Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
Ajans, Mühürsüz Değiştirilmiş Şikayette Idaho Firmasına Yönelik Suçlamaları Detaylandırıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Kasım 2023
Federal Ticaret Komisyonu, Cuma günü açıklanan değiştirilmiş bir dava şikayetinde, Idaho merkezli veri komisyoncusu Kochava’nın, tüketicilerle ilgili “muazzam” miktarda coğrafi konum ve diğer hassas bilgileri toplayıp üçüncü taraflara ifşa ederek federal yasayı nasıl ihlal ettiği iddiasını ayrıntılarıyla anlattı.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
FTC’nin Kochava ile devam eden veri gizliliği anlaşmazlığında bir Idaho federal mahkemesi tarafından mühürlenen 33 sayfalık değiştirilmiş şikayet, şirketin bireylerin mobil cihazlarından topladığı kesin coğrafi konum verilerinin anonim olmadığını “daha doğrusu olabileceğini” “kabul ettiğini” iddia ediyor: ve bireysel tüketicileri izlemek ve tanımlamak için kullanılır.”
FTC’nin Ağustos 2022’de sunduğu orijinal dava şikayeti yalnızca 11 sayfa uzunluğundaydı ve ajansın FTC’nin Kochava’ya yönelik iddialarına ilişkin değiştirilmiş şikayetinde yer alan ayrıntıların çoğunu içermiyordu (bkz.: FTC, Hassas Konum Verilerini Toplayan ve Satan Firmaya Dava Açtı).
FTC, değiştirilen şikayetini, 4 Mayıs’ta bir Idaho federal yargıcının, FTC’nin veri komisyoncusunun iş modeli nedeniyle tüketicilerin zarar gördüğü yönündeki bir çıkarıma çok fazla dayandığını yazarak ajansın ilk şikayetini reddetmesinin ardından sundu (bkz: FTC, Veri Komisyoncusu Kochava’ya Karşı Değiştirilmiş Dava Açtı).
Mayıs ayındaki kararında ABD Bölge Hakimi B. Lynn Winmill. Idaho Bölgesi Bölge Mahkemesi, ajansın 30 gün içinde değiştirilmiş bir şikayetle tekrar deneyebileceğini belirterek, “FTC tarafından dile getirilen gizlilik kaygılarının kesinlikle meşru olduğunu” yazdı.
FTC, hakimin teklifini kabul etti ve 5 Haziran’da Kochava’ya karşı değiştirilmiş şikayeti mühürlü olarak sunarak, Kochava’nın şirketin mülkiyetinde olduğunu iddia ettiği materyalin halka açık bir şekilde yayınlanmasına olası itirazlarını öne sürdü. Mühür 3 Kasım’da kaldırıldı.
FTC, Kochava’nın FTC Yasası’nın 5. bölümünü ihlal eden eylemleri veya uygulamaları için kalıcı bir ihtiyati tedbir kararı ve başka türlü telafiler istiyor.
Şikayetlerin İddialarında Değişiklik Yapıldı
FTC, Kochava’nın kesin coğrafi konum verilerini toplaması, kullanması ve ifşa etmesinin tüketicilerin mahremiyetini ihlal ettiğini iddia ediyor. Şirketin mobil coğrafi konum verilerinin toplanması, tüketicilerin “hassas yerlere (örneğin tıbbi bakım, üreme sağlığı, dini ibadet, zihinsel sağlıkla ilgili yerler) ziyaretleri de dahil olmak üzere bir gün, hafta, ay, yıl veya daha uzun bir süre boyunca hareketlerini ortaya koyuyor” FTC, evsizler, aile içi şiddet mağdurları veya diğer risk altındaki nüfuslar için barınaklar ve bağımlılıktan kurtulma gibi geçici barınaklar” iddiasında bulundu.
FTC, çoğu durumda Kochava’nın bu kesin coğrafi konum verilerini bireysel tüketiciler hakkındaki diğer hassas tanımlayıcı bilgilere doğrudan bağladığını iddia ediyor.
FTC, “Kesin coğrafi konum verilerine ek olarak Kochava, tüketiciler hakkında şaşırtıcı miktarda hassas ve tanımlayıcı bilgi topluyor ve ifşa ediyor” diye iddia ediyor.
Buna isimler, adresler, telefon numaraları, e-posta adresleri, cinsiyet, yaş, etnik köken, yıllık gelir, “ekonomik istikrar”, medeni durum, eğitim düzeyi, siyasi görüş, “uygulama ilgisi” veya tüketicilerin telefonlarına yüklediği uygulamalar dahildir. uygulama kullanımı, “ilgi alanları ve davranışlar” artı bir Mobil Reklam Kimliği veya MAID.
FTC’nin iddiasına göre, Kochava’nın MAID’leri, şirketlerin bir tüketicinin mobil etkinliğini izlemesine olanak sağlamak üzere bir mobil cihazın işletim sistemi tarafından atanıyor ve hedefli reklamlar göndermek için kullanılıyor.
