美国证券交易委员会
华盛顿特区 20549

豁免招标通知
根据第 14a-103 条

注册人姓名：美国实验室公司控股公司

依赖豁免的人员姓名：塔拉健康基金会

依赖豁免的人的地址：加利福尼亚州旧金山科尔尼街 47 号 94108

书面材料是根据1934年 证券交易法颁布的第14a-6 (g) (1) 条提交的。根据该规则的条款，该申报人无需提交，而是出于公开披露和考虑这些重要问题的利益，自愿提交。

代理备忘录

这不是在征求对你的代理人进行投票的权力。请不要将 您的代理卡发送给我们；Tara Health Foundation 无法对您的代理人进行投票，本次通信也不会考虑这样的事件。Tara Health Foundation敦促股东按照管理层代理邮件中提供的说明投票支持第7号提案。

塔拉健康基金会敦促股东 在 美国实验室公司控股公司（“Labcorp” 或 “公司”）的2023年代理投票中，对第7号提案投赞成票。已解决的 子句指出：

股东要求我们的董事会发布一份公开报告 ，详细说明公司在满足与LabCorp客户有关的信息请求方面面临的任何已知和潜在的风险和成本，以执行将堕胎定为犯罪的州法律，并阐明公司 可能为最大限度地减少或减轻这些风险而采取的除法律合规之外的任何策略。报告应以合理的费用编写，不包括专有或具有法律特权的 信息，并在年会后的一年内发布。

关于塔拉健康基金会

Tara Health Foundation旨在通过创造性地使用慈善资本，改善妇女和女孩的健康和福祉 。我们的主要关注领域是美国的生殖和孕产妇健康、 公平的工作场所以及性别视角的影响力投资。

塔拉健康基金会是Labcorp的长期股东。我们支持股东 的提议，因为该公司积累了大量的女性个人健康数据，但对这些数据 如何危及获得生殖保健的机会缺乏透明度。在一半的 州将堕胎机会定为犯罪或严格限制的时代，有必要对公司的数据处理做法有更多的了解。

提案的背景

在2022年6月 前所未有地撤销堕胎的宪法权利之后，至少有十几个州已将堕胎定为犯罪，预计大约一半的州将颁布法律，将堕胎 广泛定为非法。预计这些限制堕胎的州的执法部门将依靠消费者数据来调查和起诉提供、援助或接受堕胎手术的 个人，即使堕胎是在堕胎仍然合法的州进行的。

执法部门可以很容易地访问数字生殖健康足迹 ，并导致刑事指控。Meta 在遵守内布拉斯加州警方 部门关于母女之间在 Facebook 上私密消息的数据请求后，最近收到了大量负面报道，这两人随后都被指控犯有与涉嫌非法终止女儿妊娠有关的 的重罪（更多示例，见附录 A）。¹

尽管Labcorp是一家全国性的生殖保健服务提供商 ，并且正在对女性医疗保健进行大量投资，但它在这个问题上基本上保持沉默。²事实上，该公司 “每年对女性进行大约2.5亿次测试”，从不孕症到怀孕和一般女性健康。³ 2021 年，该公司收购了 Ovia Health，这是一款数字健康应用程序，有超过 1500 万女性在家庭计划、怀孕和育儿方面寻求信息和支持。⁴

_____________________________

¹https://tinyurl.com/2etavr8t

²https://ir.labcorp.com/static-files/129475f0-f71c-45de-985d-1c74cfb5cabc。

³https://womenshealth.labcorp.com/about

⁴https://www.labcorp.com/newsroom/labcorp-extends-leadership-womens-health-acquisition-ovia-health

鉴于公司敏感数据的性质，Labcorp将特别容易受到与堕胎有关的执法数据请求的影响，尤其是在堕胎仍然合法的州行使生殖权利方面的州际冲突。股东们有理由担心刑事堕胎法的执行 是否会影响公司的声誉和财务状况。因此，面对新的限制性堕胎法，该提案呼吁管理层 审查与公司当前的数据处理做法相关的风险，包括其对政府信息 请求的回应。

