新浪财经 美股

谷歌被曝采集数百万医疗隐私数据 回应称"完全合法"

21世纪经济报道

关注

确定不再关注此人吗

原标题:谷歌被曝采集数百万医疗隐私数据,医生患者毫不知情,谷歌回应“行为完全合法”

在医患都不知情的情况下,至少150名谷歌员工可以接触到数百万美国人的医疗记录。

近年来,谷歌有关数据保护的负面消息并不少见,但很少有像个人医疗隐私这样牵动人心。

北京时间11月12日,有报道称,在医生和患者都不知情的情况下,谷歌正在收集数百万美国病人的就医数据,用于开发人工智能和机器学习解决方案,帮助医疗机构提高效率。

报道显示,该项目是谷歌与美国第二大医疗体系阿森松集团(Ascension)启动了名为夜莺计划(Project Nightingale)。阿森松集团旗下拥有2600家医院、医生办公室等医疗设施,其范围涉及美国21个州的数百万患者。

收集的信息则涵盖了从姓名、出生日期,到每一项的实验室结果和医生的诊断,覆盖了患者就医的方方面面。

媒体报道指出,在医患都不知情的情况下,至少150名谷歌员工可以接触和存取这些极为私密的医疗数据。今年夏天以来,这样从医疗机构到谷歌云的直接数据传输活动正在进一步加剧。

这一爆料引发了整个美国科技和医疗乃至政界的轩然大波。康涅狄格州参议员Richard Blumenthal在社交媒体上表示,“这样的行为是羞耻的,无视隐私权和公众利益已经是现在谷歌核心的商业模式。”

报道发出后,阿森松集团和谷歌迅速发布了新闻稿,正式宣布了双方的这一合作,并强调了行为的合法性,称这项合作旨在帮助医疗机构更好的帮助患者,并没有违反美国1996年颁布的《健康保险便利和责任法》(HIPAA)在内的各项医疗法规。

谷歌云(Google Cloud)总裁Tariq Shaukat在声明中表示:“阿森松的数据不会用于任何帮助医院履行其医疗保健职能外的目的,同时,医患的数据也不会与谷歌的消费者数据结合。” 

夜莺计划:医院是管家 谷歌只提供服务?

Tariq Shaukat声明表示,与其他医疗领域的合作一样,医疗机构阿森松才是真正的“管家”,谷歌只是在严格的隐私和安全管制下,为医疗机构提供服务。

但此时此刻,谷歌所能接触到的隐私信息确是多的惊人。

报道指出,在“夜莺计划”中,病人从来到医院就诊就开始了数据之旅。医生护士对病人进行检查,将数据输入电脑。除了姓名、出生日期、地址、家庭成员等基础信息外,所有放射学检查、住院治疗记录、实验室测试和曾经服用的药物均记录在系统中。

这些数据立即流入谷歌的“夜莺计划”系统,基于人工智能和机器学习,谷歌使用这些数据来设计新的软件,为个体患者的治疗提出建议。

系统会在经过人工智能和机器学习后,自动生成一系列的行医建议:治疗计划、检查建议;标记治疗中的异常偏差;为患者更换或增加医生的建议以及开药建议。

根据谷歌的新闻稿,双方合作主要目标是三方面:将阿森松的基础设施转移到云端;运用谷歌G Suite的生产力工具;给医生和护士提供工具。

数据只用于帮助患者,就不违法? 

合法性是两家公司曝光后对外沟通的核心。

根据美国1996年颁布的《健康保险便利和责任法》(HIPAA),一般而言,只要病患的资料只用于医疗用途,医院有权在不通知病患的情况下与商业合作伙伴分享数据。

在博客中,Tariq Shaukat表示谷歌与医院的合作签署了商业协议(Business Associate Agreement BAA) ,该协议将监管被保护的健康信息(Protected Health Information,PHI) 只用于帮助病人。

“澄清一下,在这种安排下,阿森松的数据不能用于我们协议规定之外的任何目的,病人的数据不能也不会与谷歌的消费者数据联系起来。”Tariq Shaukat的博客表示。

据报道,谷歌不但进行了这项“仅服务于帮助患者”的数据服务,而且还是免费提供的。

到目前为止,谷歌已经向夜莺计划派出数十名工程师,但没有收取任何费用,因为它希望利用这个框架向其他卫生系统销售类似的产品。文件显示,谷歌的最终目标是创建一个综合搜索工具来聚合不同类型的患者数据,并将所有数据都放在一个地方。

尽管免费、数据又不做他用,谷歌的数据隐私记录却难以让人放心。 

在医疗领域,谷歌就不只一次“触电”。

2016年,Alphabet旗下的人工智能部门Deepmind因未经患者适当同意而从英国国家卫生局获取患者病历而备受抨击。公司承认了错误,重新签订了合同。 

2017年,在与芝加哥大学医学中心合作开发的机器学习工具时,谷歌曾被指控通过芝加哥大学医学中心不当访问数十万份医疗记录。

上个月,谷歌以21亿美元收购运动可穿戴巨头Fitbit的计划引起了的警惕,弗吉尼亚州参议员马克·沃纳表示,该声明“引起了严重关切”,并呼吁强制披露大型科技公司如何在“医疗产品中使用敏感数据”。

医疗数据产业链,或引发美国联邦隐私立法讨论? 

尽管谷歌的案例引发了所有人的关注,但采集数据、运用人工智能、机器学习等一系列方式提供更好的医疗解决方案,并不是新鲜事,而可以说是整个行业的运营模式。

“这不算是新闻了吧,” 医生、皮肤学家Howard Greenn在社交媒体上表示,“上百个公司收集、买卖个人每天的医疗信息已经催生成了一个巨大的数十亿美元的市场。”

其实不只是谷歌,包括微软亚马逊和Salesforce在内的科技巨头一直试图在数万亿美元的医疗保健市场里分得一杯羹。

正如上图所示,更有几百上千个生态体系上的中小型公司,构成以医疗数据的收集方(比如可穿戴设备, 数据交易平台、软件提供商等全方位的数据平台。

内华达大学生物伦理学专家、法学教授斯泰西·托维诺(Stacey Torvino)表示,这些大型公司即使根据HIPAA的规定取消了对患者记录的识别,但谷歌和Facebook等公司仍有独特的能力利用其他挖掘的数据来确定病人的身份。

尽管确实存在一定的模糊空间,但根据欧洲已经执行一年半的“史上最严厉数据法案”GDPR,谷歌的上述做法是完全不可能行得通的。

根据最核心的GDPR知情权理念,谷歌绝不可能在未告知病人的情况下采集任何数据。

与欧洲相比,美国只有加州刚刚通过了类似的法案CCPA,并将于明年1月1日执行。根据21世纪经济报道此前了解,美国设立全国的隐私法在未来五年几乎不可能。但这一涉及21个州的谷歌事件仍然引发了很多美国人对进行联邦隐私立法的讨论。

“谷歌是不可信的,大的医疗机构也是不可信的,”知名科技评论人士莫博士(Walter Mossberg) 第一时间在社交媒体发声,“这也就是为什么我们需要在联邦层面的隐私立法。”

责任编辑:张玉洁 SF107

加载中...