FTC, Kochava’nın coğrafi konum ve tüketiciler hakkındaki diğer “muazzam miktardaki” ek özel ve hassas bilgilerin toplanması, kullanılması ve ifşa edilmesinin tüketicilerin mahremiyetini ihlal ettiğini ve tüketicilerin ciddi yaralanmalara neden olduğunu veya neden olabileceğini iddia etti.
Veri komisyoncusu, müşterilere sunduğu “Kochava Collective” ürün sunumunda verileri birkaç farklı biçimde toplar ve satar. Buna kesin coğrafi konum verileri, bireysel tüketicilerin kapsamlı profilleri, tüketicilerin cihazlarındaki mobil uygulama kullanımlarının izlenmesi ve tüketicilerin belirlenen hassas ve kişisel özelliklere ve niteliklere göre sınıflandırılması dahildir.
FTC, “Tüketicileri kendileri hakkındaki bu tür ayrıntılı gerçeklere göre hedefleme yeteneği, Kochava’nın potansiyel müşterilere açıkça belirttiği gibi, tam olarak Kochava Kolektifi’nin amacıdır” dedi.
Değiştirilen şikayette FTC, bireylerin üreme sağlığı gibi hassas tıbbi ziyaretleri de dahil olmak üzere şirketin bu ayrıntılı tüketici verisi koleksiyonlarını nasıl toplayıp sattığını iddia eden çeşitli örnekler sunuyor.
FTC, “Kochava’nın kesin coğrafi konum verileri, bir kürtaj kliniğini ziyaret eden ve bunun sonucunda kürtaj yaptırmış veya yaptırmayı düşünmüş olabilecek tüketicileri tanımlamak için kullanılabilir” dedi.
“Aslında, Kochava’nın Kochava Veri Örneğinde sunduğu verilerde, [the FTC] FTC, bir kadın üreme sağlığı kliniğini ziyaret eden ve bu mobil cihazın tek aileli bir meskene kadar izini süren bir mobil cihaz tespit ettiğini” iddia etti.
“Veri seti ayrıca aynı mobil cihazın aynı hafta içinde en az üç akşam belirli bir yerde olduğunu ortaya koyuyor ve bu da mobil cihaz kullanıcısının rutinine işaret ediyor. Veriler ayrıca performans sergileyen veya performansa yardımcı olan tıp uzmanlarını tanımlamak için de kullanılabilir. kürtaj hizmetlerinden.”
FTC, Bilgi Güvenliği Medya Grubu’nun, ajansın Kochava’ya karşı değiştirilmiş şikayeti hakkında yorum yapma talebini reddetti.
Kochava, ISMG’nin FTC’nin iddialarına ilişkin yorum talebine hemen yanıt vermedi.
‘İlgi çekici Anlatı’
BakerHostetler hukuk firmasının düzenleyici avukatı Daniel Kaufman, FTC’nin değiştirilmiş şikayetinin “satıldığı veya üçüncü taraflarla paylaşıldığı iddia edilen verilerin kapsamı hakkında çok daha ikna edici bir anlatı anlattığını” söyledi.
Eski direktör vekili Kaufman, “FTC bu davada adaletsizlik yetkisine güveniyor ve bu daha ayrıntılı anlatımın tüketicilere ciddi zarar verme olasılığını göstermek için yeterli olup olmayacağını zaman gösterecek” dedi. FTC’nin Tüketiciyi Koruma Bürosundan olan ve Kochava davasına dahil olmayan kişi.
“Mahkemenin bu davadaki ilk kararı, ajans için çok önemli bir karardı ve mahremiyete zarar vermenin adil olmayan bir uygulama olabileceğini belirtti ancak aynı zamanda, uygulamaların adil olmadığını iddia ederken ajansın karşılaması gereken yüksek bir yükün olduğunu da açıkça ortaya koydu. “dedi.
Kaufman, kapsamlı federal gizlilik mevzuatının yokluğu göz önüne alındığında, FTC’nin birincil federal yasa uygulayıcısı olmaya devam ettiğini ve tüketici konum verilerinin ve diğer hassas verilerin geniş çapta toplanması ve paylaşılması konusunda açıkça büyük endişeleri olduğunu söyledi.
Ancak “FTC’nin bu sorunların çoğunu çözmeye yönelik birincil aracı, göreve ideal olarak uygun değil ve ajansın ele almak istediği tüm gizlilik sorunlarını gerçekçi bir şekilde çözüp çözemeyeceği konusunda gerçek zorluklar var” dedi.
Kaufman, “Ajansta uzun süre çalışmış biri olarak, bu değiştirilmiş şikayet, FTC’nin bu davaya tamamen yatırım yaptığını ve bu davanın devam etmesi için güçlü bir çaba gösterdiğini gösteriyor” dedi.
“Adaletsizlik, kolluk kuvvetlerinde kullanımı kolay bir araç değildir ve iyi ya da kötü, kurumun mevcut gizlilik endişelerini gidermek için kullanacağı birincil araçtır.”