Cerebral平台数据泄露事件

关键要点

Cerebral是一款心理健康订阅平台，最近在一组参议员发起对其调查一个月后，向近320万患者发出了数据泄露通知。这一通知似乎证实了调查中提出的许多数据共享声称，定位了2019年开始未经授权披露患者健康数据的事件。尽管受影响的患者人数庞大，但这个事件至今仍然是今年第二大医疗数据泄露。

随着上个月SC Media报道，参议员玛丽亚坎特维尔DWash、艾米克洛布查DMinn、苏珊柯林斯RMaine以及辛西娅卢米斯RWyo向Cerebral、Monument和Workit Health发出了信件，原因是报道称这些数字健康提供商正在追踪和分享患者数据给第三方。

信中指控Cerebral及其他平台在未获得患者同意且未遵守对用户数据保密承诺的情况下，常规性地进行第三方数据共享用于广告目的。这些指控与BetterHelp和GoodRx存在相似性，这些平台在与FTC达成数百万美元的和解时，因其“令人震惊”的隐私实践而备受批评。FTC指出这些行为包括“与第三方社交媒体和在线搜索平台如Google和Facebook分享敏感和具有个人识别性的健康数据，以便通过此数据进行广告投放”。

参议员们警告Cerebral，其收集“极为个人化”的数据可能导致个人受到“不必要或潜在有害的”身体、心理或情感广告的针对。信件迅速引发了一起由患者发起的诉讼。在收到信件时，Cerebral并未确认或否认这些指控。

新的数据泄露通知确认了这一泄露事件，并显示由于使用了像素及“类似常见技术”，才导致了数据的追踪和共享。这些工具由Google、MetaFacebook、TikTok等第三方提供，Cerebral自2019年10月12日开始运营以来就一直在使用。

Cerebral公司“最近对其跟踪技术及涉及分包商的数据共享实践进行了审查”。在2023年1月3日，Cerebral确认，他们确实“披露了某些可能受保护健康信息PHI监管的信息给某些第三方平台及一些分包商，而未获得HIPAA所要求的保证”。

患者已被告知，受影响的信息因个体而异，“取决于个体在Cerebral平台的行为、分包商提供的服务性质以及访问平台时的跟踪技术配置、第三方的数据捕获配置和用户设备及浏览器的配置”。因此，这些数据可能包括姓名、联系方式、IP地址、Cerebral客户ID号码、出生日期及其他人口统计信息，以及用户选择的服务、评估响应及健康信息，若用户“完成了Cerebral在线心理健康自我评估的任何部分”。

那些完成了在线心理健康自我评估并购买了订阅计划的用户，所披露的数据还包含预约日期及其他预订信息、治疗及其他临床信息、健康保险及药品福利信息。

此次数据泄露与过去一年针对Meta的指控相似，同时还包括[Advocate Aurora Health