Facebook đang nhận thông tin y tế nhạy cảm từ trang web của các bệnh viện

Tác giả: Todd Feathers, Simon Fondrie-Teitler, Angie Waller và Surya Mattu

Một công cụ theo dõi được cài đặt trên nhiều trang web của bệnh viện đã thu thập thông tin sức khỏe nhạy cảm của bệnh nhân, bao gồm chi tiết về tình trạng y tế, đơn thuốc và cuộc hẹn với bác sĩ — và gửi nó đến Facebook.

The Markup đã kiểm tra các trang web của 100 bệnh viện hàng đầu của Newsweek tại Mỹ. Trong số 33 trang web này, chúng tôi phát hiện công cụ theo dõi, được gọi là Meta Pixel, đang gửi một gói dữ liệu đến Facebook mỗi khi người dùng nhấp vào nút để đặt cuộc hẹn với bác sĩ. Dữ liệu này liên kết với một địa chỉ IP — một định danh giống như địa chỉ gửi thư của máy tính và thường có thể liên kết với một cá nhân hoặc hộ gia đình cụ thể — tạo ra một biên nhận chi tiết của yêu cầu cuộc hẹn cho Facebook.

Trên trang web của Trung tâm Y tế của Đại học Cleveland, ví dụ, việc nhấp vào nút “Đặt hẹn trực tuyến” trên trang của bác sĩ đã khiến Meta Pixel gửi đến Facebook văn bản của nút, tên của bác sĩ và cụm từ tìm kiếm chúng tôi đã sử dụng để tìm kiếm: “phá thai.”

Nhấp vào nút “Đặt hẹn trực tuyến ngay” cho một bác sĩ trên trang web của Bệnh viện Froedtert, ở Wisconsin, khiến Meta Pixel gửi đến Facebook văn bản của nút, tên của bác sĩ và điều kiện mà chúng tôi chọn từ menu thả xuống: “Alzheimer.”

The Markup cũng phát hiện Meta Pixel đã được cài đặt trong các cổng thông tin bảo mật bằng mật khẩu của bảy hệ thống y tế. Trên năm trang web của những hệ thống đó, chúng tôi ghi lại pixel gửi dữ liệu về các bệnh nhân thực tế đã tình nguyện tham gia dự án Pixel Hunt, một sự hợp tác giữa The Markup và Mozilla Rally. Dự án là một nhiệm vụ do cộng đồng thực hiện trong đó bất kỳ ai cũng có thể cài đặt tiện ích bổ sung trình duyệt Rally của Mozilla để gửi dữ liệu về Meta Pixel khi nó xuất hiện trên các trang web mà họ truy cập. Dữ liệu được gửi đến bệnh viện bao gồm tên các loại thuốc của bệnh nhân, mô tả về phản ứng dị ứng của họ và chi tiết về các cuộc hẹn với bác sĩ sắp tới.

Các chuyên gia từng là người quy định, chuyên gia an ninh dữ liệu y tế và những người ủng hộ quyền riêng tư đã xem xét kết quả của The Markup và cho biết những bệnh viện liên quan có thể đã vi phạm Đạo luật Bảo hiểm Sức khỏe Chuyển đổi và Trách nhiệm (HIPAA) của liên bang. Luật này cấm các đơn vị bảo hiểm như bệnh viện từ việc chia sẻ thông tin sức khỏe có thể xác định được với bên thứ ba như Facebook, trừ khi người đó đã đồng ý rõ ràng trước hoặc trong các hợp đồng cụ thể.

Cả bệnh viện lẫn Meta đều chưa nói họ đã ký hợp đồng như vậy, và The Markup không tìm thấy bằng chứng cho thấy bệnh viện hoặc Meta đang nhận được sự đồng thuận rõ ràng của bệnh nhân.

“Tôi rất lo lắng về những gì [các bệnh viện] đang làm với việc thu thập dữ liệu của họ và chia sẻ nó,” nói David Holtzman, một chuyên gia tư vấn quyền riêng tư y tế từng là cố vấn quyền riêng tư cấp cao tại Văn phòng Quyền Dân sự thuộc Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ, cơ quan thi hành HIPAA. “Tôi không thể nói rằng [việc chia sẻ dữ liệu này] chắc chắn là vi phạm HIPAA. Điều này rất có khả năng là vi phạm HIPAA.”

