信息來源自The Markup ，略有修改，作者Todd Feathers, Simon Fondrie-Teitler, Angie Waller, Surya Mattu

許多醫院的網站上安裝瞭收集病人的敏感健康信息的跟蹤工具，其中包括他們的醫療狀況、處方和醫生預約的詳細信息，該工具最終將這些信息發送到瞭Facebook上。

我們測試瞭《新聞周刊》的美國前100傢醫院的網站。我們在其中的33個網站上發現瞭被稱為Meta Pixel的追蹤器，每當有人點擊按鈕來安排醫生的預約時，它就會向Facebook發送一包數據。

例如，在克利夫蘭大學醫院醫學中心的網站上，點擊一位醫生頁面上的“Schedule Online”按鈕，Meta Pixel就會向Facebook發送該按鈕的文本、醫生的名字，以及我們用來尋找醫生的搜索詞。

在威斯康星州Froedtert醫院網站上點擊醫生的“Schedule Online Now”按鈕，也出現瞭同樣的情況。

我們還發現Meta Pixel安裝在瞭七個衛生系統的受密碼保護的患者門戶網站內。在其中5個系統的頁面上，我們記錄瞭Pixel向Facebook發送的關於自願參與pixel Hunt項目的真實患者的數據。

前監管機構、健康數據安全專傢和隱私倡導者在審閱瞭此調查結果後表示，這些醫院可能違反瞭聯邦健康保險可攜帶性和責任法案(HIPAA)。該法律禁止醫院等受保護實體與Facebook等第三方共享個人可識別的健康信息，除非個人事先明確同意或簽訂瞭某些合同。

兩傢醫院和Meta都沒有表示他們有這樣的合同，我們也沒有發現任何證據表明醫院或Meta在其他方面獲得瞭患者的明確同意。

健康隱私顧問David Holtzman說:“我對(醫院)獲取和分享數據的做法深感不安。”David曾在負責執行HIPAA的美國衛生與公眾服務部民權辦公室擔任高級隱私顧問。“我不能說(分享這些數據)就一定違反瞭HIPAA規定。但這很可能違反瞭HIPAA。”

克利夫蘭大學醫院醫學中心發言人沒有回應我們的問題，但在一份簡短的聲明中表示，該醫院“遵守所有適用的聯邦和州法律和監管要求”。

Froedtert醫院發言人在一份聲明中寫道，在審查瞭此發現後，“出於充分的謹慎”，Froedtert醫院從其網站上刪除瞭Meta Pixel。

截至6月15日，其他六傢醫院從他們的預約頁面上刪除瞭Meta Pixel，在七個安裝瞭Meta Pixel的醫療系統中，至少有五個也已經刪除。

根據美國醫院協會獲得的最新數據，我們發現向Facebook發送病人預約信息的33傢醫院在2020年共報告瞭超過2600萬次的病人入院和門診。我們的調查僅限於100多傢醫院，數據共享影響到的患者和機構可能比我們確定的還要多。

Facebook本身不受HIPAA的約束，但接受采訪的專傢對這傢廣告巨頭可能會如何利用其收集的個人健康數據為自己牟利表示擔憂。

密歇根大學研究大數據和醫療保健的法學教授Nicholson Price說，“這是一個極端的例子，說明大型科技公司的觸角已經伸向瞭我們所認為的受保護的數據空間。”從醫院的角度來看，“我認為這是令人毛骨悚然的，有問題的，而且可能是非法的”。

我們無法確定Facebook是否將這些數據用於投放廣告、訓練推薦算法或以其他方式盈利。

Facebook的母公司Meta沒有回應記者的提問。相反，發言人Dale Hogan發送瞭一封簡短的電子郵件，解釋瞭該公司敏感的健康數據政策。

Hogan寫道:“如果Meta的信號過濾系統檢測到某個企業通過使用Meta的業務工具從其應用程序或網站發送潛在敏感的健康數據，那麼這些潛在的敏感數據將在存儲到我們的廣告系統之前被刪除。”

Meta沒有回應後續問題，但Hogan似乎指的是該公司為回應《華爾街日報》的一篇文章和紐約金融服務部門的調查，在2020年7月推出的敏感健康信息過濾系統。根據該部門2021年2月的最終報告，Meta告訴調查人員，該過濾系統“尚未完全運行”。

我們無法確認在這個事件中提到的任何數據在被Meta存儲之前是否真的被刪除。然而，在最近與Reveal公司的聯合調查中我們發現，Meta公司的敏感健康信息過濾系統並沒有屏蔽記者向妊娠中心提出的預約信息。

