Các Trang Y Tế Cho Phép Quảng Cáo Theo Dõi Người Truy Cập Mà Không Thông Báo

Quảng cáo số điện tử thường xuyên không đúng đối tượng, đặc biệt là những người dễ bị tổn thương trực tuyến, bao gồm nạn nhân bạo lực và trẻ em. Thêm vào đó là danh sách khách hàng của một số công ty y tế kỹ thuật số và kiểm tra gen, trang web của họ sử dụng các công cụ theo dõi quảng cáo có thể tiết lộ thông tin về tình trạng sức khỏe của người dùng.

Trong một nghiên cứu gần đây từ các nhà nghiên cứu tại Đại học Duke và nhóm tập trung vào quyền riêng tư của bệnh nhân, Light Collective, 10 người ủng hộ bệnh nhân hoạt động trong cộng đồng ung thư di truyền và các nhóm hỗ trợ ung thư trên Facebook - bao gồm ba người quản trị nhóm Facebook - đã tải xuống và phân tích dữ liệu của họ từ tính năng “Hoạt động ngoài Facebook” của nền tảng vào tháng Chín và tháng Mười. Công cụ này cho thấy thông tin mà bên thứ ba chia sẻ với Facebook và công ty mẹ của nó, Meta, về hoạt động của bạn trên các ứng dụng và trang web khác. Cùng với các trang web bán lẻ và truyền thông thường xuất hiện trong các báo cáo này, các nhà nghiên cứu phát hiện rằng một số công ty kiểm tra gen và y tế kỹ thuật số đã chia sẻ thông tin khách hàng với ông lớn truyền thông xã hội này để tiến hành quảng cáo.

Phân tích sâu hơn về những trang web đó - sử dụng các công cụ nhận dạng theo dõi như Privacy Badger của Electronic Frontier Foundation và Blacklight của The Markup - đã tiết lộ các mô-đun công nghệ quảng cáo mà các công ty đã nhúng vào trang web của họ. Sau đó, các nhà nghiên cứu kiểm tra chính sách bảo mật của các công ty để xem liệu họ cho phép và tiết lộ loại theo dõi và luồng dữ liệu đến Facebook có thể phát sinh. Trong ba trong số năm trường hợp, chính sách của các công ty không có ngôn ngữ rõ ràng về các công cụ của bên thứ ba có thể được sử dụng để mục tiêu lại hoặc xác định lại người dùng trên web cho mục đích tiếp thị.

“Phản ứng của tôi là sự sốc khi nhận ra những phần thiếu sót lớn trong những chính sách này,” nói Andrea Downing, một trong những tác giả của nghiên cứu, là một nhà nghiên cứu bảo mật độc lập và là chủ tịch của Light Collective. “Và khi chúng tôi nói chuyện với một số công ty này, có vẻ như họ hoàn toàn không hiểu rõ về công nghệ quảng cáo mà họ đang sử dụng. Vì vậy, điều này cần phải làm họ tỉnh táo.”

Downing và tác giả cùng nghiên cứu Eric Perakslis, giám đốc khoa học và quản trị số của Viện Nghiên cứu Lâm sàng Đại học Duke, nhấn mạnh rằng trong khi quảng cáo có mục tiêu là một hệ sinh thái mơ hồ, việc theo dõi có thể có những ảnh hưởng đặc biệt đối với nhóm dân số bệnh nhân. Trong quá trình xác định lại người dùng trên nhiều trang web, ví dụ, một công cụ theo dõi của bên thứ ba có thể thu thập thông tin về tình trạng sức khỏe của người dùng cũng như xây dựng một hồ sơ tổng quát hơn về sở thích, nghề nghiệp, dấu vân tay thiết bị và khu vực địa lý của họ. Và sự liên kết của hệ sinh thái quảng cáo có nghĩa là bức tranh tổng hợp này có thể tiềm ẩn thông tin từ mọi loại duyệt web, bao gồm hoạt động trên các trang web như Facebook. Một ví dụ điển hình khác là quảng cáo có mục tiêu xâm nhập vào nhóm người mang thai và những người khác dựa trên giả định của nhà tiếp thị về tình trạng sức khỏe của họ.

