1 पॉइंट द्वारा GN⁺ 2023-12-31 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • अमेरिका की प्रमुख pharmacy chain कानून प्रवर्तन एजेंसियों के अनुरोध पर संवेदनशील medical records सौंप रही हैं, और संसदीय जांच से पता चला है कि वे इसके लिए warrant नहीं मांगतीं
  • CVS Health, Walgreens Boots Alliance, Cigna, Optum Rx, Walmart, Kroger, Rite Aid, Amazon Pharmacy prescription दवाओं के उपयोग का इतिहास और medical condition शामिल करने वाली जानकारी सिर्फ subpoena पर दे सकती हैं
  • CVS, Kroger, Rite Aid ने जवाब दिया कि वे सरकारी subpoena पर legal review भी नहीं करतीं, जिससे अनुरोध की वैधता परखने की प्रक्रिया खास तौर पर कमजोर दिखती है
  • HIPAA निजी पक्षों को बिना अनुमति खुलासा रोकता है, लेकिन law enforcement के अनुरोध required by law exception के तहत माने जा सकते हैं, इसलिए बिना warrant जानकारी देने को रोकना मुश्किल है
  • सीनेटर Ron Wyden और प्रतिनिधि सभा की सदस्य Pramila Jayapal तथा Sara Jacobs ने HHS से HIPAA नियम सख्त करने और pharmacy को warrant मांगने के लिए बाध्य करने का आग्रह किया

Third Party Doctrine से बना medical records का blind spot

  • अमेरिकी संविधान के चौथे संशोधन की सुरक्षा Third Party Doctrine के सामने अक्सर कमजोर पड़ जाती है
  • कोई व्यक्ति निजी कंपनी के साथ जो जानकारी साझा करता है, वह स्वेच्छा से साझा की गई हो या नहीं, सरकार कई मामलों में उसे बिना warrant हासिल कर सकती है
  • इसी वजह से app द्वारा जुटाए गए mobile location data पर चौथे संशोधन की सुरक्षा जोड़ने वाले विधेयक और Third Party Doctrine को सीमित या समायोजित करने पर अदालतों व कांग्रेस में बहस चलती रही है
  • सरकार न्यायिक समीक्षा के बिना जितनी ज्यादा हो सके उतनी जानकारी लेना चाहती है, और निजी कंपनियां सरकारी अनुरोध को अदालत में चुनौती देने के बजाय डेटा दे देना लागत के हिसाब से अधिक व्यावहारिक मान सकती हैं

प्रमुख pharmacy chain में बिना warrant डेटा सौंपने की प्रथा

  • Ars Technica द्वारा कवर की गई संसदीय जांच में पुष्टि हुई कि अमेरिका के प्रमुख retail pharmacy operator वास्तव में warrant मांगे बिना सरकार को संवेदनशील medical data देते रहे हैं
  • जांच में शामिल 8 pharmacy ये हैं
    • CVS Health
    • Walgreens Boots Alliance
    • Cigna
    • Optum Rx
    • Walmart Stores, Inc.
    • The Kroger Company
    • Rite Aid Corporation
    • Amazon Pharmacy
  • इन सभी ने कहा कि जब law enforcement किसी व्यक्ति के prescription history या medical condition शामिल करने वाले records मांगती है, तब वे warrant जरूरी नहीं मानते
  • इसके बजाय वे सिर्फ subpoena पर भी जानकारी दे देते हैं, जिसे सरकारी एजेंसी जारी कर सकती है और जिसके लिए judge की समीक्षा या मंजूरी जरूरी नहीं होती

legal review होने या न होने का फर्क

  • CVS, Kroger, Rite Aid ने कांग्रेस से कहा कि वे सरकारी subpoena पर legal review नहीं करतीं
  • इससे लगता है कि ये chain सरकार के नाम से आए अनुरोध को ही वैध अनुरोध मान लेती हैं
  • दूसरी pharmacy chain कम से कम data request प्रक्रिया में वकीलों को शामिल करती हैं

