Pixelated: (непрерывный) большой урожай ваших медицинских записей

ОБЗОР ИСТОРИИ

К настоящему времени большинство людей знают, что если они «лайкают» определенную страницу на Facebook, это дает гиганту социальных сетей информацию о них. Например, «лайкните» страницу о конкретном заболевании, и маркетологи могут начать ориентировать вас на сопутствующие товары и услуги.

Однако Facebook может собирать конфиденциальные данные о здоровье гораздо более коварными способами, включая отслеживание вас, когда вы находитесь на веб-сайтах больниц и даже когда вы находитесь на личном, защищенном паролем портале медицинской информации, таком как MyChart.¹

Он делает это с помощью пикселей, которые могут быть установлены без вашего ведома на посещаемых вами веб-сайтах. Они могут собирать информацию о вас, когда вы просматриваете веб-страницы, даже если у вас нет учетной записи Facebook.

Метапиксель найден на веб-сайтах больниц

В частности, метапиксель — это фрагмент кода JavaScript, который разработчики могут добавить на свой веб-сайт для отслеживания активности посетителей.² Согласно Мете:³

«Он работает, загружая небольшую библиотеку функций, которую вы можете использовать всякий раз, когда посетитель сайта совершает действие (называемое событием), которое вы хотите отслеживать (называемое конверсией). Отслеживаемые конверсии отображаются в Ads Manager, где их можно использовать для измерения эффективности ваших объявлений, для определения пользовательских аудиторий для таргетинга рекламы, для кампаний с динамической рекламой и для анализа эффективности последовательностей конверсии вашего веб-сайта».

Даже больницы выбирают средства отслеживания данных, о чем свидетельствует исследование The Markup, которое проверило веб-сайты 100 лучших больниц США по версии Newsweek. Facebook Meta Pixel был обнаружен на 33 веб-сайтах, отправляя информацию Facebook, связанную с IP-адресом, который идентифицирует отдельные компьютеры и может быть отслежен до человека или семьи.

Пиксель отслеживает не только IP-адрес используемого компьютера, но и то, каких врачей ищут, а также условия поиска, добавленные в поля поиска или выбранные из раскрывающихся меню. Разметка сообщила:⁴

«На веб-сайте университетских больниц Кливлендского медицинского центра, например, нажатие кнопки «Запись онлайн» на странице врача побудило Meta Pixel отправить в Facebook текст кнопки, имя врача и поисковый запрос, который мы использовали для поиска. она: «прерывание беременности».

Нажатие кнопки «Записаться на прием онлайн» для врача на веб-сайте больницы Фродтерт в Висконсине побудило Meta Pixel отправить в Facebook текст кнопки, имя врача и состояние, которое мы выбрали из раскрывающегося меню: «Болезнь Альцгеймера». .””

Meta Pixel установлен на порталах пациентов

Здравоохранение все больше становится цифровым, что делает конфиденциальность таких порталов для пациентов, как MyChart, все более важной. В 2020 году примерно 6 из 10 американцев получили доступ к онлайн-порталу для пациентов — это на 17% больше, чем в 2014 году, — и около 40% хотя бы раз обращались к своим медицинским картам в Интернете.⁵

В целом около трети тех, кто использовал порталы для пациентов, загрузили свои медицинские карты в Интернете в 2020 году, что почти вдвое больше, чем в 2017 году.

Однако данные, к которым вы обращаетесь при использовании защищенных паролем порталов пациентов, также могут быть отправлены в Facebook через пиксели. Разметка обнаружила метапиксель на порталах пациентов из семи систем здравоохранения, включая Edward-Elmhurst Health, FastMed, Novant Health и Community Health Network.

Собранные данные включали названия принимаемых лекарств, описание аллергических реакций и предстоящие визиты к врачу.⁶ Novant Health, которая удалила пиксель после того, как с ней связалась The Markup, заявила: «Мы ценим, что вы связались с нами и поделились этой информацией. Наше размещение метапикселя управляется сторонним поставщиком, и оно было удалено, пока мы продолжаем изучать этот вопрос».⁷

Сейчас Markup сотрудничает с Mozilla Rally, используя надстройку для браузера и краудсорсинг для отправки данных о Meta Pixel на веб-сайты, которые посещают участники исследования. Цель исследования, которое продлится до 13 июля 2022 года и получила название Facebook Pixel Hunt, состоит в том, чтобы составить карту сети отслеживания пикселей Facebook, чтобы лучше понять типы информации, собираемой в Интернете.⁸

«Вполне вероятно, нарушение HIPPA»

Федеральный закон о переносимости и подотчетности медицинского страхования (HIPAA) запрещает больницам делиться персональными данными о состоянии здоровья с Facebook и другими лицами, если только человек не дал на это согласие. В результате вполне возможно, что метапиксель Facebook на сайтах больниц является незаконным.

