可穿戴医疗设备引发的信息隐私保护问题及对策分析*
2015-01-26邓世洲王秀民
邓世洲,王秀民,刘 帆
(北京大学人民医院信息中心,北京 100044,dsz231@126.com)
可穿戴医疗设备引发的信息隐私保护问题及对策分析*
邓世洲,王秀民,刘帆**
(北京大学人民医院信息中心,北京 100044,dsz231@126.com)
论述了可穿戴医疗设备的概念、发展趋势,采集信息的特殊方式以及隐私保护从住宅到人,再到以数据为中心的发展趋势。由此,分析了信息隐私保护面临的伦理挑战有:数据当事人的自主权、自决权受到削弱;可穿戴医疗设备的双刃剑效应增大隐私保护难度;尚未健全的可穿戴医疗设备的行为规范加大隐私保护难度。而可穿戴医疗设备隐私保护面临挑战的诱因主要有:商业利益的驱动,隐私侵犯的成本大幅降低,医患信息不对称,患者隐私保护意识较弱。针对以上问题,提出了信息隐私保护的对策,完善可穿戴医疗设备的伦理规范和政策法规,提高可穿戴医疗设备使用者的自我保护意识,提高可穿戴医疗设备的技术保护实力。
可穿戴设备;信息隐私;隐私保护;医学伦理对策
可穿戴技术的兴起,不仅带动了消费级可穿戴健康设备的热销,而且引发了专业级可穿戴医疗设备的研究热潮。人们在享受可穿戴设备带来的便捷、新奇体验时,殊不知个人的隐私正面临着前所未有的威胁。
1 可穿戴设备的兴起
1.1可穿戴设备的概念
随着智能腕表、运动手环和谷歌眼镜等可穿戴设备的兴起和普及,市场也适逢其会的掀起一波可穿戴设备的热潮。消费型可穿戴设备可采集个人生活和运动数据,并进行跟踪,甚至分析、共享数据。比如,对日常跑步数据进行采集、跟踪,分析长期监测的数据,推断出可穿戴设备使用者的生活习惯和运动方式;而医用型可穿戴设备还可采集人体的生命体征数据。如使用专业医用采集设备后,可在自然生活状态下实时监测佩戴者的心电、脑电、血氧等医疗指标,以客观的实时数据为医生提供决策支持。
1.2可穿戴设备的发展趋势
可穿戴设备不仅吸引了耐克和阿迪达斯等消费巨头,通用电气公司和飞利浦等大型医疗电子公司也都参与其中。[1]虽然目前可穿戴式无线设备主要侧重于以消费为导向的运动、健身和保健市场,但在不远的将来,低成本、低功耗、集成标准化无线连接的可穿戴设备,将越来越多的涉足医疗领域,如居家慢病监控、远程疾病诊断和反馈治疗等。在物联网蓬勃发展之际,医用可穿戴设备为实现远程监护、诊断和治疗提供了硬件基础,同时也促使就医模式发生变化,远程健康监护的发展也有了新趋势:①从健康监护的空间上来看,从医院的重症监护逐渐向社区、家庭的保健监护、诊断监护和治疗监护发展;②从健康监护的技术上来看,从单一指标的一次性远程监护向多参数24小时动态监护发展;③从健康监护的组织形式上来看,从单纯资料传递向多系统结合、临床多方会诊方向发展。
1.3可穿戴设备采集信息的特殊方式
可穿戴设备除了采集常规的个人身份信息之外,还能够采集佩戴者在自然生活状态下的地理位置信息和实时发生的生命体征数据。如心衰患者佩戴无线心衰监护设备,从设备传回数据中心的信息分析可知,佩戴者去过哪些地方,行动轨迹如何,在某时刻其关键生命体征如何。此类设备不但可以不间断地回传大量数据供医生分析从而得到预警信息,而且可以向佩戴者反馈诊断信息和治疗指令。以前,只能在医疗机构当时采集的信息,如今借助可穿戴医疗设备可以随时随地采集信息、实时传输信息,而且多项生命体征信息可同时采集、同时传输,甚至可以双向传输。所以,医用可穿戴设备的发展,不仅给医疗带来了巨大便利,而且提高了医生诊断治疗的效率和质量,但是这项新技术在给人们带来巨大便利的同时也引发了新的伦理问题。
2 隐私保护的发展趋势
隐私的观念早就存在,只不过各个时期人们对隐私的理解不同。[2]社会科学和自然科学的不断发展对隐私观念的发展都存在深刻的影响,使得隐私保护的重心随着社会的进步而发生了转移,经历了从住宅到个人,再到数据的转变。
2.1以住宅为重心的隐私保护
