Bursa asuransi kesehatan AS membagikan data kewarganegaraan dan ras kepada raksasa ad-tech

 (techcrunch.com)
1 poin oleh GN⁺ 3 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Menurut investigasi baru Bloomberg, hampir semua dari 20 bursa asuransi kesehatan yang dijalankan pemerintah negara bagian di AS membagikan informasi aplikasi warga kepada raksasa iklan dan teknologi seperti Google, LinkedIn, Meta, dan Snap
  • Pelacak berukuran piksel ditempatkan di situs pengajuan layanan kesehatan yang sensitif, sehingga pengumpulan informasi pengunjung situs meningkatkan risiko privasi
  • Bursa asuransi kesehatan New York membagikan informasi aplikasi kepada beberapa perusahaan teknologi, termasuk apakah pemohon memberikan informasi terkait anggota keluarga yang sedang dipenjara
  • Bursa asuransi kesehatan Washington, D.C. menanyakan jenis kelamin dan ras pemohon, dan pelacak piksel TikTok hanya menyamarkan sebagian informasi ras; alamat email, nomor telepon, dan pengenal negara juga dibagikan ke TikTok
  • Washington, D.C. telah menghentikan penerapan pelacak TikTok, dan Virginia menghapus pelacak Meta dari situs webnya setelah dipastikan kode pos ZIP warga dibagikan ke Meta

Masalah piksel pelacak di bursa asuransi kesehatan pemerintah negara bagian

  • Menurut investigasi baru Bloomberg, hampir semua dari 20 bursa asuransi kesehatan yang dijalankan pemerintah negara bagian di AS membagikan informasi aplikasi warga kepada raksasa iklan dan teknologi seperti Google, LinkedIn, Meta, dan Snap
  • Masalah utamanya ada pada pelacak berukuran piksel yang mengumpulkan informasi pengunjung situs web
    • Pelacak ini biasanya digunakan untuk analitik web dan identifikasi bug, tetapi jika salah dikonfigurasi dan ditempatkan di situs web yang memuat data medis sensitif, hal itu dapat berujung pada pengumpulan informasi pribadi
    • Ini adalah alat yang umum dipakai dalam iklan digital, tetapi dalam konteks sensitif seperti informasi pengajuan medis, risiko privasinya menjadi jauh lebih besar
  • Bursa asuransi kesehatan New York membagikan informasi aplikasi kepada beberapa perusahaan teknologi, termasuk apakah pemohon memberikan informasi terkait anggota keluarga yang sedang dipenjara
  • Bursa asuransi kesehatan Washington, D.C. juga menanyakan jenis kelamin dan ras pemohon, dan pelacak piksel TikTok berupaya menyamarkan sebagian informasi
    • Menurut Bloomberg, sebagian informasi ras dimasking, tetapi informasi ras lainnya tidak dimasking
    • Juru bicara bursa Washington, D.C. mengatakan alamat email, nomor telepon, dan pengenal negara milik warga juga dibagikan ke TikTok
  • Washington, D.C. telah menghentikan penerapan pelacak TikTok, dan Virginia menghapus pelacak Meta dari situs webnya setelah Bloomberg memastikan kode pos ZIP warga dibagikan ke Meta

Risiko berulang dalam pembagian data medis

  • Masalah seperti ini sebelumnya juga terjadi pada startup telemedis dan perusahaan layanan kesehatan besar
  • Sejumlah perusahaan dan perusahaan layanan kesehatan besar harus memberi tahu jutaan orang bahwa informasi kesehatan mereka tanpa sengaja dikumpulkan dan dibagikan kepada raksasa teknologi
  • Pendapatan para raksasa teknologi tersebut berasal dari penggunaan data konsumen untuk periklanan
  • Investigasi Bloomberg menunjukkan bahwa ketika pelacak piksel ditempatkan di situs web pemerintah, dampaknya bisa menjangkau kelompok populasi yang jauh lebih luas
  • Bloomberg menyebutkan bahwa tahun ini lebih dari 7 juta orang di AS membeli asuransi kesehatan melalui bursa asuransi kesehatan negara bagian

