大型科技公司对你的身体了解多少

由 ElevenLabs 和 NOA 制作的 News Over Audio，使用 AI 旁白。

如果您在 2017 年至 2021 年期间寻求在线治疗（很多人都这样做过），那么您很有可能找到了 BetterHelp，该公司目前将自己描述为世界上最大的在线治疗供应商，拥有超过 200 万用户。 一旦你到达那里，点击几下之后，你就会完成一份表格——一份入学调查问卷，与你在任何治疗师办公室填写的纸质问卷没有什么不同： 您是治疗新手吗？ 您正在服用任何药物吗？ 亲密关系有问题吗？ 经历着巨大的悲伤吗？ 想伤害自己吗？ BetterHelp 会询问您是否有宗教信仰，是否是 LGBTQ，是否是青少年。 这些问题只是为了根据您的需求为您匹配最好的辅导员，小文字就可以让您放心。 您的信息将保密。

不过 BetterHelp 并不完全是治疗师的办公室，您的信息可能并不完全私密。 事实上，根据 联邦监管机构提出的投诉多年来，BetterHelp 一直与 Facebook 和 Snapchat 等第三方共享用户数据，包括电子邮件地址、IP 地址和调查问卷答案，以便为其服务投放定向广告。 据联邦贸易委员会称，这些第三方在获得用户数据后对这些数据的处理方式也监管不力。 7 月，该公司与 FTC 达成和解，并 同意退款 向隐私监管机构声称其隐私受到泄露的消费者支付 780 万美元。 （在一个 陈述，BetterHelp 承认没有任何不当行为，并将所谓的用户信息共享描述为“行业标准做法”。）

无论我们走到哪里，我们都会留下有关我们健康状况的数字痕迹：通过填写 BetterHelp 等表格。 经过 请求处方补充 在线的。 通过点击链接。 通过询问搜索引擎有关诊所的剂量或方向或死亡时胸部疼痛？？？ 经过 购物，在线或离线。 经过 参与消费者基因检测。 通过踩在 智能秤 或使用 智能温度计。 通过加入针对患有某种疾病的人的 Facebook 群组或 Discord 服务器。 通过使用连接互联网的健身器材。 通过使用应用程序或服务来计算您的步数或跟踪您的月经周期或记录您的锻炼情况。 即使与健康无关的人口和财务数据也可以 汇总和分析 揭示或推断有关人们身体或心理健康状况的敏感信息。

所有这些信息对于广告商以及向他们销售广告空间和定位的科技公司来说都很有价值。 它之所以有价值，正是因为它是亲密的：也许最重要的是，我们的健康指导着我们的行为。 这些公司了解得越多，他们就越容易影响我们。 在过去一年左右的时间里，报告发现了元跟踪工具的证据 从医院网站收集患者信息，以及来自 Drugs.com 和 WebMD 的应用程序 与广告商共享疱疹和抑郁症等搜索词，以及有关用户的识别信息。 （元 已否认 接收和使用来自该工具的数据，Drugs.com 表示它不会共享符合“敏感个人信息”资格的数据。）2021 年，FTC 定居 经期和排卵应用程序 Flo 据报道拥有超过 1 亿用户 指控 该公司已通过第三方营销和分析服务披露了有关用户生殖健康的信息，尽管其隐私政策明确表示不会这样做。 （Flo 与 BetterHelp 一样， 说 它与联邦贸易委员会达成的协议并不意味着承认存在不当行为，并且它没有分享用户的姓名、地址或生日。）

当然，并非我们所有的健康信息最终都会落入那些想要利用它的人手中。 但一旦发生，风险就很高。 如果广告商或社交媒体算法推断人们患有特定的医疗状况或残疾，并随后将他们排除在接收有关住房、就业或其他重要资源的信息之外，这就会限制人们的生活机会。 如果我们的私密信息落入坏人之手，我们面临的欺诈或身份盗窃风险就会增加：人们可能会使用我们的数据来开设信用额度，或冒充我们获取医疗服务和非法获取药品，这不仅会导致信用评级受损，保险单被取消以及护理被拒绝。 我们的敏感个人信息甚至可能被公开，从而导致骚扰和歧视。

