前情回顾·网络安全事故赔偿
安全内参12月6日消息,美国医疗公司GoodRx已达成一项2500万美元(约合人民币1.81亿元)的初步和解协议,以解决一项合并的集体诉讼案件。原告指控这家折扣处方药和远程医疗服务公司,在使用在线追踪工具收集并与第三方共享消费者信息时,违反了隐私保护、窃听及其他相关法律法规。
此次合并案件的原告于11月29日向美国加利福尼亚北区联邦地方法院提交动议,要求批准这一初步和解协议。作为本诉讼共同被告的三家第三方技术和广告供应商Meta、谷歌和Criteo,并未参与此次和解协议。
法院文件显示,如果GoodRx的和解协议获得法院批准,原告仍可继续追究其他公司在本案中的责任。除GoodRx一案外,Meta和谷歌也因其在健康相关网站及其他平台上使用追踪软件,面临来自美国及其他地区的隐私保护法律和监管压力。
和解协议中的法院文件指出,目前尚未确定每位符合条件的集体成员将获得的具体赔偿金额。该金额将根据已提交的授权索赔数量进行计算,并在支付原告律师费、行政成本、原告服务奖励以及其他相关费用后最终确定。
原告律师请求从和解基金中提取约三分之一,即830万美元(约合人民币6024万元),作为律师费。
诉讼指控
这起诉讼于2023年提起,指控GoodRx在2017年至2020年期间,使用其第三方供应商提供的在线追踪软件,将消费者的敏感个人和健康信息(如处方药记录、健康状况、电子邮件地址和电话号码)透露给广告和分析公司,包括Meta、谷歌和Criteo等。
法院文件称:“原告指控GoodRx的行为违反了多项法律,包括州级窃听法、消费者保护法、医疗隐私保护法以及禁止不正当商业行为的法规,并认为其行为存在过失,导致GoodRx不当获利。”
和解文件中指出:“本诉讼旨在赔偿因这些行为导致个人信息被泄露的受害者。GoodRx否认所有指控,坚决表示自己没有违反任何法律,并认为其拥有充分且有力的辩护,若案件继续审理,最终会胜诉。”
法院文件称,GoodRx同意支付2500万美元以解决诉讼,目的是避免进一步的诉讼费用和不确定性。
GoodRx和原告方的律师尚未对外媒ISMG就和解提案的置评请求作出回应。
未参与GoodRx案件的监管律师Rachel Rose表示:“鉴于本案的广泛影响及其涉及可识别的健康信息,和解并不令人意外,各公司董事会应当对这一事态保持高度关注。”
FTC行动
距离GoodRx达成初步和解协议近两年前,美国联邦贸易委员会(FTC)曾因GoodRx未向消费者披露,其通过在线追踪器与广告商(包括Meta和谷歌)共享用户数据,而对其处以150万美元的民事罚款。
根据FTC的处罚决定,GoodRx还被禁止将用户健康数据用于广告目的,并禁止与相关第三方共享此类数据。
这是FTC首次执行其自2009年以来实施的健康数据泄露通知规则,相关处罚决定于2023年2月作出。
在GoodRx被罚款之后,FTC于2023年5月对另一家公司,Easy Healthcare(“Premom”生育跟踪应用的开发商),采取了第二次健康数据泄露通知规则的执法行动。
Rachel Rose预计,在特朗普政府的下任期内,FTC将继续在涉及健康数据泄露通知规则的案件中采取执法行动。
她指出:“国会通过《经济与临床卫生信息技术法案》(HITECH)明确授权FTC制定规则,执行健康数据泄露通知的相关规定。”FTC已于2023年5月30日在《联邦公报》发布了更新后的健康数据泄露通知规则,并于2023年7月29日生效。
她补充道:“网络安全和消费者隐私问题,包括《健康保险可移植性与责任法案》(HIPAA)中的患者隐私保护,得到了两党支持。同时,卫生与公众服务部民权办公室启动的HIPAA隐私规则‘访问权’执行项目,始于特朗普首次执政期间。自2019年以来,该办公室已发布了51起与HIPAA隐私规则‘访问权’相关的执法案件。”
Rose表示:“尽管我没有预言能力,但从历史经验来看,隐私和安全的执法行动很可能会保持一致。”
参考资料:https://www.govinfosecurity.com/goodrx-agrees-to-pay-25m-to-settle-web-tracker-lawsuit-a-26960
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。