Người phát ngôn của Trung tâm Y tế Đại học Cleveland, George Stamatis, không phản hồi câu hỏi của The Markup nhưng nói trong một tuyên bố ngắn rằng bệnh viện “tuân thủ tất cả các luật pháp liên bang và tiểu bang có liên quan.”

Sau khi xem xét kết quả của The Markup, Bệnh viện Froedtert đã loại bỏ Meta Pixel khỏi trang web của mình "với tinh thần cảnh báo", Steve Schooff, người phát ngôn của bệnh viện, viết trong một tuyên bố.

Đến ngày 15 tháng 6, sáu bệnh viện khác cũng đã loại bỏ pixel khỏi trang đặt hẹn của họ và ít nhất năm trong số bảy hệ thống y tế có Meta Pixels được cài đặt trong cổng thông tin bảo mật của họ đã loại bỏ những pixel đó.

33 bệnh viện mà The Markup phát hiện đang gửi thông tin chi tiết cuộc hẹn của bệnh nhân đến Facebook báo cáo tổng cộng hơn 26 triệu lần nhập viện và khám ngoại trú trong năm 2020, theo dữ liệu mới nhất có sẵn từ Hiệp hội Bệnh viện Mỹ. Cuộc điều tra của chúng tôi chỉ giới hạn trong khoảng hơn 100 bệnh viện; việc chia sẻ dữ liệu có thể ảnh hưởng đến nhiều bệnh nhân và tổ chức hơn chúng tôi đã xác định.

Facebook chính mình không chịu HIPAA, nhưng các chuyên gia được phỏng vấn cho câu chuyện này bày tỏ lo ngại về cách ông lớn quảng cáo có thể sử dụng dữ liệu sức khỏe cá nhân mà nó đang thu thập để kiếm lợi nhuận.

“Đây là một ví dụ cực kỳ điển hình về cách những chiếc chân khổng lồ của Công nghệ Lớn có thể xâm nhập vào không gian dữ liệu được bảo vệ theo cách chúng ta nghĩ đến,” nói Nicholson Price, một giáo sư pháp luật tại Đại học Michigan nghiên cứu về dữ liệu lớn và chăm sóc sức khỏe. “Tôi nghĩ điều này là kinh tởm, có vấn đề và có thể vi phạm pháp luật” từ quan điểm của các bệnh viện.

The Markup không thể xác định liệu Facebook có sử dụng dữ liệu để nhắm quảng cáo, đào tạo các thuật toán đề xuất của mình hay kiếm lợi nhuận theo các cách khác.

Công ty mẹ của Facebook, Meta, không phản hồi các câu hỏi. Thay vào đó, người phát ngôn Dale Hogan gửi một email ngắn tóm tắt chính sách dữ liệu y tế nhạy cảm của công ty.

“Nếu hệ thống lọc tín hiệu của Meta phát hiện rằng một doanh nghiệp đang gửi dữ liệu y tế nhạy cảm từ ứng dụng hoặc trang web của họ thông qua việc sử dụng Công cụ Kinh doanh của Meta, điều đó có thể xảy ra một cách không chính xác, dữ liệu nhạy cảm đó sẽ được loại bỏ trước khi có thể lưu trữ trong hệ thống quảng cáo của chúng tôi,” Hogan viết.

Meta không phản hồi câu hỏi theo dõi, nhưng có vẻ Hogan đang đề cập đến hệ thống lọc thông tin y tế nhạy cảm mà công ty đã ra mắt vào tháng 7 năm 2020 để phản ứng lại một bài báo của Wall Street Journal và cuộc điều tra của Sở Dịch vụ Tài chính tiểu bang New York. Theo báo cáo cuối cùng của sở này vào tháng 2 năm 2021, Meta nói với các nhà điều tra rằng hệ thống lọc “chưa hoạt động với độ chính xác đầy đủ,”.

The Markup không thể xác nhận liệu bất kỳ dữ liệu nào được đề cập trong câu chuyện này đã bị loại bỏ trước khi được lưu trữ bởi Meta. Tuy nhiên, một điều tra chung với Reveal gần đây cho thấy hệ thống lọc thông tin y tế nhạy cảm của Meta không chặn thông tin về các cuộc hẹn mà một phóng viên yêu cầu với các trung tâm mang thai khẩn cấp.

