一位网络安全专家表示：“归根结底，这起事件并非黑客入侵，而是由于管控不力导致的数据泄露。而这往往是更危险、也更可预防的数据泄露类型。”

保险巨头加州蓝盾（Blue Shield of California）本月早些时候透露，其在近三年的时间里与谷歌共享了会员的私人健康信息。根据该公司向美国卫生与公众服务部(HHS)民权办公室提交的文件，此次数据泄露可能影响了 470 万人的受保护健康信息 (PHI)。

与许多其他健康医疗计划一样，加州蓝盾过去一直使用第三方供应商服务Google Analytics对其客户使用其网站的行为进行内部跟踪。

该公司在 4 月 9 日发布于其官网的通知中写道：“我们这样做是为了改善我们为会员提供的服务。”该公司表示，在2021年4月至2024年1月的近三年时间里，Google Analytics的配置方式允许某些会员数据被共享给谷歌的广告产品——Google Ads，其中可能包含了受保护的健康信息。

加州蓝盾称：“谷歌可能利用这些数据向这些会员进行定向广告投放。我们向会员保证，没有恶意行为者参与其中，据我们所知，谷歌除了用于这些广告外，并未将这些信息用于任何其他目的，也未与任何人分享这些受保护的信息。”

由于此配置错误，加州蓝盾可能已与谷歌共享了收集到的健康数据，包括保险计划名称、类型和组号，以及患者姓名、城市、邮政编码、性别和家庭规模等个人信息，还有蓝盾为会员在线账户分配的标识符、医疗索赔服务日期和服务提供商以及患者的财务责任。收集到的数据还可能包括“查找医生”的搜索条件和结果，例如地点、计划名称和类型、提供者姓名和类型。

蓝盾表示，并未披露其他类型的个人信息，如社保号码、驾照号码或银行、信用卡信息。

该公司于2024年1月切断了其网站上Google Analytics与Google Ads之间的连接，并表示在连接切断后不会有任何会员数据从加州蓝盾的网站共享给谷歌。在发现问题后，加州蓝盾立即对其网站和安全协议进行了审查，以确保没有其他分析跟踪软件在未经许可的情况下共享会员的受保护健康信息。

根据 2024 年的一份新闻稿，加州蓝盾拥有 480 万会员，因此此次数据泄露几乎影响了其所有会员。该公司表示，出于高度谨慎，加州蓝盾正在通知所有在相关时间段内可能在其网站上访问过个人信息的会员。

身份安全解决方案公司 Saviynt 的首席信任官 Jim Routh 向媒体表示：“未来行业可能会看到类似类型的数据泄露。谷歌投入巨资并实施了高度复杂的数据模型（Google Analytics）来收集用户的在线行为信息，例如消费了哪些产品，以及个人属性，然后将其打包用于广告平台。Google Analytics及类似平台的设置需要由医疗保险提供商（如加州蓝盾）和其他共享消费者信息的企业进行配置和审查。”

Routh说：“好消息是，这些数据不包含社保号码和其他敏感信息，但坏消息是，这些数据是消费者的特定健康信息，本不应共享。”

网络安全公司SOCRadar的首席信息安全官Ensar Seker表示，将 470 万会员的受保护健康信息无意中暴露给谷歌的分析和广告平台，引发了关于医疗服务提供者如何管理第三方追踪技术的严肃质疑。

Seker 说：“这不仅仅是一个技术失误，更是 HIPAA 合规性的失败。PHI 绝不应被发送到像Google Ads或Analytics这样的平台，尤其是在没有明确的患者同意和适当的业务协作协议（BAA）的情况下。考虑到可能暴露的数据类型，如姓名、IP 地址、搜索词，以及在某些情况下与健康相关的敏感活动，对隐私的影响是巨大的。这些数据可被用来推断医疗状况、保险状况或治疗史，这不仅会带来身份盗窃的风险，还会带来歧视、污名化和用户画像分析的风险。”

医院和卫生系统因使用第三方网络追踪技术（如Meta Pixel和Google Analytics）而陷入困境。一项研究表明，超过九成的医院主页至少有一个第三方Cookie。

2022年6月，非营利性新闻机构The Markup的一项调查提出了广告追踪工具的使用可能违反联邦《健康保险流通与责任法案》(HIPAA) 的问题。这一争议引发了代价高昂的集体诉讼。患者针对提供商通过网站追踪器共享其个人身份信息提起了个人和集体诉讼。

2022年12月，HHS民权办公室向医院发布了指导意见，警告称这些服务很可能违反HIPAA。从那时起，民权办公室和联邦贸易委员会已向一百多家医院系统和远程医疗提供商发出了警告信，这些系统和提供商此前均将这些工具集成到了其网站或应用程序中。

Seker指出，暴露时间长达近三年才被发现和处理，这也是一个令人担忧的因素。这表明在数据流可见性、审计日志记录和供应商监管方面存在系统性漏洞。许多医疗机构在不知情的情况下，通过网站追踪器、像素标签和营销脚本等工具引入了风险——这些工具在电子商务中是标准配置，但在像医疗保健这样受监管的环境中却被危险地误用了。

他补充说：“归根结底，这起事件并非黑客入侵，而是由于管控不力导致的数据泄露。而这往往是更危险、也更可预防的违规类型。”

【AI算力+应用讨论社群】仅限受邀加入

席位锁定中：AI算力及AI应用领域TOP级从业者专属圈层

√  获取医疗AI应用热点及前沿产业独家信息

√  随时了解全球医疗AI领域最新监管及政策动向

√  与AI上下游企业深度对话

√  获取一手全球AI与算力产业信息

√  有机会参与AI主题产业交流活动

扫码备注关键词【AI进群】添加好友

验证身份（发送姓名/公司/职务）

*注：剩余席位有限，抓紧时间加入我们吧！