18世纪中期,英国首相威廉·皮特曾在国会的演讲中说:“穷人的房子,可能已经破败、摇摇晃晃,风雨在其中穿梭。但风可以进,雨可以进,英格兰的国王却不能进,他的权力止于这间破房子的门槛”。[3]美国最早意义上的隐私权,也是集中在以住宅为代表的物理空间之上的。[3]在这个时期,由于自然科学的技术手段达不到超越墙壁、大门的限制而获悉住宅内的信息,因此,以物理空间的住宅存在来划分隐私保护的界限。
2.2以人为重心的隐私保护
1876年,贝尔发明的电话极大地方便了人们的交流,推动了社会的发展,但是也给隐私保护带来了新的挑战,加上照相、摄像等新技术的相继出现,可以不需要物理的强制性的侵入住宅而获取个人信息,从而达到侵犯隐私的目的。[3]1890年,美国学者Warren和Brandeis在其发表的《隐私权》一文中,首次提出隐私权的概念,将其定义为独处的权利。在技术的推动下,隐私权的保护重心从住宅保护转变为以个人为重心的保护。[3]
2.3以数据为重心的隐私保护
进入21世纪以来,物联网技术飞速发展,获取的信息不仅仅是数据当事人能够掌握的个人身份信息,还包括个人无法完全决定是否产生、一旦产生却较难理解、无法有效利用的数据。特别是可穿戴无线医疗设备的出现,实时采集的生命体征信息,在此过程中伴随产生的地理位置信息,医生反馈的诊断治疗信息等,以大量的数据为基础可以分析、推断出佩戴者的行动轨迹、实时的健康状况等个人关键信息。因此,以“数据”为重心的隐私保护与以“住宅”和“人”为重心的隐私保护相比有如下特点:①隐私信息的产生、传输和使用更难以被个人察觉和理解;②隐私信息的类型和数量持续增多,如位置信息、生命体征信息、基因信息、运动轨迹等;③隐私信息综合性更强,可扩展分析的潜力更大,如根据某时间点的生命体征信息综合推断正在经历的医疗或者生活事件,根据基因位点特征追溯出家族遗传史等。哥伦比亚大学教授A1an Westin将信息社会的隐私权定义为:个人控制、编辑、管理和删除关于他们自己的信息,并决定何时何地,以何种方式公开这种信息的权利。[3]因此,在这一时期,由于物联网技术的发展,隐私保护的重心进一步发展转变为以数据保护为主。
3 信息隐私保护面临的伦理挑战及诱因分析
医学信息是指一切与生命健康科学有关的信息,包括分子水平、基因水平、蛋白水平、细胞水平、器官水平、个体水平和公共卫生水平等。[4]物联网技术在医学领域的发展不仅使得医疗活动产生了质的飞跃,同时也引发了新的伦理问题,信息隐私保护受到了前所未有的挑战。
3.1可穿戴医疗设备的兴起对信息隐私保护提出新的挑战
3.1.1数据当事人的自主权、自决权受到削弱。
物联网技术在医疗领域的迅速发展,使得人们能够便捷的获取各个生命层次的数据,如基因芯片可以获取特定基因的序列信息,进行疾病诊疗、药物筛选、司法鉴定等工作;蛋白质芯片可以获取特定蛋白质的氨基酸序列信息,使之成为一些疾病早期诊断的依据;细胞传感器可以获取特定细胞类型的分布、数量以及形态变化,以此成为诊断的证据;医用可穿戴设备在器官和个体层面,综合采集多种生命体征,如心电、脑电、血氧等,作为诊断依据以及反馈治疗的节点。而这些信息,数据当事人无法完全理解、无法自主利用、甚至不能完全自主掌控其产生。
自决权要求在个人健康数据的使用过程中,不违背健康数据主体的主观意愿,在明确资料使用目的并认可的情况下,经主观同意授权使用个人的健康数据。[5]可穿戴设备在个体自然生活状态下采集了数据当事人不能完全理解的生命体征数据,之后将数据传给医疗专业人员使用,帮助数据当事人做诊断或者治疗。因此,在针对个人的情况下,数据当事人无法自主决定采集的数据是否应当全部或部分可利用、在何时被利用或在多大范围内被利用。所以在这里,个体对其信息隐私的自决权被削弱了。[6]可穿戴医疗设备扩展了人体信息采集广度和深度,在非医疗环境下能够产生医疗数据,不仅方便了保健人群,更为医务人员提供了前所未有的大样本数据资料,使之基于大数据做临床研究成为可能。因此,海量的健康数据将被利用,这些数据谁来使用、如何使用、以何种目的使用,数据产生者是不得而知的,对此也是无能为力的。对于集体的信息隐私,数据产生者几乎失去了自决权。
3.1.2可穿戴医疗设备的双刃剑效应加大隐私保护难度。
