去年夏天,The Markup发布的一项研究显示,美国《新闻周刊》评选的100强医院中,约有三分之一的医院网站使用了Meta Pixel。通过这种方式,一小段代码就能为同名社交媒体巨头提供患者的“病史、处方和医生预约信息”,用于广告宣传目的。
然而,最近对医疗网站第三方数据跟踪的深入研究显示,这种情况更为普遍。宾夕法尼亚大学的研究人员指出,你很难找到一个医院网站不包含某种形式的数据跟踪访问者信息。
正如在《Health Affairs》上发表的一项新研究中所详述的那样,一项对2019年美国医院协会调查中的3,747家非联邦、有急诊科的急性护理医院进行的调查显示,近99%的医院使用了至少一种提供数据的网站跟踪代码给第三方。其中约94%的同类机构包含了至少一个第三方Cookie。接收数据最多的外部公司包括Alphabet旗下的Google(98.5%)、Meta(55.6%)和Adobe Systems(31.4%)。其他经常出现的第三方还包括AT&T、Verizon、Amazon、Microsoft和Oracle。
[相关:两款酒精康复应用在未经用户同意的情况下共享用户数据。]
根据《HIPAA Journal》的说法,健康保险可携性和问责法案(HIPAA)禁止数据跟踪,“除非满足特定条件”。尽管如此,《Journal》解释说,大多数接收数据的第三方不受HIPAA监管,因此传输数据的用途和披露“在很大程度上不受监管”。
《HIPAA Journal》解释说:“传输的信息可能用于多种目的,例如投放与病史、健康保险或药物相关的定向广告。”并警告说,“传输数据实际如何处理尚不清楚。”
在提供给《PopSci》的电子邮件声明中,独立的医疗监测非营利组织ECRI的总裁兼首席执行官Marcus Schabacker表示,他们对这项研究的结果“深感不安”。Schabacker补充说:“除了严重的隐私侵犯之外,ECRI还担心这些数据将允许卑鄙的坏人,利用患有严重健康状况的弱势群体,向他们推销价格昂贵但无效的、或者更糟糕的是,会造成伤害或死亡的非循证的‘灵丹妙药’。”
[相关:数据经纪人如何威胁你的隐私。]
ECRI敦促医院“立即”停止数据跟踪,移除第三方代码,并“与广告商一起,对其与数据共享安排相关的任何损害承担责任或被追究责任。”此外,Schabacker认为,这些披露再次强调了更新健康技术和信息法规的必要性,包括HIPAA,因为他们声称HIPAA未能解决自像素跟踪策略几乎无处不在以来出现的许多“可疑做法”。
正如《HIPAA Journal》也指出的那样,诉讼几乎是不可避免的。2021年,波士顿地区的几家医院同意支付超过1800万美元的和解金,以了结其被指控在未经患者同意的情况下与第三方共享用户数据的指控,并且“还有许多针对医疗提供者的诉讼正在进行中。”
