當你在藥店或候診室里百無聊賴地等待,或者在網站上瀏覽咨詢你的藥品賬單時,你可以留一下你前方或后面的人。你們之中至少有一個人正在被Optium這類數據分析巨頭所監控。自1993年以來,這家公司一直在搜集各類醫療數據——實驗結果、診斷信息、開藥處方,對象覆蓋1.5億美國人,這個數字接近美國總人口的一半。
“他們在搜集數據,我們無法把它們從醫療保險合同中剔除,這就是醫療系統的一部分。”專注于隱私和數據保護法的律師Joel Winston說道。醫療保健供應方可以合法地將自己的數據出售給各類公司,讓它們更好地進行決策,例如設計新藥物、設定保險費用,以及投放極具針對性的廣告等。
這句話說得非常對:你的醫療記錄不屬于你。當然,除非你生活在新罕布什爾,這是唯一一個規定居民擁有自己醫療數據的州。在美國,有21個州的法律明文規定了,這些醫療記錄屬于醫療保健供應方,而非患者。剩余的州則沒有做出明確的規定。
每次你去看醫生或開藥,你的醫療記錄都會更加豐富,它的細節非常多, IntelliScript和ScriptCheck等數據來源已經能描述出越來越全面的用戶形象。你通過醫療支付記錄、處方藥購買記錄等途徑,與醫療保健體系互動。數據市場的規模也在日益擴大。
它的客戶和分享者——制藥巨頭、保險商和信用匯報機構,以及Facebook這種極其渴求數據的公司(有時也被成為“第四方”)——認為這些龐大的數據庫能改善醫療保健的資源供應,并實現所謂的“精準配藥”。這種對于健康數據的搜集熱潮,引起了不少隱私倡導者的警覺,他們認為許多消費者根本不知道自己被獲取了多少健康數據。
美國人的健康數據受到了HIPAA法案(Health Insurance Portability and Accountability Act)的嚴格保護,國會于1996年通過了該法案。相關法律表示,你的健康數據被分享時,應該隱去姓名、地址以及其他個人身份信息。例如,現在制藥商GlaxoSmithKline就在向DNA測試公司23andMe購買匿名數據集。
但隱私法并不能保護你所有和健康相關的信息。這些公司能借助日益豐富的“其他”數據,推導出你目前的健康狀況,這些數據并不受HIPAA保護,它們被某些研究人員稱為“灰色健康記錄”,它可能包括你的信用分數、法院記錄、智能手機定位、次級貸款、搜索歷史、應用活動和社交媒體上發布的信息等。
隱私專家表示,隱私數據的使用渠道值得我們留意。保險公司能根據你的Instagram照片提高你的保險費。數字廣告商也會將你的健康數據應用于廣告。某些方式看起來還頗有傾略性。人身傷害索償律師經常會因為患者手機位于急診室,而收到一些針對地理位置的廣告。
“它并沒有那么直觀。HIPAA有許多漏洞:它到底保護哪些信息?保護信息不受誰的窺視?以及你是否自己同意了不要HIPAA給你提供保護。”Winston說道。他還聲稱部分醫生的HIPAA表格包含的某些條款,要求患者放棄隱私權。你在簽名字的時候可能根本沒有讀——或者讀了也讀不懂。
“與醫生的協議并沒有聲明你的數據會不會被賣掉,因此在他們看來,你沒有拒絕什么。除此之外,匿名工作做得不充分,會讓事情變得更糟糕。” Humanity.co的創始人兼首席執行官Richie Etwaru解釋道。這家創企想幫助消費者更好的控制自己的健康數據,必要時也會幫助他們銷售這些數據。
確實,哪怕根據隱私條例去除了個人健康數據里的身份信息,但仍然有方法可以找到數據的主人。