Bacaan terkait

1 komentar

 
GN⁺ 3 jam lalu
Komentar Hacker News

  • Saya pernah memakai situs marketplace asuransi kesehatan negara bagian Colorado saat ingin rehat beberapa bulan di antara pekerjaan, dan seluruh prosesnya terasa sangat melanggar privasi
    Saya memasukkan banyak informasi untuk mendapatkan penawaran, dan saya memang menduga data itu bisa dibagikan untuk menghitung penawaran, tetapi ternyata saya bahkan tidak mendapat penawaran apa pun
    Rasanya informasi itu bukan sekadar berpindah antar sistem, melainkan langsung jatuh ke tangan banyak orang; alih-alih mendapat hasil berguna dari situs tersebut, saya hanya diberi tahu bahwa seorang agen akan menghubungi saya, lalu selama beberapa minggu saya menerima telepon dan SMS siang-malam dari ratusan agen
    Saat saya bertanya kepada salah satu dari mereka bagaimana cara menghentikannya, dia menjawab bahwa itu tidak mungkin dilakukan karena pemerintah sedang shutdown

    • Mungkin saya tertipu oleh situs pengumpul lead swasta yang membeli hasil sponsor pertama di Google Search dan berpura-pura seperti situs resmi Colorado
      https://i.imgur.com/d2fZlTc.png
    • Inilah kenyataan bahwa pemerintah federal AS bahkan tidak berusaha melakukan sesuatu seperti GDPR

  • “Berbagi” yang sebenarnya terjadi adalah penggunaan Meta Pixel dan alat pelacak setara dari TikTok, dan kemungkinan marketplace asuransi kesehatan itu mencoba mendorong orang mendaftar asuransi lewat iklan retargeting atau pemasaran berbasis audiens serupa
    Jika dilihat sempit, itu mungkin tampak masuk akal, tetapi begitu memakai pixel, data otomatis “dibagikan” ke Meta, ByteDance, dan lain-lain, sehingga mereka bisa memakainya untuk segala macam tujuan jahat yang mereka inginkan

    • Bahkan jika marketplace asuransi kesehatan negara bagian melakukannya untuk meningkatkan pendaftaran asuransi bersubsidi, bisa dianggap tidak pantas jika mereka melakukan penargetan atau pemasaran dalam bentuk apa pun
      Saya bisa saja salah, tetapi sulit membayangkan mandat mereka di bawah ACA juga mencakup menargetkan atau memasarkan diri mereka sendiri
      Perasaan bahwa ada asumsi tersirat bahwa mereka tentu akan melakukan hal seperti itu adalah bagian dari masalahnya
    • Ini benar-benar jahat
      Begitu identitas seseorang diketahui, datanya bisa dicocokkan dengan basis data industri asuransi untuk menyimpulkan berbagai kondisi kesehatan dan informasi lainnya
      Jika diketahui seseorang menjalani perawatan prenatal tepat waktu, pemasar bisa memprediksi tanggal persalinan perempuan itu dengan tingkat keyakinan cukup tinggi dalam akurasi sekitar satu minggu

  • Mengirim data maupun menerimanya seharusnya ilegal
    Kedua sisi jembatan itu harus sama-sama dibakar

    • Semua data yang dikumpulkan harus memerlukan persetujuan eksplisit baik untuk pengumpulan awal maupun pembagian ke pihak ketiga
      Harus dijelaskan mengapa data itu dikumpulkan dan fungsi apa yang tidak bisa berjalan jika data itu tidak dikumpulkan, dan memblokir fungsi hanya karena pengguna tidak menyetujui item data yang tidak mutlak diperlukan untuk fungsi tersebut harus menjadi pelanggaran hukum
    • Hak untuk menjawab ras secara tidak benar dalam konteks apa pun harus dilindungi secara eksplisit
      Merusak dataset jauh lebih mudah daripada bersembunyi darinya
    • Ini adalah tracking pixel, jadi strukturnya adalah menipu pengguna agar mengirimkannya sendiri
    • Saya tidak akan terkejut jika keduanya sebenarnya sudah ilegal
      Hanya saja sekarang korelasi antara “X itu ilegal” dan “organisasi besar tidak melakukan X” tidak sekuat dulu
    • Besar kemungkinan perusahaan teknologi dan kontraktor ofensif memakai data itu untuk memperkuat aktivitas departemen perang
      Saya jadi bertanya-tanya kenapa mereka menginginkan data ras dan kewarganegaraan, ah… begitu ya…

  • Perusahaan teknologi terkaya dan orang-orang terkaya di dunia menjadi kaya dengan melanggar privasi orang dan menjual iklan yang invasif

