HIPAA对追踪技术的实际规定

HIPAA本身并未提及Cookie、像素或网络追踪——该法律于1996年制定，并通过2009年的HITECH法案进行了修订。有关在线追踪的相关规则来自两个方面：隐私规则对PHI的定义，以及安全规则对保护电子PHI（ePHI）的要求。两者共同规定：被覆盖实体或业务合作方持有的任何可识别个人身份的健康信息均须受到保护，未经授权或业务合作协议向第三方披露属于不允许的使用行为。

OCR追踪技术公告

对出版商而言，最关键的监管文件是OCR公告，题为《HIPAA覆盖实体和业务合作方使用在线追踪技术》。2022年12月的原始版本立场强硬——认为网页上收集的任何IP地址若与特定健康状况相关，均可能构成PHI。2024年联邦法院裁定公告部分内容超越OCR权限后，OCR修订了该文件，在非认证营销页面与认证患者门户页面之间划定了更清晰的界线。2024年修订版是2026年的现行文本，是出版商法务团队在配置CMP时应当随时参阅的文件。

追踪情境中的PHI认定

OCR将标识符（IP地址、设备ID、浏览器指纹、哈希邮件地址）与特定个人健康信息（搜索某种病症、点击治疗页面、提交含症状的表单）的组合视为PHI，前提是该组合涉及已知患者或可被识别的人员。单独的标识符不构成PHI；单独的健康信息也不构成PHI；两者的组合才构成PHI。这一分析逻辑令出版商措手不及，因为标准广告技术像素的设计初衷恰恰是将这种组合传递给第三方，用于衡量和个性化目的。

认证页面与非认证页面的区分

OCR公告中最重要的概念是认证页面与非认证页面之间的界线：前者是用户通过登录患者门户、连接EHR的预约系统或账单控制台后访问的页面；后者是公开营销页面、病症信息文章、医生搜索功能等。两者的合规立场存在显著差异。

认证页面

认证页面是高风险页面。用户登录后，覆盖实体即已知晓其身份，任何在这些页面上触发的追踪技术都可能向接收请求的供应商披露PHI。第三方像素、营销像素以及任何在业务合作协议之外运营的分析标签均不应在认证页面上运行。OCR在此问题上的立场毫不含糊，相关案件的和解金额也相当可观。

非认证页面

非认证页面的情况更为复杂。2024年OCR修订版承认，并非每次访问公开营销页面都会产生PHI——阅读一篇关于糖尿病的通用文章的用户不一定是在披露自己患有糖尿病。但当页面将标识符与明确的健康背景相结合时，界线就会移动：接收自由文本输入并在输入附带时触发像素的症状检查器、将URL作为追踪参数的特定病症着陆页、向分析供应商传递专科和邮政编码的专科医生搜索工具——这些流程将非认证页面转化为PHI暴露页面。

实际判断标准

2026年出版商采用的实际判断标准是合理预期测试：一个合理的人访问此页面时，是否会预期其访问行为表明存在特定健康问题？如果答案是肯定的，无论认证状态如何，该页面在追踪目的上均被视为承载PHI的页面。该测试在设计上偏于保守——在宽松方向上判断错误会产生执法风险，而在限制方向上判断错误只会损失广告收入。

业务合作协议与供应商体系

HIPAA允许覆盖实体仅在供应商签署了业务合作协议（BAA）、承诺提供等同于HIPAA的保护措施的前提下，才能与其共享PHI。在主要广告技术和分析供应商中，BAA的签署情况参差不齐，影响深远。

签署BAA的供应商

Google为Google Workspace、Google Cloud Platform以及特定配置下有限范围内的Google Analytics 4部署提供HIPAA BAA。Microsoft为Azure及受限的Microsoft Clarity设置签署BAA。少数专注于医疗保健的分析平台——Freshpaint、带有HIPAA附加功能的Heap、FullStory的医疗保健配置——签署BAA。这些是受HIPAA覆盖的出版商可以在认证页面或承载PHI的页面上使用的供应商。

