如移民法庭周边）的所有设备标识符。

这类请求的法律边界模糊。2023年Carpenter v. United States案后，最高法院限制了对手机位置数据的无令状调取，但ICE转而依赖"行政传唤"（Administrative Subpoena）——无需司法审查，由机构内部授权即可签发。

Thomas-Johnson案的特殊性在于：他的个人邮箱调取使用了行政传唤，而学校邮箱的潜在调取可能通过《高等教育法》第117条（要求学校报告外国学生信息）或其他行政渠道完成。多重法律工具的叠加，使传统"通知-异议"机制失效。

EFF在投诉信中要求两州总检察长重点调查：谷歌是否将"行政传唤"与"司法令状"区别对待，对前者执行更宽松的通知政策？

州级执法的杠杆效应

选择加州和纽约州，EFF的诉讼策略经过精密计算。

加州拥有全美最严格的消费者隐私法《加州消费者隐私法》（CCPA）及2020年修正案《加州隐私权法》（CPRA）。根据CPRA第1798.185(a)(15)条，企业"欺骗性"处理个人数据可面临每次违规最高7500美元罚款。若EFF能证明谷歌的"系统性静默移交"构成对数十亿用户的欺骗，潜在罚款规模将极为可观。

纽约州虽无同等力度的隐私立法，但其《一般商业法》第349条禁止"欺骗性商业行为"，且州总检察长Letitia James以对科技巨头的激进诉讼闻名——她曾成功起诉Facebook（现Meta）和Google的反竞争行为，分别获得50亿和7亿美元和解。

两州的选择还有管辖权考量。谷歌母公司Alphabet的总部在加州，而康奈尔大学位于纽约州，Thomas-Johnson的数据调取发生地横跨两州。EFF希望创造"双重压力"，迫使谷歌在任一州调查启动前主动整改。

更深层的目标是判例突破。美国联邦层面缺乏全面的隐私立法，各州碎片化监管成为事实上的标准制定者。若加州或纽约州认定谷歌的通知政策构成"欺骗"，将直接影响其他州同类诉讼的走向，甚至倒逼联邦立法。

Google Workspace的"通知黑洞"

投诉信中最具技术细节的部分，涉及Google Workspace for Education的数据流架构。

与个人账户不同，教育机构部署的Google Workspace存在"双重控制"结构：学校IT部门拥有超级管理员权限，可访问所有账户数据；谷歌作为技术提供方，保留响应执法请求的独立能力。这种架构在合规场景中设计，却创造了通知责任的真空地带。

当ICE向康奈尔大学而非直接向谷歌请求数据时，流程可能完全绕过谷歌的用户通知系统。学校层面的FERPA合规审查，与谷歌层面的"法律有效性审查"形成并行轨道，用户被夹在中间，无从知晓哪一方、在何时、移交了什么。

Thomas-Johnson的追问——"他们是否也在用我们的邮箱追踪我们"——至今没有答案。康奈尔大学拒绝对《Cornell Daily Sun》置评，谷歌发言人2024年5月的声明也未区分个人账户与机构账户的处理差异。

EFF在投诉信中援引了2022年的一起相关案例：洛杉矶联合学区使用Google Workspace期间，警方通过学校行政渠道获取学生邮件，家长和学生从未收到任何通知。该案以学区支付和解金告终，但未触及谷歌的责任边界。

透明度报告的"统计魔术"

谷歌自2010年起发布透明度报告，被业界视为"负责任的数据治理"标杆。但EFF投诉信逐条拆解了其统计口径的隐蔽操作。

核心问题在于"账户"的定义。当一个执法请求涉及某用户的Gmail、云端硬盘、YouTube观看历史、位置历史等多个服务时，谷歌计为"一个账户"；但若该用户同时是Google Workspace教育版用户，其学校账户被单独计算——即使两个账户关联同一自然人。

这种拆分使跨账户追踪难以识别。Thomas-Johnson的个人账户和学校账户若被分别调取，在透明度报告中将显示为两个独立事件，而非针对同一人的协同监控。

更隐蔽的是"通知状态"的分类。谷歌将"延迟通知"与"禁止通知"合并披露，但不公布"延迟"的具体时长分布。EFF通过信息自由法（FOIA）请求获得的内部邮件显示，某些"延迟"实际持续数年，直至相关调查结案——此时通知已失去意义。

投诉信要求两州总检察长强制谷歌披露：过去五年中，有多少用户数据被移交后，通知被永久搁置（即调查从未正式结案，或谷歌从未跟进触发通知）？

行业镜像：苹果、微软的不同选择

EFF的投诉虽未直接点名竞争对手，但隐含了行业比较的维度。

苹果在2021年更新其执法指南，明确要求"除非法律禁止，否则在用户数据被提供前通知用户"。关键差异在于执行机制：苹果将通知嵌入技术流程——数据解密前自动触发用户警报，无法被人工环节绕过。

