Поиск домашнего теста на ВИЧ на сайте компании CVS - не такое уж конфиденциальное занятие, как может показаться. В ходе расследования, проведенного The Markup и KFF Health News, было обнаружено, что на сайте CVS.com установлены трекеры, сообщающие некоторым крупнейшим социальным сетям и рекламным площадкам о том, какие продукты просматривали покупатели.
И CVS - не единственная аптека, которая делится подобными конфиденциальными данными.
Мы обнаружили, что трекеры собирают данные о просмотрах и покупках на сайтах 12 крупнейших американских аптек, включая сети продуктовых магазинов с аптеками, и передают конфиденциальную информацию таким компаниям, как Meta (бывшая Facebook), Google через свои рекламные и аналитические продукты и Microsoft через свою поисковую систему Bing.
Инструменты слежения, называемые в народе "пикселями", собирают информацию во время работы сайта. Эта информация часто передается компаниям, работающим в социальных сетях, и используется для таргетирования рекламы, адресованной как вам лично, так и группам людей, похожих на вас по демографическим характеристикам или привычкам. В ходе предыдущих расследований The Markup обнаружил пиксели, передающие информацию из Министерства образования, известных больниц, стартапов в области телемедицины и крупных компаний, занимающихся подготовкой налоговых деклараций.
Пиксели сайтов аптечных сетей передают IP-адрес покупателя - своего рода почтовый адрес компьютера или домашнего Интернета - гигантам социальных сетей и другим компаниям. Они также отправляют cookies - способ хранения информации в браузере пользователя, который в данном случае помогает отслеживать переход пользователя со страницы на страницу при просмотре сайта розничной сети. Иногда файлы cookie могут также связывать пользователей сайта с их учетными записями в социальных сетях. Помимо IP-адреса и файлов cookie, пиксели часто передают информацию о том, что вы нажимали или покупали, в том числе о таких деликатных вещах, как тесты на ВИЧ.
"Тестирование на ВИЧ - это путь к услугам по профилактике и лечению ВИЧ-инфекции", - заявил в интервью Они Блэксток, основатель организации Health Justice и бывший помощник комиссара Нью-Йоркского городского бюро по профилактике и борьбе с ВИЧ/СПИДом.
"Люди, живущие с ВИЧ, должны иметь возможность контролировать, знает ли кто-то об их статусе, - сказала она.
Многие ритейлеры передавали рекламным платформам и другие подробные данные о взаимодействии. Десять из рассмотренных нами ритейлеров оповещали по крайней мере одну технологическую платформу, когда покупатели нажимали кнопку "добавить в корзину" при покупке розничных товаров - емкой категории, включающей такие деликатные товары, как витамины для беременных, тесты на беременность и средства экстренной контрацепции Plan B.
Например, супермаркет-гигант Kroger информировал Meta, Bing, Twitter, Snapchat и Pinterest о том, что покупатель добавил в корзину препарат Plan B, а также информировал Google и Nextdoor, социальную медиаплатформу, на которой люди из одного района собираются на форумах, о том, что покупатель посетил страницу, посвященную этому препарату. Walmart информировал рекламную службу Google, когда покупатель просматривал страницу с тестом на ВИЧ, и Pinterest, когда покупатель добавлял его в корзину.
Предыдущее расследование The Markup показало, что компания Kroger использует карты лояльности для отслеживания, анализа и продажи рекламодателям множества данных о клиентах.
Используя инструмент Chrome DevTools, встроенный в браузер Google Chrome, The Markup и KFF Health News посетили сайты 12 крупнейших американских аптек и изучили их сетевой трафик. Этот инструмент позволил нам увидеть, какая информация о покупательских привычках, а в некоторых случаях и о рецептах, передается третьим лицам.
В ходе расследования ритейлеры часто меняли свои трекеры - иногда активировали их, иногда удаляли. Некоторые ритейлеры, по-видимому, предпринимали меры по ограничению отслеживания чувствительных товаров.
Например, сайт компании Walgreens предотвратил активацию некоторых трекеров на страницах некоторых товаров, в том числе Plan B и тестов на ВИЧ. Однако этот код не предотвратил все отслеживания: Сайт Walgreens продолжал отправлять Pinterest информацию о тех чувствительных товарах, которые пользователь добавлял в корзину.
