因非法收集共享用户隐私数据，这家医疗公司赔偿超1.8亿元

美国医疗公司GoodRx已达成一项2500万美元（约合人民币1.81亿元）的初步和解协议，以解决一项合并的集体诉讼案件。原告指控这家折扣处方药和远程医疗服务公司，在使用在线追踪工具收集并与第三方共享消费者信息时，违反了隐私保护、窃听及其他相关法律法规。

此次合并案件的原告于11月29日向美国加利福尼亚北区联邦地方法院提交动议，要求批准这一初步和解协议。作为本诉讼共同被告的三家第三方技术和广告供应商Meta、谷歌和Criteo，并未参与此次和解协议。

法院文件显示，如果GoodRx的和解协议获得法院批准，原告仍可继续追究其他公司在本案中的责任。除GoodRx一案外，Meta和谷歌也因其在健康相关网站及其他平台上使用追踪软件，面临来自美国及其他地区的隐私保护法律和监管压力。

和解协议中的法院文件指出，目前尚未确定每位符合条件的集体成员将获得的具体赔偿金额。该金额将根据已提交的授权索赔数量进行计算，并在支付原告律师费、行政成本、原告服务奖励以及其他相关费用后最终确定。

原告律师请求从和解基金中提取约三分之一，即830万美元（约合人民币6024万元），作为律师费。

诉讼指控

这起诉讼于2023年提起，指控GoodRx在2017年至2020年期间，使用其第三方供应商提供的在线追踪软件，将消费者的敏感个人和健康信息（如处方药记录、健康状况、电子邮件地址和电话号码）透露给广告和分析公司，包括Meta、谷歌和Criteo等。

法院文件称：“原告指控GoodRx的行为违反了多项法律，包括州级窃听法、消费者保护法、医疗隐私保护法以及禁止不正当商业行为的法规，并认为其行为存在过失，导致GoodRx不当获利。”

和解文件中指出：“本诉讼旨在赔偿因这些行为导致个人信息被泄露的受害者。GoodRx否认所有指控，坚决表示自己没有违反任何法律，并认为其拥有充分且有力的辩护，若案件继续审理，最终会胜诉。”

法院文件称，GoodRx同意支付2500万美元以解决诉讼，目的是避免进一步的诉讼费用和不确定性。

GoodRx和原告方的律师尚未对外媒ISMG就和解提案的置评请求作出回应。

未参与GoodRx案件的监管律师Rachel Rose表示：“鉴于本案的广泛影响及其涉及可识别的健康信息，和解并不令人意外，各公司董事会应当对这一事态保持高度关注。”

FTC行动

距离GoodRx达成初步和解协议近两年前，美国联邦贸易委员会（FTC）曾因GoodRx未向消费者披露，其通过在线追踪器与广告商（包括Meta和谷歌）共享用户数据，而对其处以150万美元的民事罚款。

根据FTC的处罚决定，GoodRx还被禁止将用户健康数据用于广告目的，并禁止与相关第三方共享此类数据。

这是FTC首次执行其自2009年以来实施的健康数据泄露通知规则，相关处罚决定于2023年2月作出。

在GoodRx被罚款之后，FTC于2023年5月对另一家公司，Easy Healthcare（“Premom”生育跟踪应用的开发商），采取了第二次健康数据泄露通知规则的执法行动。

Rachel Rose预计，在特朗普政府的下任期内，FTC将继续在涉及健康数据泄露通知规则的案件中采取执法行动。

她指出：“国会通过《经济与临床卫生信息技术法案》（HITECH）明确授权FTC制定规则，执行健康数据泄露通知的相关规定。”FTC已于2023年5月30日在《联邦公报》发布了更新后的健康数据泄露通知规则，并于2023年7月29日生效。

她补充道：“网络安全和消费者隐私问题，包括《健康保险可移植性与责任法案》（HIPAA）中的患者隐私保护，得到了两党支持。同时，卫生与公众服务部民权办公室启动的HIPAA隐私规则‘访问权’执行项目，始于特朗普首次执政期间。自2019年以来，该办公室已发布了51起与HIPAA隐私规则‘访问权’相关的执法案件。”

Rose表示：“尽管我没有预言能力，但从历史经验来看，隐私和安全的执法行动很可能会保持一致。”

来源：安全内参，参考资料：govinfosecurity.com