据《The Verge》报道,两起新的诉讼指控 Facebook 的母公司 Meta 以及多家美国医院违反了医疗隐私法 HIPAA。这些诉讼是在《The Markup》于今年 6 月发布的关于 Meta Pixel(安装在许多网站上的广告分析跟踪工具)如何可能以违反 HIPAA 的方式共享患者身份识别数据的一份报告之后提起的。这两起诉讼均在加州北区提起,并认为 Meta Pixel 在医院网站上的使用允许敏感健康信息被发送到 Facebook。原告律师正试图将这些案件归类为集体诉讼,并要求进行陪审团审判。
但让我们回过头来,回答一些关键问题:Meta Pixel 是什么,它是如何工作的,以及为什么医院要在其网站上安装它?既然安装了,这是否可能违反 HIPAA?
Meta Pixel 是 Facebook 提供的一款免费广告跟踪工具。根据《The Markup》进行的研究,在 80,000 个最受欢迎的网站中,约有三分之一安装了 Meta Pixel。(全披露:PopSci 也是其中之一)。该工具允许网站所有者查看其投放的 Facebook 和 Instagram 广告的分析数据,并向访问过其网站的用户投放定向广告。
当有人访问安装了 Meta Pixel 的网站时,它会自动触发。如果用户登录了 Facebook(并且没有使用可防范第三方跟踪的浏览器),它就会将关于用户身份及其在网站上活动的信息发送给 Facebook。(即使未登录,Facebook 仍有其他方法尝试通过 Meta Pixel推断访问者信息)。发送给 Facebook 的信息由网站运营商控制,而这正是 HIPAA 麻烦的开始。
作为《The Markup》关于 Facebook 广告跟踪的 Pixel Hunt 调查的一部分,它测试了《新闻周刊》2022 年评选的美国 100 家最佳医院的网站。它发现其中 33 家安装了 Meta Pixel,并且所有这些医院都将敏感数据发送给了 Facebook,包括访问者的 IP 地址等身份识别信息,以及他们尝试预约时的时间。
[相关:数据经纪人如何威胁你的隐私]
《The Markup》报道称:“例如,在克利夫兰医疗中心大学医院的网站上,点击医生页面上的‘在线预约’按钮会触发 Meta Pixel 将按钮文本、医生姓名以及我们用来查找她的搜索词‘堕胎’发送给 Facebook。”
对七家医院来说,情况更糟。Meta Pixel 不仅安装在面向公众的网页上,还安装在需要密码保护的患者门户网站上。对于其中五个网站,《Pixel Hunt》调查的志愿者(他们注册使用Mozilla 的广告跟踪 Rally 插件)提供了数据,调查记录了真实的患者数据被发送到 Facebook。其中一些信息包括“患者用药名称、过敏反应描述以及即将到来的医生预约详情”。
据《The Markup》报道,“前监管官员、健康数据安全专家和隐私倡导者”都对使用 Meta Pixel 在患者门户网站上收集数据的医院可能违反 HIPAA 法规表示担忧。曾担任美国负责执行 HIPAA 的政府机构高级隐私顾问的健康隐私顾问 David Holtzman 告诉《The Markup》,虽然他无法肯定地说,但“这很有可能构成 HIPAA 违规”。
需要注意的是,Facebook 本身不受 HIPAA 的约束,因为它不是医疗保健提供者。尽管如此,Facebook 如何处理敏感数据仍值得合法审查。在《华尔街日报》的一篇报道和纽约州金融服务部 2019 年的一项调查之后,Meta 表示正在推出一项工具,自动过滤掉网站通过 Meta Pixel 发送的敏感医疗数据。然而,根据《The Markup》和泄露的 Facebook 内部文件此前的报道,该工具不太可能 100% 有效地过滤敏感医疗数据。
另一方面,医疗提供者受 HIPAA 约束。未经患者明确同意,他们不得与第三方共享数据。从《The Markup》的报道来看,这些医院似乎不太可能获得患者的同意。
尽管《The Markup》的调查记录的大多数医院在被联系后已经从其患者门户网站上移除了 Meta Pixel(其中一些还从其公共网站上移除了),但他们过去的行动为这两起诉讼埋下了伏笔。
除 Meta 外,其中一项诉讼还将加州大学旧金山分校和 Dignity Health 的患者门户网站列为被告。据称,一名患者声称她的医疗信息被发送到 Facebook,然后她看到了与心脏和膝盖疾病相关的定向广告。另一项诉讼没有指名其他被告,但声称至少有 664 家医疗保健提供者向 Meta 发送了医疗数据。
我们还无法确定任何一起案件是否会成为集体诉讼,甚至是否会继续进行,但这无疑是 Meta 的又一个负面消息——它似乎真的无法摆脱困境。
