摘录并改编自《我们的身体,我们的数据:公司如何通过出售我们的医疗记录赚取数十亿美元》。 版权所有© 亚当·坦纳。经出版商灯塔出版社许可。保留所有权利。
与我们医疗治疗无关的公司被允许购买和出售我们的医疗保健数据,前提是他们删除了某些信息字段,包括出生日期、姓名和社会安全号码。美国《健康保险流通与责任法案》(HIPAA) 中概述的这些指导方针,使得近年来出现了一个价值数十亿美元的匿名患者数据交易市场,数据挖掘公司收集了数亿患者的档案。越来越多的数据科学家和医疗保健专家表示,允许将数百万匿名患者文件汇总成档案的计算机技术进步,也使得重新识别这些文件(即将身份与患者匹配)变得越来越容易。
哈佛医学院讲师兼非营利组织 RTI 国际的健康数据专家乔纳森·瓦尔德博士说:“通过用于匿名化的大多数流程,很难保护数据免遭重新识别。当这是一种罕见的疾病,并且有一些其他琐事时,这很容易做到。由于电子公开数据的数量以及分析引擎的数量,这种情况变得越来越容易。”
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保关于塑造我们当今世界的发现和想法的有影响力的故事的未来。
匹兹堡的管理科学协会是帮助数据挖掘者汇总匿名患者档案的公司之一。该公司技术部门主管贾尼·赛义德坦率地谈论了重新识别的风险,这让我感到惊讶。
他说:“在大数据领域,隐私始终存在问题。无论你做什么,无论你做多少数据混淆,如果你有足够的数据,总是可以识别出特定的人。这并不难做到。”
外部人员可能能够识别匿名文件的另一种方式是,通过将其与其他黑客和窃贼近年来获取的敏感文件进行交叉引用。不幸的是,关于您的医疗文件中识别出的详细信息可能已经在互联网上或黑客圈子中流传。我知道这种可能性,因为我是数百万被医疗保险公司和供应商通知为遭受此类攻击的受害者之一。2009 年至 2015 年间,美国卫生与公众服务部记录了 1300 多起涉及 500 多人的数据泄露事件,访问了超过 1.35 亿人的数据。
迄今为止,没有公开记录的黑客入侵数据挖掘者持有的匿名个人患者档案的事件,也没有在美国报告过除学术实验之外的匿名医疗记录被重新识别的实例。即使窃贼确实破解了此类匿名记录,他们还将面临重新识别记录的额外复杂性。所有这些努力的回报可能是对患者的更丰富的见解,而不是来自单一来源的文件,因为匿名患者数据可能包含药房、索赔、医生甚至实验室信息。
专家们指出了外部人员寻求重新识别医疗文件的各种可能动机。
一个想抢你工作或只是不喜欢你的工作竞争对手可能知道你何时休病假以及其他线索,这些线索可能会让你在一批匿名患者文件中找到你。突然间,您重新识别的文件可能会在流通中出现。在激情犯罪中,一个情敌——或被抛弃的前情人——可能想在互联网上传播此类信息,这是一种复仇色情的变体,前伴侣会在网上发布亲密照片。
“健康信息,特别是可以包含从睡眠模式到诊断到遗传标记的各种信息,收集到的关于我们的数据可以描绘出一个非常详细和个人的画面,这在本质上是不可能去识别的,使其对数据经纪人、营销人员、执法机构和犯罪分子等各种实体都很有价值,”民主与技术中心隐私与数据项目主管米歇尔·德莫伊说。
“来自商业实体的传统匿名化方法,例如使用患者标识符,也随着关于个人的可用数据量而变得更加成问题——当然,整个行业都在追溯地匹配记录。”
医疗数据,无论是去识别的还是重新识别的,也可能成为针对武装部队成员及其家人或高级军官的国家安全武器。
一位不愿透露姓名的军方官员说:“不仅仅是这些信息可能会让一位将军或一位参议员感到尴尬——因为我们也看到我们的系统中也有 VIP——而是我们环境中的某些健康数据的汇总可能是机密信息。如果我要汇总我们国家特定地区(比如布拉格堡)的免疫接种数据,我可能会根据时间表了解特种作战人员在世界何处准备部署。”
近年来在线数据盗窃事件的急剧增加表明,即使这种活动是非法的,阴暗的黑客也会经常窃取和泄露个人数据。窃贼可以利用这些信息进行勒索或医疗身份盗窃。然而,重新识别医疗档案本身并不构成犯罪,尽管这种行为可能构成违约,具体取决于信息来源设定的条件。
不难想象一位美国参议员谴责一个外国,却发现他或她的私密医疗数据被张贴在互联网上,或者是不择手段的政治操纵者泄露关于竞争对手候选人的信息(2016 年美国竞选活动的激烈程度使得这种卑鄙的伎俩很容易想象)。在股价对未来的披露做出反应之前,不择手段的投资者可能很想了解关于关键企业领导人健康状况的内部细节。狂热的体育迷可能想羞辱竞争对手球队的明星球员。
微软 HealthVault 前总经理肖恩·诺兰说:“这是关键挑战:与金融欺诈不同,重要的不是那种大范围的识别,而是 VIP 识别才是重要的。因为这是您实际上可以使用的可操作的真实数据。”
“不那么隐秘的肮脏秘密是,HIPAA 认为匿名化的数据并非如此。”