可穿戴医疗设备因其采集数据的准确性高、连续性强、实时性好、分析能力强等特点得到医患双方的认可。在为患者的健康、医生诊疗以及医学研究带来便利的同时也为数据泄露、倒卖、恶意利用带来了便利。由于可穿戴医疗设备采集的信息必须通过各种网络传播,而网络具有开放性、交互性、连接形式多样性、共享便捷性等特征,使得可穿戴医疗设备数据暴露的环节增多、数据量增多、数据类型增多、数据融合后的隐私暴露更多。
3.1.3尚未健全的可穿戴医疗设备加大隐私保护难度。
可穿戴医疗设备是在物联网技术的发展下发展而来的新生事物,刚开始应用于医疗领域,设备的安全、数据采集、传输以及数据利用、传播等仍未建立行业标准来规范,致使服务提供方各自为政,靠个人或者机构自律,欠缺行业自律的监督,隐私保护亦无标准可循,因此其保护难度较大。
3.2可穿戴医疗设备隐私保护面临挑战的诱因
3.2.1商业利益的驱动。
现代商业竞争日趋激烈,在信息社会中,人们获得公开信息的时间和渠道没有明显差异。要想在竞争中获胜,必须要想办法优先获取信息或者获取针对性的信息以领先对手。隐私信息的价值是促使其泄露的一个根本动力,在未征得消费者同意的情况下,为了牟取自身经济利益而将消费者的各种信息卖给其他的需求者,[7]如刚怀上孩子不久的孕妇会收到奶粉广告,刚做完截肢手术的患者会接到推销轮椅的电话。所以,商业利益驱动是隐私保护挑战加大的诱因之一。
3.2.2隐私侵犯的成本大幅降低。
由于互联网技术的普及,物联网技术的兴起,使得个人数据的采集、处理、存储、传输变得更加容易,不需要物理性的侵入,甚至在数据当事人不知情的情况下就能够采集到所需的数据。由此,个人的信息隐私极有可能处于尴尬境地。例如使用可穿戴医疗设备诊疗疾病时,数据当事者为了享受更高质量、更便捷的服务,就不得不主动提供尽量全面的个人信息,不得不同意采集实时的生命体征数据供医务人员分析。与此同时,数据当事人又担心数据被窃取、被超范围使用。如果隐私被侵犯,数据当事人举证难度大、诉讼周期长、花费成本高、成功几率低,最终难以获得补偿。技术的进步使得数据采集、使用成本大大降低,相反隐私保护的成本却在不断上升。
3.2.3医患信息不对称,患者隐私保护意识淡薄。
信息保护意识因人而异,受其生活环境、工作、学历、职业、地域等因素影响。[7]医疗行为的专业性很强,由此造成医患双方信息极为不对称。因此,诊疗活动中,患者总是处于被动接受的地位。而医疗行为又是一种不得不探究患者身心隐私的行为,如生活的癖好、身体的状态、内心的活动等。作为患者,为了寻求医生帮助,尽可能告知医生真实情况。在此过程中患者的隐私保护意识不自觉地淡化了。
3.3信息整合最大限度暴露隐私
在信息时代,无论是个人的日常生活小事,还是健康、教育等大事,都会在各种各样的信息系统中留下“数据脚印”。这些“数据脚印”保存在不同的系统中,可能无伤大雅,但如果建立起中央数据中心,通过数据整合和信息加总,就可以再现一个人的生活轨迹,各个系统之间的数据可以彼此印证、相互解释,个人隐私就无所遁形。[3]
可穿戴医疗设备的应用,不仅能够收集佩戴者的基本信息,而且能够采集实时的客观生命体征和主观输入的事件信息、评价信息。如心衰患者佩戴的无线远程监护仪,采集的心电信号通过移动网络传回数据中心,分析人员就能够获悉佩戴者的动态地理位置,当前发生了什么事件、佩戴者主观感受如何,佩戴者心脏在此时此刻的状况。如果结合以往的病历资料,医务人员就能够全景再现佩戴者的实时状况,其生活轨迹、量化的健康状况暴露无遗。当把各个医疗机构分散于各个医疗信息系统的数据加总起来,如既往的病历资料,实时监护的生命体征数据,当前的地理位置信息,在方便佩戴者享受服务、方便医务人员决策的同时,也把佩戴者的隐私完全暴露了。
4 信息隐私保护对策
本文从可穿戴医疗设备隐私保护的伦理规范、政策法规、自我保护意识以及技术支撑三个方面来讨论其保护对策。
4.1完善可穿戴医疗设备的伦理规范和政策法规
