FTC menindak teknologi biometrik, pelanggaran privasi data aplikasi kesehatan

Pengembang aplikasi dan teknologi kesehatan yang dipimpin konsumen dapat mengharapkan penegakan yang lebih keras, karena FTC bermaksud memperbarui aturan pemberitahuan pelanggaran kesehatan untuk mengklarifikasi bahasa tentang pelanggaran keamanan, bahasa persetujuan pengguna, dan fungsi lainnya.

FTC memilih dengan suara bulat pada 18 Mei untuk memperbarui HBNR, serta mengeluarkan pernyataan kebijakan tentang niatnya untuk memerangi praktik yang tidak adil atau menipu terkait dengan pengumpulan, penggunaan, dan pemasaran informasi dan teknologi biometrik kepada konsumen. Risiko pelanggaran teknologi biometrik terkait langsung dengan pemaparan identitas digital dan privasi konsumen.

Pemungutan suara FTC mengikuti tindakan eksekutif kedua yang diambil di bawah HBNR terhadap pembuat Premom pada 17 Mei untuk menyelesaikan sejumlah tuduhan privasi, termasuk bahwa aplikasi kesuburan dan perusahaan induknya, Easy Healthcare, menipu pengguna dengan membagikan data pribadi dan kesehatan mereka dengan Pihak ketiga.

Selain denda uang, pengembang aplikasi diharuskan membuat sejumlah perubahan pada program privasi dan keamanan dan memberi tahu pengguna tentang penyelesaian dengan FTC.

Pengungkapan yang tidak sah telah dikaitkan dengan penggunaan alat pengembangan perangkat lunak (SDK) pihak ketiga oleh Premom, yang merupakan salah satu kekhawatiran yang dikutip selama sidang 18 Mei, serta proliferasi aplikasi telehealth dan kesehatan.

kata Ben Weissman, direktur asosiasi Divisi Perlindungan Privasi dan Identitas FTC selama wawancara.

“Namun bukan berarti konsumen tidak memiliki perlindungan privasi,” kata Wiseman. “Sebaliknya, FTC memiliki yurisdiksi luas atas perusahaan yang mengumpulkan data kesehatan dan berkewajiban untuk melindungi informasi kesehatan sensitif konsumen.”

Penyelesaian FTC terhadap GoodRx dan BetterHelp, misalnya, menyoroti kemampuan agensi untuk menindak potensi pelanggaran privasi data konsumen. Tindakan ini juga menyoroti perlunya pengembang aplikasi menerapkan kebijakan dan praktik untuk melindungi semua data kesehatan guna mencegah praktik yang tidak adil.

“Seperti piksel, SDK adalah potongan kode tersembunyi dari situs web dan aplikasi yang dapat mengirimkan informasi pengguna ke pengiklan,” lanjut Wiseman. “Kasus dan panduan teknologi baru-baru ini memperjelas bahwa FTC akan meneliti penggunaan teknologi ini oleh perusahaan dan teknologi apa pun yang mentransmisikan informasi sensitif ke konsumen.”

Selain itu, informasi kesehatan memiliki definisi yang lebih luas daripada yang dirinci dalam HIPAA. Data medis dapat mencakup data yang darinya perusahaan atau teknologi dapat menyimpulkan informasi kesehatan yang sensitif tentang seseorang. Wiseman merujuk pada konsumen yang mengunjungi atau menggunakan layanan perawatan kesehatan mental.

Ketika email mereka diungkapkan sebagai bagian dari rencana periklanan BetterHelp, itu adalah “pengungkapan informasi kesehatan mereka karena secara efektif mengidentifikasi mereka sedang mencari atau menerima perawatan kesehatan mental,” jelasnya.

Komite memilih untuk merevisi HBNR untuk mengklarifikasi bahasa yang dapat menyebabkan peningkatan jumlah entitas yang berinteraksi dengan data kesehatan konsumen, termasuk definisi untuk menerapkan aturan pada aplikasi kesehatan dan teknologi serupa yang tidak dicakup oleh HIPAA dan definisi “kesehatan yang dapat diidentifikasi dengan PHR informasi.”