    • Daripada “menjual iklan invasif”, mungkin lebih tepat dikatakan mereka memanipulasi algoritme konten agar menguntungkan sudut pandang mereka dan menargetkan individu demi efek maksimal
    • Kalau melihat 15 orang terkaya di dunia, 11 di antaranya tidak menjadi kaya dengan cara seperti itu
    • Misalnya, Anda juga melewatkan kapitalisme kroni yang sangat terang-terangan di Rusia setelah 1991, serta orang-orang yang benar-benar kaya karena sudah lama berinvestasi di perusahaan yang terus menghasilkan uang
      Seperti Charlie Munger dan Warren Buffett, yang berinvestasi jangka panjang alih-alih mencoba menebak waktu pasar saham
    • Mereka menjadi kaya karena orang-orang cukup bodoh untuk mengira layanan gratis tidak punya biaya
    • Tapi siapa sebenarnya yang mengklik iklan itu?

  • Dalam layanan publik, ini bahkan lebih buruk. Kepercayaan di sana memang sudah rapuh
    Mengajukan asuransi kesehatan seharusnya tidak sampai membuat orang khawatir akan tercatat di graf pelacakan

    • Apakah benar-benar sulit dipahami bahwa mungkin ada keinginan untuk membatasi penerima asuransi kesehatan hanya pada penduduk yang tinggal secara sah?
      Atau bahwa, apa pun langkah yang diambil pemerintah, bukan hal yang aneh untuk melacak metadata tentang apakah layanan itu dijalankan dengan cara seperti itu?

  • Dari sudut pandang orang yang tidak terlalu paham sistem hukum AS, ini sulit dimengerti
    Jika ini adalah pelacakan Meta/Facebook melalui pixel, mengapa mereka tidak bisa digugat?
    Atau jika pelacakan itu legal dalam kasus khusus ini, sebenarnya kenapa legal?

  • Riset Bloomberg: https://www.bloomberg.com/features/2026-healthcare-advertisi...

  • Saya ingin seseorang yang tinggal di AS menjelaskan. Dalam konteks ini, sebenarnya apa yang dimaksud dengan ras, dan bagaimana itu ditentukan?

    • Itu dilaporkan sendiri sesuai kategori ras yang diakui oleh sensus AS
      Ada kulit putih, kulit hitam, Asia, penduduk asli Amerika/penduduk asli Alaska, penduduk asli Hawaii atau kepulauan Pasifik, lainnya, atau dua kategori atau lebih
      Identitas Hispanik/Latino adalah kotak centang terpisah, dengan alasan yang sulit dijelaskan tanpa menelusuri puluhan tahun keputusan birokratis
    • Pada semua jenjang sistem pendidikan AS, setidaknya untuk saat ini, ras diajarkan sebagai konstruksi sosial
      Konsep genetika populasi baru dibahas jauh belakangan dalam pelajaran ilmu alam
    • Ini kebingungan yang sering muncul saat orang Eropa berbicara tentang isu ras di AS
      Dalam konteks AS, ras merujuk pada latar belakang, tempat asal, dan warisan, dan di formulir pemerintah biasanya tertulis seperti “apa ras Anda? putih, hitam, Hispanik, dll.”
      Ini secara niat sejak awal sangat berbeda dari ungkapan Eropa yang berarti spesies, seperti ‘la race humaine’ dalam bahasa Prancis
      Nuansa ini penting dalam diskusi. Saat saya pernah membahas perbedaan ras dengan orang Swiss, mereka mengira saya sedang membicarakan propaganda Nazi
      Kita semua termasuk dalam spesies manusia, dan dalam spesies manusia ada berbagai ras, dan semuanya setara
    • Ada berbagai faktor risiko dan beberapa nilai pemeriksaan yang berbeda antar kelompok ras
      Misalnya, dalam hasil tes saya ada setidaknya dua item yang menetapkan nilai rujukan berbeda untuk pasien “African-American” dan pasien “non-AA”
      https://en.wikipedia.org/wiki/Sickle_cell_disease#United_Sta...
    • Saya kira ini berdasarkan apa yang diungkapkan sendiri oleh orang tersebut

  • Masih mengejutkan bahwa banyak pengembang web belum memahami bahwa ketika mereka memasukkan JavaScript milik orang lain ke situs mereka, pihak itu mendapatkan akses penuh ke semua yang ada di situs, termasuk data pelanggan yang dikirimkan

  • “Apakah memberikan rincian tentang apakah ada anggota keluarga yang sedang dipenjara”
    Rasanya itu bukan sinyal yang terlalu besar, lebih seperti detail pada level metadata