Meta Pixel是一段代碼，可以跟蹤用戶瀏覽網站的過程，記錄他們訪問瞭哪些頁面，點擊瞭哪些按鈕，以及他們在表單中輸入的某些信息。它是互聯網上最高產的跟蹤工具之一，根據我們的分析，在網絡上最受歡迎的網站中，有超過30%的網站存在這種跟蹤。

作為安裝pixel的交換，Meta為網站所有者提供瞭關於他們在Facebook和Instagram上投放的廣告分析，以及針對訪問過其網站的用戶的工具。

Meta Pixel通過在用戶的網絡瀏覽器中運行的腳本向Facebook發送信息，因此每個數據包都標有一個IP地址，可以與其他數據結合起來識別個人或傢庭。

HIPAA將IP地址列為18種標識符之一，當這些標識符與有關個人健康狀況、護理或付款信息聯系在一起時，可以使數據成為受保護的健康信息。與匿名或匯總的健康數據不同，醫院不能與第三方共享受保護的健康信息，除非有嚴格限制數據使用的商業合作協議條款。

此外，如果病人在訪問安裝瞭Meta Pixel的醫院網站時登錄到Facebook，一些瀏覽器會附加第三方cookie，允許Meta將pixel數據與特定的Facebook賬戶聯系起來。

在一些案例中，我們發現Meta Pixel使識別患者更加容易。

當我們點擊斯克裡普斯紀念醫院醫生頁面上的“完成預約”按鈕時，Pixel不僅向Facebook發送瞭這位醫生的名字和她的醫學領域，還發送瞭我們輸入的預約表單中的姓名、電子郵件地址、電話號碼、郵政編碼和居住城市。

在將這些個人信息發送到Facebook之前，Meta Pixel會對這些信息進行“哈希”處理——通過一種加密的形式將它們隱藏起來。但這並不能阻止Facebook使用這些數據。事實上，Meta明確地使用這種信息將pixel數據與Facebook的個人資料聯系起來。

在其他醫院的網站上，我們記錄瞭Meta Pixel收集真實病人類似的隱私信息。

當一位參與Pixel Hunt研究的患者登錄到位於喬治亞州Piedmont醫療保健系統的MyChart門戶網站時，安裝在其上的Meta Pixel會根據參與者的Mozilla Rally瀏覽器擴展程序收集的數據，告訴Facebook患者的名字、醫生的名字，以及他們即將預約的時間。

當另一位Pixel Hunt參與者使用北卡羅來納州的醫療系統Novant Health的MyChart門戶網站時，Pixel告訴瞭Facebook患者對特定藥物的過敏反應類型。

我們通過Novant Health創建瞭我們自己的MyChart賬戶以進一步調查，並發現Meta Pixel還收集瞭各種其他敏感信息。

點擊一個按鈕，pixel就會告訴Facebook我們健康記錄中的藥物名稱和劑量，以及我們輸入的關於處方的任何說明。該pixel還告訴Facebook我們在回答有關性取向的問題時點擊瞭哪個按鈕。

Novant發言人在一封電子郵件中寫道:“我們的Meta pixel是由第三方供應商指導設置的，在我們繼續調查此事的同時，它已經被刪除。”

MyChart背後的軟件公司Epic Systems的高級副總裁Stirling Martin在一封電子郵件中寫道，該公司“特別建議，在使用定制分析腳本時要格外謹慎”。

Facebook能夠通過其他方式推斷出人們健康狀況的私密細節——例如，一個人“點贊”瞭與某種疾病相關的Facebook群組——但醫院網站上pixel收集的數據更為直接。專傢表示，在與Facebook分享信息的過程中，醫療服務提供者可能會損害患者對日益數字化的醫療系統的信任。

通過Novant Health填寫調查問卷，Meta Pixel與Facebook共享瞭性取向等敏感信息。

哈佛大學法學院Petrie-Flom健康法政策、生物技術和生物倫理中心主任Glenn Cohen說:“幾乎所有的病人都會震驚地發現，Facebook提供瞭一個將處方與他們的名字聯系起來的簡單方式。”“即使在法律體系中可能有某些東西允許這是合法的，但這完全超出瞭病人認為健康隱私法對他們的影響。”

法律影響

Facebook在醫院網站上的數據收集一直是幾個州集體訴訟的主題，結果好壞參半。

健康法律專傢說，這些案例涉及的數據類型比較敏感，但不像Meta Pixel收集的健康信息那樣受監管。

2016年，一群原告起訴瞭Facebook和一些醫療系統和組織，指控這些組織通過在醫療機構網站上使用跟蹤技術收集數據，違反瞭隱私政策以及一些州和聯邦法律。

2017年，美國加州北部地區法院以多種原因駁回瞭該案件，其中包括原告未能證明Facebook收集瞭HIPAA定義的“受保護的健康信息”。相反，法院發現，Facebook在這些網站面向公眾的頁面上對原告進行瞭追蹤，如主頁或關於疾病的信息頁面，沒有證據表明原告與提供者建立瞭醫患關系。