Nội bộ, nhân viên của Facebook đã thẳng thừng về cách công ty bảo vệ dữ liệu nhạy cảm.

“Chúng tôi không có một mức độ kiểm soát và khả năng giải thích đủ đối với cách hệ thống của chúng tôi sử dụng dữ liệu, và do đó, chúng tôi không thể tự tin thực hiện những thay đổi chính sách kiểm soát hoặc cam kết bên ngoài như ‘chúng tôi sẽ không sử dụng dữ liệu X cho mục đích Y.’” Các kỹ sư của Facebook trên nhóm sản phẩm quảng cáo và kinh doanh viết trong bản tổng quan quyền riêng tư năm 2021 đã rò rỉ đến Vice.

“Gần như Mọi Bệnh Nhân Đều Sẽ Bị Sốc”

Meta Pixel là một đoạn mã theo dõi người dùng khi họ duyệt qua một trang web, ghi lại trang nào họ truy cập, nút nào họ nhấp, và một số thông tin họ nhập vào các biểu mẫu. Nó là một trong những công cụ theo dõi phổ biến nhất trên internet—hiện diện trên hơn 30 phần trăm trang web phổ biến nhất trên web, theo phân tích của The Markup.

Trao đổi việc cài đặt pixel của mình, Meta cung cấp cho chủ sở hữu trang web thông tin phân tích về quảng cáo họ đã đặt trên Facebook và Instagram và các công cụ để nhắm mục tiêu những người đã ghé thăm trang web của họ.

Meta Pixel gửi thông tin đến Facebook thông qua các kịch bản chạy trong trình duyệt internet của người dùng, vì vậy mỗi gói dữ liệu đều được đánh dấu bằng một địa chỉ IP có thể được sử dụng kết hợp với dữ liệu khác để xác định một cá nhân hoặc hộ gia đình.

HIPAA liệt kê địa chỉ IP là một trong những 18 nhận dạng mà, khi liên kết với thông tin về tình trạng sức khỏe, chăm sóc, hoặc thanh toán của một người, có thể làm cho dữ liệu được coi là thông tin sức khỏe được bảo vệ. Không giống như dữ liệu sức khỏe được ẩn danh hoặc tổng hợp, bệnh viện không thể chia sẻ thông tin sức khỏe được bảo vệ với bên thứ ba trừ khi dưới điều kiện nghiêm ngặt của các thỏa thuận đối tác kinh doanh giới hạn cách thức sử dụng dữ liệu.

Ngoài ra, nếu một bệnh nhân đăng nhập vào Facebook khi họ truy cập trang web của bệnh viện có cài đặt Meta Pixel, một số trình duyệt sẽ đính kèm cookie bên thứ ba—một cơ chế theo dõi khác—cho phép Meta liên kết dữ liệu pixel với tài khoản Facebook cụ thể.

Và trong một số trường hợp chúng tôi phát hiện—sử dụng cả tài khoản giả mạo được tạo bởi các phóng viên của chúng tôi và dữ liệu từ những tình nguyện viên của Mozilla Rally—rằng Meta Pixel đã làm cho việc xác định bệnh nhân trở nên dễ dàng hơn.

Khi The Markup nhấp vào nút “Hoàn tất Đặt phòng” trên trang của một bác sĩ tại Bệnh viện Đa khoa Scripps Memorial, pixel không chỉ gửi đến Facebook tên của bác sĩ và lĩnh vực y học của cô ấy mà còn tên đầu tiên, họ, địa chỉ email, số điện thoại, mã zip và thành phố cư trú mà chúng tôi nhập vào biểu mẫu đặt phòng.

Meta Pixel đã “băm” những chi tiết cá nhân đó—làm cho chúng ẩn đi thông qua một hình thức mật mã—trước khi gửi chúng đến Facebook. Nhưng việc băm đó không ngăn Facebook sử dụng dữ liệu. Trên thực tế, Meta rõ ràng sử dụng thông tin đã được băm để liên kết dữ liệu pixel với các hồ sơ Facebook.

