ผู้ผลิตแอปด้านสุขภาพได้รับการแจ้งให้ทราบท่ามกลางการรีเฟรชกฎข้อมูลของ FTC แต่ผู้เชี่ยวชาญด้านความเป็นส่วนตัวบางคนกล่าวว่าหน่วยงานกำกับดูแลไปไกลเกินไป
Federal Trade Commission ไม่เคยใช้กฎเก่าที่ควบคุมความเป็นส่วนตัวและความปลอดภัยของข้อมูลด้านสุขภาพ ตอนนี้หน่วยงานได้ให้คำมั่นที่จะบังคับใช้อย่างเข้มงวดกับแอปสุขภาพบนมือถือ ผู้เชี่ยวชาญด้านกฎหมายและความเป็นส่วนตัวบางคนที่เข้าข้างธุรกิจเทคโนโลยีกล่าวว่าเป็นแนวทางที่ซับซ้อนซึ่งก่อให้เกิดความสับสนอยู่แล้ว
FTC ลงมติ ในระหว่างการประชุมวันที่ 15 กันยายน เพื่อปรับใช้ H กฎการแจ้งเตือนการละเมิดสุขภาพสำหรับแอปด้านสุขภาพที่เชื่อมต่อและเทคโนโลยีอื่น ๆ ที่ใช้ในการตรวจสอบสุขภาพ เช่น ตัวติดตามฟิตเนส แอปการเจริญพันธุ์และการติดตามประจำเดือน แอปสุขภาพจิต หรือแอปที่ช่วยเหลือผู้คน เลิกสูบบุหรี่. กฎกำหนดให้บริษัทที่เคยประสบกับการละเมิดข้อมูลที่เกี่ยวข้องกับสุขภาพต้องแจ้ง FTC และผู้ที่ได้รับผลกระทบจากการละเมิด เป้าหมายคือเพื่อให้หน่วยงานบังคับใช้กฎที่มีอยู่ให้ทันกับวิธีที่ผู้คนจัดการสุขภาพร่างกายและจิตใจของพวกเขาในปัจจุบัน และปรับให้สอดคล้องกับวิธีการจัดการข้อมูลที่สะท้อนถึงสุขภาพของพวกเขา ไม่มีบริษัทใดถูกตั้งข้อหาโดย FTC ภายใต้กฎ
“ กฎการแจ้งเตือนการละเมิดสุขภาพต้องการการรีเฟรชเล็กน้อย” Pam Dixon กรรมการบริหารของ World Privacy Forum กลุ่มไม่แสวงหาผลกำไรที่ทำการวิจัยเกี่ยวกับข้อมูลด้านสุขภาพกล่าว ความเป็นส่วนตัวและการละเมิด
คำแนะนำของ FTC ก่อนหน้านี้ระบุว่ากฎนี้มีผลใช้บังคับเฉพาะในสถานการณ์แคบ ๆ ที่เกี่ยวข้องกับผู้จำหน่ายบันทึกสุขภาพส่วนบุคคลและบริษัทที่ให้บริการแก่บริษัทเหล่านั้น แต่ยุคสมัยมันเปลี่ยนไปและหน่วยงานก็ใช้แนวทางเชิงรุกตีความกฎให้เจอ
อุตสาหกรรมเทคโนโลยีด้านสุขภาพที่เป็นอยู่ วันนี้ — มีวิวัฒนาการมากกว่าในปี 2009 เมื่อ FTC เสนอแนวทางการใช้กฎเป็นครั้งแรก
กฎการแจ้งเตือนการละเมิดสุขภาพต้องการการรีเฟรชเล็กน้อย
Pam Dixon กรรมการบริหารของ World Privacy Forum
