FTC phạt GoodRx vì chia sẻ trái phép dữ liệu sức khỏe
Trong một lần thực thi đầu tiên, Ủy ban Thương mại Liên bang đã áp dụng hình phạt 1,5 triệu đô la đối với nhà cung cấp giảm giá thuốc theo toa và chăm sóc sức khỏe từ xa GoodRx Holdings Inc. vì đã chia sẻ dữ liệu sức khỏe cá nhân của người dùng với Facebook, Google và các bên thứ ba khác mà không có sự đồng ý của họ.
Theo thỏa thuận dàn xếp, GoodRx có trụ sở tại California cũng chấp nhận rằng họ sẽ bị cấm chia sẻ dữ liệu sức khỏe của người dùng với các bên thứ ba cho mục đích quảng cáo, FTC cho biết. GoodRx thừa nhận không có hành vi sai trái nào và cho biết trong một bài đăng trên blog rằng họ đã giải quyết “để tránh mất thời gian và chi phí cho vụ kiện tụng kéo dài”. Thỏa thuận đang chờ sự chấp thuận của tòa án liên bang.
Những người ủng hộ bảo vệ người tiêu dùng đã ca ngợi thông báo hôm thứ Tư như một yếu tố thay đổi cuộc chơi tiềm năng có thể hạn chế nghiêm trọng một hiện tượng ít được biết đến: Việc buôn bán dữ liệu sức khỏe nhạy cảm của các doanh nghiệp không được phân loại nghiêm ngặt là nhà cung cấp dịch vụ chăm sóc sức khỏe.
- Google, Oracle gặp nhau trong cuộc đụng độ bản quyền tại Tòa án tối cao
- YouTube, Facebook, đang là môi trường có nhiều vi phạm bản quyền nhất
- Trong thử nghiệm độc quyền đầu tiên Hoa Kỳ đặt mục tiêu vào Google
- Facebook kêu gọi đình chỉ nhà lãnh đạo mạnh mẽ vì video đe dọa bạo lực
- Metaverse sẽ thu hút các nhà đầu tư như thế nào?
Samuel Levine, người đứng đầu Cục Bảo vệ Người tiêu dùng của FTC, cho biết trong một tuyên bố: “Các công ty y tế kỹ thuật số và ứng dụng dành cho thiết bị di động không nên kiếm tiền từ thông tin sức khỏe cực kỳ nhạy cảm và có thể nhận dạng cá nhân của người tiêu dùng. Tất cả thẩm quyền hợp pháp của mình để bảo vệ dữ liệu nhạy cảm của người tiêu dùng Mỹ khỏi bị lạm dụng và khai thác bất hợp pháp.”
Việc thực thi này là lần đầu tiên theo luật năm 2009, Quy tắc thông báo vi phạm sức khỏe, áp dụng cho các nhà cung cấp hồ sơ sức khỏe cá nhân và các nhà cung cấp có liên quan không thuộc phạm vi điều chỉnh của HIPAA, các quy tắc về quyền riêng tư của liên bang chi phối ngành chăm sóc sức khỏe.
Ba năm sau khi Báo cáo Người tiêu dùng phát hiện ra rằng GoodRx đang chia sẻ thông tin sức khỏe cá nhân của mọi người với hơn 20 công ty. “Mọi người nói với chúng tôi rằng họ không bao giờ ngờ rằng thông tin nhạy cảm của họ lại được chia sẻ với Google và Facebook,” Marta Tellado, chủ tịch và giám đốc điều hành của Consumer Reports cho biết trong một tuyên bố hôm thứ Tư. “Đây là một chiến thắng cho người tiêu dùng và nó có thể có tác động sâu sắc đến cách thông tin sức khỏe của chúng ta được giữ kín trong tương lai.”
