摘錄並改編自《我們的身體,我們的資料:公司如何通過出售我們的醫療記錄賺取數十億美元》。 版權所有© 亞當·坦納。經出版商燈塔出版社許可。保留所有權利。
與我們醫療治療無關的公司被允許購買和出售我們的醫療保健資料,前提是他們刪除了某些資訊欄位,包括出生日期、姓名和社會安全號碼。美國《健康保險流通與責任法案》(HIPAA) 中概述的這些指導方針,使得近年來出現了一個價值數十億美元的匿名患者資料交易市場,資料探勘公司收集了數億患者的檔案。越來越多的資料科學家和醫療保健專家表示,允許將數百萬匿名患者檔案彙總成檔案的計算機技術進步,也使得重新識別這些檔案(即將身份與患者匹配)變得越來越容易。
哈佛醫學院講師兼非營利組織 RTI 國際的健康資料專家喬納森·瓦爾德博士說:“透過用於匿名化的大多數流程,很難保護資料免遭重新識別。當這是一種罕見的疾病,並且有一些其他瑣事時,這很容易做到。由於電子公開資料的數量以及分析引擎的數量,這種情況變得越來越容易。”
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保關於塑造我們當今世界的發現和想法的有影響力的故事的未來。
匹茲堡的管理科學協會是幫助資料探勘者彙總匿名患者檔案的公司之一。該公司技術部門主管賈尼·賽義德坦率地談論了重新識別的風險,這讓我感到驚訝。
他說:“在大資料領域,隱私始終存在問題。無論你做什麼,無論你做多少資料混淆,如果你有足夠的資料,總是可以識別出特定的人。這並不難做到。”
外部人員可能能夠識別匿名檔案的另一種方式是,透過將其與其他駭客和竊賊近年來獲取的敏感檔案進行交叉引用。不幸的是,關於您的醫療檔案中識別出的詳細資訊可能已經在網際網路上或駭客圈子中流傳。我知道這種可能性,因為我是數百萬被醫療保險公司和供應商通知為遭受此類攻擊的受害者之一。2009 年至 2015 年間,美國衛生與公眾服務部記錄了 1300 多起涉及 500 多人的資料洩露事件,訪問了超過 1.35 億人的資料。
迄今為止,沒有公開記錄的駭客入侵資料探勘者持有的匿名個人患者檔案的事件,也沒有在美國報告過除學術實驗之外的匿名醫療記錄被重新識別的例項。即使竊賊確實破解了此類匿名記錄,他們還將面臨重新識別記錄的額外複雜性。所有這些努力的回報可能是對患者的更豐富的見解,而不是來自單一來源的檔案,因為匿名患者資料可能包含藥房、索賠、醫生甚至實驗室資訊。
專家們指出了外部人員尋求重新識別醫療檔案的各種可能動機。
一個想搶你工作或只是不喜歡你的工作競爭對手可能知道你何時休病假以及其他線索,這些線索可能會讓你在一批匿名患者檔案中找到你。突然間,您重新識別的檔案可能會在流通中出現。在激情犯罪中,一個情敵——或被拋棄的前情人——可能想在網際網路上傳播此類資訊,這是一種復仇色情的變體,前伴侶會在網上釋出親密照片。
“健康資訊,特別是可以包含從睡眠模式到診斷到遺傳標記的各種資訊,收集到的關於我們的資料可以描繪出一個非常詳細和個人的畫面,這在本質上是不可能去識別的,使其對資料經紀人、營銷人員、執法機構和犯罪分子等各種實體都很有價值,”民主與技術中心隱私與資料專案主管米歇爾·德莫伊說。
“來自商業實體的傳統匿名化方法,例如使用患者識別符號,也隨著關於個人的可用資料量而變得更加成問題——當然,整個行業都在追溯地匹配記錄。”
醫療資料,無論是去識別的還是重新識別的,也可能成為針對武裝部隊成員及其家人或高階軍官的國家安全武器。
一位不願透露姓名的軍方官員說:“不僅僅是這些資訊可能會讓一位將軍或一位參議員感到尷尬——因為我們也看到我們的系統中也有 VIP——而是我們環境中的某些健康資料的彙總可能是機密資訊。如果我要彙總我們國家特定地區(比如布拉格堡)的免疫接種資料,我可能會根據時間表瞭解特種作戰人員在世界何處準備部署。”
近年來線上資料盜竊事件的急劇增加表明,即使這種活動是非法的,陰暗的駭客也會經常竊取和洩露個人資料。竊賊可以利用這些資訊進行勒索或醫療身份盜竊。然而,重新識別醫療檔案本身並不構成犯罪,儘管這種行為可能構成違約,具體取決於資訊來源設定的條件。
不難想象一位美國參議員譴責一個外國,卻發現他或她的私密醫療資料被張貼在網際網路上,或者是不擇手段的政治操縱者洩露關於競爭對手候選人的資訊(2016 年美國競選活動的激烈程度使得這種卑鄙的伎倆很容易想象)。在股價對未來的披露做出反應之前,不擇手段的投資者可能很想了解關於關鍵企業領導人健康狀況的內部細節。狂熱的體育迷可能想羞辱競爭對手球隊的明星球員。
微軟 HealthVault 前總經理肖恩·諾蘭說:“這是關鍵挑戰:與金融欺詐不同,重要的不是那種大範圍的識別,而是 VIP 識別才是重要的。因為這是您實際上可以使用的可操作的真實資料。”
“不那麼隱秘的骯髒秘密是,HIPAA 認為匿名化的資料並非如此。”