FTC计划修订健康数据泄露通知规则

关键要点

在周五公布的一则通知中，将详细说明FTC如何提出修订数据泄露通知规则的建议。这项提议，并将要求那些不受HIPAA保护的实体在某些情况下向解决机构、个人和媒体报告个人可识别健康数据的泄露事件。

提议的修订将： – 明确安全数据泄露包括数据安全的违规和未经授权的披露； – 修订个人健康记录（PHR）相关实体的定义； –
阐明PHR供应商从多个来源提取可识别健康信息的含义； – 现代化通知的方法； – 扩展通知内容； – 整合通知和时限要求，并列出不遵循规则的处罚。

FTC一直在警告健康应用开发者增多的监管力度，该规则要求实体向FTC报告任何消费者健康信息的泄露。

2月，司法部与GoodRx达成150万美元和解，要求该公司防止未来用户数据的未经授权披露，并确保遵守FTC的规则。这一和解是首次在该规则下的执法案例。

6月9日的通知中指出：“在其诉状中，委员会指控GoodRx在2017年至2020年间作为个人健康记录的供应商，未经消费者授权，向第三方广告平台如Facebook和Google泄露了500多名消费者的不安全的PHR可识别健康信息。而这些披露违反了公司对用户在数据共享实践方面的明确隐私承诺。”

3月，FTC再次向健康应用市场发出警告，表明其计划使用执法权力，尤其是在亚马逊以39亿美元收购基于会员的初级医疗机构OneMedical后，。

SC Media报道，委员们对亚马逊表达了关切，指出未能“获得消费者明确同意以基于健康等敏感数据进行市场推广可能违反法律”。

根据2009年的《美国复苏与再投资法案》，未受HIPAA保护的实体在发现数据泄露事件后，需在60天内通知消费者、媒体和FTC，或“尽快”在影响超过500人时在10个工作日内通知。

通知中提到：“自规则发布以来，应用程序和其他面向消费者的健康技术，如健康追踪器和可穿戴血压监测仪已十分普遍。此外，作为COVID-19疫情的衍生物，消费者对这些健康相关技术的使用显著增加。”

FTC对数据泄露通知规则的第二次执法发生在5月，涉及，因为该公司与第三方共享个人和健康信息。FTC对该应用的制造商Easy Healthcare罚款10万美元。

委员会正在征求公众对提议的规则变更的意见，限于在联邦公报发布后的60天内。