Trong một đơn khiếu nại pháp lý được đệ trình thay mặt cho FTC, các luật sư của Bộ Tư pháp cho biết các hành động của GoodRx đã “làm giàu một cách bất chính” cho công ty với cái giá phải trả là người dùng – nhiều người mắc các bệnh mãn tính – những người có thể phải đối mặt với “sự kỳ thị, xấu hổ hoặc đau khổ về tình cảm” cũng như phân biệt đối xử nếu sự thật mà nó chia sẻ đã được tiết lộ.
GoodRx cho biết trọng tâm của các mối quan ngại của FTC đã được “chủ động giải quyết” gần ba năm trước, trước khi cuộc điều tra của FTC bắt đầu.
Justin Brookman, giám đốc chính sách công nghệ của Consumer Reports, cho biết ông tin rằng cuộc điều tra của FTC đã bắt đầu sau báo cáo ngày 25 tháng 2 năm 2020 của tổ chức ông. Trước đó, chính phủ cho biết, “GoodRx không có chính sách tuân thủ hoặc chính sách chia sẻ dữ liệu hoặc chính sách chính thức bằng văn bản hoặc tiêu chuẩn. Và ngay cả sau khi các hoạt động của GoodRx được đưa ra ánh sáng, nó vẫn không thông báo cho người dùng rằng thông tin sức khỏe của họ đã bị tiết lộ mà không có sự cho phép của họ.”
Người phát ngôn của công ty Lauren Casparis cho biết qua email rằng GoodRx “đã sử dụng các công nghệ của nhà cung cấp để quảng cáo theo cách mà chúng tôi tin rằng tuân thủ tất cả các quy định hiện hành và đó vẫn là thông lệ phổ biến trên nhiều trang web.”
Chính phủ cho biết những công nghệ này bao gồm đèn hiệu web nhúng được gọi là “pixel” và các công cụ theo dõi và thu thập dữ liệu khác từ các công ty bao gồm Google và Facebook.
Brookman của Consumer Reports cho biết qua điện thoại: “Họ đặt pixel trên trang web của họ. Họ không cần phải làm thế.”
Trong một tuyên bố, Brookman cho biết “các ứng dụng và trang web về sức khỏe đã cung cấp dữ liệu cá nhân của chúng tôi trong nhiều năm mà không gây ra hậu quả gì. Trường hợp này sẽ là một bước ngoặt – giờ đây các công ty phải hiểu rằng việc chia sẻ dữ liệu khách hàng mà không có sự cho phép rõ ràng sẽ dẫn đến các cuộc điều tra và phạt tiền.”
FTC cho biết hơn 55 triệu người tiêu dùng đã truy cập trang web hoặc ứng dụng dành cho thiết bị di động của GoodRx kể từ tháng 1 năm 2017. FTC cho biết công ty thu thập thông tin cá nhân và sức khỏe từ người dùng và từ các nhà quản lý lợi ích dược phẩm – các công ty quản lý lợi ích thuốc theo toa – xác nhận khi một trong những phiếu giảm giá của nó đã được sử dụng trong mua hàng.
FTC cho biết trong một thông cáo báo chí rằng GoodRx “đã hứa với người dùng một cách lừa dối rằng họ sẽ không bao giờ chia sẻ thông tin sức khỏe cá nhân với các nhà quảng cáo hoặc bên thứ ba khác” trong khi chia sẻ thông tin về đơn thuốc và tình trạng sức khỏe của họ với các công ty và nền tảng quảng cáo bên thứ ba bao gồm Facebook, Google và Criteo.Quá trình đó đã giúp GoodRx nhắm mục tiêu quảng cáo được cá nhân hóa trên Facebook và Instagram cũng như các nền tảng khác, FTC cho biết.
Các điều khoản khác của lệnh tòa án liên bang được đề xuất bắt buộc GoodRx phải chỉ đạo các bên thứ ba mà GoodRx đã chia sẻ dữ liệu sức khỏe của người tiêu dùng xóa dữ liệu đó và thông báo cho người tiêu dùng.