HIPAA पर्याप्त सुरक्षा क्यों नहीं दे पाता

  • HIPAA वह कानून है जो medical information को बिना सहमति, अनधिकृत निजी पक्षों के सामने उजागर होने से रोकता है
  • law enforcement से आने वाले अनुरोध आम तौर पर required by law exception के दायरे में माने जाते हैं
  • यह exception तब भी लागू हो सकता है जब pharmacy company के वकील ने अनुरोध की समीक्षा न की हो, या यह स्पष्ट न हो कि संवेदनशील medical information की मांग वास्तव में वैध है या नहीं
  • कानून बदले बिना भी HHS, HIPAA नियमों में बदलाव कर इस data को privacy presumption देकर समाधान ला सकता है

HHS से सांसदों की मांग

  • सीनेटर Ron Wyden, प्रतिनिधि Pramila Jayapal और Sara Jacobs ने HHS सचिव Xavier Becerra को पत्र भेजकर HIPAA नियम सख्त करने की मांग की
  • पत्र में कहा गया कि pharmacy को warrant मांगना चाहिए, और यदि law enforcement सिर्फ subpoena के आधार पर मरीज के medical records चाहती है तो उसे अदालत से उसके enforcement की मांग करनी चाहिए
  • 2010 के email privacy मामले को भी तुलना के तौर पर रखा गया
    • एक संघीय अपीलीय अदालत ने email पर reasonable expectation of privacy को मान्यता देने के बाद Google, Yahoo, Microsoft जैसे प्रमुख मुफ्त email provider ने email उजागर करने से पहले warrant मांगना शुरू किया
  • सांसदों ने कहा कि जून 2022 के Dobbs फैसले के बाद contraception products पाने वाले लोगों पर मुकदमा चलने से रोकने के लिए HHS को और मजबूत सुरक्षा बनानी चाहिए; इस बारे में उन्होंने जुलाई में पहली बार Becerra को अवगत कराया था

transparency के वादे और बाकी बचे सवाल

  • कुछ कंपनियों ने सरकार के साथ सहयोग को लेकर अधिक transparent होने का वादा किया
    • CVS, Walgreens, Kroger ने कहा कि वे सरकारी data request पर नियमित रिपोर्ट जारी करेंगी
    • Amazon इससे एक कदम आगे बढ़कर ग्राहक data पर सरकारी मांग आने पर ग्राहकों को सूचित करने की बात कहता है
  • prescription records ऐसी जानकारी हैं जो मरीज की स्पष्ट अनुमति के बिना किसी और को देने पर संघीय कानून के तहत संरक्षित रहती हैं
  • सवाल अब भी बाकी है कि सरकार Third Party Doctrine के आधार पर ग्राहकों के prescription records को किसी खुली किताब की तरह नहीं मान सकती
  • बदलाव pharmacy और सरकार की स्वैच्छिक कार्रवाई से या विधायी आदेश के जरिए आ सकता है