Sử dụng một công cụ trực tuyến miễn phí, The Markup cũng có thể đảo ngược hầu hết thông tin thử nghiệm đã được băm mà pixel trên trang web của Bệnh viện Đa khoa Scripps Memorial gửi đến Facebook.

Bệnh viện Scripps Memorial không phản hồi câu hỏi của The Markup nhưng đã loại bỏ Meta Pixel khỏi các trang web cuối cùng trong quá trình đặt phòng sau khi chúng tôi chia sẻ các kết quả với bệnh viện.

Trên các trang web của các bệnh viện khác, chúng tôi đã ghi lại Meta Pixel thu thập thông tin riêng tư tương tự về bệnh nhân thực sự.

Khi một bệnh nhân thực sự tham gia vào nghiên cứu Pixel Hunt đăng nhập vào cổng thông tin MyChart của Piedmont Healthcare, một hệ thống y tế tại Georgia, Meta Pixel được cài đặt trong cổng thông tin cho biết tên của bệnh nhân, tên của bác sĩ và thời gian của cuộc hẹn sắp tới, theo dữ liệu được thu thập bởi tiện ích duyệt của người tham gia trong Mozilla Rally.

Khi một người tham gia Pixel Hunt khác sử dụng cổng thông tin MyChart của Novant Health, một hệ thống y tế có trụ sở tại Bắc Carolina, pixel cho biết Facebook loại phản ứng dị ứng mà bệnh nhân có với một loại thuốc cụ thể.

The Markup đã tạo một tài khoản MyChart của riêng mình thông qua Novant Health để điều tra thêm và phát hiện ra Meta Pixel đang thu thập một loạt các thông tin nhạy cảm khác.

Nhấp vào một nút khiến cho pixel cho biết Facebook tên và liều lượng của một loại thuốc trong hồ sơ sức khỏe của chúng tôi, cũng như mọi ghi chú chúng tôi nhập về đơn thuốc. Pixel cũng thông báo cho Facebook nút chúng tôi nhấp vào để trả lời một câu hỏi về tình dục.

“Vị trí của pixel Meta của chúng tôi được hướng dẫn bởi một bên thứ ba và đã được loại bỏ trong khi chúng tôi tiếp tục điều tra vấn đề này,” Megan Rivers, người phát ngôn của Novant, viết trong một email.

Epic Systems, công ty phần mềm đứng sau MyChart, đã “đề xuất cảnh báo tăng cường về việc sử dụng các kịch bản phân tích tùy chỉnh,” Stirling Martin, phó chủ tịch cao cấp của công ty, viết trong một email.

Facebook có thể suy luận thông tin chi tiết về tình trạng sức khỏe cá nhân thông qua các phương tiện khác—ví dụ, việc một người “thích” một nhóm Facebook liên quan đến một bệnh nhân cụ thể—nhưng dữ liệu được thu thập bởi pixel trên các trang web của bệnh viện là trực tiếp hơn. Và khi chia sẻ với Facebook, các nhà cung cấp dịch vụ y tế đang rủi ro làm tổn thương niềm tin của bệnh nhân vào một hệ thống y tế ngày càng số hóa.

“Gần như bất kỳ bệnh nhân nào cũng sẽ bất ngờ khi biết rằng Facebook đang có cách dễ dàng để liên kết các đơn thuốc của họ với tên của mình,” nói Glenn Cohen, giám đốc khoa Luật Harvard Petrie-Flom về Chính sách Luật Y tế, Công nghệ sinh học và Đạo đức sinh học. “Ngay cả khi có điều gì đó trong kiến trúc pháp lý cho phép điều này là hợp pháp, điều này hoàn toàn nằm ngoài mong đợi của bệnh nhân về việc luật y tế về quyền riêng tư đang làm gì cho họ.”

Hậu quả Pháp lý

Việc thu thập dữ liệu của Facebook trên các trang web của bệnh viện đã trở thành đề tài của các vụ kiện tập thể ở một số tiểu bang, với kết quả không nhất quán.

Những vụ kiện liên quan đến các loại dữ liệu mà các chuyên gia về pháp lý y tế nói là nhạy cảm nhưng ít được quy định hơn so với thông tin y tế mà The Markup ghi lại Meta Pixel thu thập.