支持该提案的理由

Labcorp 的数据处理政策不明确、不一致且不完整

女性和其他分娩者以多种方式与Labcorp互动， 受不同的Labcorp隐私政策的约束，这些政策不清楚、不完整，有时甚至不一致。

消费者可以访问Labcorp网站以研究信息、进行查询、 或为与生殖保健相关的公司产品和服务付费。

根据 Labcorp 的说法 网站隐私政策，公司可能会从网站访问者那里收集 个人信息，例如个人的 “使用详情、IP 地址、 [和]位置数据。”⁵ 尽管这些数据具有敏感性，但Labcorp可以在未经个人同意的情况下与第三方共享。例如 ，Labcorp可能会向 “承包商和合作伙伴” 提供个人消费者信息，用于数据和付款 处理等服务，从而扩大可能受到将堕胎定为犯罪的各州的政府数据请求的公司网络。而 Labcorp 的 网站隐私政策设置了这些第三方如何使用个人数据的参数， 并未透露第三方必须遵循哪些隐私准则（如果有），以最大限度地减少其受到泄露或政府 数据请求的影响。

_____________________________

⁵https://www.labcorp.com/about/web-privacy-policy

Labcorp还可能提供从其网站收集的个人信息，“以回应任何执法机构正式授权的信息请求”。但是，Labcorp未能澄清这种 数据请求是否必须附有法院命令，或者公司是否可以自愿共享数据。例如，该公司 能否披露与妊娠试验有关的搜查信息，以回应警察局寻求与 非法堕胎有关的证据，但法官从未审查或批准过该请求？

如上所述，通过Labcorp网站收集的一般个人信息 通常不受1996年《健康保险流通与问责法》（“HIPAA”）的保护，但在某些情况下，Labcorp等实体在提供健康相关服务的过程中收集的个人健康 信息（“PHI”）受HIPAA的保护。例如，公司从消费者那里收集的与怀孕、生育能力或女性 总体健康相关的PHI由HIPAA承保。

虽然 HIPAA 通常会禁止Labcorp在未经 个人同意的情况下与第三方共享 PHI，但 HIPAA 为执法目的提供了例外情况。这个例外在某种程度上反映在 Labcorp 的 中HIPAA 信息通知，其中指出，公司可以 “根据法院命令、逮捕令、传票 或传票或法律授权的类似程序” 披露PHI。⁶

在2022年撤销堕胎权之后，美国卫生与公共服务部（“HHS”） 发布的指导方针规定了更严格的HIPAA保护，该公司未能在其隐私政策中明确采纳这些保护。⁷根据HHS的说法，受HIPAA监管的实体只能披露法院命令明确要求的PHI ，但不能再披露。此外，HHS 规定，HIPAA 通常 “允许但是 不需要” 受保实体，如果该实体认为披露PHI是防止 或减轻对个人或公众健康或安全的严重而迫在眉睫的威胁所必需的，则在未经消费者同意的情况下向执法部门披露PHI。有人认为，这种例外情况适用于 生殖保健，甚至适用于胎儿的保护，HHS 否认了这一点。

_____________________________

⁶https://www.labcorp.com/about/hipaa-information

⁷https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/phi-reproductive-health/index.html

迄今为止，尽管计划生育组织等生殖健康组织推荐的服务提供商 ，但该公司仍未能澄清其是否以及如何适用上述 HHS 关于生殖健康信息隐私保护的指导方针。⁸例如，与其他上市公司和 自己的子公司Ovia Health不同，⁹Labcorp不保证它只会在法院法律要求的范围内提供尽可能狭窄的数据集 ，也不保证将数据请求通知受影响的消费者。

另一方面，Ovia Health 的数据收集做法受 单独的隐私政策管辖。尽管Ovia Health从消费者那里收集了极其敏感和详细的信息，但鉴于隐私法通常不适用于健康应用程序，其大部分数据 不受HIPAA的保护。¹⁰

Ovia Health 从应用程序用户那里收集敏感信息，这些信息可能与 与堕胎相关的刑事调查有关。此类数据包括 “上次月经日期、到期日和其他生育能力、怀孕、健康、 性生活和生活” 信息，以及有关用户习惯、购买、地理位置和上传到应用程序的 “照片或 视频” 的数据。¹¹Ovia Health 还从访问其网站的非应用程序用户那里收集信息，类似于 Labcorp 网站访问者那里收集的数据类型 。¹²

根据Ovia Health的说法，HIPAA隐私保护措施仅适用于 “高级” 用户的数据，¹³因为高级功能是通过健康保险公司或健康计划获得的，两者都是HIPAA下的承保实体 。因此，许多应用程序用户面临着宽松的隐私保护。例如，Ovia Health 通过广告商等第三方 出售其中的大部分数据。那个 Ovia 健康应用程序隐私政策目前尚不清楚这些第三方是否必须遵守任何隐私 保障措施，包括将数据转售给其他各方，例如数据经纪人，然后他们可能会将数据提供给警方，甚至 给那些试图利用 “私刑堕胎法” 的人，如果公民成功起诉帮助他人非法堕胎的人，他们将获得现金赏金。

