华盛顿《我的健康我的数据法案》(MHMDA, RCW 19.373)私人诉权浪潮:HIPAA管不到的"消费者健康数据"如何把中资可穿戴、健康App与电商出海企业拖入集体诉讼
开篇:私人诉权正在成为隐私集体诉讼的"新引擎"
2026年第一、二季度,美国华盛顿州西区联邦地区法院(W.D. Wash.)与华盛顿州金县高等法院(King County Superior Court)连续受理多起依据华盛顿《我的健康我的数据法案》(My Health My Data Act,下称"MHMDA",正式编号 Chapter 19.373 RCW,原 HB 1155)的集体诉讼。原告律师在起诉书中无一例外地把 MHMDA 与华盛顿州《消费者保护法》(CPA, RCW 19.86)"绑定"援引,主张被告未经同意收集、共享或出售"消费者健康数据",并据此请求按 RCW 19.86.090 的三倍损害赔偿、最高 25,000 美元法定上限及合理律师费。被告名单覆盖移动健康App、可穿戴设备、电商生鲜与营养补剂、远程医疗、生育与心理健康平台,乃至嵌入第三方广告 SDK 的普通消费品 App。
对中资出海企业而言,MHMDA 的杀伤力在于三点:第一,无营业额或数据量门槛,"任何针对华盛顿州居民提供产品或服务"的实体均可能落入规制;第二,"消费者健康数据"的外延远远超出 HIPAA 的"受保护健康信息(PHI)",涵盖大量原本被认为是"普通消费数据"的信息;第三,开放私人诉权路径。本文系统梳理 MHMDA 条款架构、关键执法与诉讼动态,并为中资 App、电商、可穿戴、医美与健康电商企业提供五项具体合规路径。
一、法规背景:HIPAA 与州级综合隐私法之间的"裂缝填补"
MHMDA 于 2023 年 4 月由华盛顿州议会通过,原定 2024 年 3 月 31 日对"受规制实体"(regulated entities)生效,2024 年 6 月 30 日对"小企业"生效。其立法触发点是 2022 年美国联邦最高法院在 Dobbs v. Jackson Women's Health Organization 案推翻 Roe v. Wade 之后,华盛顿州议员对生育、避孕及性别确认医疗等敏感数据落入广告与执法链条的担忧。
MHMDA 与 HIPAA 是平行法律:HIPAA 仅约束"受保实体"(covered entities)与其"业务关联方"(business associates)所处理的"受保护健康信息(PHI)";而 MHMDA 不要求医疗服务关系存在,只要任何企业在华盛顿州针对消费者收集、处理或共享落入"消费者健康数据"定义的数据,即受其约束。继华盛顿州之后,内华达州 SB 370(2024 年 3 月 31 日生效,仅由 AG 执法)、康涅狄格州 Pub. Act No. 23-56(修订 CTDPA 加入消费者健康数据条款)相继跟进,形成"小型 MHMDA 法系"。
二、核心条款拆解:六大义务与"消费者健康数据"超广义定义
1. "消费者健康数据"定义(RCW 19.373.010)。涵盖任何"个人健康信息(personal information that identifies a consumer's past, present, or future physical or mental health status)",并明确包括:(i)健康相关诊断、用药、治疗记录;(ii)反映身体或心理健康状况的生物识别数据、生命体征数据;(iii)生殖与性健康信息;(iv)性别确认医疗信息;(v)使用者寻求或获得医疗服务的精确地理位置数据;(vi)通过算法或推断从其他数据中得出的健康信息("derived or inferred")。这意味着步数、心率、睡眠数据、月经周期、与药店或诊所的地理位置邻近度、健身 App 行为日志,乃至基于浏览历史的健康标签推断,都可能被认定为"消费者健康数据"。
2. 隐私政策(RCW 19.373.020)。必须在主页设置"独立"的"消费者健康数据隐私政策"链接,明确披露收集类目、使用目的、共享对象类目、数据来源类目、数据主体权利与保留期限。隐私政策不得仅作为通用隐私政策的附录。
3. 双层同意机制(RCW 19.373.030 / .040)。收集"消费者健康数据"须取得消费者明确肯定性同意(affirmative consent),且同意必须在数据收集"之前"获得,不得通过"使用即同意"或"预勾选"方式取得。共享给第三方须取得"独立的、可分别撤回的"第二层同意。
4. 销售须签署单独授权(RCW 19.373.050)。"Sale"被广义界定为"以金钱或其他有价值的对价交换数据",并明确披露广告生态中的非现金定向数据流也可能构成销售。销售必须取得"已签字"的有效授权(valid authorization),授权须明示数据类目、买家身份、销售目的、消费者撤回权及一年有效期限,且需提供副本。