Năm 2016, một nhóm người kiện kiện Facebook và một số hệ thống y tế và tổ chức, cáo buộc rằng các tổ chức đã vi phạm chính sách riêng của họ và một số luật tiểu bang và liên bang—bao gồm cả các đạo luật về nghe trộm và xâm phạm quyền riêng tư—khi thu thập dữ liệu qua công nghệ theo dõi trên các trang web của các nhà cung cấp dịch vụ y tế.

Tòa án Quận Liên Bang Bắc California từ chối vụ kiện năm 2017 với nhiều lý do, bao gồm việc các đương sự không chứng minh được rằng Facebook đã thu thập “thông tin y tế được bảo vệ,” theo định nghĩa của HIPAA. Thay vào đó, tòa án kết luận rằng Facebook đã theo dõi các đương sự trên các trang web công khai—như trang chủ hoặc trang thông tin về các bệnh lý—nơi không có bằng chứng chứng minh rằng các đương sự đã thiết lập mối quan hệ với bác sĩ.

Năm 2019, các đương sự đã đưa ra vụ kiện tập thể tương tự tại Tòa án Siêu cấp Quận Suffolk chống lại Hệ thống Chăm sóc Sức khỏe Partners có trụ sở tại Massachusetts, từ đó đã đổi tên thành Mass General Brigham, cáo buộc hệ thống đã vi phạm quyền riêng tư của bệnh nhân và chính sách của mình khi cài đặt Meta Pixel và các công cụ theo dõi khác trên trang web của mình.

Các bên giải quyết vụ kiện vào tháng 1, với Mass General Brigham phủ nhận các cáo buộc và không thừa nhận bất kỳ vi phạm hay trách nhiệm nào, nhưng thanh toán $18.4 triệu cho các đương sự và luật sư của họ. Sau khi giải quyết, Mass General Brigham dường như đã gỡ bỏ Meta Pixel và các công cụ theo dõi khác khỏi nhiều trang web của bệnh viện—nhưng không phải tất cả.

Khi The Markup kiểm tra trang web của Brigham and Women’s Faulkner Hospital, việc nhấp vào nút “Yêu cầu hẹn” trên trang của bác sĩ khiến cho Meta Pixel gửi đến Facebook văn bản của nút, tên của bác sĩ và lĩnh vực y khoa của bác sĩ. Mass General không phản hồi yêu cầu ý kiến từ The Markup.

Như với tất cả dữ liệu mà chúng tôi phát hiện Meta Pixel thu thập, nó đã được gửi đến Facebook cùng với địa chỉ IP công cộng của máy tính của chúng tôi.

“Khi một người đã tìm kiếm một nhà cung cấp và cho biết rằng họ muốn đặt lịch hẹn, vào thời điểm đó, bất kỳ thông tin y tế cá nhân nào mà họ đã cung cấp trong phiên làm việc này, trong quá khứ, hoặc chắc chắn là trong tương lai, đều được bảo vệ theo HIPAA và không thể được chia sẻ với một bên thứ ba như Facebook,” Holtzman nói.

Văn phòng Quyền Dân sự của Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ “không thể bình luận về cuộc điều tra đang mở hoặc có thể có,” người phát ngôn Rachel Seeger viết trong một tuyên bố qua email.

“Nói chung, các thực thể được bảo vệ theo HIPAA và các đối tác kinh doanh không nên chia sẻ thông tin có thể nhận diện với các công ty truyền thông xã hội trừ khi họ có sự ủy nhiệm HIPAA [từ cá nhân] và sự đồng ý theo luật pháp tiểu bang,” nói Iliana Peters, một luật sư bảo mật với công ty Polsinelli trước đây đã làm trưởng phòng thực thi HIPAA cho Văn phòng Quyền Dân sự.

Bệnh nhân có quyền nộp đơn khiếu nại HIPAA với nhà cung cấp dịch vụ y tế của họ, người được yêu cầu phải điều tra các khiếu nại, Peters nói thêm, “Tôi hy vọng các cơ sở sẽ phản ứng nhanh chóng đối với những loại khiếu nại như vậy để chúng không được nâng cao lên cơ quan quản lý nhà nước hoặc liên bang.”

