信息来源自The Markup ,略有修改,作者Todd Feathers, Simon Fondrie-Teitler, Angie Waller, Surya Mattu
许多医院的网站上安装了收集病人的敏感健康信息的跟踪工具,其中包括他们的医疗状况、处方和医生预约的详细信息,该工具最终将这些信息发送到了Facebook上。
我们测试了《新闻周刊》的美国前100家医院的网站。我们在其中的33个网站上发现了被称为Meta Pixel的追踪器,每当有人点击按钮来安排医生的预约时,它就会向Facebook发送一包数据。
【资料图】
例如,在克利夫兰大学医院医学中心的网站上,点击一位医生页面上的“Schedule Online”按钮,Meta Pixel就会向Facebook发送该按钮的文本、医生的名字,以及我们用来寻找医生的搜索词。
在威斯康星州Froedtert医院网站上点击医生的“Schedule Online Now”按钮,也出现了同样的情况。
我们还发现Meta Pixel安装在了七个卫生系统的受密码保护的患者门户网站内。在其中5个系统的页面上,我们记录了Pixel向Facebook发送的关于自愿参与pixel Hunt项目的真实患者的数据。
前监管机构、健康数据安全专家和隐私倡导者在审阅了此调查结果后表示,这些医院可能违反了联邦健康保险可携带性和责任法案(HIPAA)。该法律禁止医院等受保护实体与Facebook等第三方共享个人可识别的健康信息,除非个人事先明确同意或签订了某些合同。
两家医院和Meta都没有表示他们有这样的合同,我们也没有发现任何证据表明医院或Meta在其他方面获得了患者的明确同意。
健康隐私顾问David Holtzman说:“我对(医院)获取和分享数据的做法深感不安。”David曾在负责执行HIPAA的美国卫生与公众服务部民权办公室担任高级隐私顾问。“我不能说(分享这些数据)就一定违反了HIPAA规定。但这很可能违反了HIPAA。”
克利夫兰大学医院医学中心发言人没有回应我们的问题,但在一份简短的声明中表示,该医院“遵守所有适用的联邦和州法律和监管要求”。
Froedtert医院发言人在一份声明中写道,在审查了此发现后,“出于充分的谨慎”,Froedtert医院从其网站上删除了Meta Pixel。
截至6月15日,其他六家医院从他们的预约页面上删除了Meta Pixel,在七个安装了Meta Pixel的医疗系统中,至少有五个也已经删除。
根据美国医院协会获得的最新数据,我们发现向Facebook发送病人预约信息的33家医院在2020年共报告了超过2600万次的病人入院和门诊。我们的调查仅限于100多家医院,数据共享影响到的患者和机构可能比我们确定的还要多。
Facebook本身不受HIPAA的约束,但接受采访的专家对这家广告巨头可能会如何利用其收集的个人健康数据为自己牟利表示担忧。
密歇根大学研究大数据和医疗保健的法学教授Nicholson Price说,“这是一个极端的例子,说明大型科技公司的触角已经伸向了我们所认为的受保护的数据空间。”从医院的角度来看,“我认为这是令人毛骨悚然的,有问题的,而且可能是非法的”。
我们无法确定Facebook是否将这些数据用于投放广告、训练推荐算法或以其他方式盈利。
Facebook的母公司Meta没有回应记者的提问。相反,发言人Dale Hogan发送了一封简短的电子邮件,解释了该公司敏感的健康数据政策。
Hogan写道:“如果Meta的信号过滤系统检测到某个企业通过使用Meta的业务工具从其应用程序或网站发送潜在敏感的健康数据,那么这些潜在的敏感数据将在存储到我们的广告系统之前被删除。”
Meta没有回应后续问题,但Hogan似乎指的是该公司为回应《华尔街日报》的一篇文章和纽约金融服务部门的调查,在2020年7月推出的敏感健康信息过滤系统。根据该部门2021年2月的最终报告,Meta告诉调查人员,该过滤系统“尚未完全运行”。
我们无法确认在这个事件中提到的任何数据在被Meta存储之前是否真的被删除。然而,在最近与Reveal公司的联合调查中我们发现,Meta公司的敏感健康信息过滤系统并没有屏蔽记者向妊娠中心提出的预约信息。
