Novant Health数据泄露事件：风险及应对措施

关键要点

• 大约130万名与Novant Health关联的患者数据可能因网站Pixel工具配置错误而被泄露至Facebook母公司Meta。
• 此事件引发多项关于Facebook数据抓取医院网站数据的诉讼。
• Novant Health已关闭并移除该Pixel工具，表示采取了必要的预防措施。
• 尽管患者的某些个人信息可能被泄露，但未涉及社会安全号码或金融信息。

在2019年于加利福尼亚州圣荷西举办的F8 Facebook开发者会议上，展示了带有Facebook标志的纸圈。近日，NovantHealth公告显示，约130万患者的数据信息可能因其网站上的Pixel工具配置不当而泄露至Meta。NovantHealth是一家位于北卡罗来纳州的非营利医疗机构，拥有15个医疗中心及800多个医护与专业服务地点。

数据泄露背景

此泄露通知是在多起针对Facebook的诉讼报道后发布的，这些诉讼指控Facebook从医院网站抓取医疗数据。《Markup》网站的初步调查发现，该社交巨头的Pixel工具在33个医疗保健网站上被安装。

虽然尚不清楚这一通知是否促使了调查的展开，NovantHealth仍决定公开其使用Pixel的情况及其可能出现的数据泄露。“我们希望尽可能透明”，这是他们做出的解释。

Pixel工具的使用情况

该健康系统在2020年5月因应COVID-19疫情，推出了一项宣传活动，旨在鼓励患者更多地使用Novant HealthMyChart患者门户，提高虚拟就诊的参与度。此计划包括Facebook广告及在其网站上安装的Pixel工具，以跟踪社交媒体活动的成功度。

然而，公告中指出：“在这个案例中，Pixel工具配置错误，可能允许某些私人信息从Novant Health网站和MyChart门户传输给Meta。”

在发现数据“意外”泄露之后，NovantHealth迅速关闭并移除了Pixel追踪工具。后续于6月17日的调查确认了不当数据共享的可能性，这取决于用户在Novant网站和患者门户上的活动。

泄露数据的内容

与Meta共享的数据可能包含患者的人口统计信息、联系方式、紧急联系人、预约类型和日期、选择的医疗服务提供者、按钮或菜单选择内容，以及“在自由文本框中输入的内容”。除非输入在自由文本框中，否则不会涉及社会安全号码或其他金融信息。

所有个别患者收到的通知均为个性化，告知患者是否他们的财务数据可能受到影响。

法律责任和未来防范

有关此事件的细节与上月中旬对Facebook提起的一项诉讼相似，诉讼指控称Pixel工具会将患者数据从“所谓的‘安全’患者门户”重定向至Facebook，导致“患者通信内容被错误地同时重定向至Facebook”。

此诉讼表示，安装Pixel工具后，患者与提供者之间的通信源代码可能导致其内容被重定向到Facebook，从而将患者识别为病例。

然而，NovantHealth的公告显示，他们未发现Meta或其他第三方对患者数据的任何不当或试图使用情况。Facebook的条款与条件及其“政策和过滤器”能够阻挡敏感个人数据，且不会将这些信息纳入其广告管理系统。

为了谨慎起见，NovantHealth向所有可能受到Pixel配置错误影响的患者发送了通知信。其中一些患者来自独立提供者及使用MyChart医学记录的护理地点。该医疗机构还表示正在“采取措施确保此类事件不会再次发生，并已制定Pixel使用的管理政策。”