违规共享上千万患者健康数据，美国凯撒医疗集团赔偿超3.3亿元

前情回顾·网络安全事故和解赔偿

• 泄露超28万患者敏感信息，地方诊所赔偿7100万元

• 逾百万患者病历数据泄露，医疗软件供应商赔偿超1.37亿元

• 医疗数据泄露屡现天价赔偿！一大型医院泄露患者隐私赔偿1.28亿元

• 违规传输用户隐私数据，这家地方医院赔偿超1.2亿元

安全内参12月10日消息，美国凯撒医疗集团（Kaiser Permanente）已同意支付最高4750万美元（约合人民币3.35亿元），以了结一项合并的集体诉讼。该诉讼源于该机构在官网、患者门户以及移动应用中使用跟踪代码。索赔人称，这些跟踪器非法将患者信息共享给包括谷歌、微软及推特在内的第三方。

凯撒医疗集团总部位于加州，是美国规模最大的非营利性健康保险计划及医疗服务提供机构之一，为约1260万名分布在8个州和美国首都华盛顿哥伦比亚特区的会员提供医疗服务。

超1340万人受影响

2024年4月，该集团的保险部门“凯撒基金会健康计划”首次上报联邦监管机构，称发现了一起因未经授权访问或披露导致违反《健康保险携带与责任法案》（HIPAA）的泄露事件，受影响人数达1340万。

这是2024年美国卫生与公众服务部收到上报的第二大健康数据泄露事件，仅次于Change Healthcare遭遇的勒索软件攻击，后者影响了近1.93亿人的受保护健康信息。

针对凯撒的合并集体诉讼指控称，该机构在使用嵌入式跟踪代码时违反了多项联邦和州法律，同时涉及其他法律索赔。这些嵌入式代码将原告及集体成员的敏感信息共享给包括Quantum Metric、推特、Adobe、微软必应和谷歌在内的多家第三方。

多项诉讼指控凯撒存在过失、违反默示合同，并违反了联邦《电子通信隐私法》、加州《医疗信息保密法》、佐治亚州《计算机系统保护法》、马里兰州《窃听与电子法》以及其他多个州法律。

凯撒在一则声明中表示：“虽然我们未发现任何会员的私人信息遭滥用或处于风险之中，但经过慎重考虑，我们决定和解此案，以避免继续诉讼所带来的长期时间成本、费用与不确定性。”

凯撒医疗同意支付4750万美元赔偿金

根据初步和解协议，凯撒否认存在任何不当行为或责任。

法院文件显示，凯撒同意支付4600万美元，该金额“可能增加，但在任何情况下不得超过4750万美元，具体取决于保密补充协议中的若干条件”。

和解集体成员包括在2017年11月至2024年5月期间，访问过凯撒医疗集团某些网站或移动应用认证页面的会员，范围涵盖加州、科罗拉多州、佐治亚州、夏威夷州、马里兰州、俄勒冈州、弗吉尼亚州、华盛顿州以及华盛顿哥伦比亚特区。

根据和解协议，每位符合条件的集体成员将获得按比例的平等赔付，金额由净和解基金除以获授权索赔人的总人数计算得出。

净和解基金指在扣除法院裁定的律师费用与相关成本（尚未确定）、每位具名原告约5000美元的法院裁定酬金、和解管理员费用及任何税费后所剩余的金额。

凯撒在向外媒ISMG的声明中强调，目前没有任何迹象显示个人信息遭到滥用，且此次事件未涉及用户名、密码、社会安全号码、金融账号信息或信用卡号码的泄露。

凯撒表示：“出于高度谨慎，我们已从网站和移动应用中移除部分在线技术，并于2024年通知了会员。此外，在专家指导下，凯撒医疗集团已实施额外防护措施，以防止类似事件再次发生。”

“我们将继续致力于在符合法规要求的前提下，保护会员信息的隐私与机密性。”

美国医疗集团因违规共享数据屡被起诉

这起凯撒泄露事件，是2023年至2024年期间多家医疗机构因此前使用跟踪像素而向美国卫生与公众服务部（HHS）报告的大规模HIPAA泄露事件之一。在这些案件中，诉讼均指控患者门户和网站上的患者信息被收集并传输给Meta和谷歌等第三方。

在拜登政府期间，卫生与公众服务部下属的民权办公室与联邦贸易委员会对健康相关网站和移动应用中的网页跟踪工具进行了审查。

当时，联邦贸易委员会曾就GoodRx、BetterHelp等远程医疗公司使用网页跟踪器一事发布多项执法行动。

今年1月，特朗普开始第二任期。此后，联邦贸易委员会未在网页跟踪相关案件中采取新的执法行动。

民权办公室曾在2022年及2024年发布有关在线跟踪器可能引发HIPAA违规的指导材料，但尚未在任何网页跟踪案件中采取执法行为。

去年，民权办公室与联邦贸易委员会曾向130家医院和远程医疗公司发送警告信，提醒注意网页跟踪器的使用。

医疗行业机构正面对大量声称隐私被侵犯的民事集体诉讼。除凯撒医疗集团外，另有多家机构选择和解。例如，总部位于纽约的西奈山医疗系统在8月同意支付530万美元，以初步和解一桩拟议集体诉讼。索赔人称，该机构的患者门户和官网长期使用在线跟踪工具，在未经患者知情或同意的情况下将患者信息发送给Facebook。

参考资料：https://www.govinfosecurity.com/kaiser-permanente-to-pay-up-to-475m-in-web-tracker-lawsuit-a-30180、https://www.hipaajournal.com/kaiser-permanente-website-tracker-breach-affects-13-4-million-individuals/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。