GoodRx 面临处罚与隐私违规整改

关键要点

美国司法部DoJ近期完成了针对 GoodRx 的 FTC 和解协议，命令这家数字健康公司采取措施以纠正其隐私违规行为，包括向消费者发送违规数据共享的通知。该协议规定的 150 万罚款以及一系列的改革措施旨在防止未来未经授权的用户数据披露，并确保遵守 FTC 法案及相关规定。

具体而言，GoodRx 必须通知用户其此前向第三方数据经纪人的数据披露情况，并加强 FTC 和 DoJ 对其的禁令，即不再为广告目的披露用户健康数据。公司也被禁止进行进一步的虚假陈述，并在没有用户明确同意和通知的情况下，不能再披露健康数据。

此外，联邦机构要求 GoodRx 在发生新的隐私泄露时通知用户，并强制公司改善其记录保存、认证、监控和合规义务。

GoodRx 目前正面临一宗针对其与 Meta 的集体诉讼，该诉讼在 FTC 提起的指控后 提出，指控其一系列隐私违规行为。具体而言，GoodRx 被指控未按 FTC 的健康违规通知规则，未能及时通知消费者、FTC 和媒体关于健康数据的未经授权披露。

初步文件声称，公司在四年时间内多次与包括 Facebook、Google、Criteo、Branch 与 Twilio 等第三方广告公司分享用户个人和健康信息。

公司官员为其行为辩护，表示自 2019 年《消费者报告》披露 GoodRx 将药物名称及用户其他私人信息与 20 家互联网公司共享后，他们已更改政策。报告显示，结合浏览器信息，第三方能够通过所共享数据推断出大量用户信息。

然而，如 2 月 1 日的 FTC 文件所指出的，GoodRx 从未向其用户公开通知这些可疑的做法。此失误是 DoJ 决定的主要驱动力。

首席副助理检察官 Brian M Boynton 指出，DoJ 致力于执行防范虚假行为及未经授权披露个人健康信息的保护措施。他表示，“消费者有权知道其个人健康信息是否以及如何被使用，并在其信息被披露给第三方时知晓。”

DoJ 的公告暗示该机构将继续与 FTC 合作，保护敏感私人信息免受未经授权的披露。

最终确定的和解协议，加上正在进行的对数据经纪人 Kochava 的 FTC 诉讼，应该作为警告，提醒那些实施可疑隐私做法的应用开发者。FTC 一直警告，将利用其健康违规规则来管理未受《健康保险可携带性与责任法》涵盖的数据信息，这对于原因再好不过，因为研究一再表明，健康和心理健康应用程序经常在未征得用户同意的情况下分享健康数据。一项新研究发现，多数 第三方数据经纪人 “愿意并且能够” 销售心理健康数据，并且有些企业积极为消费者健康数据进行广告推广。