“ วันนี้เราหวังว่าจะชี้แจงว่ากฎการแจ้งเตือนการละเมิดสุขภาพนำไปใช้กับแอพด้านสุขภาพที่เชื่อมต่อและเทคโนโลยีที่คล้ายกัน” Lina Khan ประธาน FTC กล่าวในระหว่างการประชุม เพื่อเป็นเหตุผลในการปรับเปลี่ยนวิธีการใช้กฎ เธอชี้ไปที่การทำให้เป็นสินค้าของข้อมูลด้านสุขภาพที่ละเอียดอ่อนซึ่งนักพัฒนาแอปมักเผยแพร่เพื่อสร้างรายได้จากแอปของตนผ่านการโฆษณาที่กำหนดเป้าหมายและโดยการสร้างผลิตภัณฑ์อื่นๆ จากข้อมูลปริมาณมาก เธอกล่าวว่าการพัฒนาวิธีการนำกฎไปใช้กับเทคโนโลยีสมัยใหม่เป็น “การตีความเชิงตรรกะ”
ข่านวางเท้าที่เลื่องลือเมื่อแนะนำการเปลี่ยนแปลงนโยบาย “คณะกรรมาธิการไม่ควรลังเลที่จะแสวงหาบทลงโทษที่สำคัญต่อนักพัฒนาแอพด้านสุขภาพและเทคโนโลยีอื่น ๆ ที่เพิกเฉยต่อข้อกำหนด” เธอกล่าว บริษัทที่ถูกพบว่าละเมิดอาจถูกปรับด้วยค่าปรับทางแพ่ง 43,792 ดอลลาร์ต่อวันต่อการละเมิด — เท่ากับจำนวนที่กำหนดไว้ในปี 2552
การขายหรือแชร์ข้อมูลที่ผู้คนส่งไปยังแอปเป็นธุรกิจทั่วไป Amy Beckley ซีอีโอและผู้ก่อตั้ง Proov ซึ่งเป็นบริษัทที่ขายแผ่นทดสอบภาวะเจริญพันธุ์และมีแอปติดตามภาวะเจริญพันธุ์กล่าวว่าโมเดลสำหรับผู้ผลิตแอปเพื่อสุขภาพหลายราย การรักษาความปลอดภัยข้อมูลที่ผู้คนส่งไปยังแอปของบริษัทเป็น “สิ่งที่เราคิดและพยายามจัดการอย่างแน่นอน” เธอกล่าว โดยสังเกตว่า Proov จะไม่แชร์หรือขายข้อมูลที่รวบรวมในแอป และไม่เชื่อมต่อแอปบน แบ็กเอนด์ให้กับบุคคลที่สาม เช่น บริษัทวิเคราะห์ แพลตฟอร์มโฆษณา หรือบริษัทเช่น Google และ Facebook นโยบายความเป็นส่วนตัวของบริษัทสนับสนุนการอ้างสิทธิ์ของเธอ
“เราไม่ได้เต็มใจให้ข้อมูลซึ่งเป็นสิ่งที่ฉันคิดว่า FTC พยายามจัดการจริงๆ — วิธีที่แอปขนาดใหญ่เหล่านี้สร้างขึ้น รายได้และผู้หญิงไม่รู้ว่าเกิดอะไรขึ้น” เบ็คลีย์กล่าว “ข้อมูลมีค่ามาก นั่นคือต้นแบบของบริษัทเหล่านี้ทั้งหมด” เธอกล่าวเสริม “เรื่องแบบนั้น – มันแย่มาก; มันไม่ถูกต้อง”
ความสับสนเกี่ยวกับการแบ่งปันข้อมูลเป็นการละเมิดข้อมูล
คำแถลงนโยบายของ FTC ไม่ได้หมายความว่าหน่วยงานกำลังเสนอให้มีการจัดตั้งกฎเกณฑ์ใหม่ขึ้นเพื่อปกป้องข้อมูลด้านสุขภาพ อันที่จริง การกำหนดกฎเกณฑ์ใหม่ที่ FTC อาจใช้เวลาหลายปีกว่าจะเสร็จสิ้น
ฉันไม่แน่ใจว่า FTC ได้ระบุ รั้วอยู่ที่ไหน
Riposo Vandruff ซึ่งเพิ่งทำหน้าที่เป็นผู้ช่วยผู้อำนวยการใน FTC’s Division of Privacy and Identity Protection
