医疗数据安全漏洞频出,病患隐私就活该被“共享”?

猎云网 中字

当你在药店或候诊室里百无聊赖地等待,或者在网站上浏览咨询你的药品账单时,你可以留一下你前方或后面的人。你们之中至少有一个人正在被Optium这类数据分析巨头所监控。自1993年以来,这家公司一直在搜集各类医疗数据——实验结果、诊断信息、开药处方,对象覆盖1.5亿美国人,这个数字接近美国总人口的一半。

“他们在搜集数据,我们无法把它们从医疗保险合同中剔除,这就是医疗系统的一部分。”专注于隐私和数据保护法的律师JoelWinston说道。

医疗保健供应方可以合法地将自己的数据出售给各类公司,让它们更好地进行决策,例如设计新药物、设定保险费用,以及投放极具针对性的广告等。

这句话说得非常对:你的医疗记录不属于你。当然,除非你生活在新罕布什尔,这是唯一一个规定居民拥有自己医疗数据的州。在美国,有21个州的法律明文规定了,这些医疗记录属于医疗保健供应方,而非患者。剩余的州则没有做出明确的规定。

每次你去看医生或开药,你的医疗记录都会更加丰富,它的细节非常多,IntelliScript和ScriptCheck等数据来源已经能描述出越来越全面的用户形象。你通过医疗支付记录、处方药购买记录等途径,与医疗保健体系互动。数据市场的规模也在日益扩大。

它的客户和分享者——制药巨头、保险商和信用汇报机构,以及Facebook这种极其渴求数据的公司(有时也被成为“第四方”)——认为这些庞大的数据库能改善医疗保健的资源供应,并实现所谓的“精准配药”。

这种对于健康数据的搜集热潮,引起了不少隐私倡导者的警觉,他们认为许多消费者根本不知道自己被获取了多少健康数据。

美国人的健康数据受到了HIPAA法案(HealthInsurancePortabilityandAccountabilityAct)的严格保护,国会于1996年通过了该法案。相关法律表示,你的健康数据被分享时,应该隐去姓名、地址以及其他个人身份信息。例如,现在制药商GlaxoSmithKline就在向DNA测试公司23andMe购买匿名数据集。

但隐私法并不能保护你所有和健康相关的信息。这些公司能借助日益丰富的“其他”数据,推导出你目前的健康状况,这些数据并不受HIPAA保护,它们被某些研究人员称为“灰色健康记录”,它可能包括你的信用分数、法院记录、智能手机定位、次级贷款、搜索历史、应用活动和社交媒体上发布的信息等。

隐私专家表示,隐私数据的使用渠道值得我们留意。保险公司能根据你的Instagram照片提高你的保险费。数字广告商也会将你的健康数据应用于广告。某些方式看起来还颇有倾略性。人身伤害索偿律师经常会因为患者手机位于急诊室,而收到一些针对地理位置的广告。

“它并没有那么直观。HIPAA有许多漏洞:它到底保护哪些信息?保护信息不受谁的窥视?以及你是否自己同意了不要HIPAA给你提供保护。”Winston说道。

他还声称部分医生的HIPAA表格包含的某些条款,要求患者放弃隐私权。你在签名字的时候可能根本没有读——或者读了也读不懂。

“与医生的协议并没有声明你的数据会不会被卖掉,因此在他们看来,你没有拒绝什么。除此之外,匿名工作做得不充分,会让事情变得更糟糕。”Humanity.co的创始人兼首席执行官RichieEtwaru解释道。这家创企想帮助消费者更好的控制自己的健康数据,必要时也会帮助他们销售这些数据。

确实,哪怕根据隐私条例去除了个人健康数据里的身份信息,但仍然有方法可以找到数据的主人。

健康数据的价值越来越高,这引起了黑客、勒索软件的注意,数据泄露也屡见不鲜,这会引发官司,最终破坏了人们对医疗保健体系的信任。2017年,一家纽约医院的敏感数据泄露,涉及7000多名患者,其中包含了成瘾历史、药物诊断,甚至性侵和家庭暴力记录等。犯罪人员会利用这些数据进行身份欺诈和保险诈骗。

对消费者而言,如果这些被搜集、贩卖的健康数据并不完整,那么给他们带来的伤害就尤为明显。相关研究表明这种情况并非个例。

例如消费报告公司会搜集消费者的健康数据,然后给出一个“健康风险”评分,Winston曾为某些对该评分有争议的人提供过服务。这些公司会将数据“称斤标价”,然后卖给客户,它们的客户通常是保险公司。

你的健康数据通常会被整理到一份专业的报告中,这类似于你的消费信用报告。保险商极度依赖这些数据进行风险评估和标价,你的保险费可能就会因此变高,甚至直接被拒绝投保。当然如果你的投保申请被拒,那么你有权力去检查你的报告,指出可能存在的错误。

Winston的一位客户就是身份信息失窃的受害者。“这是一份长达26页的处方药历史,却不是他本人的,这导致他申请人寿保险时被拒。”Winston说道。

2015年,联邦商务委员会调查了这些报告的准确率,它发现三大主要信用报告机构的出错率大概为25%,也就是说四个人中有一人的信用报告就会出错。这些错误经常会影响财务方面的决策:例如有20%的人在申请贷款时,被收取了更高的利息。

“这次研究并不全面,健康数据报告并不在其中,但我也不看好,它的错误率至少在25%以上。”Winston说道。

为了提高健康数据的准确率,如今保险公司和广告商都在同时接触多家数据供应商。你的数据可能来自于健身房、影像店、食品店、浏览的网站、可穿戴设备、血糖监控器,甚至心脏起搏器等。

相关研究表明,24款最受欢迎的安卓健康应用里,有19家将其数据出售给第三方和潜在的第四方,这些数据包括医疗条件、最喜欢的药物和医生,以及是否有怀孕史和吸烟史等。

IBM的副总裁NicoleGardner表示,这些数据还涉及了更多细节,例如社交健康因素:“你和谁约会”、“你们喜欢去哪里”、“你住哪里”、“去哪里旅行过”等。

“许多人不知道手上的Fitbit手环正在搜集、出售自己的数据。这些数据会被用于行为分析或广告投放等。”她说道。最近Fitbit的发言人还发表了声明,称“我们没有出售用户的个人数据,也没有把数据分享给别人,除非是隐私条例中描述的特殊情况”。

各类数据的需求量还在逐年上涨。相关研究表明,2017年健康数据市场的规模为142.5亿美元,7年后,预计会增加到687.5亿美元,翻了将近5倍。

Gardner认为现在的健康数据系统还很不完善。也不要指望他们会在短时间内发生变化。她认为将来这个系统会基于区块链运行。但最近有一份超过150页的白皮书分析道,大部分医疗区块链项目“都还不够成熟,人们对它的期望过于乐观”。

另外其他隐私保护技术也会起到作用。例如,最近出现了一种名为同态加密的图片加密方法,它能让企业和个人在无需解密的情况下获取和分析敏感数据。

只靠技术无法确保健康数据的安全。最近美国卫生与公众服务部提出了两条新法规,要求医疗保健供应方、电子医疗记录系统以及保险商,都能让患者轻松地访问自己的健康数据。

“灰色健康数据”也即将被审核。1月份,纽约提出了第一份限制保险公司搜集社交媒体等渠道数据的规则手册,它要求保险公司并不会因为数据而差别对待消费者。

当然,目前的医疗系统仍处于停滞阶段,数据需求也在上涨。确保健康数据安全的方法,还有一段距离。

声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存