“Câu hỏi trong cuộc thử nghiệm này là ‘Liệu bệnh nhân có thể tin vào các điều khoản và điều kiện mà họ đồng ý trên các trang web liên quan đến sức khỏe không? Và nếu họ không thể, liệu các công ty có biết rằng họ không thể?’” Perakslis nói. “Và nhiều công ty chúng tôi xem xét không phải là các thực thể được bảo vệ theo HIPAA, vì vậy dữ liệu liên quan đến sức khỏe này tồn tại trong một không gian gần như hoàn toàn không được quy định. Nghiên cứu liên tục cho thấy việc luồng thông tin như vậy cho quảng cáo có thể gây tổn thương không cân xứng đối với các nhóm dân số dễ bị tổn thương.”

Hầu hết các người dùng, dĩ nhiên, thường nhấp qua các điều khoản dịch vụ và chính sách bảo mật mà không đọc thực sự chúng. Nhưng các nhà nghiên cứu cho biết điều này càng là lý do để đưa ra ánh sáng về cách quảng cáo số, tạo cơ hội kinh doanh và theo dõi qua các trang web có thể làm suy giảm quyền riêng tư của người dùng.

“Từ quan điểm của tôi, việc phát hiện như thế này liên tục diễn ra đối với nhóm dữ liệu mà tôi gọi là 'dữ liệu 'sức khỏe-ish' mà không rõ ràng nằm trong phạm vi bảo vệ quyền riêng tư hạn chế hiện tại trong luật pháp Mỹ,” Andrea Matwyshyn, một giáo sư và nhà nghiên cứu tại Đại học Penn State và là cựu cố vấn của FTC, nói. “Sự tiến triển của điều khoản sử dụng khi kết hợp với chính sách bảo mật đã tạo ra một bức tranh mơ hồ cho người dùng, và khi bạn cố gắng phân tích luồng dữ liệu, bạn sẽ rơi vào vòng xoáy không lối thoát này.”

Ủy ban Thương mại Liên bang Hoa Kỳ thành lập Quy tắc Thông báo vi phạm Sức khỏe vào năm 2009 áp dụng cho các tổ chức liên quan đến sức khỏe không nằm trong phạm vi của Đạo luật Bảo vệ Bảo hiểm Sức khỏe và Trách nhiệm (HIPAA) nhưng chưa bao giờ thực hiện hành động thực thi dưới đây. Cơ quan này đưa ra ví dụ về những tình huống có thể kích hoạt việc thực thi, trong đó có một tình huống khi một công ty y tế kỹ thuật số chia sẻ thông tin y tế và định danh di động của người dùng với một mạng quảng cáo mà không có sự đồng ý của người dùng.

Các nhà nghiên cứu tập trung vào năm công ty liên quan đến sức khỏe của người tiêu dùng: Color Genomics, Myriad Genetics, Health Union, Invitae và Ciitizen. Invitae đã mua lại Ciitizen vào tháng Chín, và các nhà nghiên cứu phát hiện rằng hai công ty này đã đi xa nhất trong chính sách bảo mật của họ để chi tiết hóa cách họ có thể sử dụng các công nghệ theo dõi, bao gồm cookie và web beacons, cung cấp dữ liệu cho các dịch vụ của bên thứ ba. Downing lưu ý rằng cả Invitae và Ciitizen có thể đã đi sâu hơn vào một số chi tiết của kế hoạch của họ, nhưng nói chung họ đã làm rõ rằng người dùng có thể bị theo dõi quảng cáo trên trang web của họ.