信息隐私的伦理辩护与信息隐私的法律保护之间有着密切的关系。只有在中国的伦理学研究者为信息隐私保护提供了充分的、坚实的伦理根据之后,保护信息隐私的法律才可能获得不容置疑的合理性基础,法律对于信息隐私的保护才可能臻于完善。[8]对于可穿戴医疗设备的隐私保护,我们可以从以下四个方面入手,加强伦理规范和政策法规建设。
首先,加强行业自律。行业相关组织应尽快制定相关规范,积极主动承担责任。虽然行业自律存在一定缺陷,缺乏有力的法律支撑和执行力,难以完全保证个人信息安全,但是在一定程度上还是能减少服务提供方不合理行为带来的危害,起到保护个人信息安全的作用。
其次,完善可穿戴医疗设备的知情同意规范。传统的知情同意容易界定时间、范围和内容。可穿戴医疗设备监测数据内容多且不易理解,监测时间长、综合性强,数据使用者更为广泛,知情同意告知难度大。因此,需要建立有针对性的知情同意规范,明确告知佩戴者采集的持续时间、数据内容等,保证个人信息的收集是建立在合理合法的基础之上,并有义务将数据使用目的和使用权限告知,并征得其本人同意。
再次,加强可穿戴医疗设备的认证制度。服务提供者有义务采取可靠的技术和物理措施,去积极有效地保证设备的稳定性和安全性。防止因设备被攻击而导致佩戴者个人信息被滥用、篡改和丢失。
最后,规范可穿戴医疗设备的数据管理制度。在数据的采集、传输、存储环节需要具备加密保护措施,数据使用环节需要有分级授权机制等,并保证其信息完整。
4.2提高可穿戴医疗设备使用者的自我保护意识
我国对以“数据”为中心的隐私保护也在逐步发展。如在医学领域的临床研究当中,对数据当事人的个人身份信息或者敏感检查信息采用不予公开的方式予以保护。可穿戴医疗设备的佩戴者可从以下四个方面加强信息隐私的自我保护意识:①要求了解该设备采集的数据内容、持续时间以及数据使用范围,并要求知晓本次采集数据会和本人哪些关键信息整合;②要求主动了解可穿戴医疗设备提供方采取的隐私保护策略,如采集信息的内容、方式、目的、信息使用的主体、范围、途径、期限、采取怎样的保护措施,由谁来确保个人信息安全的维护等;③要求签署知情同意,明确数据采集内容和限定数据使用范围;④严格保护自己的医疗健康账号,不向其他人透露,否则会加大隐私信息被盗风险。
4.3提高可穿戴医疗设备的技术保护实力
个人隐私保护意识的增强和伦理、法律等隐私保护相关制度的完善,从意识层面推动了隐私保护的发展。在信息社会中,还需要相应的技术手段为信息隐私保护提供强有力的技术支撑。如针对可穿戴医疗设备的技术特点:实时采集数据、无线网络传输、整合数据分析、诊疗信息反馈、地理位置动态追踪、主客观事件实时记录等,加强数据的采集、传输、存储、分析、使用各个环节技术层面的保护,采用加密技术、数字签名技术、防火墙技术、时间戳技术为信息安全保驾护航,防止恶意的隐私泄露和侵犯。
5 结论
在以“数据”为重心的隐私保护时代,个体的私人数据的使用价值发生了变化,不仅仅是为别人的利益服务,更可能是为自己服务,如医生分析大量的心电数据并结合实时的主客观事件进行分析,得出在某种环境、某种状态下服用某种药物对心衰有更积极的作用,这是个人的隐私数据为集体利益作出了贡献。但是,数据当事人对这些数据没有实际的控制力,是否为了集体利益可以牺牲部分个人隐私利益,这是一个值得探索的信息隐私保护课题。
[1] 可穿戴式无线医疗设备市场增长潜力巨大[EB/ OL].http://news.yjton.com/scfx/2012/0629/ 415425.htm1,2012-06-29.
[2] 王秀哲.隐私、隐私观念和隐私权[J].理论与改革,2005,(1):137-139.
[3] 涂子沛.大数据[M].桂林:广西师范大学出版社,2013.
[4] 丁宝芬.医学信息学[M].南京:东南大学出版社,2009:22-23.
[5] 黄颖,姜柏生.患者隐私权的研究与现状保护[J].医学与哲学:人文社会医学版,2007,28(4):26-28.
[6] 赵迎欢,杨雪娇,沈聪,等.纳米医学信息技术与“隐私”保护——兼评Jeroen van den Hoven“隐私”保护思想[J].医学与哲学:人文社会医学版,2010,31(11):36-37.