5. 服务商合同(RCW 19.373.070)。受规制实体必须与处理者(processor)签署书面合同,限定处理目的、要求实施合理安全措施、协助履行消费者权利请求、禁止再共享、及时配合数据泄露通知。
6. 地理围栏禁令(RCW 19.373.090)。任何人不得在"提供医疗服务的实体场所"周围 1,750 英尺范围内实施地理围栏(geofence),用于:(a)识别或追踪进入设施的消费者;(b)收集其消费者健康数据;(c)发送相关广告或营销通知。该条直接针对程序化广告链条中的位置数据 SDK,对中资移动 App 与广告变现合作方构成显性合规红线。
三、私人诉权与执法升温
MHMDA 本身未规定独立罚则,但通过 RCW 19.373 的"违反 MHMDA 即推定违反 RCW 19.86 CPA"立法技术,把私人诉权与州 AG 平行执法一并打开。原告可主张:禁令救济、实际损害、最高 25,000 美元法定赔偿、最高三倍损害赔偿、合理律师费与诉讼费。在集体诉讼中,每名消费者均可主张法定赔偿,使企业风险敞口在数十万原告规模下迅速累积至九位数。2025 至 2026 年原告律所已就医疗 App 像素追踪、电商侧栏 SDK 数据回流、可穿戴设备数据二次使用等场景提起多起诉讼,并探索"地理围栏"独立诉因。华盛顿州总检察长办公室同期亦启动行业问询。
四、对中资企业的合规要点
第一,立即启动"消费者健康数据"数据映射。不要把分析口径限定在 HIPAA 框架。在 MHMDA 视角下,常见但易被忽视的数据包括:健身/健康类 App 的步数与生命体征数据、基于位置的"靠近诊所/药店"日志、推断标签(如"高血压用户兴趣组")、客服工单中的健康陈述、生鲜电商的低糖低钠订单画像、美妆电商的功效需求标签等。
第二,重构同意与隐私政策架构。在主站设置独立的"消费者健康数据隐私政策"链接;在 App 端把"收集"与"共享/销售"两类同意拆为独立、可分别撤回的弹窗;销售须取得包含七项法定要素的单独签字授权。CCPA/CPRA 已有的"Do Not Sell or Share My Personal Information"链接不能替代 MHMDA 的同意要求。
第三,全面审计广告 SDK 与位置数据流。重点检查 Meta Pixel、Google Tag Manager、TikTok Pixel、各类 RTB SSP 是否在医疗、保健类页面回传"消费者健康数据";位置 SDK 必须在 1,750 英尺范围内停止针对医疗设施的人群构建与触达。
第四,重谈处理者合同。与所有第三方处理者补签 MHMDA 专项条款:处理目的限定、安全措施、消费者权利请求协助、再共享禁令、泄露通知时限。CCPA/CPRA 的服务商合同模板需要扩展。
第五,建立私人诉权风险预警机制。持续监控华盛顿州西区联邦地区法院与金县、皮尔斯县高等法院的 MHMDA 集体诉讼立案动态;预先准备争议解决条款(仲裁、集体诉讼弃权)的可执行性评估,并做好诉前回应预案。
五、格知律所如何协助
格知律所在中资出海企业数据合规领域深耕多年,对 MHMDA 与新兴州级消费者健康数据法系(华盛顿州、内华达州、康涅狄格州)有系统的实务经验。我们可在以下层面提供端到端支持:(1)以法务+技术联合工作组开展"消费者健康数据"映射,识别 App、SDK、电商后台、CRM、广告投放链条中的隐性合规盲区;(2)起草符合 MHMDA RCW 19.373.020 要求的独立"消费者健康数据隐私政策",并设计可分别撤回的双层同意流程与销售授权表单;(3)审计程序化广告与位置 SDK 合规性,针对 1,750 英尺地理围栏禁令出具风险意见与整改路径;(4)重谈服务商/处理者合同,将 MHMDA 专项条款嵌入既有 CCPA/CPRA、GDPR、PIPL DPA 模板,避免合规框架"割裂式"管理;(5)针对私人诉权风险做集体诉讼预案、应诉策略与跨州管辖抗辩。我们与中国境内法务团队对接,确保跨境合规与境内 PIPL、《数据安全法》体系自洽衔接。
六、结语:以 MHMDA 为锚点,重新校准美国数据合规体系
MHMDA 是 Dobbs 后美国州级隐私立法"敏感数据"细分趋势的代表,也是中资企业最容易低估的合规风险点。它不要求营业额门槛、不依赖医疗机构身份认定,借助 CPA 私人诉权机制把每一次像素追踪、每一条位置数据回流都可能转化为集体诉讼的诉因,建议中资企业把 MHMDA 视为继 CCPA/CPRA 之后的第二个"必读州法",在 2026 年内完成消费者健康数据映射、同意架构升级与广告生态审计,避免在私人诉权浪潮中被动应诉。