2023年10月17日
(彭博社)——根据一项新的研究,尽管最近努力解决这个问题,但医疗相关网站仍在继续挖掘包括个人医疗信息在内的数据,这显然侵犯了患者的隐私权。
根据网络安全公司Feroot Security的一份报告,一些最常见的追踪像素来自Alphabet Inc.旗下的谷歌(Google)、微软(Microsoft Corp.)、meta Platforms Inc.和TikTok的母公司字节跳动(ByteDance)。
Feroot分析了数百家医疗保健和远程医疗网站,发现超过86%的网站在未经用户同意的情况下收集和传输数据。超过73%的登录和注册页面有跟踪器,暴露了个人健康信息。
报告称,Feroot识别的大约15%的跟踪像素读取并收集用户的按键,这意味着它们可以识别社会安全号码、姓名、电子邮件地址、预约日期、IP地址、账单信息,甚至是医疗诊断和治疗。
跟踪器在网站上放置一小段代码,并记录用户如何与页面交互。然后,跟踪器将用户的信息包发送回科技公司。收集的数据可以为网站分析、营销活动和广告定位提供信息。如果托管公司设在另一个国家,它也可以转移到美国境外。
Feroot首席执行官Ivan Tsarynny表示,如果在未经用户同意的情况下,通过追踪器或第三方收集个人健康信息,将违反《健康保险可携带性和责任法案》(HIPAA)。个人健康信息可以包括从当前精神或身体健康状况到账单信息的所有信息。
Facebook、谷歌和微软的代表否认使用他们的跟踪像素来收集敏感数据。谷歌的一位发言人说,网站所有者,而不是谷歌,控制着如何收集信息,网站必须通知用户任何数据收集。谷歌的第三方分析政策禁止用户收集受保护的健康信息用于广告。
Facebook的一位发言人表示,任何通过商业和分析工具发送敏感数据的行为都违反了公司政策,并补充说,该系统旨在过滤掉敏感数据。TikTok没有回应置评请求。
“虽然科技公司确实有保护健康信息的政策,但这些政策在现实世界中的应用是另一回事,”察里尼在一封电子邮件中说。
该报告没有指出挖掘医疗信息的具体网站或实例。根据美国卫生与公众服务部(Department of health and Human Services)的一份声明,医疗保健公司有责任保护个人健康数据不被披露给第三方网站。
Polsinelli PC律师事务所的数据隐私律师伊利亚娜?彼得斯(Iliana Peters)表示,需要登录的网页带来了更大的担忧,因为个人数据会暴露给第三方,如果用户不同意,可能会引发隐私诉讼。
Feroot的报告还表示,其研究人员在一些网站上发现了TikTok的分析跟踪器。根据彭博新闻社5月份的一篇文章,美国政府和38个州已经在政府设备上禁止或部分禁止这款流行的应用程序。
此外,在Feroot分析的健康网站中,超过4%的网站加载了跟踪工具,或将患者数据转移给了被联邦和州行政命令禁止的公司。
费鲁特的研究是在其他新闻报道或诉讼之后进行的,这些报道或诉讼试图强调或解决这个问题。例如,The Markup在2022年进行的一项调查发现,在美国排名前100的医院中,有三分之一的网站上都有元像素追踪器。调查发现,该追踪器随后将患者数据从这些网站发送到Facebook。
2022年12月,HHS发布了关于跟踪技术和HIPAA合规性的指南。例如,根据HHS的指导方针,如果受保护的健康信息可能泄露给第三方,医疗保健公司和组织就不允许使用跟踪技术。
据尼克松皮博迪律师事务所(Nixon Peabody LLP)律师蒙塔古(Valerie Montague)说,自那以后,有关信息共享的诉讼有所增加,其中包括来自联邦贸易委员会(Federal Trade Commission)和各州总检察长办公室的诉讼。
今年7月,美国卫生与公众服务部和联邦贸易委员会致信130家医疗保健机构,提醒它们注意可能向追踪器泄露的数据,以及使用谷歌和Facebook追踪器的风险。根据美国联邦贸易委员会3月份发布的指导意见,医疗保健公司有责任监控健康数据的传输。