FTC juga bermaksud untuk menjelaskan “pelanggaran keamanan” dengan lebih baik di bawah aturan untuk menambahkan “akuisisi tidak sah atas informasi kesehatan yang dapat diidentifikasi yang terjadi sebagai akibat dari pelanggaran keamanan data atau pengungkapan tidak sah” dan meningkatkan keterbacaan aturan dan meningkatkan kepatuhan.

Setelah aturan tersebut diterbitkan dalam Daftar Federal, publik memiliki waktu 60 hari untuk memberikan komentar atas perubahan yang diusulkan ini.

FTC menandakan penegakan informasi biometrik yang lebih ketat

FTC semakin khawatir tentang pengawasan biometrik, mengingat perkembangan teknologi seperti pengenalan wajah, iris atau sidik jari, yang mengumpulkan dan memproses informasi biometrik untuk mengidentifikasi individu. Biometrik dapat digunakan untuk menyimpulkan detail yang sangat sensitif tentang seseorang, termasuk perilakunya.

Dalam salah satu contoh terbaru, Vimeo setuju untuk membayar pengguna platform Magisto $2,25 juta untuk membuat dan mengedit video berdasarkan kecerdasan buatan untuk menyelesaikan klaim yang dikumpulkannya dan menyimpan data biometrik mereka tanpa persetujuan mereka. Aplikasi tersebut diduga mengunggah foto dan video pengguna ke platform yang melanggar Undang-Undang Privasi Informasi Biometrik Illinois (BIPA).

Biometrik menimbulkan “kekhawatiran substansial tentang privasi konsumen, keamanan data, dan potensi bias dan diskriminasi,” menurut pemberitahuan kebijakan.

“Pernyataan kebijakan hari ini memperjelas bahwa perusahaan harus mematuhi hukum, terlepas dari teknologi yang mereka gunakan,” kata Samuel Levine, direktur Kantor Perlindungan Konsumen Komisi Perdagangan Federal.

Untuk menghindari jebakan ini, perusahaan harus menilai secara menyeluruh potensi bahaya bagi konsumen sebelum mengumpulkan biometrik. Pihak ketiga harus menilai konteks khusus di mana teknologi akan digunakan dan mempertimbangkan peran operator manusia, serta risiko lain yang dapat dihindari terhadap informasi tersebut.

Pernyataan kebijakan menguraikan potensi jebakan bagi perusahaan yang memanfaatkan biometrik, termasuk deskripsi kemungkinan alat penipuan. Secara khusus, “klaim pemasaran palsu atau tidak berdasar terkait dengan kebenaran, keandalan, akurasi, kinerja, keadilan, atau keefektifan teknologi yang menggunakan informasi biometrik” merupakan praktik penipuan yang melanggar undang-undang FTC.

Di antara unsur-unsur penipuan yang jelas, “perusahaan tidak boleh membuat klaim palsu atau tidak terverifikasi tentang validitas, akurasi, atau kinerja dunia nyata dari teknologi informasi penting ketika klaim tersebut didasarkan pada pengujian atau audit yang tidak mereplikasi kondisi dunia nyata atau bagaimana teknologi akan dioperasikan oleh pengguna. “ditargetkan,” menurut pemberitahuan kebijakan.

Undang-undang tersebut juga mewajibkan perusahaan untuk menerapkan tindakan privasi dan keamanan data yang wajar, di mana informasi biometrik yang dikumpulkan atau dipelihara dilindungi, baik secara internal maupun eksternal.

Pemberitahuan kebijakan merinci harapan untuk penggunaan biometrik di perusahaan, potensi penerapan teknologi ini, dan langkah ke depannya. Pengembang harus meninjau faktor-faktor ini untuk memastikan kepatuhan, karena FTC terus menindak pelanggaran privasi data konsumen.