总体而言，Labcorp发布了模糊、令人困惑、不完整、有时甚至不一致的 隐私政策，这让消费者和投资者都感到困惑，因为公司收集和保留的数据，公司是否会不必要地使消费者因获得生殖保健而面临刑事处罚的风险。本提案的实施 将阐明除此处确定的风险外，是否确实存在任何此类风险。

_____________________________

⁸https://tinyurl.com/2tnehyz2

⁹https://www.oviahealth.com/how-does-ovia-respond-to-data-requests/

¹⁰https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/access-right-health-apps-apis/index.html

¹¹https://www.oviahealth.com/privacy-policy/

¹²https://www.oviahealth.com/non-app-privacy-policy/

¹³https://www.oviahealth.com/guide/255768/why-do-we-ask-for-this/#you-say-under-hippa

Labcorp不提供有关数据隐私的透明度报告，这使公司面临财务和声誉风险

最近的一项实证研究 市场营销杂志表明，与滥用商业数据有关的漏洞 可能会给企业带来负面影响，包括负面的异常股票回报和 破坏性的客户行为，例如负面的口碑和转向亲密的商业竞争对手。¹⁴这些发现可能 适用于向执法部门实际和潜在披露与堕胎相关的数据所带来的数据漏洞，从而加剧消费者 对数据滥用的担忧。因此，收集大量消费者数据的公司，例如Labcorp，很可能会使自己 面临更高的财务和声誉风险。根据当前的提案，该研究发现，除其他外， 数据透明度可以减轻这些不利影响。

Labcorp 不发布有关数据隐私的透明度报告。相反， 许多上市公司提供专门针对政府数据请求问题的透明度报告。Meta、Amazon 和 Google 每半年提供一次此类报告，其中包括请求类型、合规率和司法管辖区信息的详细信息。这些 信息对投资者确定公司的风险敞口非常有帮助，也可作为 的问责工具。反过来，消费者将获得更多的保证，即Labcorp尊重其数据的隐私。

为什么需要投赞成票：对Labcorp反对声明的回应

在反对该提案时，公司表示其系统和流程旨在遵守适用的隐私法律和法规 。公司进一步规定，准备和发布 所要求的报告将给公司和股东带来不必要的负担，并产生不必要的成本。但是，正如本次招标 所示，现有的隐私法规可能不足以最大限度地降低提案所设想的隐私风险，所要求的 报告可以以最低的成本编写。

_____________________________

¹⁴参见Kelly D. Martin 等人， 数据 隐私：对客户和公司绩效的影响，81.1《市场营销杂志》，36-58 (2017)，https://doi.org/10.1509/jm.15.0497。

监管和法律合规性不足以最大限度地减少与生殖保健相关的隐私风险

许多专家认为，美国的数据隐私法在范围上不足 ，而且已经过时了。实际上，没有单一的、全面的联邦法律来规范公司如何收集、存储或共享 客户数据。

作为 《纽约时报》 报告，”[t]人们每天使用的绝大多数 产品收集的数据不受监管。”¹⁵在大多数州，公司可以使用、共享或出售他们收集的有关消费者的大部分数据 ，而无需通知他们公司正在这样做。没有联邦法律规定 公司何时（或是否）必须通知消费者的数据是否遭到泄露或暴露给未经授权的各方。如果公司与第三方（例如数据经纪人）共享消费者数据（ 包括个人健康状况或位置等敏感信息），则这些 第三方通常可以在不通知受影响的消费者的情况下出售或共享数据。HIPAA是为数不多的联邦隐私法 之一，但只保护PHI，存在漏洞，可能允许Labcorp向寻求起诉堕胎相关犯罪的执法部门披露信息。

由于这种宽松的监管环境，许多企业实施了 更严格的隐私惯例，可以更充分地保护消费者免受恶意的数据使用并提高品牌信任度。其中一种做法是遵守 “数据最小化” 原则，即公司只收集为提供 用户期望获得的服务所必需的个人数据，并将其仅用于该目的。¹⁶数据最小化已经是某些在欧盟开展业务的公司的法律要求 。¹⁷由于数据最小化，公司积累的信息减少了 ，这些信息可能会受到执法信息请求的约束，或者与寻求参与执行 限制堕胎法律的第三方共享。值得注意的是，数据最小化还将减少公司的责任、声誉风险敞口和 存储成本。¹⁸尽管如此，Labcorp未能在其各种隐私政策中披露其是否遵守了这一原则。