Meta Pixel是一段代码,可以跟踪用户浏览网站的过程,记录他们访问了哪些页面,点击了哪些按钮,以及他们在表单中输入的某些信息。它是互联网上最高产的跟踪工具之一,根据我们的分析,在网络上最受欢迎的网站中,有超过30%的网站存在这种跟踪。
作为安装pixel的交换,Meta为网站所有者提供了关于他们在Facebook和Instagram上投放的广告分析,以及针对访问过其网站的用户的工具。
Meta Pixel通过在用户的网络浏览器中运行的脚本向Facebook发送信息,因此每个数据包都标有一个IP地址,可以与其他数据结合起来识别个人或家庭。
HIPAA将IP地址列为18种标识符之一,当这些标识符与有关个人健康状况、护理或付款信息联系在一起时,可以使数据成为受保护的健康信息。与匿名或汇总的健康数据不同,医院不能与第三方共享受保护的健康信息,除非有严格限制数据使用的商业合作协议条款。
此外,如果病人在访问安装了Meta Pixel的医院网站时登录到Facebook,一些浏览器会附加第三方cookie,允许Meta将pixel数据与特定的Facebook账户联系起来。
在一些案例中,我们发现Meta Pixel使识别患者更加容易。
当我们点击斯克里普斯纪念医院医生页面上的“完成预约”按钮时,Pixel不仅向Facebook发送了这位医生的名字和她的医学领域,还发送了我们输入的预约表单中的姓名、电子邮件地址、电话号码、邮政编码和居住城市。
在将这些个人信息发送到Facebook之前,Meta Pixel会对这些信息进行“哈希”处理——通过一种加密的形式将它们隐藏起来。但这并不能阻止Facebook使用这些数据。事实上,Meta明确地使用这种信息将pixel数据与Facebook的个人资料联系起来。
在其他医院的网站上,我们记录了Meta Pixel收集真实病人类似的隐私信息。
当一位参与Pixel Hunt研究的患者登录到位于乔治亚州Piedmont医疗保健系统的MyChart门户网站时,安装在其上的Meta Pixel会根据参与者的Mozilla Rally浏览器扩展程序收集的数据,告诉Facebook患者的名字、医生的名字,以及他们即将预约的时间。
当另一位Pixel Hunt参与者使用北卡罗来纳州的医疗系统Novant Health的MyChart门户网站时,Pixel告诉了Facebook患者对特定药物的过敏反应类型。
我们通过Novant Health创建了我们自己的MyChart账户以进一步调查,并发现Meta Pixel还收集了各种其他敏感信息。
点击一个按钮,pixel就会告诉Facebook我们健康记录中的药物名称和剂量,以及我们输入的关于处方的任何说明。该pixel还告诉Facebook我们在回答有关性取向的问题时点击了哪个按钮。
Novant发言人在一封电子邮件中写道:“我们的Meta pixel是由第三方供应商指导设置的,在我们继续调查此事的同时,它已经被删除。”
MyChart背后的软件公司Epic Systems的高级副总裁Stirling Martin在一封电子邮件中写道,该公司“特别建议,在使用定制分析脚本时要格外谨慎”。
Facebook能够通过其他方式推断出人们健康状况的私密细节——例如,一个人“点赞”了与某种疾病相关的Facebook群组——但医院网站上pixel收集的数据更为直接。专家表示,在与Facebook分享信息的过程中,医疗服务提供者可能会损害患者对日益数字化的医疗系统的信任。
通过Novant Health填写调查问卷,Meta Pixel与Facebook共享了性取向等敏感信息。
哈佛大学法学院Petrie-Flom健康法政策、生物技术和生物伦理中心主任Glenn Cohen说:“几乎所有的病人都会震惊地发现,Facebook提供了一个将处方与他们的名字联系起来的简单方式。”“即使在法律体系中可能有某些东西允许这是合法的,但这完全超出了病人认为健康隐私法对他们的影响。”
法律影响
Facebook在医院网站上的数据收集一直是几个州集体诉讼的主题,结果好坏参半。
健康法律专家说,这些案例涉及的数据类型比较敏感,但不像Meta Pixel收集的健康信息那样受监管。
2016年,一群原告起诉了Facebook和一些医疗系统和组织,指控这些组织通过在医疗机构网站上使用跟踪技术收集数据,违反了隐私政策以及一些州和联邦法律。
