Hầu hết các bệnh viện mà The Markup liên hệ về câu chuyện này đã không trả lời câu hỏi hoặc giải thích lý do tại sao họ chọn cài đặt Meta Pixel trên trang web của mình. Nhưng một số đã bảo vệ việc sử dụng trình theo dõi của họ.
Chris King, người phát ngôn của Bệnh viện Northwestern Memorial, ở Chicago, viết: “Việc sử dụng loại mã này đã được kiểm tra". King đã không trả lời các câu hỏi tiếp theo về quá trình kiểm tra.
King nói rằng không có thông tin sức khỏe cần được bảo vệ nào được lưu trữ hoặc truy cập thông qua trang web của Northwestern Memorial và rằng “Facebook tự động nhận ra bất kỳ thông tin nào có thể gần với thông tin cá nhân và không lưu trữ dữ liệu này”.
Trên thực tế, Meta tuyên bố rõ ràng trong điều khoản dịch vụ của các công cụ kinh doanh rằng Pixel và các trình theo dõi khác thu thập thông tin định danh cá nhân cho nhiều mục đích khác nhau.
Bệnh viện Giám lý Houston, ở Texas, là cơ sở duy nhất cung cấp câu trả lời chi tiết cho các câu hỏi của The Markup. Người phát ngôn Stefanie Asin viết rằng bệnh viện bắt đầu sử dụng Pixel vào năm 2017 và “tin tưởng” vào các biện pháp bảo vệ của Facebook và dữ liệu được chia sẻ không phải là thông tin sức khỏe cần được bảo vệ.
Khi The Markup kiểm tra trang web của Bệnh viện Giám lý Houston, việc nhấp vào nút "Lên lịch hẹn" trên trang của bác sĩ đã nhắc Meta Pixel gửi cho Facebook nội dung của nút, tên của bác sĩ và cụm từ tìm kiếm mà phóng viên sử dụng để tìm bác sĩ: "Phá thai tại nhà”.
Theo Asin, Bệnh viện Giám lý Houston không phân loại dữ liệu đó là thông tin sức khỏe cần được bảo vệ, bởi vì một người nhấp vào nút "Lên lịch hẹn" có thể không theo dõi và xác nhận cuộc hẹn, hoặc, họ có thể đặt cuộc hẹn cho một thành viên gia đình thay cho bản thân họ.
“Nhấp chuột không có nghĩa là họ đã lên lịch”, cô viết. “Cũng cần lưu ý rằng mọi người thường tìm kiếm thông tin cho vợ/chồng, bạn bè, cha mẹ già”.
Asin nói thêm rằng Bệnh viện Giám lý Houston tin rằng Facebook “sử dụng các công cụ để phát hiện và từ chối bất kỳ thông tin sức khỏe nào, tạo ra một rào cản ngăn cản việc truyền thông tin sức khỏe cần được bảo vệ”.
Mặc dù bảo vệ việc sử dụng Meta Pixel, Bệnh viện Giám lý Houston đã xóa Pixel khỏi trang web của mình vài ngày sau khi trả lời các câu hỏi của The Markup.
“Vì chúng tôi đang tiến hành kiểm tra thêm về chủ đề này, chúng tôi đã quyết định xóa Pixel ngay bây giờ để đảm bảo rằng chúng tôi đang làm mọi thứ có thể để bảo vệ quyền riêng tư của bệnh nhân trong khi chúng tôi đánh giá”, Asin viết trong một email tiếp theo.
Facebook đã không ra mắt hệ thống lọc dữ liệu sức khỏe nhạy cảm của mình cho đến tháng 7/2020, ba năm sau khi Bệnh viện Giám lý Houston bắt đầu sử dụng pixel, theo cuộc điều tra của Sở Dịch vụ Tài chính New York. Tháng 2/2021, sở này đã báo cáo rằng độ chính xác của hệ thống rất kém.
Những người ủng hộ quyền riêng tư nói rằng kiểu sửa lỗi “dán băng keo” là một ví dụ điển hình về sự bất lực của ngành quảng cáo trực tuyến trong việc tự kiểm soát.