隐私专家进一步建议，为了保护消费者免受堕胎相关起诉的目标，公司应采取数据安全措施，例如数据加密、去识别化和匿名化。¹⁹ 加密是将信息或数据转换为代码的过程，尤其是为了防止未经授权的访问。去身份识别 需要将个人身份数据（例如姓名和地址）与 PHI 和公司存储的其他敏感数据隔离开来。Anonymization 通过删除将个人与存储的数据联系起来的标识符来保护私人或敏感信息。

_____________________________

¹⁵https://www.nytimes.com/wirecutter/blog/state-of-privacy-laws-in-us/

¹⁶https://pirg.org/articles/do-you-know-where-your-data-is-because-facebook-doesnt/

¹⁷https://www.business.com/articles/how-to-apply-data-minimization/

¹⁸https://tinyurl.com/2p92fr8t

¹⁹https://www.securitymagazine.com/articles/98414-privacy-and-data-protection-in-the-wake-of-dobbs

尽管Labcorp将其中一些安全措施应用于交易数据，在 共享HIPAA涵盖的PHI之前，目前尚不清楚这些措施是否可以应用于提案 中考虑的其他消费者信息，例如其网站上收集的数据。实际上，Ovia Health拒绝回答有关这个问题的问题，这是一份关于堕胎权被撤销后经期追踪应用程序的热门新闻报道 的一部分，向大量负面媒体提问。²⁰然而，在没有适当安全措施的情况下共享消费者数据 可能会使公司面临重大风险，包括繁琐的诉讼威胁。例如，2021年，最受欢迎的生育和月经追踪应用程序开发商Flo Health因涉嫌该平台 未经用户同意与包括谷歌和Facebook在内的第三方共享敏感健康信息而面临法律诉讼。²¹

最后，大多数在加利福尼亚州、弗吉尼亚州和欧盟开展业务的公司 也必须按照提案的设想向消费者提供 “删除权”。²²删除权 通常授予消费者在企业不需要维护 数据的情况下删除个人信息的能力。实施可持续的数据删除计划可以帮助Labcorp加强其数据删除标准和管理， 满足监管要求，降低数据泄露的风险，并改善整体数据卫生。²³

由于Labcorp已经遵守了加利福尼亚州和 弗吉尼亚州法律的数据删除要求，因此在全国范围内适用删除权或其他相关数据删除机制可能是一种可行且具有成本效益的缓解措施 来缓解提案中发现的问题。Synalab Group是Labcorp的国际竞争对手之一，它会自动 从公司数据日志中删除或匿名化网站访问者的IP地址，而其他剩余的网站访问者数据 “在 有限的时间内存储”，其明确目的是改进 “的操作 [Synalab 的]网站。”²⁴领先的医疗保健提供商 DaVita 让消费者有机会 “修改或删除” 通过公司的在线平台从他们那里收集的信息 。²⁵所要求的报告将告知投资者此类措施是否确实为公司带来了此类好处。

_____________________________

²⁰https://www.inverse.com/input/culture/period-tracking-apps-abortion-privacy-roe-v-wade

²¹https://tinyurl.com/2sduk56f

²²https://oag.ca.gov/privacy/ccpa (California); https://law.lis.virginia.gov/vacodefull/title59.1/chapter53/ (Virginia); https://gdpr-info.eu/art-17-gdpr/ (European Union)

²³https://www.grantthornton.com/insights/articles/advisory/2020/how-data-deletion-empowers-data-protection

²⁴https://www.synlab.com/privacy-policy

²⁵https://www.davita.com/privacy-policy

编写这份报告既可行又具有成本效益

Labcorp无视提案的实质内容，但将其反对声明的很大一部分集中在与编写所要求的报告相关的所谓不必要的负担和不必要的费用上。

编写所要求的报告所涉及的研究范围很窄 ，仅限于与公司满足与LabCorp客户有关的信息请求相关的风险，以执行将堕胎定为犯罪的州法律。该提案以及许多报告和研究已经确定了许多 潜在风险，从而为公司在准备所要求的报告时可以遵循提供了有用的指导。值得注意的是， 提案建议公司在编写报告时与生殖权利和公民自由组织协商，这可以 减轻识别与非法堕胎法相关的相关数据隐私风险的负担。