Tuy nhiên, Invitae và Ciitizen đang thực hiện các biện pháp bổ sung dựa trên các phát hiện của nhà nghiên cứu. “Chúng tôi hiện đang tiến hành đình chỉ tất cả quảng cáo trên Facebook và loại bỏ các theo dõi liên quan đến Facebook từ trang web của chúng tôi để đội ngũ có thời gian để hiểu rõ, xác nhận và loại bỏ bất kỳ việc sử dụng dữ liệu nào có thể xung đột với chính sách hoặc cam kết của Invitae và Ciitizen,” Deven McGraw, người đứng đầu quản lý dữ liệu và chia sẻ dữ liệu của Ciitizen, cho biết với Mytour trong một tuyên bố.

Lauren Lawhon, tổng giám đốc điều hành và tổng giám đốc của Health Union, cho biết với Mytour trong một tuyên bố rằng công ty không nhận được sự tiết lộ của nhà nghiên cứu về các vấn đề quyền riêng tư tiềm ẩn cho đến sau khi bài báo của họ được xuất bản. Cô nói rằng công ty ngẫu nhiên thực hiện một cuộc cải tổ lớn về chính sách bảo mật của mình trong suốt năm 2021, điểm cuối là cập nhật đáng kể vào tháng 12. Khi ai đó truy cập Health Union lần đầu tiên, họ bây giờ sẽ thấy một cửa sổ bật lên để chấp nhận hoặc từ chối việc thu thập cookie và theo dõi dữ liệu khác. Lawhon cũng chú ý rằng người dùng có thể chọn tham gia hoặc không tham gia chia sẻ dữ liệu vào bất kỳ thời điểm nào, và cuối mỗi trang cộng đồng Health Union bây giờ bao gồm một liên kết “KHÔNG BÁN THÔNG TIN CÁ NHÂN CỦA TÔI” để hiển thị các điều khiển này. Lawhon cũng thêm rằng những thay đổi này đến cùng “một số cải tiến về cách quản lý quyền riêng tư diễn ra.”

Myriad Genetics không chi tiết hóa xem xét hoặc thay đổi cụ thể chính sách của mình dựa trên các phát hiện, nhưng công ty nói rằng “không có thông tin sức khỏe cá nhân” từ sản phẩm trắc nghiệm của họ được sử dụng để mục tiêu cá nhân và rằng họ tuân thủ với chính sách quảng cáo chăm sóc sức khỏe của Facebook. Color Genomics nói rằng họ không tích cực sử dụng hai trong số các công cụ theo dõi trên nhiều trang web (Leadfeeder và Nanigans) mà nhà nghiên cứu phát hiện trên trang web của họ trong gần một năm, và họ đang tiếp tục xem xét các phát hiện nghiên cứu.

Meta cấm các tổ chức sử dụng các theo dõi hoạt động và các công cụ quảng cáo và tiếp thị khác của họ từ việc chia sẻ dữ liệu sức khỏe với mạng xã hội này. “Chúng tôi không muốn các trang web hoặc ứng dụng gửi cho chúng tôi thông tin nhạy cảm về con người,” công ty viết trên trang tài nguyên về dữ liệu sức khỏe nhạy cảm. Công ty nói rằng họ triển khai các công cụ tự động được thiết kế để lọc bỏ bất kỳ dữ liệu như vậy trước khi được áp dụng vào việc phục vụ quảng cáo.

Tuy nhiên, mô hình kinh doanh của Meta dựa vào quảng cáo cá nhân hóa. Vào tháng 11, công ty đã thông báo một “quyết định khó khăn” để loại bỏ hàng nghìn danh mục quảng cáo nhạy cảm liên quan đến các chủ đề như niềm tin chính trị, sở thích tình dục, tôn giáo và chủng tộc. Động thái này cũng bao gồm việc loại bỏ các danh mục liên quan đến sức khỏe như “Nhận thức ung thư phổi” và “Hóa trị.”