Дэвид Хольцман, бывший старший советник по вопросам конфиденциальности в Управлении гражданских прав Министерства здравоохранения и социальных служб США, сказал The Markup: «Я глубоко обеспокоен тем, что [больницы] делают со сбором своих данных и обменом ими. Это. Я не могу сказать, что [обмен этими данными] наверняка является нарушением HIPAA. Вполне вероятно, что это нарушение HIPAA».⁹

К 15 июня 2022 года по крайней мере семь больниц, с которыми связалась The Markup, удалили пиксели со своих страниц записи на прием, в то время как по крайней мере пять систем здравоохранения с метапикселями на своих порталах для пациентов удалили пиксели.

Однако, чтобы получить представление об объеме публикуемых данных, The Markup обнаружил, что более 26 миллионов госпитализаций пациентов и амбулаторных посещений были разделены между 33 больницами, использующими Meta Pixels, и это, вероятно, консервативно.

«Наше расследование было ограничено чуть более чем 100 больницами; обмен данными, вероятно, затронет гораздо больше пациентов и учреждений, чем мы определили», — сообщает The Markup.¹⁰ На самом деле, каждый раз, когда вы просматриваете веб-страницы, вы, вероятно, столкнетесь с метапикселями, поскольку их можно найти на более чем 30% самых популярных веб-сайтов в Интернете.¹¹

IP-адреса указаны как один из идентификаторов, которые могут учитывать данные как защищенную информацию о состоянии здоровья в соответствии с HIPPA. Кроме того, вход в Facebook при посещении веб-сайта больницы с помощью метапикселя может позволить подключить еще больше механизмов отслеживания, таких как сторонние файлы cookie, чтобы данные пикселя можно было связать с учетными записями Facebook. Согласно разметке:¹²

«[В] нескольких случаях мы обнаружили — используя как фиктивные учетные записи, созданные нашими репортерами, так и данные добровольцев Mozilla Rally — что Meta Pixel еще больше упростил идентификацию пациентов.

Когда The Markup нажимал кнопку «Завершить бронирование» на странице врача Мемориальной больницы Скриппса, пиксель отправлял в Facebook не только имя врача и ее область медицины, но также имя, фамилию, адрес электронной почты, номер телефона, почтовый индекс. код и город проживания мы ввели в форму бронирования».

Пациенты будут «шокированы»

Вполне возможно, что то, что Facebook делает с конфиденциальными данными о здоровье пациентов, является незаконным, но даже если это не так, большинство людей были бы шокированы, узнав, какие типы данных Facebook собирает о них в Интернете, когда они используют то, что предполагается быть частными, защищенными веб-сайтами о здоровье и порталами для пациентов.

В беседе с The Markup Гленн Коэн, заведующий кафедрой Центра юридической политики, биотехнологии и биоэтики Петри-Флома Гарвардской школы права, объяснил:¹³

«Почти любой пациент был бы шокирован, узнав, что Facebook предоставляет простой способ связать их рецепты с их именем. Даже если, возможно, в правовой архитектуре есть что-то, что позволяет этому быть законным, это полностью выходит за рамки ожиданий пациентов относительно того, что, по мнению пациентов, делают для них законы о конфиденциальности здоровья».

В то время как Facebook утверждает, что использует системы машинного обучения для обнаружения конфиденциальных данных о состоянии здоровья и блокирования их сбора, было обнаружено, что сотни веб-сайтов центров кризисной беременности передают информацию о посетителях гиганту социальных сетей, включая информацию о том, был ли посетитель поиск тестов на беременность, экстренной контрацепции или аборта.

Данные могут быть использованы для направления целевой рекламы или даже, в худшем случае, потенциально в судебных разбирательствах.

