白宫想看你的病历？特朗普政府大规模索取联邦雇员医疗数据，引爆美国隐私焦虑

一纸通知，掀开的是美国人最不愿被翻动的抽屉

美国联邦政府最近抛出的一项提案，乍看像一份普通的行政数据收集通知，细看却让人背后一凉。特朗普政府领导下的美国人事管理局（OPM）希望，保险公司能够把联邦雇员、退休人员以及他们家属的大量医疗数据，定期交给政府。按KFF Health News披露的信息，这份数据不仅包括医疗和药房理赔记录，还可能涉及就诊信息、服务提供者信息、诊断、治疗过程、访问摘要，甚至医生笔记。

如果把这些术语翻译成人话，它大概意味着：你看过什么病、拿过什么药、去过哪家诊所、医生怎么评价你的状况，政府都想“系统性地知道”。影响范围也不是一个小圈子，而是超过800万美国人，涉及65家保险公司。更敏感的是，这项收集据称将按月进行，不是一次性审计，而更像是建立一个持续更新的健康数据水库。

医疗记录之所以敏感，不只是因为里面有隐私，更因为它暴露的是一个人最脆弱、最不想被标签化的部分。一次抑郁症就诊记录、一张堕胎处方、一次跨性别医疗咨询、一次癌症筛查结果，在普通人生活里，这些往往只应该停留在诊室、保险理赔系统和患者自己之间。可一旦进入政府数据库，问题就从“谁能看见”变成“谁会怎么使用”。

官方说是监管，外界担心的是越界

OPM给出的理由很标准，也很官腔：为了监督联邦雇员福利项目，确保这些保险计划“有竞争力、高质量且负担得起”。从行政逻辑上说，监管机构当然需要数据，这并不奇怪。没有数据，政策评估会变成拍脑袋，福利采购也容易沦为黑箱操作。

但争议恰恰在这里——监管需要数据，不等于监管可以拿走所有数据。现在让专家不安的，不是OPM想知道联邦医保项目花了多少钱，而是它似乎在用“成本和服务使用情况”这个宽泛名义，打开了一扇通往高度可识别个人健康信息的大门。参与制定HIPAA隐私框架的法律与数字健康专家Jodi Daniel就直言，这份提案的语言过于宽泛，覆盖信息可能极其庞杂，但 justification，也就是为什么非得要这些具体数据，却说得很轻。

这很像有人来你家查水表，结果顺手把你的日记、药箱和体检报告也一起带走，然后告诉你：“别紧张，我只是想了解你家的生活成本。”问题不是监管本身，而是比例原则失衡。一个健康保险监管者究竟需要匿名统计数据、抽样审计数据，还是需要大规模、持续性的可识别个人病历？这三者之间，差别不是“多一点”与“少一点”，而是制度边界是否还存在。

更让人皱眉的是，OPM声称自己依据1996年的《健康保险可携带与责任法案》（HIPAA）有权收集这些受保护健康信息。可HIPAA从来不是一张“政府想要就能要”的万能通行证。它本质上是一套限制健康信息流转的规则，而不是鼓励无限收集的授权书。把HIPAA当作数据进入行政机构的绿灯，这种解释至少是高度有争议的。

最令人不安的，不是技术能做到，而是制度没说不能做什么

今天讨论医疗隐私，很多人容易把焦点放在技术层面：数据库会不会泄露？系统安不安全？有没有加密？这些当然重要，但这次事件真正刺痛美国舆论的，其实是更老派、也更根本的问题——权力边界。

因为在现实中，最可怕的未必是黑客，而是一个“合法索取但用途模糊”的系统。专家之所以担心，不只是担心信息被偷走，更担心信息被“合理使用”到你无法反驳的地方去。比如，某些医疗行为会不会成为政治报复的依据？寻求堕胎服务的雇员会不会被特别关注？接受跨性别医疗的人会不会被拿来做政策筛查？这些担忧听上去激烈，但在当前美国高度极化的政治环境里，并不荒诞。

过去几年，美国围绕生育权、LGBTQ+医疗、精神健康和处方药使用的政治争议持续升温。尤其在罗诉韦德案被推翻之后，医疗记录不再只是医院里的文书，它也可能成为司法、行政和意识形态冲突中的证据链一环。一个州要查，一家机构要调，一名官员要“了解趋势”，最后最倒霉的通常不是制度，而是那个真实去看病的人。