微软的立场更为复杂。其2023年透明度报告显示，约12%的执法请求涉及"国家安全信函"（NSL），此类请求依法禁止通知。但对于非NSL请求，微软承诺"尽快通知"，并公开披露了过去五年因"延迟通知"引发的诉讼数量（17起）。

谷歌的困境在于规模。其服务覆盖全球20亿以上账户，执法请求量远超苹果和微软之和。EFF在投诉信中承认这一现实，但反驳称："规模不能成为系统性欺骗的借口。如果通知流程无法在技术层面强制执行，承诺本身就是虚假的。"

一个未被投诉信提及但值得观察的变量：谷歌2023年推出的"高级保护计划"（Advanced Protection Program）。该计划面向高风险用户（记者、人权工作者、政治活动家），承诺"额外的数据访问审查"。但Thomas-Johnson作为参与政治活动的学生，并未被纳入该计划——其准入标准由谷歌单方面制定，缺乏外部监督。

政治气候与法律工具的共振

Thomas-Johnson案的时间节点，放大了其象征意义。

2024年春季，特朗普政府重启"中国行动计划"（China Initiative）的变体，针对参与亲巴勒斯坦活动的外国学生。Mahmoud Khalil（哥伦比亚大学）、Mohsen Mahdawi（哥伦比亚大学）、Rümeysa Öztürk（塔夫茨大学）等案例相继曝光，显示ICE与高校行政系统的数据协作正在强化。

在此背景下，谷歌作为基础设施提供者的角色变得敏感。其服务渗透美国90%以上高校，Google Workspace for Education覆盖超过1.5亿学生和教师。当政治压力通过行政传唤传导至数据层，技术平台的"中立性"承诺受到根本挑战。

EFF的投诉策略也反映了公民社会的适应。传统上，针对政府监控的诉讼依赖第四修正案（禁止无理搜查）或第一修正案（保护言论自由）。但Thomas-Johnson案显示，当监控通过"公私合作"完成时，宪法权利的保护出现缝隙——用户与谷歌之间存在合同关系，与ICE之间却没有直接法律联系，难以提起传统诉讼。

州级消费者保护法的优势在于：将问题重新框架为"商业欺骗"，绕过宪法诉讼的复杂举证要求。若谷歌的承诺构成营销陈述，其未履行即可能触发民事责任，无需证明政府行为本身违法。

谷歌的回应与潜在整改

截至投诉提交，谷歌未对EFF的具体指控作出逐项回应。其2024年5月对《Cornell Daily Sun》的声明，仍是唯一公开表态。

但内部信号显示调整压力。2024年下半年，谷歌隐私团队 reportedly 重新评估了Google Workspace的通知流程，考虑将"机构账户"纳入统一通知框架。该评估尚未转化为公开政策更新。

更根本的冲突在于法律架构。美国《存储通信法》（SCA）第2705条允许法院命令延迟通知，但并未授权企业自行决定跳过通知。EFF的指控实质是：谷歌在某些场景下，以"效率"为由行使了法律未授予的自由裁量权。

若州调查启动，谷歌可能面临两难：披露内部流程将暴露合规漏洞；拒绝配合则可能触发藐视法庭或更高额罚款。2023年Twitter（现X）因拒绝配合加州总检察长调查，曾被处以每日3.5万美元罚款，直至妥协。

用户能做什么？技术层面的有限对抗

投诉信发布同期，EFF同步发布了用户自保指南。核心建议包括：

第一，分离身份标识。避免使用同一手机号或备用邮箱绑定个人Gmail与机构账户，减少跨账户关联风险。

第二，启用"高级保护计划"。尽管准入标准不透明，但一旦纳入，其额外的审查层级可能延缓数据移交。

第三，定期导出数据。谷歌"Takeout"功能允许用户下载完整数据档案，可作为"数据是否被调取"的间接验证——若某时段数据异常缺失，可能暗示执法介入。

但这些措施的效用有限。EFF承认，在"静默移交"场景下，用户本质上处于信息盲区。真正的改变依赖制度层面：要么谷歌重构技术流程使通知不可绕过，要么立法强制要求"通知优先"原则。

欧盟《数字服务法》（DSA）提供了参照。该法第13条要求平台在"任何内容或账户限制"前通知用户，仅允许极窄的例外。谷歌在欧盟市场的合规实践，证明技术层面的"强制通知"并非不可行——差异在于法律压力的有无。

开放提问

当一家公司的隐私承诺写在营销材料里，却绕开在技术架构中，这个承诺值多少钱？EFF的投诉把这个问题抛给了加州和纽约州的执法者，也抛给了每一个把数据存在谷歌服务器上的人。如果"通知用户"可以为了效率而被悄悄跳过，那么"保护隐私"是否也只是另一句可以灵活解释的广告语？当政治压力通过行政传唤传导至数据层，我们依赖的究竟是法律的保护，还是公司公关部门的风险计算？