อย่างไรก็ตาม Laura Riposo Vandruff ทนายความในกลุ่มปฏิบัติด้านความเป็นส่วนตัวและการโฆษณาที่ Kelley Drye และ Warren เรียกแผนการที่จะใช้กฎการแจ้งเตือนการละเมิดสุขภาพที่มีอยู่กับแอปด้านสุขภาพ “การขยายตัวที่สำคัญ” ของการตีความดั้งเดิม “ฉันไม่แน่ใจว่า FTC ระบุว่ารั้วอยู่ที่ไหน” Riposo Vandruff ซึ่งเพิ่งทำหน้าที่เป็นผู้ช่วยผู้อำนวยการในแผนกความเป็นส่วนตัวและการปกป้องข้อมูลประจำตัวของ FTC ภายในสำนักคุ้มครองผู้บริโภคกล่าว คำแถลงนโยบาย “ทำให้เกิดคำถามมากมายสำหรับบริษัทที่ให้บริการด้านสุขภาพและความงาม และคำแถลงนี้ไม่ได้ตอบคำถามเหล่านั้นเกี่ยวกับสิ่งที่บริษัทสามารถทำได้” เธอกล่าว
ตัวอย่างเช่น คำชี้แจงนโยบายไม่ได้ให้คำแนะนำว่าข้อมูลส่วนบุคคลที่แชร์โดยแอปด้านสุขภาพ เช่น อีเมลหรือที่อยู่ IP นั้นอยู่ภายใต้การตีความกฎใหม่ของ FTC หรือไม่ “ในพื้นที่การติดตามช่วงเวลา ความจริงที่ว่าผู้บริโภคกำลังติดตามรอบเดือนของเธอนั้นเป็นข้อมูลที่ละเอียดอ่อน ที่อยู่ IP ของผู้บริโภคนั้นเป็นข้อมูลที่ละเอียดอ่อนด้วยหรือไม่” ถาม Riposo Vandruff เธอกล่าวว่ายังไม่ชัดเจนว่าบริษัทต่างๆ จะต้องอัปเดตแถลงการณ์การเปิดเผยข้อมูลร่วมกันหรือได้รับความยินยอมเพิ่มเติมจากผู้ใช้แอปอันเป็นผลมาจากการบังคับใช้กฎ
คณะกรรมาธิการ FTC สองคนที่ลงคะแนนไม่เห็นด้วย คำสั่งนโยบายกฎวิพากษ์วิจารณ์ว่าขัดกับแนวทางที่มีอยู่โดยไม่ต้องแจ้งให้ทราบอย่างเหมาะสมต่อชุมชนธุรกิจ ผู้บัญชาการ Noah Phillips โต้แย้ง ว่าการตีความกฎที่ปรับปรุงใหม่นั้น “ซับซ้อน” เขาเขียนในข้อโต้แย้งว่า “ภายใต้นั้น แอปพลิเคชันทั้งหมดที่ผู้บริโภคใช้ในการจัดเก็บและประมวลผลข้อมูลเกี่ยวกับสิ่งใดก็ตามที่เกี่ยวข้องกับสุขภาพ — เช่น ขั้นตอนของคุณ อาหารที่คุณกิน ฯลฯ — เป็น ‘ผู้ให้บริการด้านสุขภาพ’ เช่นเดียวกับร้านค้าปลีกที่ขายอุปกรณ์ดูแลสุขภาพ เช่น Neosporin และวิตามิน”
อีกประเด็นหนึ่งของความขัดแย้ง: คำจำกัดความของการละเมิด ในคำอธิบายดั้งเดิม เกี่ยวกับวิธีการปฏิบัติตามกฎหมาย FTC หมายถึงการละเมิดข้อมูลด้านสุขภาพและ “ การเข้าถึงโดยไม่ได้รับอนุญาต” ในความหมายดั้งเดิม เช่น “หากพนักงานคนใดคนหนึ่งของคุณเข้าถึงบันทึกสุขภาพส่วนบุคคลของลูกค้าโดยไม่ได้รับอนุญาต” หรือมี “แล็ปท็อปที่สูญหายซึ่งมีบันทึกสุขภาพส่วนบุคคล”
