大數(shù)據(jù)時(shí)代，我們?nèi)绾伪Ｗo(hù)自己的醫(yī)療隱私安全？

近年來(lái)，隨著大數(shù)據(jù)挖掘與分析等方法的逐漸成熟，人工智能技術(shù)已經(jīng)在醫(yī)療領(lǐng)域廣泛應(yīng)用。本文詳細(xì)討論了在醫(yī)療數(shù)據(jù)采集端與人工智能應(yīng)用端隱私保護(hù)所面臨的各項(xiàng)問(wèn)題，從技術(shù)的角度、法律的角度以及倫理道德的角度分別分析了醫(yī)療隱私安全，并最終提出了四條建議，為醫(yī)療行業(yè)隱私保護(hù)的理論和實(shí)踐發(fā)展提供了可行路徑。

大數(shù)據(jù)醫(yī)療時(shí)代的人工智能

大數(shù)據(jù)很早就開始為醫(yī)療行業(yè)保駕護(hù)航了，但到底什么是大數(shù)據(jù)醫(yī)療，這里首先做一個(gè)定義。學(xué)術(shù)界通常通過(guò)4V來(lái)描述大數(shù)據(jù)：海量數(shù)據(jù)規(guī)模（Volume）、快速的數(shù)據(jù)流轉(zhuǎn)（Velocity）、多樣的數(shù)據(jù)類型（Variety）和較低的價(jià)值密度（Value）[7]。從不同領(lǐng)域出發(fā)，對(duì)大數(shù)據(jù)的理解也各不相同。在醫(yī)療領(lǐng)域，這4V也同樣成立：醫(yī)療數(shù)據(jù)正以史無(wú)前例的速度不斷更迭（Volume）；病種繁多，病人各異，醫(yī)療數(shù)據(jù)必須快速流轉(zhuǎn)（Velocity）；醫(yī)療數(shù)據(jù)有文字、有影像，甚至各個(gè)醫(yī)院還有各種不同格式的文件（Variety）；對(duì)醫(yī)療數(shù)據(jù)的聚通用還遠(yuǎn)遠(yuǎn)不夠（Value），要想辦法提高對(duì)醫(yī)療行業(yè)數(shù)據(jù)的“加工能力”，通過(guò)“加工”實(shí)現(xiàn)數(shù)據(jù)的“增值”。

大數(shù)據(jù)醫(yī)療伴隨著新的人工智能技術(shù)的進(jìn)步而蓬勃發(fā)展，例如用人工智能來(lái)進(jìn)行預(yù)測(cè)和生成推薦系統(tǒng)，其中最典型的應(yīng)用之一是圖像分析。目前國(guó)內(nèi)診斷病人CT 圖像還普遍采用兩個(gè)醫(yī)生同時(shí)查看的形式，當(dāng)兩個(gè)醫(yī)生對(duì)該圖像得出相同的判斷時(shí)容易認(rèn)定，但當(dāng)兩個(gè)醫(yī)生得到的結(jié)論不同時(shí)則需要討論。這種方法是為了提高診斷的準(zhǔn)確率，但是耗費(fèi)人力。卷積神經(jīng)網(wǎng)絡(luò)（Convolutional neural networks CNN）是一種典型的深度學(xué)習(xí)算法，已經(jīng)在醫(yī)學(xué)圖像領(lǐng)域擁有廣泛的應(yīng)用。CNN可以接受各種醫(yī)學(xué)圖像的訓(xùn)練，包括放射科、病理科、皮膚科和眼科等。CNN獲取輸入圖像，并使用簡(jiǎn)單的操作（如卷積、匯集和完全的連接層）將其順序轉(zhuǎn)換為扁平向量，輸出向量的元素表示疾病存在的概率，因此可以輔助醫(yī)生進(jìn)行診斷，在很大程度上緩解醫(yī)生的工作量[8]。另外一個(gè)人工智能的醫(yī)療大數(shù)據(jù)應(yīng)用是預(yù)測(cè)治療路徑，例如通過(guò)多種類多形式數(shù)據(jù)預(yù)測(cè)一個(gè)內(nèi)傷患者發(fā)生大出血的概率并建議采取干預(yù)治療，或者預(yù)測(cè)一個(gè)重傷人員在一年內(nèi)死去的概率從而建議從傳統(tǒng)治療轉(zhuǎn)為臨終關(guān)懷[6]。