许多人认为，根据联邦健康保险流通和责任法案，他们的健康信息是私人的，该法案保护医疗记录和其他个人健康信息。 这不完全正确。 HIPAA 仅保护“涵盖实体”及其“业务伙伴”收集的信息：健康保险公司、医生、医院以及一些与他们有业务往来的公司在收集、使用和共享信息的方式上受到限制。 许多处理我们健康信息的公司——包括社交媒体公司、广告商和大多数直接向消费​​者销售的健康工具——根本不包括在内。

“当有人在手机上下载一个应用程序并开始在其中输入健康数据或可能指示健康的数据时，除了该应用程序所承诺的之外，这些数据肯定不会得到任何保护，”该公司前副主任德文·麦格劳 (Deven McGraw) 说。卫生与公众服务部民权办公室的健康信息隐私告诉我。 （McGraw 目前在基因检测公司 Invitae 担任数据管理和数据共享主管。）即便如此，消费者也无法知道应用程序是否遵循其既定政策。 （就 BetterHelp 而言，联邦贸易委员会 抱怨 指出，从 2013 年 9 月到 2020 年 12 月，该公司在其网站上展示了 HIPAA 印章，尽管“没有政府机构或其他第三方审查” [its] 符合 HIPAA 的信息实践，更不用说确定这些实践满足 HIPAA 的要求了。”）

销售广告的公司通常会很快指出信息是聚合的：科技公司使用我们的数据根据​​人口统计和行为来定位人群，而不是个人。 但这些类别可能相当狭窄：例如，德系犹太育龄妇女，或者居住在特定邮政编码的男性，或者 在线活动可能表明对特定疾病感兴趣的人，根据最近的报道。 然后，这些群体最多可以看到超针对性的药品广告，并且 不科学的“疗法” 最坏的情况是医疗虚假信息。 他们也可能受到歧视：去年，司法部 与Meta达成和解 指控后者违反《公平住房法》 部分通过允许 广告商不得向 Facebook 数据收集机器推断出对“服务性动物”和“无障碍”等主题感兴趣的用户展示住房广告。

最近的和解表明，联邦贸易委员会对监管健康隐私越来越感兴趣。 但该行动以及大多数其他行动都是通过同意令或委员批准的和解来进行的，双方在不承认不当行为的情况下解决争端（就像 Flo 和 BetterHelp 所发生的那样）。 如果一家公司似乎违反了同意令的条款，联邦法院就可以进行调查。 但该机构的执法资源有限。 2022 年，隐私和消费者权益倡导者联盟给众议院和参议院拨款委员会的主席和高级成员写了一封信， 敦促他们增加资金 为联邦贸易委员会。 该委员会要求 2023 财年拨款 4.9 亿美元，高于 2022 年的 3.765 亿美元，这表明消费者投诉和报告的消费者欺诈行为急剧增加。 最终它收到了 4.3 亿美元。

就其本身而言，联邦贸易委员会创建了一个 互动工具 帮助应用程序创建者在构建和营销其产品时遵守法律。 美国卫生与公众服务部民权办公室 提供指导 关于 HIPAA 涵盖的实体和业务伙伴使用在线跟踪技术的情况。 这可能会在应用程序造成损害之前阻止隐私问题。

非营利性民主与技术中心也组建了自己的 拟议的消费者隐私框架 回应“反映身心健康的大量信息是由不受 HIPAA 义务约束的实体创建和持有的”这一事实。 该框架强调对健康数据以及可用于推断个人身心健康的信息的收集、披露和使用进行适当限制。 它减轻了消费者、患者和用户的负担——报告指出，他们可能已经承受着健康状况的负担——并将其交给收集、共享和使用信息的实体。 它还将数据的使用限制在人们预期和想要的目的，而不是他们不了解或不舒服的目的。

但目前该框架只是一个建议。 由于缺乏全面的联邦数据隐私立法来解释现在可以访问我们的健康信息的所有新技术，我们最私密的数据受到杂乱无章的法律和法规的管辖，这些法律和法规无法与受益的大型公司相匹敌。无法访问这些数据，或者是出于驱使患者首先使用这些工具的真正需求。 患者将自己的症状输入搜索引擎、填写在线调查问卷或下载应用程序，并不是因为他们不关心或不考虑自己的隐私。 他们做这些事情是因为他们需要帮助，而互联网是寻求帮助最简单、最快、最便宜或最自然的地方。 技术支持的健康产品提供了不可否认的服务，特别是在一个饱受健康差距困扰的国家。 他们不太可能变得不那么受欢迎。 现在是时候制定旨在保护我们健康信息的法律了。