ศาลตัดสินว่า Meta เข้าถึงข้อมูลสุขภาพผู้หญิงจากแอป Flo โดยไม่ได้รับความยินยอม

 (malwarebytes.com)
1 คะแนน โดย GN⁺ 2025-08-15 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ศาลตัดสินว่า Meta เก็บรวบรวมข้อมูลอ่อนไหวจากแอปติดตามสุขภาพประจำเดือนของผู้หญิง Flo Health โดยไม่ได้รับความยินยอมจากผู้ใช้
  • Flo Health เก็บข้อมูลที่เป็นส่วนตัวอย่างยิ่งของผู้ใช้ เช่น รอบประจำเดือน อารมณ์ และข้อมูลชีวิตทางเพศ และได้แชร์ข้อมูลดังกล่าวให้บุคคลที่สามหลายราย เช่น Facebook และ Google ในช่วงปี 2016 ถึง 2019
  • Flo Health ให้คำมั่นกับผู้ใช้เรื่อง การคุ้มครองความเป็นส่วนตัว และ การไม่แชร์ข้อมูล แต่ในความเป็นจริงกลับเปิดให้บุคคลที่สามนำข้อมูลดังกล่าวไปใช้เพื่อวัตถุประสงค์อื่นได้อย่างอิสระ
  • จากกรณีนี้ คณะกรรมาธิการการค้าแห่งสหรัฐฯ (FTC) ได้สั่งให้ Flo Health ตรวจสอบข้อเท็จจริงและปรับปรุงนโยบาย โดย Flo Health และ Google ได้ยอมความไปแล้ว ขณะที่ Meta ไม่ยอมตกลงจนถึงที่สุด
  • ประเด็นนี้ยิ่งถูกจับตาท่ามกลางข้อถกเถียงเรื่อง สิทธิการทำแท้ง ในสหรัฐฯ ทำให้ ความเสี่ยงด้านความเป็นส่วนตัว ของข้อมูลสุขภาพผู้หญิงโดดเด่นขึ้นมาก

ภาพรวมคดีที่ Meta เก็บข้อมูลผู้ใช้แอป Flo Health โดยไม่ได้รับอนุญาต

  • คณะลูกขุนในสหรัฐฯ มีคำตัดสินรับรองว่า Meta ได้ เก็บข้อมูลสุขภาพอนามัยเจริญพันธุ์ที่อ่อนไหวของผู้ใช้โดยไม่ได้รับความยินยอม ผ่านแอปติดตามสุขภาพผู้หญิง Flo Health
  • Flo Health เริ่มต้นในเบลารุสเมื่อปี 2015 เป็นแอปที่ออกแบบมาเพื่อติดตาม ข้อมูลที่ละเอียดและเป็นส่วนตัวอย่างมาก เช่น ประจำเดือนและภาวะสุขภาพของผู้หญิง และมีผู้ใช้งานทั่วโลกมากกว่า 150 ล้านคน

วิธีการเก็บและแชร์ข้อมูลของ Flo Health

  • ผู้ใช้ Flo Health ตอบคำถามที่เป็น เรื่องส่วนตัวอย่างยิ่งเป็นประจำ เช่น วันที่มีประจำเดือน การเปลี่ยนแปลงทางอารมณ์ วิธีคุมกำเนิด ความพึงพอใจในชีวิตทางเพศ และแผนการตั้งครรภ์
  • แอประบุไว้อย่างชัดเจนว่า จะไม่แชร์ ข้อมูลที่ผู้ใช้ป้อนเข้าไป ออกไปภายนอก และจะให้ข้อมูลบางส่วนกับบริษัทที่เกี่ยวข้องเฉพาะเมื่อจำเป็นต่อการให้บริการเท่านั้น
  • อย่างไรก็ตาม ในช่วงปี 2016–2019 Flo Health ได้ ส่งต่อข้อมูลส่วนบุคคล เหล่านี้อย่างกว้างขวางให้กับ Facebook (ปัจจุบันคือ Meta), Google, AppsFlyer และ Flurry
    • ทุกครั้งที่เปิดแอปจะมีการบันทึกการเข้าถึง และทุกกิจกรรมการใช้งานภายในแอปถูกบันทึกและส่งออกไปภายนอก
    • บุคคลที่สามสามารถนำข้อมูลดังกล่าวไปใช้ นอกเหนือจากวัตถุประสงค์ในการให้บริการ ได้

