Novant Health证实,它可能向Meta公司披露了约130万名患者的敏感数据,这其中包括电子邮件地址、电话号码、财务信息,甚至还包括了医生的预约细节。
这家横跨北卡罗来纳州、南卡罗来纳州和佐治亚州的800家医院和诊所的医疗保健公司承认了这一事实,此前他们对Meta公司提起了集体诉讼,声称Facebook非法接收了至少664家医院系统或医疗机构的患者数据。
Novant公司在周五晚些时候发布的一份声明中承认,在pixel中(一种在线跟踪工具)的错误配置可能会导致受保护的健康信息(PHI)泄露后,向一些患者发出了信件。一位发言人后来向The Register证实了这一点,130万名患者都收到了这些信件。
据这家医疗保健公司称,泄露的数据还可能包括计算机IP地址、紧急联系信息、高级护理计划联系人、预约类型和日期、病人的医生,以及通过其病人门户网站输入文本框或从下拉菜单和按钮选择的各种信息。
声明说,这些信息不包括社会安全码或其他财务信息,除非它是由用户输入到一个自由文本框中的。在寄给每个病人的信会具体说明是否可能会涉及此类财务信息。
Novant公司补充说,它不知道Meta公司或其他任何第三方是否有任何不当使用或试图使用病人信息的情况。
然而,Meta公司在收到传票后,交出了内布拉斯加州一位母亲和她女儿之间的Facebook聊天记录,这些聊天记录后来被用来调查一个有关青少年的刑事案件,因为她在家乡进行了非法堕胎,"不当使用" 可能听起来非常主观。
在该漏洞发生后,这家医疗保健巨头增加了更好的治理和使用pixels的政策,并正在积极采取行动,确保这种情况不会再次发生。
根据Novant的说法,以下是确实发生的情况。
早在2020年5月,因为当时COVID-19大流行病使医生亲自出诊受到了极大限制,这家医疗保健公司发起了一个促销活动,让更多的病人注册其病人门户网站,表面上是为了让病人更容易接受虚拟的网络护理。
这项活动涉及Facebook广告和pixel,他们使用了一段代码用于跟踪用户在特定网站上的活动,来完成营销和分析目的。在Novant Health网站上。该pixels本应跟踪Facebook广告活动。但这并没有完全按计划进行。
在这种情况下,pixels的配置失误,可能会允许某些私人信息从Novant Health网站和MyChart门户网站传输到Meta。
- 美国诉讼称医院使用的工具会与Meta共享病人的数据
- facebook向警察提交堕胎案的聊天记录
- 针对保健品行业进行攻击的勒索软件导致190万份病人记录泄露
- Googlers要求堕胎记录永远不要被保存或作为犯罪处理
- 这家医疗保健公司表示,一旦Novant公司意识到该pixels一直在向Meta发送病人信息,它会立即禁用并删除代码,然后对与社交媒体巨头共享的信息展开调查。
根据这项调查,Novant健康公司于2022年6月17日确定,根据用户在Novant健康网站和MyChart门户网站上的活动,敏感信息或PHI都有可能会被披露给Meta。
不久之后,一位匿名的医院病人对Meta公司提起了集体诉讼,声称Facebook从至少664家医院系统或医疗机构中窃取了病人的数据,违反了《健康保险可携性和责任法案》。
诉讼称,Facebook通过部署在医疗机构网站上的Facebook Pixel收到的信息,利用这些信息在Facebook应用以外的程序中投放高利润的目标广告,从而实现更多的收入。
根据Meta公司的敏感医疗数据的条款和条件,其政策和过滤器阻止了个人数据,并且不在其广告管理器软件中使用这些数据。
它说,如果Facebook的信号过滤机制检测到它属于是潜在的敏感的健康相关的数据,那么过滤机制可以防止该数据进入到我们的广告排名和优化系统。
本文翻译自:https://www.theregister.com/2022/08/22/novant_meta_data/如若转载,请注明原文地址。
