2016.03.11 18:12

แปลจาก Health Privacy Online: Patients at Risk เขียนโดย Tim Libert นักศึกษาปริญญาเอก คณะการสื่อสาร มหาวิทยาลัยเพนซิลเวเนีย

กฎหมายความเป็นส่วนตัวด้านสุขภาพ เช่น กฎหมายว่าด้วยการควบคุมและการส่งผ่านข้อมูลทางด้านการประกันสุขภาพ (HIPAA) ไม่บังคับใช้กับเว็บไซต์ — ภาพโดย Compliance and Safety LLC cc-by-sa

การหาข้อมูลโดยปราศจากการคุ้มครอง

โครงการ Pew Internet and American Life ระบุว่า ประชากรผู้ใหญ่กว่าร้อยละ 70 ของสหรัฐอเมริกาค้นหาข้อมูลเกี่ยวกับสุขภาพทางออนไลน์^[1] ข้อมูลดังกล่าวมาจากหลายแหล่ง ตั้งแต่หน่วยงานรัฐบาล จนถึงองค์กรไม่แสวงกำไร เว็บไซต์เพื่อการค้า หนังสือพิมพ์ เว็บบอร์ดแลกเปลี่ยนความคิดเห็น และอีกมาก เช่นเดียวกับเว็บไซต์อื่นๆ เว็บไซต์เหล่านี้พึ่งพาบุคคลที่สามในการส่งโฆษณาถึงผู้ใช้ ด้วยเหตุนี้ เว็บไซต์ซึ่งเป็นแหล่งข้อมูลทางสุขภาพจึงมอบโอกาสให้ผู้โฆษณาสามารถติดตามผู้ใช้ และเรียนรู้ความสนใจของพวกเขา

ในขณะที่ผู้ใช้หลายคนสันนิษฐานเอาว่า การค้นหาข้อมูลที่เกี่ยวข้องกับสุขภาพของพวกเขานั้นถูกคุ้มครองทางกฎหมาย แต่กฎระเบียบซึ่งดูแลกิจกรรมเหล่านี้หากมีอยู่ก็มีน้อยมาก ผู้ประกอบการเว็บไซต์และหน่วยงานที่สามอื่นๆ สามารถรวบรวมข้อมูลรายละเอียดเกี่ยวกับข้อห่วงกังวลทางสุขภาพและสถานะทางสุขภาพของผู้ใช้ ได้จากพฤติกรรมการค้นหาข้อมูล ซึ่งมันอาจถูกนำไปใช้ในทางที่ผิด ไม่ว่าจะโดยตั้งใจหรือไม่ก็ตาม นโยบายความเป็นส่วนตัวด้านสุขภาพในยุค “มวลมหาข้อมูล” (Big Data) จึงจำเป็นจะต้องถูกนำมาทบทวนใหม่อีกครั้ง

หลักฐานถึงการรั่วไหลของข้อมูล

เพื่อสำรวจความเสี่ยงต่อความเป็นส่วนตัวออนไลน์เรื่องสุขภาพ ผู้เขียนได้วิเคราะห์เว็บไซต์ที่เกี่ยวข้องกับสุขภาพกว่า 80,000 เว็บไซต์ และพบว่าเว็บไซต์กว่าร้อยละ 90 ได้ปล่อยให้ข้อมูลของผู้ใช้รั่วไหลไปถึงบุคคลภายนอก^[2] จำนวนข้อมูลที่ถูกปล่อยให้รั่วไหลนั้นแตกต่างกันไป แต่เกือบทุกครั้งจะมีที่อยู่หน้าเว็บที่กำลังเข้าชมอยู่ ซึ่งที่อยู่ดังกล่าวสามารถเปิดเผยข้อมูลอื่นๆ ได้อีกมาก ตัวอย่างเช่น เมื่อรู้ว่าผู้ใช้เข้าชมหน้าเว็บที่ http://www.cdc.gov/cancer/breast/ ผู้โฆษณาก็สามารถอนุมานได้ว่าผู้ใช้มีความห่วงกังวลเกี่ยวกับมะเร็งเต้านม การรั่วไหลของข้อมูลในลักษณะนี้เป็นปัญหาในวงกว้าง การศึกษาของผู้เขียนแสดงให้เห็นว่า ร้อยละ 70 ของเว็บไซต์ที่เกี่ยวข้องกับสุขภาพ มีที่อยู่หน้าเว็บซึ่งประกอบด้วยข้อมูลที่เจาะจงเกี่ยวกับอาการ การรักษา และโรค

