涉洩5500萬用戶個資 GoodRx遭罰150萬元

GoodRx號稱自2011年起已經為全美病患省下450億元的醫藥費，不過GoodRx沒說的「附帶條件」是，5500萬用戶在使用GoodRx的同時，還會因為內建的附帶程式，在不知情的狀況下把個資交給Facebook、Google、Criteo等20多家網路廣告商，讓後者可以針對需求提供客製廣告。

聯邦政府雖然早已知情，但直到民間倡議團體Consumer Reports 2022年初公開揭露後才展開調查，聯邦貿易委員會（FTC）最終在2023年開罰150萬元，在GoodRx願意和解的情況下，全案仍待聯邦法院同意。

雖然金額不高，但Consumer Reports仍然強調，對於GoodRx的用戶與消費者權益保障來說，仍是一大勝利，除了健康保險隱私及責任法（HIPAA）之外，還多加了一道門檻，即2009年制訂的Health Breach Notification Rule，對HIPPPA不及之處加以補強。聯邦貿委會本次裁罰是Health Breach Notification Rule生效以來的首宗案例。

根據Consumer Reports所稱，GoodRx在用戶不知情的情況下，在網站與App植入個資蒐集程式，然後將不當取得的個資提供給網路廣告商，以便他們能針對用戶病情提供相關藥品廣告，從而獲取利潤。不過，在Consumer Reports揭發前，聯邦政府雖然知情但未積極行動，且GoodRx都稱正在積極改善用戶告知、個資分享的疏漏。

雖然GoodRx願意和解，但仍稱沒有疏失，只是為了節省爭訟時間與費用。發言人Lauren Casparis強調，GoodRx使用的技術皆符合相關法規，其他許多網站也在使用。至於對GoodRx不得繼續提供個資並要求第三方刪除已獲得的個資，Lauren Casparis則稱，相信對GoodRx目前與未來營運不會構成影響。

不過，聯邦貿委會的消費者保護局局長Samuel Levine還是強調，醫療相關的電商與App不應該以消費者的敏感與個人資料牟利，貿委會此舉正是為了避免美國消費者的資料遭到濫用。Consumer Reports的總裁兼執行長Marta Tellado則說，自此之後，醫藥業者不當洩漏個資的情形應該會減少，畢竟未經同意就濫用個資是會遭到處罰的。