1 टिप्पणियां

 
GN⁺ 2023-12-31
Hacker News की टिप्पणियाँ
  • मैंने नार्कोटिक painkillers से जुड़ी जांच में काम किया था, और जब prescription drugs अपने असली चिकित्सा उद्देश्य के बजाय किसी और काम में इस्तेमाल होती थीं, तो वे सभी दायरे में आती थीं
    डॉक्टर prescription drugs को non-medical उद्देश्यों के लिए बेचते भी थे, healthcare staff उन्हें चुराते भी थे, लेकिन सबसे बड़ा हिस्सा prescription fraud का था
    डॉक्टर की prescription चुराने या फर्जी बनाने के मामले होते थे, और अगर कोई 20s का स्वस्थ व्यक्ति Oxycodone 30mg की 90 गोलियाँ लेने आता, तो आम तौर पर वह prescription “भीषण दर्द और शायद मरने की हालत” के करीब मानी जाती थी, इसलिए pharmacy या डॉक्टर confirmation call करते थे
    राज्य सरकार के पास पहले से ही Prescription Monitoring Program के जरिए सभी prescription जानकारी होती थी, और डॉक्टर अपने नाम से पिछले N दिनों में dispensed prescriptions की सूची spreadsheet में पा सकते थे
    अगर Dr. Adams कहते कि उन्होंने Bill को कभी prescription नहीं दिया, तो Bill को lookup करके Charles, Daniels के नाम से ऐसे ही संदिग्ध prescriptions खोजे जाते, और वे डॉक्टर भी पुष्टि करते कि वह उनका patient नहीं है, इस तरह और अधिक forged prescriptions track किए जाते थे
    दुरुपयोग की संभावना है, लेकिन कानूनी रूप से भी pharmacy में घुसकर मनमाने documents मांगना या PMP में कोई भी नाम lookup करना संभव नहीं था; आम तौर पर डॉक्टर या pharmacist किसी संदिग्ध बात की रिपोर्ट करते, फिर state records चेक किए जाते, डॉक्टर से verification ली जाती, और ऐसी कागजी evidence जुटाई जाती जिसके बारे में पहले से पता होता कि वह झूठी है
    कुछ बार red flag आया और डॉक्टर को call किया, तो उन्होंने “valid prescription” कहा और बात वहीं खत्म हो गई; हमें यह जानने की जरूरत नहीं थी कि patient narcotic drugs क्यों ले रहा है, सिर्फ यह confirm करना था कि fraud है या नहीं
    State law के तहत warrant के बिना prescriptions और pickup records जैसे pharmacy records मांगने का अधिकार था, और ज्यादातर pharmacists तुरंत दे देते थे, जबकि कुछ यह verify करना चाहते थे कि यह HIPAA violation है या नहीं और legal है या नहीं
    हालांकि कुछ बार चिंता हुई, क्योंकि मेरे अपना परिचय देने से पहले ही staff documents निकालकर देने लगा था
    सार यह है कि किसी अपराध को लेकर specific और genuine suspicion के बिना किसी के medical records को यूँ ही खंगालना बेहद illegal है, और records देखने की वजह तभी होती थी जब medical field में किसी ने कोई संदिग्ध बात report की हो