ปัญหาที่พบได้ทั่วไปในระดับเดียวกันทั้งในเว็บไซต์เชิงพาณิชย์และที่ไม่ใช่เชิงพาณิชย์

โดยทั่วไปแล้วผู้ที่เป็นฝ่ายเก็บข้อมูล คือนักโฆษณาออนไลน์ ซึ่งในบริบทของสหรัฐอเมริกาแล้ว นักโฆษณาไม่อยู่ภายใต้กฎหมายความเป็นส่วนตัวด้านสุขภาพ อย่างพ.ร.บ.ว่าด้วยการควบคุมและการส่งผ่านข้อมูลทางด้านการประกันสุขภาพ (Health Insurance Portability and Accountability Act: HIPAA) นักโฆษณาเหล่านี้สามารถติดตามผู้ใช้งานบนเว็บไซต์เชิงพาณิชย์ เช่น WebMD.com และเว็บไซต์ของรัฐบาลและเว็บไซต์ไม่แสวงกำไร เช่น ศูนย์ควบคุมโรคติดต่อ (CDC.gov) และเมโยคลินิก (mayoclinic.org) ไม่ใช่เรื่องแปลกที่เว็บไซต์เชิงพาณิชย์จะอนุญาตให้ผู้โฆษณาเฝ้าดูผู้ใช้งาน เนื่องจากการดำเนินการของเว็บไซต์เชิงพาณิชย์นั้นอาศัยรายได้จากโฆษณา แต่น่าแปลกใจที่หน่วยงานรัฐบาลและหน่วยงานไม่แสวงกำไรซึ่งอาศัยเงินภาษีและเงินบริจาคจะทำเช่นนั้นด้วย

สิ่งที่เกิดขึ้นคือ เว็บไซต์ที่ไม่ใช่เชิงพาณิชย์ใช้บริการจากหน่วยงานภายนอกเพื่อวิเคราะห์การจราจรในเว็บไซต์ของตนและเพื่อช่วยในการแชร์ข้อมูลในสื่อสังคมออนไลน์ บริการเหล่านี้เป็นของผู้โฆษณาออนไลน์ซึ่งเปิดให้ใช้โดยไม่คิดค่าใช้จ่ายเพื่อที่จะได้เรียนรู้เกี่ยวกับผู้ใช้อินเทอร์เน็ตได้มากขึ้น ตัวอย่างหนึ่งก็คือ ผู้ใช้งานซึ่งเข้าเยี่ยมชมเว็บไซต์ของศูนย์ควบคุมโรคติดต่อ อาจถูกเก็บข้อมูลการท่องเว็บของเขาส่งให้กับกูเกิล เฟซบุ๊ก และทวิตเตอร์ (ข้อมูลเมื่อเดือนเมษายน 2557)

ความเสี่ยงของการระบุตัวผู้ใช้

ในขณะที่นักโฆษณาไม่สามารถรู้ถึงชื่อของผู้ใช้ในระหว่างการเข้าเยี่ยมชมเว็บไซต์แต่ละครั้ง แต่ผลรวมสะสมของพฤติกรรมการท่องเว็บสามารถวาดภาพของผู้ใช้ขึ้นมาได้ว่าพวกเขาเป็นใคร ซึ่งจะนำไปสู่ความเสี่ยงสองประการ คือ การระบุตัวผู้ใช้ และ การเลือกปฏิบัติเชิงพาณิชย์

ในกรณีแรก นักโฆษณาซึ่งรู้ว่าผู้ใช้งานคนหนึ่งมีอาการป่วยอย่างใดอย่างหนึ่ง อาจนำข้อมูลไปใช้ในทางที่ผิดหรือทำให้ข้อมูลนี้รั่วไหลได้ บางครั้งบุคคลที่สามที่สามารถสังเกตได้ถึงการเข้าเยี่ยมชมเว็บไซต์สุขภาพของผู้ใช้ อาจจะทราบชื่อจริงของผู้ใช้ได้ด้วย ยกตัวอย่างเช่น เฟซบุ๊กสามารถเชื่อมโยงประวัติการเข้าเว็บไซต์สุขภาพกับตัวบุคคลหนึ่งๆ ได้อย่างง่ายดาย ถึงแม้ว่าผู้ใช้จะเชื่อถือเฟซบุ๊ก แต่ข้อมูลดังกล่าวก็อาจถูกอาชญากรขโมยและรั่วไหลได้ ดังปรากฏให้เห็นในพาดหัวข่าวอาชญากรรมไซเบอร์อยู่เป็นประจำ

