隱私保護,應是發展互聯網醫療的優先議題

發表于  2018/05/18 06:30   約73分鐘

互聯網時代數據隱私已經成為各行業都不容忽視的風險所在。圖片來源:東方IC

互聯網時代數據隱私已經成為各行業都不容忽視的風險所在。圖片來源:東方IC

  近年來發生在互聯網行業的一係列隱私泄露事故,正反復告訴我們:巨頭們也許在某些方面非常強大,但他們對用戶隱私保護的能力遠沒有我們希望的那麼強大。僅僅是用戶姓名、年齡、外貌或是搜索偏好等信息的流出都會造成如此嚴重的後果,一旦我們的個人健康隱私數據發生泄露,後果會是怎樣?

 

互聯網醫療快速發展背後的隱憂

  在所有和移動互聯網相關的領域,中國快速發展的市場都給各種形態的業務創新提供了一個前所未有的施展空間。對于互聯網醫療這樣需要大量用戶數據的行業而言,巨大的人口基數+良好的互聯網基礎設施+快速上漲的慢病發病率,幾乎很難找到比中國更加合適的實驗土壤了。

  春雨醫生此前的一份報告顯示,2017年有超過300萬個家庭使用其提供的服務,范圍覆蓋“全球超過130個國家和地區”,顯示了移動醫療服務的需求之廣泛。此外,資本的介入也讓移動醫療服務的發展被“推動”或者説被“催熟”——平安好醫生5月初在港挂牌上市募資超過85億港元,微醫也宣布近期完成5億美元的Pre-IPO融資。有獨立分析機構預測,到2020年時,中國的互聯網醫療市場規模有望達到900億元。

  在行業高歌猛進的時候,我們需要認清一個現實:互聯網醫療的創業公司們,總是更容易把“搜集用戶數據”放在“保護用戶數據”的前面,把“用戶數據的商業價值”放在“患者隱私的可靠安全”前面。

  如果再考慮到醫療領域患者信息的敏感性,這一問題的迫切性會凸顯無疑。

 

其他國家的經驗中,我們可以借鑒什麼?

  中國的監管者顯然也意識到了患者信息保護的重要意義:在國務院審議通過的《關于促進“互聯網+醫療健康”發展的意見》中,明確提出“創新監管方式,切實防范風險”,並規定”嚴格執行信息安全和健康醫療數據保密規定,建立完善個人隱私信息保護制度,嚴格管理患者信息、用戶資料、基因數據等,對非法買賣、泄露信息行為依法依規予以懲處“。可以預測,建立起一套完善的、有章可循的監管體係,將是未來中國的監管機構和社會各界最重要的工作之一。

  在這種情況下,適當借鑒美國的經驗和教訓,很有必要。

  作為醫療信息係統發展較早的美國,在上世紀90年代已經部分地經歷了今天中國社會所經歷的隱私焦慮,並且在制度建設上有所建樹。1996年頒布的《健康保險攜帶和責任法》(以下簡稱 HIPAA),對患者病例記錄等個人隱私的保護、醫療健康信息安全電子傳輸的統一標準進行了相關規定,對保密信息的界定、保密信息的方式、電子數據的處理等做了相關規定。

  HIPPA的原則明確要求,“醫療保健提供者以及他們的合作夥伴,需要制定和遵循一係列的程序,以確保受保護的健康信息在傳輸、接收、處理或共享時的機密性和安全性,包括以書面、口頭和電子等所有形態傳送的健康信息。此外,開展相關業務,應該只使用或分享最少量的必要健康信息”。

  在打車軟件都恨不得給用戶貼上“美女”、“帥哥”標簽的今天,只使用“最少量的必要信息”原則意味著,和業務無必要關聯的用戶數據,機構無權搜集、存儲、使用和分享!而為了證明自己所搜集的信息確實必要,機構應該主動制定相關政策,並且負有對外披露的義務。

  具體來看,HIPAA中的信息安全標準可以分為四類:管理流程,主要關于如何從管理層面落實安全要求;物理防護,主要規范如何保護硬件係統實體以及相關的環境和設備;技術安全服務,主要規定對數據的訪問保護和監控要求;以及技術安全機制,即在網絡中保護信息和限制數據訪問。

  而隱私保護,可以説就是這部法案最重要的社會意義之一。

  對于今天中國的互聯網醫療而言,HIPPA最重要的一個借鑒意義或許在于,其雖然禁止了泄露患者“可識別的健康信息”,即可能導致患者身份被識別出來的信息,但是沒有禁止合法的機構、按照合法程序,與第三方機構分享經過脫敏處理之後的患者信息。所以,這就一方面保護了患者的利益,另一方面也平衡了數據交流分享的可能。

  當然,法規的頒布不等于醫療信息泄露的風險降低到零。2017年,亞馬遜服務器上一家醫療機構大約47GB的醫療數據意外泄露,涉及約15萬病人,流出的信息包括驗血結果等高度敏感個人信息。同年,一家心臟醫療集團失竊了一個未加密的硬盤,也導致其2009年到2016年間患者的具體信息全部泄露,包括詳細的姓名、出生日期、家庭住址、電話號碼、駕照號碼等。

  在中國,黑客攻擊、軟件釣魚等針對醫療機構和公司的信息犯罪也有走高的趨勢。根據媒體報道,2017年間,一個犯罪團夥因“非法搜索、交換、買賣公民個人信息總計約8000萬條”獲刑。細節顯示,這個團夥主要通過各種渠道搜集了大量“孕檢類型”的公民個人信息並且將這些信息非法出售。

  由于患者信息的高價值和敏感度,注定了這一數據類型會是各方利益主體、甚至不法分子明爭暗鬥的“富礦”,而監管與逃避監管之間的鬥爭也必將長期持續下去。盡管技術環境、文化環境和社會土壤存在差異,但是HIPPA的誕生歷程和所走過的路,對中國下一步的監管措施仍然有很重要的借鑒意義。

  盡管技術環境已經變化、文化和社會土壤也不同,但是HIPPA的誕生歷程和所走過的路,對中國下一步的監管措施仍然有很重要的借鑒意義。患者對自身信息的重視保護意識還不足、市場的自我規范能力還不強,急需政府在監管中承擔更加重要的作用,制定出一部能扎根落地、能長久為行業護航的行業基礎法規。我們應該認識到,對隱私保護的重視,也不只是對患者利益的尊重,最大的受益者,無疑是這個行業本身。

 版權聲明:本文為新華網思客獨家稿件,轉載須注明來源為新華網思客。授權合作請聯係sike@news.cn。

2121211

2018-03-0541

14 位網友推薦了本文

標簽: ,

專家

龐瑞

財經評論員,約翰·霍普金斯大學公共衛生在讀博士 /  14 篇文章

+ 訂閱

所屬數據庫

雜談

思客們的思想火花在這裏碰撞、交匯成一場盛宴。

+ 訂閱

回應

登錄評論

您還能輸入 300 字

發送

思客

隱私保護,應是發展互聯網醫療的優先議題

您可以添加如下代碼,然後復制粘貼到你要引用的網站下

預覽

隱私保護,應是發展互聯網醫療的優先議題

巨頭們也許在某些方面非常強大,但他們對用戶隱私保護的保護能力遠沒有我們希望相信的那麼強大。

010020040520000000000000011103170219532789
我的書簽

掃碼關注思客

意見反饋