    • “किसी अपराध को लेकर specific और genuine suspicion के बिना medical records देखना illegal है” वाली व्याख्या आश्वस्त नहीं करती
      यह काफी documented है कि law enforcement agencies अक्सर कानून तोड़ती हैं, और उल्टा यह दिखाता है कि Fourth Amendment और patient privacy के उल्लंघन की प्रक्रियाएँ कितनी normalized हो चुकी हैं
    • यह जानना उपयोगी है कि warrant के बिना prescriptions और pickup records मांगे जा सकते थे
      इस व्यवस्था को बदलकर warrant जरूरी करने का प्रस्ताव है, और भले ही कोई खास agency ईमानदार रही हो, अमेरिका में करीब 18,000 law enforcement agencies हैं, और कम नहीं agencies का records तक अत्यधिक और अनुचित access का लंबा इतिहास है
      private और confidential जानकारी तक access के लिए judicial oversight वाला warrant एक reasonable default है
    • दूसरी तरफ देखें, तो “किसी अपराध को लेकर specific और genuine suspicion” का मतलब जरूरी नहीं कि judge द्वारा approved documented reason हो
      तो मुझे लगता है कि abuse की गुंजाइश बहुत ज्यादा नहीं है क्या
    • जब मैं संबंधित क्षेत्र में analyst के रूप में काम करता था, तो commercial databases और कानून से नियंत्रित government databases के व्यवहार में फर्क प्रभावशाली लगा था
      LexisNexis जैसे commercial databases में बस इतना कहा जाता था कि पैसा लगता है, search बर्बाद मत करो, लेकिन criminal-history lookup जैसे government systems के लिए हमें सख्ती से training दी जाती थी कि legitimate legal reason के बिना lookup करना illegal है, और हर lookup का reason record करने को कहा जाता था
      Training materials में criminal-history database का गलत इस्तेमाल करके जेल गए एक former police officer पर article भी शामिल था, और साल में एक बार audit में कुछ lookups के लिए justification समझानी पड़ती थी
      हर system में गलतियाँ होती हैं और malicious actors उनका misuse कर सकते हैं, और वे cost-benefit analysis का विषय हैं, लेकिन उचित परिस्थितियों, कानूनों, checks and balances के तहत law enforcement को sensitive और non-public जानकारी तक access दे सकने वाली व्यवस्था अपने आप में मुझे valid लगती है
    • controlled substances की mandatory electronic prescribing हो तो क्या यह पूरी प्रक्रिया अनावश्यक नहीं हो जाएगी, ऐसा लगता है
  • पूर्व federal law enforcement अधिकारी के तौर पर मैंने बहुत पहले warrant के बिना medical records access किए थे
    मैं सभी agencies की तरफ़ से नहीं बोल सकता, लेकिन 2000s की शुरुआत में मैंने कुछ बार जो किया था, उसे HN के ज़्यादातर लोग भी शायद reasonable मानते
    मैं Coast Guard officer था और public safety तथा criminal, दोनों legal frameworks के तहत मेरे पास law enforcement authority थी
    federal waterways में कोई बड़ा हादसा होता तो हमारा पहला काम public safety threat की जांच करना था, और इसके साथ subpoena जारी करने का अधिकार आता था
    यह कुछ-कुछ वैसा था जैसा किसी हादसे के बाद NTSB या FAA करते हैं; और अगर कोई transportation company ऐसा काम कर रही है जिसमें elementary school के पास दलदल में Xylene से भरा barge उलट सकता है, तो public threat समझने में सरकार का public interest पर्याप्त है, इसलिए Fourth Amendment कोई बाधा नहीं बनता
    हालांकि जब public safety investigation “public risk समझने” से आगे बढ़कर किसी व्यक्ति की संभावित criminal liability की ओर चली जाती, तो संबंधित व्यक्ति को बताना पड़ता कि मामला criminal investigation में बदल गया है, और उसी समय से Fourth Amendment और warrant requirements फिर लागू हो जाते थे
    असल में कई बार हादसे से जुड़े लोग “मैंने दवा छोड़ दी थी, नशे में नहीं था” कहकर on-site investigation में देरी कराते थे, या कहा जाता था कि घायल नाविक hospital में है
    hospital जाकर बयान लेना और चोट की स्थिति confirm करना ज़रूरी होता था; गंभीर चोट investigation के स्तर और अनिवार्य resources को बढ़ा देती थी, और यह verify करना पड़ता था कि नाविक ने सच में क्या हुआ देखा था या नहीं
    कई बार companies ने अपनी गलती की जांच टालने के लिए hospital या doctor के पास होने का बहाना भी बनाया, और उस context में hospital को phone करके “क्या कल रात फलां व्यक्ति admit हुआ था?” पूछना मुझे पूरी तरह reasonable लगता था
    फिर भी यह मानना मुश्किल है कि ऐसी powers का अक्सर दुरुपयोग नहीं होता; और law enforcement community का ज़्यादातर हिस्सा बस अपना काम करने की कोशिश करता हो, तब भी शक बनाए रखना ही सही है

