1996年，美国通过了《健康保险携带和责任法案》(HIPAA)，以保护敏感的受保护健康信息(PHI)在未经患者同意的情况下不被披露。但近日发表于《模式》期刊的一项研究表明，某些PHI并不像预期的那么安全。研究人员回顾了5家数字医药公司的策略和跨站点跟踪软件的行动，以演示如何与社交网站脸书共享与健康话题相关的浏览数据，以挖掘潜在客户和实现广告目的。

“我们开始这项研究，是因为我们想确保人们了解他们是如何在不同的数字平台上成为目标和被跟踪的，包括在线医疗服务和脸书等社交媒体应用程序。”论文合著者、独立安全研究员、Light Collective的联合创始人Andrea Downing说。Light Collective成立目的是研究患者隐私领域的网络安全风险。“在我看来，用于广告和其他目的的数据收集和预测算法是在线患者群体面临的最大威胁之一。”

为了进行分析，研究人员招募了10名患者维权人士，并要求他们分享自己的一些在线活动是如何被跟踪的。研究人员关注了在遗传性癌症社区工作的患者倡导者，尤其是脸书相关小组的版主。参与者被要求下载并分享他们的JSON文件。这些文件揭示了数据是如何在web服务器和应用程序之间共享的。研究人员使用这些文件来确定信息如何从健康相关网站和应用程序流向脸书，以确定定向广告投放目标。

研究人员重点关注了参与者使用的5种临床服务。他们检查了这些公司网站上的第三方广告跟踪器，并研究了这些广告跟踪器的使用是否符合相关公司的隐私政策。他们还查看了每个参与者的Facebook广告库，以确定通过这些公司获得的健康数据是否影响参与者看到的广告类型。

“我们经常被广告轰炸。”Downing说，“我们的问题是，为什么它们会被提供给我们，为了提供这些广告第三方获得了什么信息?”

分析涉及的5家公司提供与遗传性癌症风险相关的信息或服务(包括基因检测)。调查人员确定，其中两家公司定向投放了广告，但它们遵守了自己的隐私政策。其他三家公司没有遵守自己的政策和隐私声明。Downing说：“这种隐私的丧失可能会在不法者的手中造成伤害，这些人想要欺骗患者社区或以错误的信息针对他们。”

这是Light Collective的第一项同行评议研究，该组织成立于2019年，旨在研究有关患者隐私和数字媒体的问题。今年夏天早些时候，Light Collective将他们的研究成果提交给了专注于技术与社会交叉领域的非营利新闻机构Markup。Markup发表了一项相关研究，内容是医院如何与广告商分享在其网站上收集的敏感医疗信息。

“我们认识到，这只是一个小样本，只是触及了表面，显然还需要更多的研究。”Downing说，“我们希望将这项研究交到数据科学家手中，并与能够扩展它的研究人员合作。很明显，美国急需就健康隐私状况以及它如何影响患者群体展开对话。”

相关论文信息：