2019年，原告在薩福克縣高級法院對總部位於馬薩諸塞州的Partners Healthcare System提起瞭類似的集體訴訟，指控該系統在其網站上安裝Meta Pixel和其他跟蹤工具，侵犯瞭患者的隱私並違反瞭自身政策。

今年1月，雙方達成和解，該醫院否認瞭指控，承認沒有任何不當行為或責任，但向原告及其律師支付瞭1840萬美元。在和解之後，該醫院似乎已經從其許多下屬醫院的網站上刪除瞭Meta Pixel和其他跟蹤工具——但不是所有的醫院。

我們發現Meta Pixel收集的所有這些數據都與我們電腦的公共IP地址一起被發送到Facebook。

Holtzman說:“當一個人找到醫療機構並表示想要預約時，他們提供的任何個人可識別的健康信息都受HIPAA的保護，不能與Facebook這樣的第三方共享。”

美國公共服務部民權辦公室發言人Rachel Seeger在一份電子郵件聲明中寫道:“無法對公開或潛在的調查發表評論。”

前民權辦公室HIPAA執法負責人、Polsinelli公司的隱私律師Iliana Peters說:“一般來說，HIPAA覆蓋的實體和商業夥伴不應該與社交媒體公司共享可識別信息，除非他們有HIPAA的授權(來自個人)和州法律的同意。”

Peters說，病人有權向他們的醫療機構提出HIPAA投訴，醫療機構必須對投訴進行調查，他補充說：“我希望醫療機構能對這類投訴作出快速回應，以便它們不會被升級到州或聯邦監管機構。”

似是而非的否認

我們就這篇文章聯系的大多數醫院都沒有回答我們的問題，也沒有解釋為什麼他們選擇在他們的網站上安裝Meta Pixel。但有些醫院確實為他們使用追蹤器進行瞭辯護。

芝加哥Northwestern Memorial Hospital的發言人寫道:“這種代碼的使用受到瞭審查。”該發言人沒有回應關於審查過程的後續問題。

他說，Northwestern Memorial Hospita的網站上沒有托管或訪問任何受保護的健康信息，“Facebook會自動識別任何可能與個人信息有關的信息，並且不會存儲這些數據。”

事實上，Meta在其業務工具服務條款中明確表示， pixel和其他跟蹤器確實會為各種目的收集個人身份信息。

德克薩斯州的休斯頓衛理公會醫院是唯一一傢對我們的問題提供詳細回答的機構。發言人寫道，該醫院於2017年開始使用pixel，並對Facebook的安全措施“有信心”，並表示共享的數據不是受保護的健康信息。

當我們測試休斯頓衛理公會的網站時，點擊一個醫生頁面上的“Schedule Appointment”按鈕後，Meta Pixel向Facebook發送瞭這個按鈕的文本、醫生的名字，以及我們用來找到這個醫生的搜索詞:“傢庭墮胎”。

發言人寫道，休斯頓衛理公會醫院並沒有將這些數據歸類為受保護的健康信息，因為點擊“預約”按鈕的人可能不會執行並確認預約，或者，他們可能是在為傢人而不是自己預約。

發言人補充說，休斯頓衛理公會醫院認為，Facebook“使用工具來檢測和拒絕任何健康信息，為[受保護的健康信息]的通過提供瞭一個障礙。”

盡管休斯頓衛理公會醫院對Meta Pixel的使用進行瞭辯護，但在回應瞭我們的問題幾天後，該醫院還是從其網站上刪除瞭pixel。

發言人在一封後續郵件中寫道:“由於我們對這一問題的進一步研究還在進行中，所以我們決定暫時刪除pixel，以確保我們在評估過程中盡一切可能保護患者的隱私。”

根據紐約金融服務部門的調查，Facebook直到2020年7月才推出其敏感健康數據過濾系統，也就是在休斯頓衛理公會醫院開始使用pixel的3年後。而就在去年2月，該部門還報告說，該系統的準確性很差。

隱私倡導者說，這種權宜之計是網絡廣告行業無法自我監管的一個典型例子。

電子隱私信息中心的執行董事Alan Butler說:“Facebook系統的邪惡之處在於，他們為瞭窺探隱私創造瞭一小段代碼，然後將其公之於眾，Facebook可以聲稱合理的推諉責任。”“這在醫院的網站上到處可見的事實證明瞭規則是多麼的殘缺。”