“Khả năng Phủ Nhận Hợp Lý“

Hầu hết các bệnh viện mà The Markup liên hệ để làm bài viết này đều không phản hồi câu hỏi của chúng tôi hoặc giải thích tại sao họ chọn cài đặt Meta Pixel trên trang web của họ. Nhưng một số người đã bảo vệ việc sử dụng của họ đối với bộ theo dõi này.

“Việc sử dụng loại mã này đã được xem xét kỹ lưỡng,” Chris King, người phát ngôn cho Bệnh viện Northwestern Memorial ở Chicago, viết. King không trả lời câu hỏi theo dõi về quá trình xem xét.

King nói rằng không có thông tin sức khỏe được bảo vệ nào được lưu trữ trên trang web của Northwestern Memorial và “Facebook tự động nhận biết mọi thứ có thể gần giống thông tin cá nhân và không lưu trữ dữ liệu này.”

Trên thực tế, Meta mô tả rõ trong điều khoản dịch vụ của công cụ kinh doanh của mình rằng pixel và các bộ theo dõi khác thực sự thu thập thông tin cá nhân có thể nhận diện được cho nhiều mục đích.

Bệnh viện Houston Methodist ở Texas là duy nhất cung cấp câu trả lời chi tiết cho các câu hỏi của The Markup. Theo người phát ngôn Stefanie Asin, bệnh viện bắt đầu sử dụng pixel từ năm 2017 và “tin tưởng” vào các biện pháp an ninh của Facebook cũng như dữ liệu được chia sẻ không phải là thông tin sức khỏe được bảo vệ.

Khi The Markup kiểm tra trang web của Houston Methodist, việc nhấp vào nút “Đặt hẹn” trên trang của một bác sĩ đã khiến Meta Pixel gửi Facebook văn bản của nút, tên của bác sĩ và cụm từ tìm kiếm mà chúng tôi sử dụng để tìm bác sĩ: “Phá thai tại nhà.”

Houston Methodist không phân loại dữ liệu đó là thông tin sức khỏe được bảo vệ, Asin viết, vì một người nhấp vào nút “Đặt hẹn” có thể không tiếp tục và xác nhận cuộc hẹn, hoặc họ có thể đặt hẹn cho một thành viên trong gia đình thay vì cho họ.

“Việc nhấp vào không có nghĩa là họ đã đặt hẹn,” bà viết. “Cũng đáng chú ý là người ta thường khám phá cho vợ, bạn bè hoặc bố mẹ già.”

Asin thêm vào rằng Houston Methodist tin rằng Facebook “sử dụng công cụ để phát hiện và từ chối bất kỳ thông tin y tế nào, tạo rào cản ngăn chặn việc truyền thông tin sức khỏe được bảo vệ.”

Mặc dù bảo vệ việc sử dụng Meta Pixel, Bệnh viện Houston Methodist đã gỡ bỏ pixel khỏi trang web của mình vài ngày sau khi trả lời các câu hỏi từ The Markup.

“Vì cuộc kiểm tra cẩn thận tiếp theo của chúng tôi vẫn đang diễn ra, chúng tôi quyết định tạm thời gỡ bỏ pixel để đảm bảo chúng tôi đang làm mọi thứ có thể để bảo vệ quyền riêng tư của bệnh nhân trong khi chúng tôi đang đánh giá,” Asin viết trong một email theo dõi.

The Markup did not respond until several days after The Markup’s questions.

“That type of Band-Aid fix is a prime example, privacy advocates say, of the online advertising industry’s inability to police itself.

“The evil genius of Facebook’s system is they create this little piece of code that does the snooping for them and then they just put it out into the universe and Facebook can try to claim plausible deniability,” said Alan Butler, executive director of the Electronic Privacy Information Center. “The fact that this is out there in the wild on the websites of hospitals is evidence of how broken the rules are.”

Bài viết này được đồng xuất bản với STAT, một tờ báo quốc gia cung cấp tin tức đáng tin cậy và chính xác về y tế, y học và các ngành khoa học sinh học. Đăng ký nhận bản tin công nghệ y tế của họ, được gửi vào sáng thứ Ba và thứ Năm, tại đây: https://www.statnews.com/signup/health-tech/

Bài viết này đã được xuất bản ban đầu trên The Markup và được tái bản theo Giấy phép Creative Commons Attribution-NonCommercial-NoDerivatives .