紐約長老會醫院曝病人個資 賠30萬

紐約州檢察長詹樂霞(Letitia James)27日宣布向紐約長老會醫院(New York Presbyterian)索賠30萬元，因為其網站上使用的廣告工具會收集訪問者的個人健康信息。在27日達成的和解結果中，長老會醫院同意修補這項漏洞並刪除受法律保護的病人個資，並支付30萬元賠償金。

長老會醫院是紐約地區最大的醫療系統之一，共運營十所醫院，每年接待超過200萬名患者就診。醫院的網站則為用戶提供搜索、預約醫生服務，並可以根據用戶的搜索結果，導引至相關的病症信息、症狀以及最新研究成果。

據州檢察長辦公室，醫院並未制定適當的內部管理機制，來審查網站上使用的第三方跟蹤工具，導致患者的個資和健康信息可能被違法收集，導致違反了紐約州「健康保險可攜性和責任法案」(Health Insurance Portability and Accountability Act, HIPAA)。

詹樂霞表示，長老會醫院在2016年6月至2022年6月間，以營銷為目的使用第三方工具跟蹤其網站的訪客，每當用戶進行點擊鏈接、提交表單或者使用搜索功能等操作時，這種工具就會將數據信息發送給其運營方的服務器。第三方分析商可以通過這樣的數據傳輸得到用戶的IP地址和網頁URL，而通過用戶的使用紀錄，便可分析出他們所關注的病症，進而還原這些患者的個人健康信息。

州檢察長辦公室還透露，一些第三方分析商還可能收到更多私密信息，至少有一個第三方可能收集到了用戶的姓名、電郵、地址乃至性別信息。

2022年6月，在被媒體披露後，長老會醫院很快禁用了其網站上的跟蹤工具，今年3月，醫院則發布報告，表示該網站漏洞在十年間，共對超過5萬4000名用戶和患者造成影響。

詹樂霞表示，任何一名紐約人在求醫時，個人信息都必須受到嚴格保護。長老會醫院承認錯誤，除賠償30萬元外，也將確保不再發生類似網站安全漏洞。