换句话说，问题不在于政府有没有能力收集，而在于当它能收集这么多信息时，谁来证明它不会滥用？这次提案里，外界最难接受的一点，是几乎看不到明确的数据最小化原则、用途限制、保存期限、去标识化要求，以及独立监督机制。没有这些防火墙，再先进的数据治理说辞也像把保险箱门敞着，只在外面贴了一张“请大家自觉”。

连保险公司都说：这事太过了

有意思的是，这次站出来公开反对的，不只是隐私倡导者和法律专家，连保险公司阵营里也有人觉得这一步迈得太大。CVS Health高管Melissa Schulman就在公开评论中明确表示，强烈建议OPM不要推进这项提案。她的质疑很集中：HIPAA合规问题、OPM是否拥有足够法律授权、消费者保护不足、重复报送要求，以及涉及商业敏感数据的担忧。

这番话里有企业自己的利益考量，当然不全是出于公益。但企业都开始喊“范围前所未有、细节又说不清楚”，那就说明这件事的边界确实已经碰到了行业警戒线。Schulman提到，OPM本来就已经要求保险提供方在审计和检查场景中共享部分数据。也就是说，政府不是完全没有抓手，而是现有抓手还嫌不够，想把“必要时调取”升级成“常态化全量收集”。

这在数据治理领域是一个很典型、也很危险的滑坡：先从合理目的出发，再不断扩大采集范围，最后把“例外”做成“基础设施”。一旦系统建起来，未来哪届政府上台、用什么理由扩展访问权限、是否与其他数据库打通，都可能变成新的风险。很多隐私灾难恰恰不是从恶意开始的，而是从“既然已经有了这些数据，不如顺便再做点别的”开始的。

科技行业对这套剧情并不陌生。社交平台曾经说收集数据是为了“优化体验”，广告公司说追踪用户是为了“提高相关性”，AI公司说抓取内容是为了“改进模型”。每一步单看都像有道理，合起来就是一部现代隐私侵蚀史。区别只在于，这次伸手的是政府，而它握有的不是推荐算法，而是行政权力。

这件事为什么在今天尤其重要

如果把时间轴拉长，这不是一条孤立新闻，而是美国政府数据权力扩张、医疗政治化和数字治理失衡交汇出的一个危险信号。

一方面，美国这些年越来越依赖数据来管理公共项目，从医保到社保，从边境到教育，行政系统普遍迷信“更多数据就有更好决策”。这种想法并非全错，但它常常忽略一个事实：数据越细、越可识别、越高频，带来的不是线性提升，而是指数级风险。你或许能更准确地算出福利计划成本，但也同时构建了一个足以描摹个人身体、心理与生活选择的画像系统。

另一方面，美国当下的政治气候，让医疗信息不再是中性的。堕胎、跨性别医疗、精神疾病治疗、成瘾治疗，这些都可能被卷入文化战争。平时看似普通的医保数据，在某些语境下会迅速变成“可被武器化”的信息。技术系统本身并没有立场，但掌握系统的人有。

这也是为什么这条新闻值得科技媒体认真写、普通读者认真看。它表面上是医疗监管问题，骨子里却是数字时代最经典的追问：当收集成本越来越低、分析能力越来越强，个人还有没有“不被全面看见”的权利？我们总说数据是新的石油，但医疗数据更像是血液，抽一点做检测可以救人，抽太多、抽得太频繁，就会让系统本身失血。

从记者视角看，我对这件事的判断很明确：政府当然需要监管联邦医保计划，但如果一项政策无法清楚解释“为什么必须是这些数据、为什么必须月度收集、为什么不能先匿名化”，那它就不该轻易启动。公共治理不是把所有信息都装进数据库，而是知道什么该收、什么不该碰、什么必须先征得社会同意。

更值得思考的问题是，未来类似做法会不会从联邦雇员扩展到更多公共项目？如果今天可以为了“降低成本”调取完整健康记录，明天会不会为了“防欺诈”“识别风险”去打通处方、消费、出行乃至社交数据？技术已经把这种拼图能力准备好了，真正缺的从来不是工具，而是刹车。