Alan Butler, Giám đốc điều hành của Trung tâm Bảo mật Thông tin Điện tử, nói “Thực tế của việc điều này tràn lan trên các trang web của các bệnh viện là bằng chứng cho thấy các quy tắc đã bị phá vỡ như thế nào”.
Vào tháng 12/2022, Văn phòng Dân quyền (OCR) của Bộ Y tế và Dịch vụ nhân sinh Hoa Kỳ đã ban hành hướng dẫn cho các đơn vị phải tuân thủ HIPAA về việc sử dụng công nghệ theo dõi trang web. Hướng dẫn nêu rõ rằng các công nghệ này vi phạm HIPAA trừ khi có thỏa thuận liên kết kinh doanh (BAA) với nhà cung cấp mã hoặc nhận được sự cho phép từ bệnh nhân. OCR và Ủy ban Thương mại Liên bang (FTC) đã viết thư cho gần 130 tổ chức chăm sóc sức khỏe vào tháng 7/2023 để cảnh báo họ về những rủi ro tuân thủ khi sử dụng công nghệ theo dõi, sau khi những công cụ này được phát hiện trên trang web của họ. Vào tháng 3/2024, OCR đã cập nhật hướng dẫn của mình – được cho là nhằm giải quyết thách thức pháp lý của Hiệp hội Bệnh viện Hoa Kỳ, tuy nhiên, quan điểm của OCR cho rằng cần phải có BAA/giấy phép vẫn không thay đổi.
Một số bệnh viện và hệ thống y tế đã báo cáo việc sử dụng các công nghệ theo dõi này cho OCR như những vị xâm phạm dữ liệu và nhiều vụ kiện đã được đệ trình chống lại các bệnh viện về việc sử dụng các công cụ này, một số vụ kiện trong số đó đã dẫn đến các khoản bồi thường lớn. Ví dụ: Novant Health đã đồng ý trả 6,6 triệu USD để giải quyết vụ kiện của những bệnh nhân vì đã chuyển PHI của họ cho bên thứ ba khi sử dụng các công cụ theo dõi này. FTC cũng đang tích cực thực thi Đạo luật FTC liên quan đến thiết bị theo dõi, trong đó BetterHelp phải trả 7,8 triệu USD cho người tiêu dùng để hoàn lại tiền vì đã tiết lộ dữ liệu sức khỏe nhạy cảm mà không có sự đồng ý. Các tiểu bang cũng đã có hành động đối với việc sử dụng Meta pixel và các công cụ theo dõi trang web khác, trong đó Bệnh viện Trưởng lão New York đã giải quyết vụ vi phạm HIPAA liên quan đến Pixel với Bộ trưởng Tư pháp New York bằng số tiền 300.000 USD.
Tháng 3/2024, Lokker, nhà cung cấp các giải pháp tuân thủ và bảo mật dữ liệu trực tuyến, đã công bố một nghiên cứu trên 3.419 trang web trong bốn ngành (chăm sóc sức khỏe, công nghệ, dịch vụ tài chính và bán lẻ), nhằm khám phá ba lĩnh vực rủi ro quan trọng:
Nghiên cứu xem xét mối đe dọa từ việc các nhà môi giới dữ liệu chia sẻ dữ liệu người tiêu dùng với các đối thủ nước ngoài. Trên tất cả các ngành, 12% trang web có pixel TikTok, bao gồm 4% công ty chăm sóc sức khỏe. Mặc dù rủi ro về quyền riêng tư liên quan đến pixel này thấp hơn so với các công nghệ theo dõi khác, nhưng thông tin do pixel TikTok thu thập có thể được chuyển sang Trung Quốc. 2% trang web, bao gồm 0,55% trang web chăm sóc sức khỏe, bị phát hiện sử dụng pixel và các trình theo dõi web khác có nguồn gốc từ Trung Quốc, Nga hoặc Iran.
Điều đáng báo động là, dù các phương tiện truyền thông đã đưa tin khá nhiều, đã có hướng dẫn về tuân thủ HIPAA, các khoản tiền phạt theo quy định và các vụ kiện liên quan đến công nghệ theo dõi trang web, vẫn có tới 33% tổ chức chăm sóc sức khỏe vẫn đang sử dụng Meta pixel trên trang web của họ. Lokker tìm thấy trung bình 16 công cụ theo dõi và tối đa 93 công cụ theo dõi trên các trang web chăm sóc sức khỏe. Các công cụ theo dõi phổ biến nhất được các tổ chức chăm sóc sức khỏe sử dụng là từ Google (googletagmanager.com, doubleclick.net, google-analytics.com, google.com, googleapis.com, youtube.com), Meta (facebook.com, facebook.net), ICDN (icdn.com) và Microsoft (linkedin.com).
