凯撒永久医疗网络数据泄露事件

重点摘要

凯撒永久医疗网络最近通知了1340万名当前和前任会员及患者，指出在访问其网站和移动应用时，某些在线跟踪技术可能将个人信息传递给了第三方供应商，包括Google、Microsoft Bing和X。尽管没有用户名、密码或社会安全号码等敏感信息被泄露，但所涉及的信息包括IP地址、姓名以及用户如何与网站和应用互动的信息。

凯撒永久医疗网络Kaiser Permanente向1340万名当前和前任会员及患者发出通知，告知他们在访问其网站和移动应用时，某些在线跟踪技术可能已将个人信息传输给第三方供应商，包括Google、Microsoft Bing和X。这一事件引起了广泛关注。

凯撒的声明中表示，涉及的信息主要包括以下几项： IP 地址和姓名 可能表明会员或患者已登录凯撒永久账户或服务的信息 显示会员或患者如何与网站和移动应用互动的使用数据 在健康百科中使用的搜索词

凯撒最初在4月12日向美国卫生与公共服务部HHS报告了此事件。这家大型非营利医疗服务提供商表示，传输中不包含用户名、密码、社会安全号码、财务账户信息或信用卡号码。

凯撒在声明中表示：“凯撒永久医疗网络对这些在线技术进行了自愿的内部调查，并随后将其从网站和移动应用中删除。凯撒并未发现任何会员或患者个人信息被滥用的情况。”

在线跟踪技术长期以来一直是隐私风险

领先科技应用程序带来的数据隐私风险早已为人所知，第一健康顾问公司的治理、风险与合规执行副总裁David Finn指出。

2023年7月，Finn提到联邦监管机构向医院系统和远程医疗提供商发出警告，指出使用第三方跟踪技术带来的数据隐私风险。这些服务，如Meta Pixel或Google Analytics，可能违反健康保险流通与责任法案HIPAA或联邦贸易委员会FTC的数据安全法规。

随后，FTC和HHS的民权办公室联合发布了一份罕见的声明，宣布130家医院系统和远程医疗提供商收到了关于使用集成于其网站或移动应用的在线跟踪技术而带来的数据隐私和安全风险的警告信。

“提供商应该利用这一机会检查自己的系统，”Finn说。“这提醒我们，走过场并不能提供安全或隐私。这些跟踪工具无处不在这就是Google、Meta、X等公司赚钱的方式。将这些工具与患者数据连接在一起，需要额外的努力。数据经纪人或数据转售者与受保护信息或患者隐私并不兼容。”

Zendata的首席执行官Narayana Pappu表示，属于广告商的第三方跟踪器的存在，以及与这些跟踪器过度共享客户信息，已成为医疗科技和政府部门的普遍问题。Pappu提到，一旦共享，广告商就会利用这些信息根据健康数据向用户推送相关产品的广告。在过去几年中，这种情况多次发生，包括在GoodRx平台上。

“虽然这并不符合传统的数据泄露定义，但从本质上来看，结果是相似的：某个实体及其数据使用案例获得了本不该有的访问权限，”Pappu说道。“通常没有监控/审计流程来识别和防止此类问题。”

通过上述事件，我们看到健康科技领域在数据安全方面面临着不断增加的挑战和警惕性。患者和会员在使用医疗服务时，应对个人信息的保护保持高度关注。