Альберт Фокс Кан, основатель и исполнительный директор проекта Surveillance Technology Oversight Project, сказал The Markup: «Я думаю, что это станет тревожным звонком для миллионов американцев о том, какой опасности подвергает их отслеживание, когда меняются законы и люди. может вооружить эти системы способами, которые когда-то казались невозможными».¹⁴

Google также отслеживает данные о здоровье

В 2019 году Google заключил партнерское соглашение с Медицинским центром Чикагского университета, чтобы собирать медицинские записи и использовать искусственный интеллект для прогнозирования медицинских событий. Записи должны были быть анонимными, но они включали штампы с датами и заметки врачей, которые, как утверждается в иске, Google может объединять с данными геолокации для идентификации пациентов.¹⁵

В иске утверждалось, что «личная медицинская информация, полученная Google, является самой конфиденциальной и конфиденциальной информацией в жизни человека, и ее несанкционированное раскрытие наносит гораздо больший ущерб частной жизни человека», чем данные, которые обычно раскрываются при взломе, такие как номера кредитных карт.¹⁶

Четыре генеральных прокурора также подали в суд на Google за ввод в заблуждение при сборе данных о местоположении от общественности. В отдельных исках утверждается, что Google продолжал отслеживать данные о местоположении своих пользователей даже после того, как они отключили отслеживание местоположения.

Карл А. Расин, генеральный прокурор округа Колумбия, инициировал расследование в отношении Google после того, как в отчете AP News за 2018 год было показано, что Google отслеживает передвижения людей, даже если они отказались от такого отслеживания.¹⁷ Вводящие в заблуждение претензии Google к пользователям относительно средств защиты конфиденциальности, доступных в настройках их аккаунтов, продолжаются как минимум с 2014 года, как показало расследование Расина.¹⁸

Помимо сокрытия отслеживания местоположения в настройках, которых пользователи не ожидают, таких как «Активность в Интернете и приложениях», которая включена по умолчанию, Google обвиняют в сборе и хранении информации о местоположении через службы Google, данные Wi-Fi и маркетинговых партнеров, опять же после устройства. или настройки учетной записи были изменены, чтобы остановить отслеживание местоположения.¹⁹

Помимо округа Колумбия, генеральные прокуроры Техаса, Вашингтона и Индианы также подали иски против Google за их мошенническую практику сбора данных. В исках утверждается, что Google также заставлял пользователей чаще использовать отслеживание местоположения, потому что утверждал — ложно — что его продукты не будут работать должным образом без него.²⁰

Между тем, данные о местоположении могут быть использованы для раскрытия интимных подробностей о вашей жизни, от вашего членства в тренажерном зале, посещения медицинских учреждений, магазинов и ресторанов, которые вы часто посещаете, до мест, где вы ходите в церковь. Его также можно использовать для предоставления персонализированной рекламы на цифровых рекламных щитах, когда вы проходите мимо, и Google отслеживает и предоставляет своим клиентам информацию о том, насколько хорошо онлайн-реклама работает, чтобы привлечь людей в обычные магазины.²¹

Защитите свою конфиденциальность онлайн

Как только вы осознаете, что вас отслеживают в Интернете, разумно сознательно отказаться от этого, насколько это возможно. Роберт Эпштейн, доктор философии, старший психолог-исследователь Американского института поведенческих исследований и технологий (AIBRT), напоминает людям, что бесплатные онлайн-сервисы, такие как Facebook и Google, на самом деле не бесплатны, поскольку вы платите за них с помощью твоя свобода.²² Чтобы восстановить конфиденциальность в Интернете как для себя, так и для своих детей, он рекомендует:²³

1. Избавьтесь от Gmail. Если у вас есть учетная запись Gmail, попробуйте вместо этого службу электронной почты, не относящуюся к Google, например ProtonMail, служба зашифрованной электронной почты, базирующаяся в Швейцарии.
2. Удалите Google Chrome и используйте Храбрый браузер, доступный для всех компьютеров и мобильных устройств. Он блокирует рекламу и защищает вашу конфиденциальность.
3. Переключите поисковые системы. Вместо этого попробуйте поисковую систему Brave.
4. Избегайте Android. Телефоны Google и телефоны на базе Android отслеживают практически все, что вы делаете, и не защищают вашу конфиденциальность. Можно удалить Google из вашего мобильного телефона, купив телефон Android, на котором нет операционной системы Google, но вам потребуется найти квалифицированного ИТ-специалиста, который сможет переформатировать жесткий диск вашего мобильного телефона.
5. Избегайте устройств Google Home. Если у вас есть умные колонки Google Home или приложение для смартфона Google Assistant, есть шанс, что люди прислушаются к вашим просьбам и даже могут прислушаться, когда вы этого не ожидаете.
6. Очистить кеш и куки. Это поможет избавиться от агрессивных компьютерных кодов, которые отслеживают, что вы делаете в Интернете.
7. Используйте прокси или VPN (виртуальную частную сеть). Эта служба создает буфер между вами и Интернетом, «заставляя многие компании, занимающиеся наблюдением, думать, что вы на самом деле не вы».