ปัญหาด้านนโยบายและความไว้วางใจของ Flo Health

  • Flo Health ให้คำมั่นกับผู้ใช้เรื่อง ความไว้วางใจ และ การคุ้มครองความเป็นส่วนตัว แต่ในทางปฏิบัติกลับไม่มีข้อจำกัดหรือแนวทางใด ๆ สำหรับการใช้ข้อมูลโดยบุคคลที่สามเลย
  • ตาม ข้อกำหนดการใช้งาน ของแอป พาร์ตเนอร์ภายนอกได้รับอนุญาตให้ ใช้ข้อมูลบางส่วนของผู้ใช้ Flo Health ได้อย่างอิสระ
  • ณ ปี 2020 Flo Health ระบุชัดกับผู้ใช้ 150 ล้านรายว่า “ให้ความสำคัญสูงสุดกับการปกป้องข้อมูลส่วนบุคคล” เพื่อสร้างความเชื่อมั่น

ความรับผิดทางกฎหมายและมาตรการของ FTC

  • Erica Frasco ผู้ใช้งานจริง ได้ยื่น ฟ้องแบบกลุ่ม ต่อ Flo Health และบริษัทที่เกี่ยวข้อง (โดยเฉพาะ Meta) ในปี 2021
    • ประเด็นสำคัญได้แก่ การละเมิดความเป็นส่วนตัว การผิดสัญญา การแสวงหาผลประโยชน์โดยมิชอบ และการละเมิดกฎหมายข้อมูลทางการแพทย์
    • มีการเรียกร้องทั้งค่าเสียหายและการริบผลประโยชน์ที่ได้มาโดยไม่ชอบ
  • Flo Health และ Google ได้ยอมความกับโจทก์แล้ว แต่ Meta ต่อสู้คดีจนถึงที่สุดโดยไม่ยอมตกลง
  • คณะลูกขุนเห็นว่า Meta ได้ ดักฟังหรือบันทึกการสนทนาผ่านอุปกรณ์อิเล็กทรอนิกส์ และกระทำการดังกล่าวโดยไม่ได้รับความยินยอมจากผู้ใช้

บริบททางสังคมและข้อสังเกตจากกรณีนี้

  • คณะกรรมาธิการการค้าแห่งสหรัฐฯ (FTC) ได้ออกคำสั่งแก้ไขต่อ Flo Health เช่น ให้มีการตรวจสอบนโยบายโดยบุคคลภายนอก และห้ามใช้ข้อมูลส่วนบุคคลในทางที่ผิด
  • หลังจากศาลสูงสหรัฐฯ ยกเลิกสิทธิการทำแท้ง ในปี 2022 ประเด็นความเป็นส่วนตัวของข้อมูลสุขภาพผู้หญิงยิ่งกลายเป็นเรื่องสำคัญมากขึ้น
  • Meta ยังถูกวิจารณ์เพิ่มเติมจากกรณีที่ในปี 2022 บริษัทให้ความร่วมมือกับการสืบสวนของตำรวจโดยส่งมอบข้อมูล ข้อความเกี่ยวกับการทำแท้ง ระหว่างผู้หญิงคนหนึ่งกับลูกสาวสองคน
  • ตามรายงานของ Propublica ร้านขายยาออนไลน์ก็แชร์ข้อมูลอ่อนไหวกับ Google และบริษัทอื่น ๆ เช่นกัน ทำให้มีความเสี่ยงที่ข้อมูลจะถูกใช้เป็นหลักฐานทางกฎหมาย

