自 2011 年首次亮相以来,GoodRx 帮助数百万消费者寻找处方药交易和负担得起的远程医疗等医疗服务的折扣。多年来,该公司官方隐私政策一直规定,仅与第三方共享有限的个人数据,但绝不会共享用户健康信息。
然而,根据美国联邦贸易委员会(FTC)新的指控,GoodRx 涉嫌通过秘密向 Facebook 和 Google 等大型公司出售高度私密的医疗信息,欺骗了超过 5500 万用户。该公司是在 2020 年消费者维权组织揭露细节后才更改了政策。
根据周三宣布的执法行动,FTC 声称 GoodRx 从 2017 年开始就彻底滥用了用户个人医疗信息,包括用户的处方和健康状况。FTC 表示,尽管 GoodRx 明确承诺“绝不会与广告商或其他第三方共享个人健康信息”,但 GoodRx 却将这些数据出售给了 Google、Facebook、Branch 和 Twilio 等广告公司和平台,用于定制个性化广告。
[相关:数据经纪人如何威胁您的隐私。]
例如,在 2019 年 8 月,FTC 详细说明了 GoodRx 如何整理购买了特定药物的用户列表,然后将他们的电子邮件、电话号码和移动广告 ID 上传到 Facebook。然后,该公司将这些信息与账户档案进行匹配,并按购买的药物进行分类,然后针对性地投放个性化的健康相关广告。
协同欺骗策略还包括之前展示了一个声称证明其承诺遵守 1996 年《健康保险流通与问责法》(HIPAA)的印章。GoodRx 还据称误导公众,声称其遵守《数字广告联盟》的原则,该联盟禁止参与公司在未经消费者明确同意的情况下共享健康信息用于广告。这标志着 FTC 根据《健康泄露通知规则》采取的首次执法行动,因为 GoodRx 还未能就未经授权向第三方广告商披露可识别个人身份的健康信息一事通知公众。
数字权利倡导组织 Fight for the Future 的宣传总监 Caitlin Seeley George 通过电子邮件告诉《大众科学》:“GoodRx 一直危及用户并滥用他们的信任,这是令人作呕的。”除了道德问题,George 还将这种情况描述为“可怕的,尤其是在人们担心自己的个人健康信息可能被用来指控他们违反严厉的反堕胎或反跨性别法律的时候。”
[相关:Hive 勒索软件向受害者勒索 1 亿美元。司法部刚刚反击。]
GoodRx 代表在向公众发布的声明中表示:“我们不同意 FTC 的指控,并且我们不承认任何不当行为”,并声称“达成和解可以让我们避免旷日持久的诉讼带来的时间和费用。”代表们还声称,“与 FTC 和解的重点是一个陈旧的问题,该问题在 FTC 调查开始前近三年前就已主动解决。”
GoodRx 在其网站的博客文章中写道,该公司在 2020 年就解决了 FTC 的隐私担忧,早于该机构的调查,同时也强调了 Facebook “像素”追踪系统等数据追踪策略的普遍性,该系统存在争议。
FTC 的拟议联邦法院命令包括 150 万美元的民事罚款,以及永久禁止与第三方披露用户健康信息用于广告。其他规定包括用户对任何未来信息共享的同意,要求第三方永久删除通过这些方法先前收集的任何数据,实施有限的数据保留政策以及一个强制性的隐私计划。
[相关:Chewy 正在努力拓展宠物远程医疗业务。]
George 认为,对于像 GoodRx 这样的大公司来说,罚款相对微薄,“对那些隐私被侵犯的人没有任何弥补作用。”相反,她重申了她的组织敦促立法者通过全面的联邦数据隐私法,以阻止此类侵权行为再次发生。
GoodRx 的官方隐私政策最后更新于 1 月份,目前包含有关其将用户信息出售给第三方广告商权利的免责声明。