Dường như đang có sự nhầm lẫn về việc lấy được sự đồng ý của khách truy cập trang web về việc thu thập dữ liệu của họ thông qua các công nghệ theo dõi như pixel và cookie. Theo hướng dẫn của OCR, việc sử dụng biểu ngữ trên trang web tư vấn cho khách truy cập về việc sử dụng công nghệ theo dõi không cấu thành ủy quyền hợp lệ của HIPAA. Những biểu ngữ chấp thuận này đã được xác định trên trang web của 59% tổ chức chăm sóc sức khỏe. Chúng thường không hoạt động như dự kiến, vì 98,5% trang web tải cookie khi tải trang. Lokker báo cáo rằng trung bình có 33 cookie được tải trước khi biểu ngữ chấp thuận xuất hiện và những biểu ngữ này thường phân loại sai hoặc bỏ qua cookie và trình theo dõi. Lokker cũng nhận thấy rằng các công nghệ như lấy dấu vân tay của trình duyệt thường bị loại khỏi các công cụ lấy sự đồng ý và các thay đổi của trình theo dõi trên web đang phát triển nhanh chóng có thể không được các công cụ lấy sự đồng ý quan tâm, dẫn đến việc người dùng vô tình đồng ý với việc thu thập dữ liệu không mong muốn.
Theo định nghĩa của Luật khám bệnh, chữa bệnh thì “Người bệnh là người sử dụng dịch vụ khám bệnh, chữa bệnh”. Tuy nhiên, như thế nào là “thông tin sức khỏe của người bệnh” thì lại không được đề cập.
Dù sao thì quyền giữ bí mật thông tin sức khỏe của người bệnh cũng đã được xét tới. Theo nội dung của Điều 8 Luật khám bệnh, chữa bệnh thì người bệnh có quyền được tôn trọng bí mật riêng tư, bao gồm quyền được giữ bí mật thông tin về tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án.
Theo quy định tại khoản 4 Điều 59 Luật Khám bệnh chữa bệnh thì có ba nhóm chủ thể được quyền tiếp cận thông tin sức khỏe của người bệnh, sau khi được sự đồng ý của người đứng đầu cơ sở khám bệnh, chữa bệnh, bao gồm:
- Sinh viên thực tập, nghiên cứu viên, người hành nghề trong cơ sở khám bệnh, chữa bệnh được mượn hồ sơ bệnh án tại chỗ để đọc hoặc sao chép phục vụ cho việc nghiên cứu hoặc công tác chuyên môn kỹ thuật;
- Đại diện cơ quan quản lý nhà nước về y tế trực tiếp quản lý cơ sở khám bệnh, chữa bệnh, cơ quan điều tra, viện kiểm sát, tòa án, thanh tra chuyên ngành y tế, cơ quan bảo hiểm, tổ chức giám định pháp y, pháp y tâm thần, luật sư được mượn hồ sơ bệnh án tại chỗ để đọc hoặc sao chép phục vụ nhiệm vụ được giao theo thẩm quyền cho phép;
- Người bệnh hoặc người đại diện của người bệnh được nhận bản tóm tắt hồ sơ bệnh án nếu có yêu cầu bằng văn bản.
Tuy nhiên, những nhóm chủ thể này khi sử dụng thông tin trong hồ sơ bệnh án phải giữ bí mật và chỉ được sử dụng đúng mục đích như đã đề nghị với người đứng đầu cơ sở khám bệnh, chữa bệnh. Riêng đối với những người hành nghề trong cơ sở khám chữa bệnh thì việc giữ bí mật tình trạng bệnh của người bệnh, những thông tin mà người bệnh đã cung cấp cũng như hồ sơ bệnh án được xem như một trong những nguyên tắc trong hành nghề khám, chữa bệnh và là nghĩa vụ đối với nghề nghiệp.