Компания Walgreens, узнав о результатах исследования The Markup и KFF Health News, представила новую политику. Пресс-секретарь Фрейзер Энгерман заявил, что, хотя сеть магазинов уже имеет "надежную программу защиты конфиденциальности", она больше не будет передавать данные о просмотре сайтов, связанные с репродуктивным здоровьем и тестированием на ВИЧ. Энгерман также сообщил нам, что "Pinterest подтвердил, что данные будут удалены и что они не использовались в рекламных целях". Кристал Эспиноса, представитель Pinterest, заявила, что компания "может подтвердить, что мы удалим данные, запрошенные Walgreens".
Аптека против аптечного прилавка
В США на аптеки и продуктовые магазины, имеющие при себе аптечные пункты, лишь частично распространяется действие Закона о переносимости и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA). Рецепты, получаемые с аптечного прилавка, действительно имеют такую защиту.
Однако в отдельном отделе, который иногда путают с аптечным прилавком, часто продаются безрецептурные лекарства, анализы и другие товары, связанные со здоровьем. Потребители могут подумать, что такие покупки имеют защиту, аналогичную защите рецептов, однако HIPAA распространяется только на клинические операции в аптеке, такие как выдача рецептов и ответы на вопросы пациентов о лекарствах.
Это различие может быть достаточно запутанным в помещении розничного магазина. Но на сайте, где отсутствуют четкие границы физического пространства, разобраться в этом вопросе еще сложнее.
Более того, описание того, что будет происходить с данными розничных продавцов, обычно содержится в их политике конфиденциальности, которую обычно можно найти по ссылке в нижней части их веб-страниц. The Markup и KFF Health News нашли их в лучшем случае туманными, и ни в одном из них не было конкретного указания на то, какие части сайта подпадают под действие HIPAA, а какие - нет.
В разделе "Уведомление о конфиденциальности для жителей Калифорнии" своей политики конфиденциальности компания Kroger заявляет, что она обрабатывает "собранную и проанализированную личную информацию, касающуюся здоровья потребителя". Однако, говорится далее, компания не "продает и не передает" эту информацию. Продается другая информация: Согласно политике, за последние 12 месяцев компания продала или передала "защищенные классификационные характеристики" сторонним организациям, таким как брокеры данных.
Представитель Kroger Эрин Рольфес заявила, что компания стремится к прозрачности и что "во многих случаях мы предоставляем нашим клиентам больше информации в наших уведомлениях о конфиденциальности, чем наши коллеги".
Широко распространено брокерское обслуживание общих розничных данных. Однако наше расследование показало, что некоторые сайты передают конфиденциальные клинические данные третьим лицам даже в тех случаях, когда эта информация защищена HIPAA. Например, пользователи, пытающиеся записаться на вакцинацию в Rite Aid, должны сначала ответить на вопросы анкеты, чтобы определить свою пригодность.
В ходе расследования было установлено, что компания Rite Aid рассылала в Facebook ответы на такие вопросы, как:
- Есть ли у Вас неврологические расстройства, такие как судороги или другие расстройства, влияющие на работу головного мозга, или были ли у Вас расстройства, возникшие в результате вакцинации?
- Есть ли у Вас рак, лейкемия, СПИД или другие проблемы с иммунной системой?
- Вы беременны или можете забеременеть в ближайшие три месяца?
Издание The Markup и KFF Health News зафиксировали факт передачи Rite Aid этих данных Facebook в декабре 2022 года. В феврале этого года против сети аптек в Калифорнии был подан коллективный иск, основанный на аналогичных выводах, в котором утверждалось, что код на сайте Rite Aid передавал Facebook время приема и идентификатор места приема, демографическую информацию, а также ответы на вопросы о прививках и состоянии здоровья. Компания Rite Aid ходатайствовала об отклонении иска.
После подачи иска The Markup и KFF Health News еще раз проверили сайт Rite Aid, и оказалось, что он больше не отправляет ответы на вопросы о прививках в Facebook.
Rite Aid - не единственная компания, которая отправила ответы на вопросы анкеты о соответствии требованиям к вакцинации в социальные сети. Супермаркеты Albertsons, Acme и Safeway, принадлежащие одной материнской компании, также отправили ответы на вопросы своей анкеты о прививках, хотя и в формате, требующем перекрестных ссылок на исходный код анкеты для раскрытия смысла данных.
