|州立交易所廣植追蹤器
彭博新聞社使用瀏覽器開發者工具,系統審查全美20個州立健康保險交易所及華盛頓特區交易所的數千個網頁,發現幾乎所有州立交易所均植入廣告追蹤程式碼,並將用戶活動數據傳送至大型科技公司。2026年逾700萬名美國人透過上述州立平台購買健康保險,私隱保障因此受到廣泛質疑。各州政府設置追蹤器的原意,在於衡量宣傳推廣成效及向曾瀏覽網站的用戶投放廣告,惟實際傳送的數據遠超官員所意識到的範圍。
各州洩露的數據種類不一,涉及個人資料的廣度令私隱專家深感憂慮。華盛頓特區交易所將申請人的性別及公民身份回覆傳送至TikTok,同時洩露部分種族數據;維珍尼亞州的保費估算工具則將用戶郵遞區號傳送至Meta,以便該平台連結用戶的Facebook賬戶並建立廣告定向資料。紐約州情況尤為嚴重,當申請人填寫有關在囚家庭成員的資料後,其瀏覽紀錄隨即傳送至TikTok、Meta、Snap Inc.及LinkedIn。
|各州官員對數據外洩程度知悉有限
即使科技公司的追蹤器試圖過濾敏感數據,相關機制仍存在明顯漏洞。彭博報導指出,即使科技公司試圖攔截敏感資訊,過濾系統的設計缺陷令部分數據仍得以流出,傳送至廣告商的資料遠超各州官員的預期。
|專家批過濾機制脆弱
以華盛頓特區交易所為例,TikTok的過濾系統採用預設關鍵詞清單,自動遮蔽「Asian」、「Black」、「Muslim」及「Jewish」等字詞,並涵蓋「Democrat」、「Republican」、「MAGA」及「Antifa」等美國政治詞彙。然而,清單以外的詞彙均未受過濾,「Cambodian」(柬埔寨裔)或「Indian」(印度裔)等較具體的族裔描述因此未受攔截,直接傳送至TikTok。
獨立網絡安全專家愛德華茲(Zach Edwards)就TikTok的過濾方式指,「這是一個存在缺陷且脆弱的過濾程序。」他長年審查美國科技巨企開發的廣告技術,並指出大量網站持續洩露敏感用戶數據,根源在於網站營運者在未充分理解追蹤工具運作原理的情況下便逕行部署,「你無法保護你不了解的事物。」
電子隱私資訊中心(Electronic Privacy Information Center)指,「這些追蹤技術如此深植於這些網站,危害甚大,因為用戶理應預期這些資訊屬私密性質。」並引用研究指出,當用戶得知自身行為受到監視時,其網絡行為會相應改變,並補充美國聯邦貿易委員會(Federal Trade Commission)及各州可依消費者保護法就不公平行為及敏感資訊濫用採取執法行動,「但這種個案式處理方式已被證明不足應對。」
|科技公司推卸責任予各州
Meta、TikTok、LinkedIn、Snap及Google的發言人均表示,其服務條款明確禁止廣告商,包括各州健保交易所,分享敏感或健康相關數據,並將確保合規的責任歸由廣告商承擔。TikTok及Snap更指出,敏感數據可涵蓋網址中所包含的資訊。
TikTok發言人稱,其系統設計旨在過濾可能被禁止的數據,並在數據可能被分享時通知廣告商,惟未有就關鍵詞過濾清單的明顯局限性作出回應。維珍尼亞州交易所發言人則稱,該州不視郵遞區號為個人可識別資訊,且網站所收集的資訊用於協助消費者推廣工作。馬里蘭州及羅德島州發言人則表示,其網站使用標準追蹤工具以分析網站數據及改善推廣效果,並強調不收集個人可識別資訊。
|多州事後補救,聯邦網站未見追蹤器
彭博新聞社就報導向各州查詢後,華盛頓特區交易所暫停在申請網站使用TikTok追蹤器,維珍尼亞州亦移除Meta追蹤器。新墨西哥州交易所發言人表示,相關追蹤器僅存在於資訊頁面,屬過往宣傳活動的遺留設定,獲悉追蹤仍在運作後已予以移除。
加州是彭博審查中唯一沒有使用廣告追蹤器的州份,去年在非牟利新聞機構CalMatters及The Markup披露安全風險後,已將追蹤器全數移除。聯邦政府的 healthcare.gov 平台,即供其餘30個州居民使用的聯邦市場,亦不採用上述追蹤器。
在法規層面,目前無任何聯邦數據私隱法適用於上述申請網站,各州法律對敏感數據的定義各異,私隱專家形容相關規定不完善且缺乏一致性。醫療行業雖因訴訟壓力大幅減少使用追蹤器——醫院及醫療系統網站使用此類技術的比率,由2021年的98%跌至2025年的30%——惟政府健康保險交易所所受的同等約束,目前仍付之闕如。