与公司的立场相反，编制所要求的报告将 不 需要制定和实施新的流程和政策。事实上，该报告的目的之一是在实施任何新流程和政策之前，对其可行性 和潜在影响进行研究。这样的分析将为公司和投资者提供有用的信息，说明新的或改进的数据处理实践能否降低重大风险，此外还可以 将自己定位为保护消费者数据的市场领导者，从而扩大公司的客户群。尽管在女性医疗保健方面进行了大量投资 ，但如果不首先确保消费者信任 公司在限制性的刑事堕胎法面前对其敏感个人数据的处理，公司就无法指望在该领域发展业务。

最后，编写所要求的报告既符合成本效益又可行。 向Interpublic Group Companies提交的类似股东提案被撤回，此前该公司对其 有关生殖健康数据的政策和做法进行了评估，最终发现面对 新颁布的将堕胎定为犯罪的州法律，客户没有重大风险。²⁶相反，该公司在反对声明 中解释了为什么很难审查作为政府数据请求的一部分所调查的犯罪的性质，这表明 公司可以在报告中适当地探讨缓解措施的可行性，这些措施将最大限度地减少数据请求和堕胎相关起诉的数据的保留。我们相信，现有的Labcorp法律顾问和技术专家在与外部 专家和团体协商后，可以满足分析此类缓解措施的请求报告，而不会产生巨额的 成本。

_____________________________

²⁶https://tinyurl.com/mvrmfj2x

总而言之，我们认为，实施所要求的报告将有助于确保 Labcorp采取更多措施来监控其数据处理实践，这样它们就不会使消费者面临与堕胎相关的刑事起诉带来的严重风险，从而降低公司的声誉、消费者忠诚度、品牌和价值观，从而侵蚀股东价值。

对第7号股东提案投赞成票。

如有疑问，请联系 企业。参与@rhiaventures .org.

上述信息不应被解释为投资建议。

附录 A：

公司未经消费者同意与第三方共享生殖 健康相关数据的危害示例

https://nebraskaexaminer.com/2022/08/10/facebook-data-used-to-prosecute-nebraska-mother-daughter-after-alleged-abortion/

2022 年，Meta 遵守了内布拉斯加州当地警察局 提出的数据请求，要求母女在 Facebook 上发送私信，这两人随后都被指控犯有与涉嫌非法终止女儿妊娠有关的重罪。

https://scholarworks.law.ubalt.edu/cgi/viewcontent.cgi?article=2078&context=ublr

2017年，密西西比州的一名妇女在家中流产。大陪审团 后来以二级谋杀罪起诉了她，部分原因是她的在线搜索记录，记录了她查过如何 诱发流产。

https://www.washingtonpost.com/technology/2019/04/10/tracking-your-pregnancy-an-app-may-be-more-public-than-you-think/

2019 年的一份报告 《华盛顿邮报》透露，怀孕应用程序Ovia Health 在未经用户同意的情况下向雇主出售了用户健康数据。

https://www.leagle.com/decision/ininco20160722184

2013年，一名妇女在服用在线购买的堕胎药后，因 “忽视 受抚养人和杀胎” 而被判处二十年徒刑。在审判中出示的不利于她的证据包括她进行的在线 研究、她从 internationaldrugmart.com 收到的确认电子邮件，以及给朋友 的关于她的关系、怀孕以及她购买的药丸的未加密短信。

https://gizmodo.com/data-brokers-selling-pregnancy-roe-v-wade-abortion-1849148426

在 2022 年， Gizmodo确定了32家经纪人出售了29亿个被定为 “活跃怀孕” 或 “购买孕妇用品” 的美国居民档案 的数据。

https://www.propublica.org/article/websites-selling-abortion-pills-share-sensitive-data-with-google

在 2023 年进行的一项调查 ProPublica发现出售米非司酮和米索前列醇等堕胎 药物的在线药房正在与谷歌和其他第三方网站共享敏感数据（包括用户的网址、相对位置和搜索 数据），这允许通过执法请求恢复数据。

https://www.ftc.gov/news-events/news/press-releases/2022/08/ftc-sues-kochava-selling-data-tracks-people-reproductive-health-clinics-places-worship-other

2022年，联邦贸易委员会起诉Kochava（一个主要由公司用于营销目的的数据分析平台 ）出售了在生殖健康诊所、礼拜场所 和其他敏感地点追踪人们的数据。

上述信息可通过电话、美国 邮件、电子邮件、某些网站和某些社交媒体渠道向股东传播，不应被解释为投资建议或邀请 对您的代理人进行投票。向股东传播上述信息的费用完全由本次招标的申报人 承担。代理卡将不被接受。请不要将您的代理发送给塔拉健康基金会。要为您的代理人投票，请 按照代理卡上的说明进行操作。

12