美医保市场把公民身份和种族数据共享给Meta、Google，亚特兰大CDC紧急审计

周一上午调查媒体The Markup发布一份长达38页的报告，指出美国联邦医保市场（healthcare.gov）以及多个州级医保市场，在过去至少两年里通过网页追踪代码把用户的公民身份、种族、家庭收入区间等敏感数据，分享给Meta、Google、TikTok三家广告平台。报告发布后，亚特兰大CDC（疾病预防与控制中心）总部成了风暴中心。

CDC局长Mandy Cohen发声明

CDC局长Mandy Cohen周一下午3点发出一份书面声明，确认CDC将与CMS（医疗保险与医疗补助服务中心）协调启动跨机构审计，"任何被识别为不当共享的追踪代码将立即被移除"。声明里特别提到"我们对所有利益相关者的隐私担忧高度重视"。Cohen本人当晚没有出席任何公开活动，行程被描述为"在Roybal Campus内部工作"。

佐治亚大学教授定性最严

佐治亚大学公共卫生学院教授Phaedra Corso周一晚接受当地媒体采访时给出的措辞是这次事件最严的定性："这是HIPAA法律实施15年来最大数据泄漏。"她解释说，公民身份和种族属于受HIPAA保护的"识别符"范畴，一旦与浏览行为绑定再传递给广告平台，就直接突破了HIPAA第164.514条的去标识化要求。

ACLU GA分会批评

本地组织ACLU佐治亚分会周一晚发出公开信，措辞是"系统性歧视风险"。ACLU GA法律主任Andrea Young指出，公民身份和种族数据一旦被广告平台拿到，可能直接影响算法对该群体的广告投放，"造成实质性歧视的链路就接通了"。ACLU GA已经在准备援引佐治亚州消费者保护法的可能诉讼。

Aflac、Mercer Atlanta办公室紧急合规

亚特兰大本地的两家保险大厂Aflac和Mercer的Atlanta办公室周一中午开始紧急合规审查。Aflac总部位于哥伦布但Atlanta销售办公室约有400人，周一下午在Buckhead办公楼内部开会。Mercer Atlanta办公室则把所有面向ACA市场的销售页面追踪代码暂时下线。两家公司的合规部门预计在72小时内完成第一轮内部清查。

ATL华裔健保社1500会员焦虑

亚特兰大本地华人健康保险协会"ATL华裔健保社"约1500名注册会员，周一晚在内部群里炸了锅。组织协调员说，最大的担忧是"很多老一辈会员是绿卡持有者，公民身份这一栏的填写本就敏感，现在又被广告商拿走"。组织准备本周三在Doraville一家社区中心组织一场Q&A，邀请本地律师讲解。

healthcare.gov的具体数据点

The Markup的技术分析显示，被传出去的字段包括：用户填写的"公民身份"（公民/绿卡/合法非移民/其他）、"种族族裔"（按ACA要求填写）、"家庭收入区间"（用于补贴计算）、"是否曾被诊断疾病"。最敏感的是"被诊断疾病"字段，The Markup发现这个字段在超过60%的被分析州医保市场页面里被Meta Pixel捕获。

CMS立场尚不明朗

CMS周一晚没有给出独立声明，仅由CDC的总声明涵盖。Capitol Hill几位民主党参议员在Twitter上呼吁CMS"独立回应"。FTC（联邦贸易委员会）有一位委员在私人场合表示，"如果The Markup的发现属实，FTC同意书的违反链路是清晰的"。

本地诊所反应

亚特兰大Grady医疗系统和Emory Healthcare周一下午分别向员工发出内部备忘录，要求IT团队核查所有面向公众的页面是否有第三方追踪代码。两家系统都不直接经营ACA市场，但页面追踪规范在医疗机构内部本就敏感。