您的健康數據面臨泄露風險嗎?(Security)
- 2019 年 12 月 23 日
- 筆記
我們最近看到了許多令人窒息的關於南丁格爾項目的新聞報道,這是Google與美國第二大醫療保健系統阿森松(Ascension)的半秘密合作。
該項目的細節涉及數千萬毫無防備患者的醫療數據共享——引起了人們的極大關注。
這些擔憂集中在目前大家都熟悉的問題上:許多人對Google知道他們的私人、敏感和潛在尷尬的健康資訊感到不安。我們擔心Google的員工會了解我們的一切隱私。
現實越來越令人擔憂。
好消息是:Google並不真正關心患者個人。壞消息是什麼?Google利用這種夥伴關係來構建人工智慧演算法,最終可能會建議提高你的醫療保險費。
這場爭議提出了三個關鍵問題:Google將這些數據用於什麼目的,這些數據的使用是否合法,以及用戶可以做些什麼來避免私人數據以這種不良方式被使用。
Google為什麼要獲取我的醫療數據?
儘管最近關於南丁格爾爭議的一些新聞報道暗含了這點,但重要的是要意識到,Google並不是為了向你兜售產品而收集健康數據。事實上,HIPAA(健康資訊可移植性和責任法案)中的條款明確禁止公司這樣做。
相反,像這樣的夥伴關係的目標更加雄心勃勃:構建能夠預測普通民眾未來醫療需求的人工智慧演算法。要做到這一點,Google必須克服一個問題:為了讓人工智慧可以做出這樣的預測,他們必須獲得大量的數據集。雖然Google擁有構建人工智慧系統所需的專業知識,但它也需要訪問大量數據。
Google曾嘗試過幾種獲取醫療數據的方法。它已經通過自己的應用程式進行了醫學研究,其21億美元收購Fitbit的部分原因是為了獲得龐大用戶群的醫療數據。
然而,Google與Ascension的合作(以及與其他幾家醫療保健提供商的類似安排)可以訪問其最大的醫療保健數據源。
不管這種數據收集讓我們感到多麼不舒服,值得注意的是,它可能對健康結果產生重大的積極影響。例如,人工智慧可以用來對可預防疾病的發生做出可靠預測,也可能有助於對健康干預措施進行大規模的自動化審查以指導未來的治療。
當然,這些都是崇高的目標。問題是,像Google正在開發的人工智慧一樣,也有可能(或許更可能)被用於另外兩個目的:一是Google通過向其他醫療服務提供商出售數據來賺錢;二是讓保險公司估算並可能提高醫療保費。
這並不是說這些記錄存在被泄露、黑客攻擊或被盜的風險。簡而言之,儘管Google可能有最好的意圖,但醫療數據的廣泛傳播引發了重大的法律和道德問題。
這合法嗎?
在這些擔憂的背景下,許多分析人士已開始重新考慮健康資訊儲存和共享的法律基礎。美國的《健康保險隱私及責任法案》,即眾所周知的「HIPAA」,提供了監管框架。根據該法案,患者記錄和其他醫療細節可以「僅用於幫助受保實體履行其醫療保健職能」。
表面上看,這正是夜鶯計劃的目標。因此,儘管上個月發表了所有的評論文章,但沒有人聲稱這是非法的。這是否會讓你對共享記錄感覺更好是另一回事。
事實上,正如明茨律師事務所(Mintz)的律師黛安娜•伯克(Dianne Bourque)本月早些時候對《連線》雜誌(Wired)表示的那樣,「如果您對整個病歷都轉到了像Google這樣的大公司感到震驚,那麼在HIPAA制度下,這並不能讓你覺得這是合理的……但事實確實就是,在HIPAA制度下,是合理的。」
擔心項目的原始合法性也不能充分解決一系列。儘管HIPAA有其法律效力,但在如今的海量數據收集方面,它似乎完全過時了。
許多病人發現很難獲得他們自己的數據,而商業操作似乎可以毫無困難地獲取數據記錄並對其進行分析,無需經過患者的同意。很明顯,Google意識到了這些問題:它通過舉報人將該項目帶入公共領域,Google正在聲譽管理策略中部署大量資源,以向客戶保證,該公司沒有試圖做它被聲稱做了的事情(竊取數據)。
我該何去何從?
如果患者的觀點與現行法律不一致,也許是時候取代HIPAA了。然而,這一策略並不能幫助那些已經與Google共享醫療數據的受害者。
很難推薦一種可以防止您的個人數據以這種方式共享的策略。可悲的是,你能做的最可靠的事情就是確保自己不會放棄更多不必要的數據。
你可以通過多種方式實現這一點。你應該定期審核你的網上賬戶,以確保它們沒有被泄露。如果您在線訪問醫療記錄,請始終通過安全的虛擬專用網路進行訪問。最佳VPN使用256位AES軍用級加密來創建專用訪問門戶。專業提示:請閱讀有關日誌記錄實踐的詳細資訊,越少越好。
最重要的是,你應該定期進行軟體更新,以確保你的Fitbit設備(或類似設備)不會監視你。物聯網的間諜軟體是過去一年中主要的網路安全問題之一,而且很可能是未來十年最有利可圖的醫療數據非法來源之一。
簡而言之,雖然消費者可能已經輸掉了隱私權之爭,而對於Google收集您的健康數據而言,HIPAA毫無幫助,但別無所求