บทสรุปและสัญญาณเตือนด้านความปลอดภัย

  • ผู้ใช้จำนวนมากเคยเชื่อมั่นใน Flo Health แต่หลังจาก แนวทางการจัดการข้อมูลที่แท้จริงถูกเปิดเผย ความเชื่อมั่นก็ยิ่งเสื่อมลง
  • กรณีนี้ไม่ได้ชี้แค่ให้หลีกเลี่ยงการใช้แอปเท่านั้น แต่ยังสะท้อนปัญหาเรื่อง ความเป็นส่วนตัวของข้อมูลสุขภาพส่วนบุคคลโดยรวม และความน่าเชื่อถือของเทคโนโลยี
  • เทคโนโลยีมอบความสะดวกสบาย แต่หากมีการใช้ข้อมูลในทางที่ผิด ก็อาจก่อให้เกิด ความเสี่ยงที่กระทบต่อผู้ใช้จริง ได้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-08-15
ความเห็นจาก Hacker News

  • ฉันไม่ได้ชอบบริษัทอย่าง Facebook เป็นการส่วนตัว แต่คิดว่าคำตัดสินครั้งนี้สรุปผิดประเด็น ถ้าดูจากเนื้อหาในคำฟ้อง ส่วนที่บอกว่า “ดักฟังหรือบันทึกเสียงผ่านอุปกรณ์อิเล็กทรอนิกส์” แท้จริงแล้วหมายถึง “Flo ส่ง custom event ผ่าน Facebook SDK” การที่ Flo ส่งข้อมูลแบบนี้ให้ Facebook สมควรถูกตำหนิ แต่การตัดสินว่า Facebook “จงใจดักฟัง” นั้นไม่สมเหตุสมผลเลย เท่าที่ฉันเห็นคือ Flo ส่งข้อมูลประจำเดือนให้ Facebook โดยสมัครใจและไม่ได้มีการร้องขอจาก Facebook อีกทั้ง Facebook ก็มีนโยบายห้ามส่งข้อมูลอ่อนไหวผ่าน SDK อยู่แล้ว การฟ้อง Facebook จึงมีตรรกะแทบไม่ต่างจากการฟ้อง Google เพราะแพทย์คนหนึ่งเก็บข้อมูลผู้ป่วยไว้ใน Google Drive

    • เอกสารคำฟ้องที่เกี่ยวข้อง

    • เอกสารนโยบาย Facebook SDK หน้า 6 บรรทัดแรก

    • หากอิงตาม [1] ก็เป็นเรื่องปกติที่ตอนแรกจะยังไม่มีข้อกล่าวหาต่อ Facebook เพราะในเวลานั้นจำเลยมีเพียง Flo เท่านั้น อย่างไรก็ตาม ในคำฟ้องฉบับแก้ไข (3) ได้เพิ่มข้อกล่าวหาใหม่ต่อ Facebook เข้าไป ตามคำฟ้องฉบับแก้ไข ประเด็นปัญหาคือแม้ข้อเท็จจริงนี้จะถูกเปิดเผยในปี 2019 แล้ว Facebook ก็ยังคงพฤติกรรมดังกล่าวต่อไปจนถึงปี 2021 และหลังจากที่ Flo ถูก FTC สั่งให้ยุติพฤติกรรมดังกล่าว รวมถึงหลังจากที่มีการสอบสวนของสภาคองเกรสเริ่มต้นขึ้น Facebook ก็ยังไม่ได้ตรวจสอบหรือลบข้อมูลที่เก็บมาโดยมิชอบก่อนหน้านั้น นอกจากนี้คาดว่าในกระบวนการเปิดเผยพยานหลักฐานก็น่าจะมีหลักฐานเฉพาะเจาะจงมากขึ้นว่า Facebook รับรู้ข้อมูลใดบ้างและในระดับใด

    • นี่เป็นเพียงส่วนหนึ่งของเรื่องเท่านั้น หาก Facebook แค่เก็บข้อมูลที่ Flo ส่งมาไว้เฉย ๆ หรือใช้เฉพาะเพื่อ Flo สถานการณ์ก็คงต่างออกไป ปัญหาคือ Facebook นำข้อมูลทางการแพทย์นี้ไปใช้เพื่อการโฆษณา และไม่ได้ตรวจสอบเองด้วยซ้ำว่าสามารถใช้ได้อย่างถูกกฎหมายหรือไม่ ทั้งที่มีหน้าที่ต้องตรวจสอบ แต่ Facebook ไม่ได้ดำเนินการตามขั้นตอนนั้น จึงมีคำตัดสินว่ามีความผิด

    • การที่ Flo ส่งข้อมูลแบบนั้นให้ Facebook ย่อมเป็นเรื่องผิดแน่นอน และนั่นคือเหตุผลที่ Flo ยอมความในคดีนี้ แต่ Facebook ไม่ได้แค่รับข้อมูลนี้มาแล้วกองทิ้งไว้หรือเพิกเฉย กลับนำข้อมูลดังกล่าวไปผสมใช้กับสัญญาณอื่น ๆ ของตัวเอง ประเด็นนี้เองที่ถูกระบุไว้อย่างชัดเจนในคำฟ้องต่อ Facebook

    • ฉันคิดว่ามีความรับผิดชอบในการตรวจสอบว่าข้อมูลนั้นถูกต้องตามกฎหมายหรือไม่ เช่นเดียวกับการไม่ซื้อของโจร Meta ก็ควรระวังไม่ไปเป็นพันธมิตรกับผู้กระทำผิด ถึงแม้ความผิดหลักจะอยู่ที่ Flo แต่ Meta ก็ต้องแสดงให้เห็นว่าได้ใช้ความระมัดระวังอย่างเพียงพอ ไม่สามารถหลีกเลี่ยงความรับผิดได้ด้วยการมีเพียงข้อกำหนดการใช้งาน และสิ่งสำคัญคือทำให้ผู้ใช้เข้าใจเนื้อหาเหล่านั้นจริง ๆ

    • ในคดีลักษณะนี้ การให้ผู้พิพากษาตัดสินดีกว่าการให้คณะลูกขุนตัดสินมาก เพราะรายละเอียดทางเทคนิคอย่าง SDK การแชร์ข้อมูล หรือ API เป็นเรื่องที่คณะลูกขุนทั่วไปเข้าใจได้ยาก ตรงกันข้าม ในคดีเทคนิคระดับสูง ผู้พิพากษามักตั้งใจเรียนรู้ความรู้ด้านวิศวกรรมและถกกันอย่างลึกซึ้ง

  • ทุกครั้งที่ต้องขึ้นศาลสู้กับ Facebook ภาพที่นึกออกคือหนูตัวเล็กกำลังพุ่งเข้าใส่หมีขั้วโลก หรือไม่ก็เหมือนก็อบลินสู้มังกร แมลงวันสู้ช้าง บริษัทใหญ่พวกนี้แทบจะเป็นสัตว์ประหลาดที่กฎหมายควบคุมอะไรไม่ได้เลย สิ่งเดียวที่ทำให้พวกเขาเครียดจริง ๆ คือความเสี่ยงที่จะเสียส่วนแบ่งตลาด หรือถูกบล็อกในบางภูมิภาค

    • ฟังดูอาจชวนให้เข้าใจผิด แต่จริง ๆ แล้วบริษัทใหญ่พวกนี้ไม่ได้อยู่นอกกฎหมาย แต่อยู่ “ข้างใน” กฎหมายต่างหาก เพราะด้วยเงินทุนและอิทธิพล พวกเขาสามารถขยับเส้นขอบของกฎหมายให้เข้ากับประโยชน์ของตัวเองได้ ต่อให้จะมีเสียงดังแค่ไหนว่ากฎหมายควรถูกใช้แบบใด ตราบใดที่พวกเขายังจ่ายต้นทุนไหว สิ่งนั้นก็จะยังอยู่ในขอบเขตของ “ถูกกฎหมาย”

    • สิ่งที่ทำให้ฉันหดหู่ที่สุดคือ คนที่ฉันรู้จักแทบทุกคนกังวลเรื่องความเป็นส่วนตัวแบบนี้ แต่ก็ยังคงมีบัญชี Meta อยู่ดี ถ้าคิดว่าตามมาตรฐานของตัวเองไม่มีปัญหาอะไร ก็ใช้ต่อก็ได้ คนเราผิดพลาดกันได้เป็นธรรมดา แต่ท่าทีที่เข้มงวดกับความเชื่อของตัวเอง แล้วกลับยืดหยุ่นอย่างประหลาดเวลาไปตัดสินคนอื่น มันชวนงงมาก ฉันชอบผู้คนนะ แต่บางครั้งก็เข้าใจยากจริง ๆ

    • ท้ายที่สุด แค่ปรับคนละหลักร้อยต่อผู้เสียหายหนึ่งราย ก็อาจสร้างแรงกดดันมหาศาลต่อ Facebook ได้แล้ว

    • ทุกคนเอาแต่โทษ Facebook แต่ดูเหมือนไม่ค่อยมีใครตำหนินิติบัญญัติหรือศาลเลย ทั้งที่จริงแล้ว ถ้าคดีแบบนี้ลงเอยด้วยค่าปรับระดับหลายพันล้านจนรัฐต้องขายทอดตลาดทุกอย่างในออฟฟิศ Facebook ตั้งแต่เซิร์ฟเวอร์ เก้าอี้ ไปจนถึงโปรเจ็กเตอร์เพื่อเอาเงินมาจ่าย บริษัทอื่น ๆ ก็คงรีบเลิกพฤติกรรมผิดกฎหมายและปรับตัวกันอย่างรวดเร็ว

  • ดูเหมือนมีคนไม่มากที่อ่านบทความอย่างละเอียด ความผิดจริง ๆ อยู่ที่แอป Flo นักพัฒนาแอปส่งข้อมูลผู้ใช้ไปให้ Meta แบบแทบไม่มีข้อจำกัด นั่นแหละคือปัญหา ไม่ว่าคำตัดสินจะเขียนว่าอย่างไร ผู้ที่ทำผิดจริงคือ Flo

    • Flo ทำผิดเพราะอัปโหลดข้อมูลอ่อนไหวขึ้นฐานข้อมูลออนไลน์ Meta ก็ทำผิดเหมือนกันเพราะเป็นผู้จัดหาโครงสร้างพื้นฐานฐานข้อมูลข้อมูลส่วนบุคคลแบบนี้ ทั้งสองฝ่ายล้วนทำในสิ่งที่สมควรถูกตำหนิทางศีลธรรม

    • เมื่อ Meta รับข้อมูลเหล่านั้นไปแบบไม่มีข้อจำกัด Meta ก็ย่อมเข้าถึงได้เป็นธรรมดา หากไม่มีสิทธิ์ใช้ข้อมูล ก็ควรต้องกำหนดให้ Meta ขออนุญาตอย่างชัดเจนก่อน ปัญหาอยู่ที่ Meta เข้าถึงได้โดยไม่มีความยินยอมล่วงหน้า

  • เมื่อ 5 ปีก่อน ฉันเคยศึกษาระบบนิเวศของแอป iOS เพื่อดูโมเดลรายได้ที่เป็นไปได้ของแอปฟรี นักพัฒนาคนหนึ่งออกแอปฟรีสำหรับติดตามข้อมูลสุขภาพเด็ก และมองว่าตัวข้อมูลนั้นเองคือมูลค่าของแอป เขามั่นใจว่าความสามารถในการทำกำไรในอนาคตของแอปก็สุดท้ายขึ้นอยู่กับการขายข้อมูล หลังจากนั้นฉันก็ยิ่งแน่ใจว่าจะไม่ใช้แอปที่เก็บข้อมูลส่วนตัวของฉัน โดยเฉพาะข้อมูลสุขภาพ และควรปิดสิทธิ์ของแอปให้ได้มากที่สุดเท่าที่จะทำได้

    • ฉันไม่เข้าใจจริง ๆ ว่าทำไมคนถึงยอมมอบข้อมูลส่วนตัวหรือข้อมูลสุขภาพให้บริษัทโรคจิตพวกนี้ ทำไมถึงต้องใช้แอปหรืออุปกรณ์สวมใส่สำหรับบันทึกข้อมูลสุขภาพ เบื้องหลังของเรื่องนี้น่ากังวลมาก เมื่อดูจากพฤติกรรมในอดีตของบริษัทเหล่านี้ ก็ควรตั้งสมมติฐานไว้ก่อนเลยว่าพวกเขาจะบันทึกรายละเอียดทุกอย่างแล้วขายต่อและเก็บไว้อย่างถาวร

  • สรุปคือไม่ใช้แอปดีที่สุด ใน 95% ของกรณี มันไม่ได้คุ้มค่าพอที่จะยอมแลกกับการละเมิดความเป็นส่วนตัวแบบที่พวกเขาต้องการ

    • Mozilla มีข้อมูลเปรียบเทียบแอปบันทึกประจำเดือนอยู่ หลายแอปในนั้นพยายามปกป้องความเป็นส่วนตัวของผู้ใช้

    • ถ้าซอฟต์แวร์จำเป็นต้องเชื่อมต่ออินเทอร์เน็ตจริง ๆ ฉันคิดว่านักพัฒนาควรเป็นฝ่ายพิสูจน์ก่อนว่าทำไมจึงจำเป็นและสมเหตุสมผล

    • ฉันอาจไม่ค่อยรู้เรื่องนี้นัก แต่ก็สงสัยว่าถ้าแค่ปิดสิทธิ์อย่างตำแหน่งที่ตั้ง จะช่วยแก้ปัญหานี้ได้หรือเปล่า

    • น่าเสียดาย แต่นี่แหละความจริง

    • เห็นด้วยเลย ผู้ใช้มักถูกการตลาดแนว “ฟีเจอร์ใหม่ฟรี!” ดึงดูดด้วยรูปแบบเดิมซ้ำ ๆ ผลลัพธ์คือโมเดลธุรกิจที่ละเมิดความเป็นส่วนตัวก็ยังใช้ได้ผลซ้ำแล้วซ้ำเล่า

  • แอปที่อยากแนะนำให้ผู้หญิงคือ Drip

    • เว็บไซต์ทางการของ Drip

    • ดูเหมือนจะปลอดภัยที่สุด

    • เอาจริง ๆ ฉันคิดว่าเรื่องแบบนี้โฮสต์เองและดูแลเองน่าจะดีที่สุด เป็นข้อมูลที่ไม่อยากฝากไว้กับใครเลย อ้างอิงไว้ก่อนว่าฉันไม่ได้มีเพศสัมพันธ์กับผู้ชาย แต่ก็ยังใส่ใจเรื่องนี้อยู่ดี

  • ภรรยาของฉันใช้ Flo ทุกครั้งที่เธอเปิดแอปและกรอกข้อมูล ฉันรู้สึกจากมุมมองทางเทคนิคว่านี่เสี่ยงมาก เพราะแอปแบบนี้จัดการกับข้อมูลที่อ่อนไหวอย่างยิ่ง จึงยิ่งตอกย้ำว่าจำเป็นต้องสื่อสารเรื่องความสำคัญของความมั่นคงปลอดภัยของข้อมูลให้คนทั่วไปที่ไม่ใช่สายเทคนิคเข้าใจมากขึ้น

  • นี่จึงเป็นเหตุผลที่ฉันยึดนโยบายแทบไม่ติดตั้งแอปในโทรศัพท์เลย หรืออย่างน้อยก็ใช้ให้น้อยที่สุด แน่นอนว่าเว็บไซต์หรือเว็บแอปก็อาจแชร์ข้อมูลในลักษณะคล้ายกันได้ แต่โดยพื้นฐานแล้วการลดสิทธิ์การเข้าถึงระดับระบบให้ได้น้อยลงก็ให้ความสบายใจในเชิงจิตใจอยู่บ้าง ส่วนตัวแล้วเมื่อดูพฤติกรรมต่าง ๆ ที่ LinkedIn แสดงมา ฉันยังแปลกใจเลยว่าทำไมถึงยังอยู่รอดใน App Store ได้

  • แทบหาไม่เจอเลยว่ามีข่าวด้านความเป็นส่วนตัวชิ้นไหนที่ Meta ไม่ได้เข้าไปเกี่ยวข้อง

    • ฉันคิดว่า Google, Microsoft, Amazon ก็คงยินดีกับสถานการณ์แบบนี้เหมือนกัน

  • สุดท้ายคงต้องถึงขั้นมีผู้บริหารระดับ VP ติดคุกจริง ๆ อะไร ๆ ถึงจะเปลี่ยนได้ ซึ่งแน่นอนว่าในโลกความเป็นจริง แทบไม่มีโอกาสเกิดขึ้นเลย