在真實(shí)的應(yīng)用場(chǎng)景中，人工智能輔助醫(yī)療要通過(guò)大量的數(shù)據(jù)積累，包括疾病診斷記錄、病人用藥效果、基因數(shù)據(jù)、家庭病史、行為數(shù)據(jù)甚至社會(huì)環(huán)境狀況數(shù)據(jù)等。在國(guó)內(nèi)，要實(shí)現(xiàn)上述數(shù)據(jù)積累，最重要的壁壘是打通各個(gè)醫(yī)院和社區(qū)間的數(shù)據(jù)交換共享渠道。美國(guó)基于此考慮建設(shè)了一個(gè)電子健康記錄系統(tǒng)（Electronic health records EHRs）,十年內(nèi)積累了1000萬(wàn)名病人的記錄。EHR的潛在應(yīng)用價(jià)值是巨大的，如果好好加以利用，這相當(dāng)于積累了20萬(wàn)年醫(yī)生的智慧和1億年的疾病情況[9]。在這樣的技術(shù)不斷突飛猛進(jìn)的同時(shí)，我們享受到了科技進(jìn)步帶來(lái)的好處，但我們不禁要問(wèn)，在人工智能學(xué)習(xí)分析大背景數(shù)據(jù)的同時(shí)，病人的隱私被侵犯了嗎？存在道德風(fēng)險(xiǎn)嗎？我們的現(xiàn)行法律能否保障我們?cè)谥委熤泻椭委熀蟮臋?quán)益？

健康隱私

個(gè)人隱私向來(lái)是一個(gè)很難定義的概念。因?yàn)閭€(gè)人隱私無(wú)法像上文中的大數(shù)據(jù)一樣用幾個(gè)“V”就可以描述，個(gè)人隱私的定義要與其內(nèi)涵強(qiáng)關(guān)聯(lián)，與行為人強(qiáng)關(guān)聯(lián)，涉及到內(nèi)涵溢出的目的、頻率以及具體信息[6]。當(dāng)這些關(guān)聯(lián)規(guī)則被違背時(shí)，我們可以說(shuō)個(gè)人隱私被侵犯了。隱私侵犯可以發(fā)生在錯(cuò)誤的行為人接觸到信息時(shí)，或者內(nèi)涵溢出的目的動(dòng)機(jī)不符合預(yù)設(shè)時(shí)，或者內(nèi)涵溢出的頻率超出規(guī)定時(shí)等。健康隱私的內(nèi)涵包括但不限于患者的隱私在病歷中的詳細(xì)記載，病情、個(gè)人史、家族史、接觸史、身體隱私部位、異常生理物征等病理和個(gè)人生活秘密。侵犯?jìng)€(gè)人健康隱私是否成立不應(yīng)基于信息量或?qū)ο髷?shù)據(jù)集的大小，因?yàn)榧词箤?duì)象不大其后果仍可能是很嚴(yán)重的。在人工智能醫(yī)療應(yīng)用過(guò)程中的個(gè)人隱私問(wèn)題主要可出現(xiàn)在圖1所示各環(huán)節(jié)。主要造成溢出的過(guò)程是數(shù)據(jù)匯聚和人工智能應(yīng)用兩個(gè)環(huán)節(jié)，以下分別予以討論。

圖1人工智能應(yīng)用中主要涉及隱私安全問(wèn)題各環(huán)節(jié)

數(shù)據(jù)匯聚的過(guò)程中產(chǎn)生的隱私問(wèn)題

在數(shù)據(jù)匯聚過(guò)程中的隱私問(wèn)題主要指擔(dān)憂隱私被直接侵犯的情況，或者可以理解為如圖1所示輸入和存儲(chǔ)中造成的內(nèi)涵外溢。這可以是可預(yù)測(cè)的結(jié)果，比如乙肝病毒庫(kù)的隱私泄露可能導(dǎo)致當(dāng)事人找工作受到歧視。有的結(jié)果是不可預(yù)測(cè)的，比如一個(gè)人總是擔(dān)心自己的隱疾被泄漏出去而導(dǎo)致精神緊張甚至抑郁癥。