นอกจากนี้ การรวบรวมข้อมูลเกี่ยวกับเว็บไซต์สุขภาพยังถูกทำโดย “นายหน้าข้อมูล” (data broker) อีกด้วย นายหน้าข้อมูลจะเป็นตัวแทนผู้ขายข้อมูลที่สามารถใช้ระบุตัวบุคคลได้ (personally identifiable information: PII) ให้แก่ลูกค้า การพิจารณาของวุฒิสภาสหรัฐฯ เมื่อไม่นานนี้ เปิดเผยว่า บริษัทนายหน้าข้อมูล MedBase200 ได้ขายรายชื่อบุคคลภายใต้หมวดหมู่ “ผู้ทุกข์ทรมานจากการข่มขืน” “เหยื่อความรุนแรงในครอบครัว” และ “ผู้ป่วยเอชไอวี/เอดส์”^[3] ไม่เป็นที่แน่ชัดว่า MedBase200 ได้ข้อมูลเหล่านี้มาจากไหน แต่ไม่ต้องสงสัยเลยว่า ผู้ไม่ประสงค์ดีสามารถซื้อและนำข้อมูลเหล่านี้ไปใช้ในทางที่ผิด

หน้าเว็บ “มะเร็งเต้านม” บนเว็บไซต์ WebMD ทำการเขื่อมต่อข้อมูลกับเว็บไซต์มากถึง 30 แห่ง รวมถึงเว็บไซต์ที่บริษัทหน้าซื้อขายข้อมูล Aexiom เป็นเจ้าของ – ภาพโดย Tim Libert

ความเสี่ยงของการเลือกปฏิบัติเชิงพาณิชย์

ความเสี่ยงที่สองคือ ถึงแม้จะไม่มีการเปิดเผยชื่อเลย แต่ผู้ที่มีความสนใจเกี่ยวกับอาการเจ็บป่วยก็อาจจะเสียเปรียบในเชิงพาณิชย์ได้ ผู้โฆษณาออนไลน์ใช้ข้อมูลการท่องเว็บโดยรวมเพื่อใส่ผู้ใช้ลงไปใน “ไซโลข้อมูล” (data silo) แต่ละอัน และแปะป้ายกลุ่มผู้ใช้ที่เป็นที่พึงประสงค์ว่าเป็น “เป้าหมาย” และกลุ่มผู้ใช้ที่โชคดีน้อยหน่อยว่าเป็น “ขยะ”^[4] ด้วย​ตัวเลขที่ว่า กว่าร้อยละ 60 ของกรณีล้มละลายนั้นเกี่ยวข้องกับการรักษาพยาบาล^[5] จึงมีความเป็นไปได้ว่า ผู้ที่สนใจอาการทางสุขภาพที่เฉพาะเจาะจงอย่างหนึ่งอาจถูกจัดประเภทให้เป็นขยะ และถูกปฏิเสธไม่ให้ได้รับส่วนลดหรืออัตราดอกเบี้ยพิเศษที่จะถูกมอบให้เฉพาะกับกลุ่มที่เป็นเป้าหมาย

หากพฤติกรรมการค้นหาข้อมูลสุขภาพบังเอิญไปพ้องกับผลลัพธ์ที่พึงประสงค์เชิงพาณิชย์อย่างใดอย่างหนึ่ง ผู้โฆษณาออนไลน์อาจทำให้ผู้ใช้ที่มีอาการทางสุขภาพบางอย่างได้รับการปฏิบัติที่ด้อยลง แม้ว่าจะไม่มีความตั้งใจเช่นนั้นก็ตาม การป้องกันผลลัพธ์ที่มาจากความไม่ตั้งใจนี้ไม่ใช่เรื่องเล็กๆ เนื่องจากผู้โฆษณาอาจประสบความยุ่งยากในการจัดการแยกแยะระหว่างข้อมูลที่อ่อนไหว (sensitive information) และข้อมูลที่ไม่อ่อนไหว