2017年,美国加州北部地区法院以多种原因驳回了该案件,其中包括原告未能证明Facebook收集了HIPAA定义的“受保护的健康信息”。相反,法院发现,Facebook在这些网站面向公众的页面上对原告进行了追踪,如主页或关于疾病的信息页面,没有证据表明原告与提供者建立了医患关系。
2019年,原告在萨福克县高级法院对总部位于马萨诸塞州的Partners Healthcare System提起了类似的集体诉讼,指控该系统在其网站上安装Meta Pixel和其他跟踪工具,侵犯了患者的隐私并违反了自身政策。
今年1月,双方达成和解,该医院否认了指控,承认没有任何不当行为或责任,但向原告及其律师支付了1840万美元。在和解之后,该医院似乎已经从其许多下属医院的网站上删除了Meta Pixel和其他跟踪工具——但不是所有的医院。
我们发现Meta Pixel收集的所有这些数据都与我们电脑的公共IP地址一起被发送到Facebook。
Holtzman说:“当一个人找到医疗机构并表示想要预约时,他们提供的任何个人可识别的健康信息都受HIPAA的保护,不能与Facebook这样的第三方共享。”
美国公共服务部民权办公室发言人Rachel Seeger在一份电子邮件声明中写道:“无法对公开或潜在的调查发表评论。”
前民权办公室HIPAA执法负责人、Polsinelli公司的隐私律师Iliana Peters说:“一般来说,HIPAA覆盖的实体和商业伙伴不应该与社交媒体公司共享可识别信息,除非他们有HIPAA的授权(来自个人)和州法律的同意。”
Peters说,病人有权向他们的医疗机构提出HIPAA投诉,医疗机构必须对投诉进行调查,他补充说:“我希望医疗机构能对这类投诉作出快速回应,以便它们不会被升级到州或联邦监管机构。”
似是而非的否认
我们就这篇文章联系的大多数医院都没有回答我们的问题,也没有解释为什么他们选择在他们的网站上安装Meta Pixel。但有些医院确实为他们使用追踪器进行了辩护。
芝加哥Northwestern Memorial Hospital的发言人写道:“这种代码的使用受到了审查。”该发言人没有回应关于审查过程的后续问题。
他说,Northwestern Memorial Hospita的网站上没有托管或访问任何受保护的健康信息,“Facebook会自动识别任何可能与个人信息有关的信息,并且不会存储这些数据。”
事实上,Meta在其业务工具服务条款中明确表示, pixel和其他跟踪器确实会为各种目的收集个人身份信息。
德克萨斯州的休斯顿卫理公会医院是唯一一家对我们的问题提供详细回答的机构。发言人写道,该医院于2017年开始使用pixel,并对Facebook的安全措施“有信心”,并表示共享的数据不是受保护的健康信息。
当我们测试休斯顿卫理公会的网站时,点击一个医生页面上的“Schedule Appointment”按钮后,Meta Pixel向Facebook发送了这个按钮的文本、医生的名字,以及我们用来找到这个医生的搜索词:“家庭堕胎”。
发言人写道,休斯顿卫理公会医院并没有将这些数据归类为受保护的健康信息,因为点击“预约”按钮的人可能不会执行并确认预约,或者,他们可能是在为家人而不是自己预约。
发言人补充说,休斯顿卫理公会医院认为,Facebook“使用工具来检测和拒绝任何健康信息,为[受保护的健康信息]的通过提供了一个障碍。”
尽管休斯顿卫理公会医院对Meta Pixel的使用进行了辩护,但在回应了我们的问题几天后,该医院还是从其网站上删除了pixel。
发言人在一封后续邮件中写道:“由于我们对这一问题的进一步研究还在进行中,所以我们决定暂时删除pixel,以确保我们在评估过程中尽一切可能保护患者的隐私。”
根据纽约金融服务部门的调查,Facebook直到2020年7月才推出其敏感健康数据过滤系统,也就是在休斯顿卫理公会医院开始使用pixel的3年后。而就在去年2月,该部门还报告说,该系统的准确性很差。
隐私倡导者说,这种权宜之计是网络广告行业无法自我监管的一个典型例子。
电子隐私信息中心的执行董事Alan Butler说:“Facebook系统的邪恶之处在于,他们为了窥探隐私创造了一小段代码,然后将其公之于众,Facebook可以声称合理的推诿责任。”“这在医院的网站上到处可见的事实证明了规则是多么的残缺。”