ตอนนี้ FTC กำลังเปลี่ยนคำจำกัดความของการละเมิดเพื่อช่วยควบคุมสิ่งที่ถูกมองว่าเป็นการแชร์ข้อมูลหลอกลวงหรือไม่เป็นธรรมโดยไม่ได้รับอนุญาตอย่างเหมาะสมจากผู้ใช้แอป “โดยเฉพาะอย่างยิ่ง กฎนี้ไม่ได้บังคับใช้กับการรักษาความปลอดภัยทางไซเบอร์ การบุกรุก หรือพฤติกรรมที่ชั่วร้ายอื่นๆ เท่านั้น” Khan กล่าว “อุบัติการณ์ของการเข้าถึงโดยไม่ได้รับอนุญาตยังก่อให้เกิดภาระหน้าที่ในการแจ้งเตือนภายใต้กฎ” เธอกล่าว โดยพาดพิงถึง “ปัญหาร้ายแรงตั้งแต่การส่งข้อมูลผู้ใช้ที่ไม่ปลอดภัย รวมถึงตำแหน่งทางภูมิศาสตร์ ไปจนถึงการเผยแพร่ข้อมูลโดยไม่ได้รับอนุญาตไปยังผู้โฆษณาและบุคคลที่สามอื่นๆ ที่ละเมิดแอปเอง นโยบายความเป็นส่วนตัว”
แต่การเปลี่ยนแปลงนโยบายเพื่อครอบคลุมการแบ่งปันข้อมูลอย่างไร้ยางอายในคำจำกัดความของการละเมิดทำให้เกิดคำถามมากมายเกี่ยวกับวิธีที่บริษัทจะกำหนดเมื่อเกิดการละเมิดความปลอดภัย ต้องการการแจ้งเตือนเขียนฟิลลิปในความขัดแย้งของเขา “เป็นตอนที่ผู้ขาย ‘ค้นพบ’ แผนการของตนเองในการแบ่งปันข้อมูลหรือคิดขึ้นมาตั้งแต่แรกก่อนที่จะได้รับข้อมูลใด ๆ หรือไม่? หรือเป็นเพียงหลังจากที่ข้อมูลถูกแบ่งปัน? กฎระเบียบด้านความเป็นส่วนตัวมักจะจัดการกับการละเมิดของบุคคลที่หนึ่ง เช่น สิ่งเหล่านี้ โดยการห้ามการแบ่งปันและการลงโทษ ดังนั้นจึงป้องกันไม่ให้เกิดการละเมิดขึ้น รอให้การค้นพบที่ไม่ชัดเจนเกิดขึ้นและต้องมีการแจ้งเตือนเท่านั้นจึงจะอนุญาตให้มีการแบ่งปันข้อมูลได้” เขาเขียน
ฉันไม่แน่ใจว่า FTC ได้ระบุ รั้วอยู่ที่ไหน
Riposo Vandruff ซึ่งเพิ่งทำหน้าที่เป็นผู้ช่วยผู้อำนวยการใน FTC’s Division of Privacy and Identity Protection
ก้าวข้ามยุคอุปกรณ์สวมใส่ล่วงหน้า
นโยบายกฎ คำแถลงมาที่ส้นเท้าของ FTC การชำระเงินในเดือนมิถุนายนกับ Flo Health ผู้ผลิตเครื่องติดตามช่วงเวลา Flo กรรมาธิการที่ลงคะแนนเห็นชอบต่อคำกล่าวนี้เป็นหนึ่งในบรรดาผู้ที่ต้องการให้มันนำไปใช้ในคดี Flo Health แม้ว่าในท้ายที่สุดก็ไม่เป็นเช่นนั้น ในกรณีดังกล่าว หน่วยงานกำกับดูแลกล่าวหาว่า Flo Health แชร์ข้อมูลที่ผู้คนส่งไปยังแอปของตน เช่น ข้อมูลเกี่ยวกับว่าพวกเขากำลังพยายามตั้งครรภ์หรือมีอาการก่อนมีประจำเดือน เช่น ภาวะซึมเศร้า กับ Facebook, Google และบริษัทวิเคราะห์ต่างๆ โดยไม่ได้รับอนุญาตจากบุคคลเหล่านั้น ผู้คน. “ในการดำเนินการของ FTC เมื่อต้นปีนี้กับ Flo ซึ่งเป็นเครื่องมือติดตามภาวะเจริญพันธุ์ ฉันได้ชี้ให้เห็นว่า FTC จะต้องปรับใช้กฎการแจ้งเตือนการละเมิดสุขภาพอย่างมีประสิทธิภาพมากขึ้นกับผู้ให้บริการเครื่องมือด้านสุขภาพดิจิทัล” Rebecca Slaughter กรรมาธิการ FTC ระหว่างการประชุมเดือนกันยายน เมื่อเธอลงมติสนับสนุนนโยบายกฎใหม่
โดยทั่วไปแอปสุขภาพจะไม่ครอบคลุมโดย HIPAA และบางคนอาจเชื่ออย่างผิด ๆ ว่าไม่อยู่ภายใต้กฎของค่าคอมมิชชัน
ประธาน FTC Lina Khan
FTC ไม่เปิดเผยภายใน การเจรจาต่อรองกับบริษัทต่างๆ ที่ตรวจสอบ แต่การไม่เห็นด้วยกับข้อมูลประเภทใดที่กฎควรใช้อาจเป็นสาเหตุที่หน่วยงานไม่ได้บังคับใช้ โดยทั่วไป มีข้อพิพาทเกี่ยวกับข้อมูลสุขภาพประเภทใดที่กฎควรใช้ “แอปด้านสุขภาพโดยทั่วไปไม่ครอบคลุมโดย HIPAA และบางคนอาจเข้าใจผิดว่าแอปเหล่านี้ไม่ได้รับการคุ้มครองโดยกฎของคณะกรรมการ” Khan กล่าวโดยอ้างถึงพระราชบัญญัติการพกพาและความรับผิดชอบในการประกันสุขภาพซึ่งควบคุมความเป็นส่วนตัวและความปลอดภัยของบันทึกสุขภาพที่จัดเก็บออนไลน์
เมื่อ FTC เผยแพร่
- คำแนะนำดั้งเดิมเกี่ยวกับการบังคับใช้กฎ
ในปี 2552 กล่าวว่าจะครอบคลุม “ธุรกิจบนเว็บที่รวบรวมข้อมูลด้านสุขภาพของผู้คน [that] ไม่ครอบคลุมโดย HIPAA” รวมถึง “บริการออนไลน์ที่ผู้คนใช้เพื่อติดตามข้อมูลด้านสุขภาพและออนไลน์ แอปพลิเคชันที่โต้ตอบกับบริการเหล่านั้น” แต่ย้อนกลับไปในปี 2009 แอพสุขภาพบนมือถือนั้นไม่ธรรมดา แม้แต่อุปกรณ์สวมใส่ที่เกี่ยวกับสุขภาพ เช่น FuelBand ของ Nike ก็ไม่ออกสู่ตลาดจนถึงปี 2012 และการอภิปรายเกี่ยวกับข้อมูลด้านสุขภาพดิจิทัลมักจะเน้นที่การบันทึกข้อมูลสุขภาพส่วนบุคคลแบบดิจิทัลที่กำลังจะเกิดขึ้น ซึ่งได้รับแจ้งจากพระราชบัญญัติการดูแลราคาไม่แพงปี 2010 ของประธานาธิบดีโอบามา
“ จากข้อเท็จจริงที่ว่าเราอยู่ในการระบาดใหญ่และดูเหมือนว่ามันจะดำเนินต่อไปในบางครั้งและเรามีความเหนือกว่าของข้อมูลในระดับบุคคลซึ่งเข้าสู่ทุกประเภทที่ไม่ใช่ -HIPAA แอปที่ไม่ใช่ของสาธารณสุข [addressing health app data] มีความสำคัญสูง” ดิกสันกล่าว เธอเสริมว่า “และฉันเชื่อว่า FTC รับรู้สิ่งนี้”
- บ้าน
- ธุรกิจ
เกม