也要考慮到另一種情況，即是很多隱私是在當(dāng)事人不知情的狀況下泄漏的，比如某些公司刻意收集網(wǎng)絡(luò)上的個(gè)人隱私狀況或非法入侵某些醫(yī)療機(jī)構(gòu)數(shù)據(jù)庫(kù)竊取數(shù)據(jù)，即使這些泄漏數(shù)據(jù)并未被直接加以利用給當(dāng)事人帶來(lái)?yè)p失，甚至記錄也已被刪除，然而此種情況也應(yīng)屬于醫(yī)療數(shù)據(jù)安全問(wèn)題，可能有潛在的危害，應(yīng)該被予以重視。

數(shù)據(jù)匯聚過(guò)程中的隱私問(wèn)題也涉及很多法律和道德問(wèn)題。健康隱私數(shù)據(jù)的來(lái)源包含很多方面：電子病歷、醫(yī)療保險(xiǎn)、智能健康終端設(shè)備和社交媒體等等。美國(guó)關(guān)于隱私安全的立法較早，1974年即通過(guò)《隱私權(quán)法》（The Privacy Act），后在2003年生效《健康保險(xiǎn)攜帶與責(zé)任法》（Health InsurancePortability and Accountability Act, HIPAA）。通過(guò)HIPAA規(guī)定了很多EHR的隱私保護(hù)細(xì)則，對(duì)使用EHR系統(tǒng)也有明確的規(guī)定，是否可以對(duì)EHR加以利用取決于信息是如何建立的、誰(shuí)在維護(hù)以及當(dāng)事人情況[10]。

中國(guó)法律暫未對(duì)個(gè)人健康隱私有進(jìn)一步明確的規(guī)范，只是在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第四十四條強(qiáng)調(diào)了“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息?！币约罢趯徸h中的《中華人民共和國(guó)基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第二十一條提到：“國(guó)家保護(hù)與公民健康有關(guān)的個(gè)人隱私，確保個(gè)人健康信息安全。除法律法規(guī)規(guī)定或本人同意外，任何組織和個(gè)人不得獲取、利用和公開公民個(gè)人健康信息?！睆倪@兩條法律法規(guī)的對(duì)比可見(jiàn)，我們的相關(guān)法律和規(guī)范還比較宏觀，缺乏對(duì)具體情況的考慮。

我國(guó)在2018年5月1日開始實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》，是一部相對(duì)比較完整，從個(gè)人信息的收集、保存、使用等角度提出保護(hù)個(gè)人信息安全應(yīng)遵循的原則。然而，我們還缺少針對(duì)醫(yī)療隱私保護(hù)的詳細(xì)的法律法規(guī)，現(xiàn)階段在健康數(shù)據(jù)系統(tǒng)還沒(méi)有打通的情況下矛盾尚不明顯，一旦有了國(guó)家范圍內(nèi)類似美國(guó)EHR的數(shù)據(jù)共享系統(tǒng)，隱私保護(hù)問(wèn)題將被無(wú)限放大，我們應(yīng)該提前做好預(yù)防。

有的人會(huì)問(wèn)，在數(shù)據(jù)原始采集過(guò)程中有一個(gè)關(guān)鍵的問(wèn)題，即為了研究的目的或更多人的利益著想，某些健康隱私是否可直接被脫敏后再進(jìn)行存儲(chǔ)和使用。然而首先脫敏的方法和標(biāo)準(zhǔn)沒(méi)有定性，其次，現(xiàn)階段的某些技術(shù)達(dá)到了即使脫敏后也可以通過(guò)多數(shù)據(jù)集的比對(duì)重新配對(duì)數(shù)據(jù)的程度，從而使脫敏失效[11]。