Используя инструмент Network Monitor браузера Firefox, а также с помощью пациента с активным рецептом в Rite Aid, KFF Health News и The Markup обнаружили, что Rite Aid отправляет названия конкретных рецептов пациентов в Facebook. Rite Aid продолжала передавать названия рецептов даже после того, как компания прекратила передавать ответы на вопросы о вакцинации в ответ на предложенный коллективный иск (в котором не упоминалось о передаче информации о рецептах). Компания Rite Aid не ответила на просьбы о комментарии, и по состоянию на 23 июня пиксель по-прежнему присутствовал и отправлял названия рецептов в Facebook.
Другие компании обменивались данными о лекарствах с другими частями своих сайтов. Например, клиенты Sam's Club и Costco могут искать названия рецептов на сайте каждой розничной компании, чтобы найти местную аптеку с самыми низкими ценами. Однако эти два сайта также отправляли название лекарства, которое искал пользователь, вместе с его IP-адресом в социальные сети.
Многие из проверенных The Markup и KFF Health News розничных компаний не ответили на вопросы или отказались от комментариев, в том числе Costco и Sam's Club. Компания Albertsons заявила, что она "постоянно" оценивает свои методы обеспечения конфиденциальности. Компания CVS заявила, что она соответствует "действующему законодательству".
Рольфес из Kroger написал, что "трекеры компании раскрывают информацию о продукте, которая не является конфиденциальной медицинской информацией, если только не делается одно или несколько умозаключений. Компания Kroger не делает никаких выводов, связывающих информацию о продукте, собранную или раскрытую трекерами, с состоянием здоровья человека".
Огромная проблема в области регулирования
Аптеки - это лишь одна из составляющих огромного сектора здравоохранения. Но вся отрасль в целом была потрясена разоблачениями пикселей слежения, собирающих конфиденциальные клинические данные.
После того как в июне 2022 г. издание The Markup обнаружило широкое распространение трекеров на сайтах больниц, внимание регуляторов и юристов было приковано к этой практике.
В декабре Управление по гражданским правам Министерства здравоохранения и социального обеспечения опубликовало руководство, в котором проинформировало медицинских работников и страховщиков о том, как использование пиксельных трекеров может соответствовать требованиям HIPAA. Согласно официальному бюллетеню, "регулируемым организациям не разрешается использовать технологии отслеживания таким образом, чтобы это приводило к недопустимому раскрытию" охраняемой медицинской информации технологиям отслеживания или другим сторонним поставщикам. Если это руководство будет реализовано, то оно даст возможность регулировать деятельность больниц и других поставщиков медицинских услуг и штрафовать тех, кто не следует ему. В конце апреля в интервью одному из отраслевых изданий директор Управления по гражданским правам заявил, что первый иск о применении пикселей будет подан "надеюсь, скоро".
Лоббистские группы стремятся ограничить возможные последствия: например, Американская ассоциация больниц направила 22 мая письмо в Управление по гражданским правам с просьбой "приостановить или изменить" свое руководство. По ее мнению, Управление стремится защитить слишком большой объем данных.
В этом году Федеральная торговая комиссия США возбудила дело против таких компаний, как GoodRx, предлагающей сравнение цен на рецептурные препараты, и BetterHelp, предлагающей онлайн-терапию, по обвинению в неправомерном использовании данных, полученных в результате анкетирования и поиска. Эти компании заключили с агентством мировое соглашение.
Согласно результатам анализа писем с уведомлениями о нарушениях и онлайновой базы данных Управления по гражданским правам, проведенного The Markup и KFF Health News, медицинские учреждения сообщили федеральному правительству о возможной утечке данных около 10 млн. пациентов различным рекламным партнерам. Эта цифра может оказаться заниженной: Новое исследование, опубликованное в журнале Health Affairs, показало, что по состоянию на 2021 год почти 99% веб-сайтов больниц содержали технологии отслеживания.
Одна известная юридическая фирма, BakerHostetler, защищает больницы в 26 судебных процессах, связанных с использованием технологий слежения, сообщил на вебинаре в этом году партнер фирмы юрист Пол Карлсгодт. "Мы наблюдаем абсолютное извержение дел", - сказал он.
Данные, связанные с абортами и беременностью, являются особенно чувствительными и вызывают пристальное внимание со стороны регулирующих органов. В ходе того же вебинара Линн Сессионс (Lynn Sessions), также сотрудник BakerHostetler, сообщила, что прокуратура Калифорнии направила одному из клиентов фирмы специальный запрос о том, делится ли он данными о репродуктивном здоровье.