กันไว้ดีกว่าแก้

ในขณะที่ยังไม่มีหลักฐานที่ชัดเจนเกี่ยวกับการใช้ข้อมูลท่องเว็บเกี่ยวกับสุขภาพไปในทางที่ผิด แต่ก็เช่นเดียวกันกับการแพทย์ ความพยายามเพียงเล็กน้อยเพื่อป้องกันย่อมดีกว่าการต้องไปรักษาแพงๆ ในภายหลัง

มีสามยุทธศาสตร์ที่สามารถลดความเสี่ยงต่อผู้ใช้ซึ่งค้นหาข้อมูลเกี่ยวกับสุขภาพออนไลน์ได้ทันที คือ

หนึ่ง เว็บไซต์ของรัฐบาลและหน่วยงานไม่แสวงกำไร ที่ใช้เครื่องมือวัดผลหน้าเว็บและการแบ่งปันในสื่อสังคมออนไลน์ ซึ่งปล่อยให้ข้อมูลของผู้ใช้รั่วไหลไปถึงผู้โฆษณา ควรตรวจสอบเครื่องมือเหล่านั้นและใช้บริการแบบเดียวกันที่ปกป้องความเป็นส่วนตัวแทน

สอง ในขณะที่ผู้โฆษณาได้เขียนแนวทางของอุตสาหกรรมนี้เพื่อกำกับกันเอง คณะกรรมาธิการการค้าแห่งสหพันธรัฐของสหรัฐอเมริกา (Federal Trade Commission: FTC) ได้กล่าวว่า ความพยายามดังกล่าว “ล้มเหลวในการให้ความคุ้มครองที่เพียงพอและมีความหมาย”^[6] เพราะฉะนั้นจึงมีโอกาสที่จะเขียนนโยบายและกฎหมายที่จะคุ้มครองข้อมูลด้านสุขภาพของผู้ใช้ได้ดียิ่งขึ้น

สาม วิศวกรซอฟต์แวร์ซึ่งทำงานให้กับนักโฆษณา อาจริเริ่มและสร้างสรรค์ระบบคัดกรองอันชาญฉลาดให้วิเคราะห์ข้อมูลที่เข้ามาในระบบ เพื่อประกันว่าข้อมูลที่มีความอ่อนไหวทางการแพทย์จะไม่ถูกจัดเก็บหรือถูกนำไปใช้

ยุทธศาสตร์ทั้งสามนี้มีเป้าหมายที่เป็นไปได้จริง และจะสามารถคุ้มครองกลุ่มสมาชิกที่อ่อนแอที่สุดในสังคมของเรา

อ้างอิง

1. Susannah Fox และ Maeve Duggan. Health Online 2013. Washington, DC: Pew Internet and American Life Project, 2013 http://www.pewinternet.org/2013/01/15/health-online-2013/
2. Tim Libert. “Privacy Implications of Health Information Seeking on the Web”, Communications of the Association for Computing Machinery, 58 (2015): 68-77
3. U.S. Congress, Senate, Committee and Commerce, Science, and Transportation. A Review of the Data Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes, 2014 http://www.commerce.senate.gov/public/?a=Files.Serve&File_id=od2b3642-6221-4888-a631-o8f2f255b577
4. Joseph Turow. The Daily You: How the New Advertising Industry is Defining Your Identity and Your Worth. New Haven: Yale University Press, 2012
5. David U. Himmelstein, Deborah Thorne, Elizabeth Warren, และ Steffie Woolhandler, “Medical Bankruptcy in the United States, 2007: Results of a National Study”, The American Journal of Medicine 112 (2009): 741-746
6. คณะกรรมาธิการการค้าแห่งสหพันธรัฐ. Protecting Consumer Privacy in An Era of Rapid Change. A Proposed Framework for Business and Policymakers, Preliminary Staff Report, 2010 http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-bureau-consumer-protection-preliminary-ftc-staff-report-protecting-consumer/101201privacyreport.pdf

บทความนี้เป็นส่วนหนึ่งของ “ข้อมูลและการเลือกปฏิบัติ: รวมความเรียง” (Data and Discrimination: Collected Essays) จัดทำโดย สถาบันโอเพนเทคโนโลยี มูลนิธินิวอเมริกา (New America Foundation) (เผยแพร่ตุลาคม 2557) และแปลเป็นภาษาไทยโดย วิริยาณ์ พรสุริยะ ด้วยการสนับสนุนของมูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง (กุมภาพันธ์ 2559)

ติดตามบทความชุดนี้ได้ทางแท็ก Data and Discrimination บนเว็บไซต์ thainetizen.org