人工智能數(shù)據(jù)使用過(guò)程中產(chǎn)生的隱私問(wèn)題

如圖1所示，人工智能的數(shù)據(jù)輸出包含多種方面，比如智能輔助診療，預(yù)測(cè)診療手段、精準(zhǔn)切除以及各種基因處理方法等。在數(shù)據(jù)輸出過(guò)程中的隱私安全問(wèn)題不可回避，其直接造成的一類后果就是帶來(lái)歧視。例如在聘用過(guò)程中如果雇主通過(guò)某些渠道的診療手段泄漏獲悉擬聘用人員有慢性病或一些較難治療的疾病，有很大可能會(huì)招致聘用失敗，而這是違反《勞動(dòng)法》的。特別是針對(duì)一類在聘用時(shí)其實(shí)并沒(méi)有疾病但屬于染病高風(fēng)險(xiǎn)人群（可能是基因數(shù)據(jù)的分析結(jié)果或是家庭病史甚至社區(qū)和性取向等帶來(lái)的高風(fēng)險(xiǎn)等），這樣的信息泄露很顯然是不公平的。

最近一項(xiàng)針對(duì)臨床試驗(yàn)參與者的調(diào)查發(fā)現(xiàn)，6.6%的參與者“非常擔(dān)心”，14.9%的參與者“有點(diǎn)擔(dān)心”，即“如果信息與我聯(lián)系起來(lái)，我會(huì)受到歧視”。但正如調(diào)查報(bào)告作者承認(rèn)的，特定的特征研究人群的主觀導(dǎo)向，尤其是他們已經(jīng)決定參加臨床試驗(yàn)的事實(shí)，可能會(huì)影響到他們的決定從而最終影響預(yù)測(cè)結(jié)果的準(zhǔn)確性[12]。

另一類在人工智能預(yù)測(cè)結(jié)果中產(chǎn)生的隱私侵犯可能不會(huì)直接帶來(lái)嚴(yán)重的后果，但因?yàn)閾?dān)心自己的隱私權(quán)受到侵犯，可能會(huì)使人精神緊張、暴躁甚至產(chǎn)生精神疾病。比如在自動(dòng)比對(duì)基因庫(kù)的過(guò)程中發(fā)現(xiàn)的一類問(wèn)題可能會(huì)引致思考別人看到會(huì)怎么辦的想法，從而導(dǎo)致一些焦慮。

總結(jié)并提出建議

首先不能因噎廢食，應(yīng)該區(qū)分性對(duì)待隱私所有權(quán)問(wèn)題。包括脫敏程度，數(shù)據(jù)使用者以及使用目的。例如疾控中心可以用流感應(yīng)對(duì)數(shù)據(jù)對(duì)比醫(yī)院發(fā)熱病人狀態(tài)，來(lái)重新考核現(xiàn)行流感控制措施，這樣做確實(shí)在未經(jīng)許可時(shí)侵犯了健康隱私（未予泄漏），但其目的是為潛在的發(fā)病做更好的服務(wù)。

其次須采用一些創(chuàng)新的方法去追求醫(yī)療隱私問(wèn)題的平衡性。新的人工智能技術(shù)不斷涌現(xiàn)，某些隱私數(shù)據(jù)在積累時(shí)尚不能考慮到其應(yīng)用場(chǎng)景和應(yīng)用范圍，所以也不能提前征求被采集者的意見(jiàn)，而當(dāng)需要使用其數(shù)據(jù)時(shí)，很多情況下難以做到一一征求意見(jiàn)，特別是在看似無(wú)害的數(shù)據(jù)使用情況下。因此，利用新的人工智能技術(shù)，在數(shù)據(jù)匯聚的過(guò)程中即做好甄別和預(yù)判數(shù)據(jù)使用權(quán)限工作，提前征求當(dāng)事人意見(jiàn)，則可避免許多矛盾。

第三，加強(qiáng)醫(yī)療數(shù)據(jù)安全領(lǐng)域立法，特別是細(xì)致的、針對(duì)信息是如何建立的、誰(shuí)在維護(hù)以及當(dāng)事人情況的法律法規(guī)的建立是有急切需求的。

最后，建議成立國(guó)家、省、市級(jí)“關(guān)鍵數(shù)據(jù)安全委員會(huì)”，對(duì)醫(yī)療數(shù)據(jù)如何開放共享，如何判定隱私泄漏責(zé)任權(quán)屬以及新技術(shù)的應(yīng)用等問(wèn)題，起到關(guān)鍵指導(dǎo)作用。