健康數據的價值越來越高,這引起了黑客、勒索軟件的注意,數據泄露也屢見不鮮,這會引發官司,最終破壞了人們對醫療保健體系的信任。2017年,一家紐約醫院的敏感數據泄露,涉及7000多名患者,其中包含了成癮歷史、藥物診斷,甚至性侵和家庭暴力記錄等。犯罪人員會利用這些數據進行身份欺詐和保險詐騙。
對消費者而言,如果這些被搜集、販賣的健康數據并不完整,那么給他們帶來的傷害就尤為明顯。相關研究表明這種情況并非個例。例如消費報告公司會搜集消費者的健康數據,然后給出一個“健康風險”評分,Winston曾為某些對該評分有爭議的人提供過服務。 這些公司會將數據“稱斤標價”,然后賣給客戶,它們的客戶通常是保險公司。
你的健康數據通常會被整理到一份專業的報告中,這類似于你的消費信用報告。保險商極度依賴這些數據進行風險評估和標價,你的保險費可能就會因此變高,甚至直接被拒絕投保。當然如果你的投保申請被拒,那么你有權力去檢查你的報告,指出可能存在的錯誤。
Winston的一位客戶就是身份信息失竊的受害者。“這是一份長達26頁的處方藥歷史,卻不是他本人的,這導致他申請人壽保險時被拒。”Winston說道。
2015年,聯邦商務委員會調查了這些報告的準確率,它發現三大主要信用報告機構的出錯率大概為25%,也就是說四個人中有一人的信用報告就會出錯。這些錯誤經常會影響財務方面的決策:例如有20%的人在申請貸款時,被收取了更高的利息。
“這次研究并不全面,健康數據報告并不在其中,但我也不看好,它的錯誤率至少在25%以上。”Winston說道。為了提高健康數據的準確率,如今保險公司和廣告商都在同時接觸多家數據供應商。你的數據可能來自于健身房、影像店、食品店、瀏覽的網站、可穿戴設備、血糖監控器,甚至心臟起搏器等。
相關研究表明,24款最受歡迎的安卓健康應用里,有19家將其數據出售給第三方和潛在的第四方,這些數據包括醫療條件、最喜歡的藥物和醫生,以及是否有懷孕史和吸煙史等。IBM的副總裁Nicole Gardner表示,這些數據還涉及了更多細節,例如社交健康因素: “你和誰約會”、“你們喜歡去哪里”、“你住哪里”、“去哪里旅行過”等。
“許多人不知道手上的Fitbit手環正在搜集、出售自己的數據。這些數據會被用于行為分析或廣告投放等。”她說道。最近Fitbit的發言人還發表了聲明,稱“我們沒有出售用戶的個人數據,也沒有把數據分享給別人,除非是隱私條例中描述的特殊情況”。
各類數據的需求量還在逐年上漲。相關研究表明,2017年健康數據市場的規模為142.5億美元,7年后,預計會增加到687.5億美元,翻了將近5倍。
Gardner認為現在的健康數據系統還很不完善。也不要指望他們會在短時間內發生變化。她認為將來這個系統會基于區塊鏈運行。但最近有一份超過150頁的白皮書分析道,大部分醫療區塊鏈項目“都還不夠成熟,人們對它的期望過于樂觀”。
另外其他隱私保護技術也會起到作用。例如,最近出現了一種名為同態加密的圖片加密方法,它能讓企業和個人在無需解密的情況下獲取和分析敏感數據。只靠技術無法確保健康數據的安全。最近美國衛生與公眾服務部提出了兩條新法規,要求醫療保健供應方、電子醫療記錄系統以及保險商,都能讓患者輕松地訪問自己的健康數據。
“灰色健康數據”也即將被審核。1月份,紐約提出了第一份限制保險公司搜集社交媒體等渠道數據的規則手冊,它要求保險公司并不會因為數據而差別對待消費者。當然,目前的醫療系統仍處于停滯階段,數據需求也在上漲。確保健康數據安全的方法,短時間還不會出現。