    • ऐसी मिसालें information access के वैध कारण तो दिखाती हैं, लेकिन यह नहीं समझातीं कि warrant requirement क्यों नहीं रखी जा सकती
      third-party doctrine बहुत ज़्यादा व्यापक हो चुका है, और ऐसे कई हालात हैं जहाँ लोग third parties के साथ information share करते हुए भी उस information पर privacy rights की उम्मीद करते हैं और उसके हकदार हैं
      यह बेतुका है कि HIPAA doctor या pharmacist के साथ share की गई information के लिए reasonable expectation of privacy नहीं देता; और भले ही कानून ने law enforcement exception साफ़ लिखा हो, reasonable expectation of privacy एक constitutional right है, इसलिए ऐसे exceptions को unconstitutional माना जाना चाहिए
      अगर private privacy law के तहत company को जो information protect करनी चाहिए, तो उसे third-party doctrine से बाहर रखकर warrant मांगने के लिए privacy laws को व्यापक रूप से expand करना चाहिए
    • यह वही typical तरीका है जिससे law enforcement officers power abuse को कम करके दिखाते या defend करते हैं
      काम आसान हो जाता है, इसलिए वह जायज़ नहीं हो जाता; constitutional rights, privacy laws और case law पुलिस की powers को limit करने के लिए बनाए गए थे
      अगर police को warrant की बिल्कुल ज़रूरत न हो तो काम आसान ज़रूर होगा, लेकिन यह warrant bypass करने का वैध तर्क नहीं है
      इसी तरह, law enforcement officers का Miranda warning की जरूरत न पड़ने वाली interaction में witness को lead करना, या demands को ignore करते हुए self-incriminating statements निकलवा लेना common हो, तो भी वह legally या ethically justified नहीं हो जाता
      “ज़्यादातर law enforcement officers बस अपना काम करने की कोशिश करते हैं” वाली premise भी, police powers के structural abuse पर इतने data के मौजूद रहते, सवालों के घेरे में है; और अगर यह सच भी हो, तो यह सरकार द्वारा स्पष्ट रूप से लगाई गई constraints को bypass करने का defence नहीं बनता
    • checks and balances अमेरिकी government operation का core हैं
      law enforcement agencies को Constitution का पालन करना चाहिए, जिसका मतलब है warrant लेने वाली check को स्वीकार करना
      अगर कारण सच में compelling है, तो judge या magistrate को convince करने में दिक्कत नहीं होनी चाहिए
    • चिंता इस बात से कम है कि इसका पहले कैसे इस्तेमाल हुआ, और ज़्यादा इस बात से है कि आगे कैसे इस्तेमाल होगा
      abortion और transgender rights से जुड़े legal environment में बदलाव के साथ, यह चिंता वाजिब है कि किसी state का उत्साही prosecutor abortion pills या hormone blockers के records subpoena करके लोगों को परेशान करने या prosecute करने में इस्तेमाल कर सकता है
      ऐसा भी संभव लगता है कि prosecutor अभी hormone blockers prescribe करवाने वाले सभी patients की list मांगे और पूरे state के सभी families के खिलाफ child welfare cases खोल दे
    • पता नहीं क्यों लग रहा है कि यह Xylene accident southern Louisiana में हुआ होगा
  • पिछले हफ्ते भी एक बड़ा thread था
    https://news.ycombinator.com/item?id=38719918
    उससे पिछले हफ्ते भी था
    https://news.ycombinator.com/item?id=38615841

  • TechDirt का लेख इस Senate Finance Committee document से आया है: https://www.finance.senate.gov/imo/media/doc/hhs_pharmacy_su...

  • कोई समझाए कि यह prescription drug resellers के अलावा किसके लिए बुरा है

  • शायद वह information करीब तीन और तरीकों से भी मिल सकती है

  • government सिर्फ third party के रास्ते होकर rights का उल्लंघन कर सकती है

  • healthcare industry का consolidation मेरी पूरी जिंदगी में देखे सबसे भयानक बदलावों में से एक रहा है
    सोचता हूँ इस सबकी final state क्या होगी

    • शायद हम single-payer system की ओर जा सकते हैं
      हालांकि वह single payer profit motive वाला entity होगा
    • शायद एक ही company सब कुछ own करेगी
      fairness में कहें तो कुछ consolidation इसलिए भी हुआ है क्योंकि business costs इतनी बढ़ गई हैं कि doctors और pharmacists independently operate नहीं कर पा रहे
      भारी student debt, IT services और compliance requirements, और हर जगह पागल कर देने वाली real estate costs—सब मिलकर
      यह देश ऐसा लगता है जैसे corporate द्वारा इंसानों को own करने वाले cyberpunk ending की ओर जा रहा है
    • healthcare value-based pricing की ओर shift हो रही है, और pricing हमारी जान की value के अनुरूप होने की दिशा में जा रही है