不签署BAA的供应商

Meta不为任何标准配置下的Meta Pixel或Conversions API签署BAA。TikTok不为TikTok Pixel签署BAA。大多数程序化SSP和DSP不签署BAA。标准Google Analytics、标准Google Tag Manager模板以及默认Google Ads转化标签均不在Google的BAA覆盖范围内。在承载PHI的页面上运行上述任何工具均构成HIPAA违规，无论同意横幅如何配置——当涉及PHI时，同意不能替代BAA。

同意加BAA组合架构

健康出版商营销页面的合规模式是同意加BAA组合架构。非认证营销页面运行带有针对任何非必要追踪的同意门控的CMP；分析层在与具备HIPAA意识的供应商签署BAA的前提下进行配置；营销像素层要么仅在通过合理预期测试的页面上运行，要么通过服务端转化API路由，在转发给非BAA供应商之前去除识别信息。

面向健康出版商的CMP架构

受HIPAA覆盖的出版商的CMP不仅仅是收集同意，还要执行页面分类区分、按BAA状态对供应商进行门控，并生成满足HIPAA安全规则文档要求以及适用的任何州隐私法要求的审计日志。

页面分类检测

CMP必须知道其正在渲染的页面属于哪个类别。最简洁的模式是通过CSP注入的JavaScript变量——由服务器根据URL模式、认证状态和内容类型元数据设置——CMP在初始化时读取该变量。变量产生三种状态：低风险公开页面（无健康背景）、承载PHI的公开页面（有健康背景，无认证）或已认证页面。CMP的供应商列表和同意默认值在三种状态之间相应调整。

按BAA状态进行供应商门控

CMP供应商列表中的每个供应商必须标注其BAA状态以及BAA适用的条件。无BAA的供应商在承载PHI的页面和认证页面上被强制屏蔽，无论同意状态如何。具有条件性BAA的供应商——需要特定配置选择——仅在确认满足这些条件时才被允许使用。审计日志记录每个供应商决策时的页面类别、同意状态和BAA决定，为监管机构调查提供可信的记录。

州法律层

HIPAA是联邦基准；各州法律——加利福尼亚州的CMIA、华盛顿州的《我的健康我的数据法》，以及康涅狄格州和内华达州的消费者健康隐私条款——在其特定范围内叠加了更严格的要求。CMP架构应将HIPAA视为基准，并在用户的地理位置信号显示其所在州具有更严格消费者健康机制时，在顶部叠加最严格适用的州规则。

导致和解的常见HIPAA追踪违规行为

2024年和2025年的HIPAA追踪执法行动已清晰呈现出导致OCR调查的典型模式：有人为营销分析添加Meta Pixel时未咨询合规部门，导致其在患者门户上触发；Google Analytics在症状检查器工具上运行，症状作为自定义维度传入；医生搜索页面将专科作为URL参数传递，并被分析标签捕获和转发；远程医疗入职流程安装了TikTok Pixel用于付费获客，但在用户进入认证门户时未予删除；营销团队A/B测试在所有页面（包括面向患者的表单）上触发热图记录器。上述每种情况均在2022年后的执法窗口中产生了公开和解或整改行动计划。

结论

2026年的HIPAA不再是营销团队可以忽视的后台合规制度。OCR公告、公开和解案例以及针对认证页面像素使用日趋成熟的执法链，已使在线追踪成为任何拥有数字业务的覆盖实体的董事会级别议题。合规立场并非遥不可及——需要一个了解页面类别的CMP、一个遵守BAA边界的供应商体系、一个处理州法律叠加的同意层，以及一个OCR调查员能在一小时内读完并信服的文档化架构。在2026年投入构建该架构的出版商将保持其数字渠道畅通、受众可货币化；而继续将健康页面当作电商页面对待的出版商，将在未来两年内忙于起草与联邦政府的和解协议。