Неясно, заинтересованы ли крупные технологические компании в обеспечении безопасности медицинских данных. По словам Сессии, компания BakerHostetler пыталась заставить Google и Meta подписать так называемые соглашения о деловом сотрудничестве. Эти соглашения позволят компаниям попасть под зонтик регулирования HIPAA, по крайней мере, при работе с данными от имени клиентов больниц. "Обе компании, по крайней мере на данном этапе, не пошли на это", - сказал Сессион. Справочная страница Google Analytics по HIPAA предписывает клиентам "воздерживаться от использования Google Analytics любым способом, который может создать для Google обязательства по HIPAA".
Компания Meta утверждает, что у нее есть инструменты, позволяющие предотвратить передачу конфиденциальной информации, например, данных о здоровье. В письме, направленном в ноябре 2022 г. сенатору Марку Уорнеру (Д-Ва.), полученном KFF Health News и The Markup, компания Meta пишет, что "механизм фильтрации предназначен для предотвращения попадания этих данных в наши рекламные объявления". Более того, отмечается в письме, гигант социальных сетей обращается к компаниям, передающим потенциально конфиденциальные данные, с просьбой "оценить их реализацию".
"Я по-прежнему обеспокоен тем, что компания проявляет излишнюю пассивность, позволяя отдельным разработчикам определять, что считать конфиденциальными медицинскими данными, которые должны оставаться закрытыми", - заявил Уорнер в интервью The Markup и KFF Health News.
Утверждения Meta в письме к Warner неоднократно подвергались сомнению. В 2020 году компания сама признала перед регулирующими органами штата Нью-Йорк, что система фильтрации "еще не работает с полной точностью".
Для тестирования системы фильтрации Свен Карлссон и Саша Гранберг, репортеры шведского издания SR Ekot, создали фиктивный аптечный сайт на шведском языке, который отправлял в Facebook поддельные, но правдоподобные данные о состоянии здоровья, чтобы проверить, работает ли система фильтрации компании так, как заявлено. "Facebook нас не предупреждал", - сказал Карлссон в интервью KFF Health News и The Markup.
В работе Карлссона и Гранберга также были обнаружены европейские аптеки, занимающиеся деятельностью, аналогичной той, которую обнаружили The Markup и KFF Health News. Журналисты уличили шведскую государственную аптеку в передаче данных в Facebook. А недавнее расследование, проведенное The Guardian, показало, что британская аптечная сеть LloydsPharmacy отправляла конфиденциальные данные - в том числе информацию о симптомах - в TikTok и Facebook.
Отвечая на вопросы KFF Health News и The Markup, представитель Meta Эмиль Васкес заявил: "Рекламодатели не должны передавать конфиденциальную информацию о людях через наши инструменты Business Tools. Это противоречит нашей политике, и мы обучаем рекламодателей правильной настройке "Бизнес-инструментов", чтобы избежать подобных ситуаций. Наша система предназначена для фильтрации потенциально конфиденциальных данных, которые она способна обнаружить".
Компания Meta не ответила на вопросы о том, считает ли она какую-либо информацию, отправленную KFF Health News и The Markup ритейлерами, "конфиденциальной информацией", действительно ли она была отфильтрована системой, и может ли Meta предоставить метрики, демонстрирующие текущую точность работы системы.
В ответ на наши запросы Twitter прислал эмодзи с изображением какашки, а TikTok и Pinterest сообщили, что у них есть политика, предписывающая рекламодателям не передавать конфиденциальную информацию. LinkedIn и Nextdoor не ответили.
Представитель Google Джеки Берте заявила, что политика компании "запрещает предприятиям использовать конфиденциальную медицинскую информацию для таргетинга и обслуживания рекламы" и что компания работает над предотвращением использования такой информации в рекламе, используя "сочетание алгоритмической и человеческой проверки" для устранения нарушений своей политики.
KFF Health News и The Markup представили Google скриншоты, на которых видно, как пиксель отправляет поисковой компании наши данные о просмотре сайтов, когда мы переходим на страницы торговых сетей, где можно приобрести тест на ВИЧ и пренатальные витамины, а также данные о том, когда мы добавляем тест на ВИЧ в корзину. В ответ на это Берте заявил, что компания "не обнаружила никаких доказательств того, что компании, изображенные на скриншотах, нарушают наши правила".
Для сбора информации KFF Health News использует Meta Pixel. Пиксель может использоваться сторонними веб-сайтами для измерения веб-трафика и данных о производительности, а также для таргетирования рекламы на социальных платформах. KFF Health News собирает данные об использовании страниц у новостных партнеров, которые решили включить наш пиксель-трекер при перепечатке наших статей..