Trong thông báo về việc loại bỏ các danh mục nhạy cảm “Mục tiêu chi tiết,” Meta đã diễn đạt vấn đề mà Downing và Perakslis đã xem xét trong nghiên cứu của họ.

“Các lựa chọn mục tiêu quan tâm mà chúng tôi đang loại bỏ không dựa trên các đặc điểm vật lý hoặc thuộc tính cá nhân của người, mà thay vào đó dựa trên những điều như tương tác của người với nội dung trên nền tảng của chúng tôi,” Meta giải thích. “Chúng tôi đã nghe được lo ngại từ các chuyên gia rằng các lựa chọn mục tiêu như thế này có thể được sử dụng một cách dẫn đến những trải nghiệm tiêu cực cho những người thuộc các nhóm ít được đại diện.”

Downing và Perakslis đã tham khảo với Trung tâm Phối hợp CERT tại Đại học Carnegie Mellon về quy trình tiết lộ các phát hiện của họ. Nhóm này làm việc với các nhà nghiên cứu để liệt kê các lỗ hổng phần mềm và phối hợp việc tiết lộ công khai của chúng. Nhưng Art Manion, người quản lý kỹ thuật phân tích lỗ hổng CERT, chỉ ra rằng CERT và các tổ chức khác thực sự chỉ được thiết lập để phối hợp tiết lộ các lỗ hổng phần mềm cụ thể và thông thường không có cơ cấu để đánh giá rò rỉ dữ liệu lan truyền và thông báo cho các tổ chức liên quan về các vấn đề quyền riêng tư cấu trúc. Thay vào đó, các nhà nghiên cứu về quyền riêng tư thường bị bỏ lại với việc cố gắng tiến hành quá trình tiết lộ tạm thời và sau đó dựa vào các công ty trong hệ sinh thái quảng cáo số để có ý định tốt và thực hiện các thay đổi thực tế.

“Hiện tại, hầu như không có giới hạn nào về loại dữ liệu mà các công ty có thể sử dụng để mục tiêu quảng cáo của họ, vì vậy điều đó thúc đẩy họ thu thập càng nhiều càng tốt,” Evan Greer, phó giám đốc nhóm quyền số của Fight for the Future, nói. “Nhưng càng nhiều dữ liệu mà các công ty thu thập và lưu trữ, càng có khả năng—hoặc chính xác hơn, là không thể tránh khỏi—một số dữ liệu sẽ rò rỉ theo cách nào đó. Các tổ chức như FTC nên tăng cường quy định liên quan đến quảng cáo dựa trên giám sát một cách mạnh mẽ.”

Và trong khi các vấn đề về quyền riêng tư hệ thống vẫn tồn tại trong ngành quảng cáo mục tiêu, Downing và Perakslis nhấn mạnh rằng khi đề cập đến cộng đồng dễ tổn thương như bệnh nhân và nhà tổ chức cộng đồng, cần có chính sách và điều khiển rõ ràng.

Nhiều Bài Viết Tuyệt Vời Trên Mytour

• 📩 Những tin tức mới nhất về công nghệ, khoa học và hơn thế nữa: Nhận bản tin của chúng tôi!
• Cách nhà Bloghouse thống trị internet với ánh sáng neon
• Mỹ từng bước tiến gần việc sản xuất viên pin EV tại nước nhà
• Người này, 22 tuổi, xây dựng vi mạch trong garaj của bố mẹ
• Những từ khởi đầu tốt nhất để chiến thắng Wordle
• Hacker Bắc Triều Tiên đã đánh cắp 400 triệu đô la crypto trong năm ngoái
• 👁️ Khám phá Trí tuệ Nhân tạo một cách chưa từng có với cơ sở dữ liệu mới của chúng tôi
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để trở nên khỏe mạnh? Hãy xem lựa chọn của nhóm Gear của chúng tôi về các thiết bị theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất