加州蓝盾医保470万患者数据遭泄露，误配谷歌分析工具酿近年最大医疗隐私事件

2025年3月2日，美国加州主要医疗保险服务商蓝盾公司（Blue Shield of California）披露了一起重大数据泄露事件：由于该公司网站在2021年4月至2024年1月期间错误配置了谷歌分析工具（Google Analytics），导致470万投保人的敏感医疗信息被同步至谷歌广告平台（Google Ads）。这一数字意味着该公司近600万客户中有78%的个人数据遭到泄露，这也是2025年迄今最严重的医疗隐私安全事故之一。

敏感信息全面曝光

根据蓝盾公司发布的声明，泄露数据涉及投保人的多项关键信息，包括但不限于：

• 医保信息
  
  ：保险计划名称、类型及团体编号
• 个人身份数据
  
  ：姓名、性别、居住城市及邮政编码
• 医疗记录细节
  
  ：医疗服务日期、就诊机构名称、患者自付费用金额
• 平台活动痕迹
  
  ：用户在官网"寻找医生"功能中的搜索内容及结果

不过，公司强调，社会安全号码（SSN）、驾照信息、银行卡资料等高危金融数据并未在此次事件中外泄。蓝盾表示，此次泄露源于技术配置错误，而非黑客攻击，且谷歌方面承诺未将相关数据共享给第三方。

涉嫌违反HIPAA合规要求

此次事件引发了对医疗机构数据合规管理的尖锐质疑。按照美国《健康保险隐私及责任法案》（HIPAA）的规定，涉及受保护健康信息（PHI）的服务必须签订"商业伙伴协议"（BAA），但谷歌在其官方政策中明确指出：谷歌分析工具（Google Analytics）不具备HIPAA合规性，也不提供BAA保障，这意味着医疗机构若错误引入该服务，可能面临严重的法律风险。

"这反映了医疗行业对数据追踪技术的监管不足，"数据隐私公司Lokker的首席执行官伊恩·科恩（Ian Cohen）分析称，"许多机构既不熟悉分析工具的实际数据收集范围，也未掌握正确的配置方法。"

一年内第二次重大数据安全事故

值得注意的是，这已是蓝盾公司在短短12个月内遇到的第二起严重数据安全事件。2024年，其外包服务供应商Connexure曾遭遇BlackSuit勒索软件攻击，导致近100万投保人信息遭窃。美国卫生与公众服务部民权办公室（OCR）已介入调查本次事件，并初步认定该泄露为2025年医疗行业最严重的数据安全事故之一。

后续应对

蓝盾公司表示，已于2024年1月紧急切断谷歌分析与广告平台的连接，并启动全面的数据安全审查。

来源：https://cybersecuritynews.com/blue-shield-leaked-health-info/