州医保交易所用户敏感数据泄露给科技巨头

据彭博新闻社周日发布的一项调查显示，美国20个州立医疗保险市场中，几乎所有平台都嵌入了广告追踪器，向主要科技公司传输用户的敏感个人信息。

调查发现，这些像素级追踪器——通常用于数字广告的隐形代码片段——将包括种族、公民身份、邮政编码以及家庭成员服刑情况在内的数据，传输给了 Meta、TikTok、Google、LinkedIn 和 Snap 等公司。超过700万美国人通过这些州立平台购买了2026年的医疗保险，由此形成了一个流向广告网络的庞大敏感数据池。

共享了哪些信息

华盛顿特区的医保交易所将申请人的性别和公民身份信息传输给了TikTok，此外还包括追踪器未能有效过滤的种族数据。特区交易所发言人向彭博社表示，居民的电子邮件地址、电话号码和国家标识符也被分享给了TikTok。

在弗吉尼亚州，用户输入的邮政编码——用于估算保险费用——通过一项追踪功能传输给了Meta，该功能旨在将用户与其Facebook主页关联，以实现定向广告投放。TikTok的像素追踪器尝试对部分信息进行脱敏处理，但效果并不一致，某些数据点被屏蔽，而其他数据点则仍处于暴露状态。

监管漏洞

州政府官员表示，这些追踪器的嵌入是为了衡量营销活动效果，并向潜在参保人投放定向广告。但调查揭示，这些工具所收集的信息远超当局所知晓的范围。

多个州直到彭博社就此事联系其置评后才采取行动。华盛顿特区暂停了TikTok追踪器的推广，弗吉尼亚州则在彭博社发现其网站正在共享用户邮政编码后，将Meta的追踪器从该网站上移除。上述调查结果揭示出一项监管漏洞：涉及追踪像素时，州级医疗保险交易平台不受HIPAA（《健康保险流通与责任法案》）的常规保护约束，且目前也没有任何联邦隐私法对此类数据共享行为进行全面规范。

反复出现的问题

彭博社的调查结果印证了此前多项类似报道。2025年，The Markup 与 CalMatters 联合调查发现，加利福尼亚州、内华达州、缅因州、马萨诸塞州和罗德岛州的医疗保险交易所通过网络追踪器，将处方药名称、剂量及健康状况等信息发送给谷歌、领英和Snapchat。联邦贸易委员会此前曾对数字健康平台 GoodRx 和 BetterHelp 共享用户健康数据的行为采取执法行动，然而由各州运营的医疗保险交易所迄今尚未受到类似的追责。