Theo điều 4 Nghị định 13 về bảo vệ dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm bao gồm “Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu”.
Trong khi thông tin đăng ký khám bệnh có thể không thuộc hồ sơ bệnh án và chưa có quy định cụ thể về vấn đề này, việc lộ thông tin đó vẫn có thể khiến bệnh nhân e ngại. Và dù việc số hóa các quy trình của các bệnh viện chưa được triển khai quá tốt nhưng chỉ cần cài trình mở rộng Facebook Pixel Helper cho trình duyệt Chrome rồi dạo qua website của 34 bệnh viện tuyến trung ương được niêm yết công khai trang thông tin điện tử chính thức của Bộ Y tế và 5 bệnh viện tuyến trung ương thuộc Bộ Quốc phòng, chúng ta có thể thấy website của 3 bệnh viện (Bệnh viện E, Bệnh viện Nhi TW, Bệnh viện Phong - Da liễu trung ương Quy Hòa) có chứa Facebook Pixel - trong đó hầu hết có biểu mẫu đăng ký khám bệnh. Cách đây gần 2 năm, 8 các bệnh viện trong số này có website chứa Facebook Pixel - sự thay đổi này cho thấy vấn đề bảo vệ dữ liệu cá nhân đã được coi trọng hơn. Tuy nhiên, quyền riêng tư của người bệnh vẫn cần được xem xét cẩn thận và nghiêm túc hơn nữa trong quá trình số hóa hệ thống y tế để đảm bảo tuân thủ các quy định pháp luật.
Nguyễn Anh Tuấn - Nguyễn Như Chiến
09:00 | 16/02/2023
08:00 | 22/10/2020
10:00 | 21/12/2021
07:00 | 17/10/2024
Ngày 9/10, Ủy ban châu Âu thông báo khởi động kế hoạch hành động thứ hai với khoản đầu tư khổng lồ vào cơ sở hạ tầng số, đánh dấu bước tiến mới trong nỗ lực chuyển đổi số toàn diện của khu vực.
14:00 | 23/05/2024
Đó là thông tin được hãng bảo mật Zscaler (California) công bố trong báo cáo rủi ro VPN năm 2024. Báo cáo đã làm sáng tỏ các xu hướng VPN quan trọng và cung cấp thông tin về các giải pháp để bảo mật người dùng từ xa.
10:00 | 05/02/2024
Kiểm tra, đánh giá tình hình ứng dụng chữ ký số trong hoạt động của cơ quan nhà nước là công tác có ý nghĩa hết sức quan trọng, không thể thiếu, góp phần thực hiện tốt nhiệm vụ quản lý nhà nước về lĩnh vực chữ ký số chuyên dùng Chính phủ. Thông qua kết quả kiểm tra, đánh giá của Đoàn công tác Ban Cơ yếu Chính phủ, bài báo sẽ cung cấp đến độc giả thực trạng tình hình ứng dụng chữ ký số chuyên dùng Chính phủ tại một số địa phương, đồng thời đưa ra những tồn tại, khó khăn, vướng mắc trong công tác quản lý, triển khai sử dụng, từ đó có biện pháp khắc phục, hướng dẫn, điều chỉnh bảo đảm đúng quy định, chặt chẽ và hiệu quả.
09:00 | 23/08/2023
Thực hiện chỉ đạo của Chính phủ tại phiên họp thường kỳ tháng 4/2023 về đẩy nhanh quá trình chuyển đổi số, hoàn thiện các điều kiện hình thành công dân số, tỉnh Thừa Thiên Huế đã kích hoạt chiến dịch cấp chữ ký số cho người dân.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Sáng ngày 29/11/2024, tại Hà Nội, Ban Cơ yếu Chính phủ đã tổ chức Hội nghị toàn quốc (theo hình thức trực tiếp và trực tuyến) với nội dung trọng tâm tuyên truyền và phổ biến Nghị định số 68/2024/NĐ-CP ban hành ngày 25/6/2024 của Chính phủ. Thiếu tướng Nguyễn Đăng Lực, Phó Trưởng ban Ban Cơ yếu Chính phủ đã tới tham dự và chỉ đạo Hội nghị.
14:00 | 29/11/2024