[7] Mary J.Cu1nan,Pame1a K.Armstrong.Information Privacy Concerns,Procedura1 Fairness,and Impersona1Trust:An Empirica1 Investigation[J]. Organization Science,1999,10(1):104-115.
[8] 吕耀怀.信息隐私问题的伦理考量[J].情报理论与实践,2006,29(6):19-22.
〔修回日期 2015-01-09〕
〔编 辑 李恩昌〕
The Information Privacy Protection Issues and Counterm easures Analysis from the Developm ent ofW earab le M edical Devices
DENG Shizhou,WANG Xiumin,LIU Fan
(Medical Information Center,Peking University People's Hospital,Beijing 100044,China,E-mail:dsz231@126.com)
This paper introduced the concept ofwearab1emedica1equipment,the deve1opment trend,a particu1ar way of gathering information and privacy protection from residentia1to peop1e,to the deve1opment trend of data-centric.Thus,this paper ana1yzes the information privacy protection of ethica1 cha11enges are:data has been weakened by the autonomy of the parties,the right to se1f-determination;The doub1e-edged effect of wearab1e medica1equipment increases the difficu1ty of the privacy protection,Has not been perfectwearab1emedica1equipment behavior increase the difficu1ty of privacy protection.Privacy protection facing the cha11enge ofwearab1emedica1devices for causesmain1y inc1ude:commercia1 interests drive;Privacy vio1ation cost great1y reduced.Doctorpatient information asymmetry,the patients privacy protection consciousness isweak.To so1ve above prob1ems,and puts forward the countermeasures of information privacy protection:perfectwearab1emedica1equipment's ethics and po1icies and regu1ations;improve the wearab1emedica1devices the user's ego to protect consciousness;improve the wearab1e techno1ogy protection capabi1ities ofmedica1equipment.
Wearab1e Devices;Information Privacy;Privacy Protection;Medica1Ethics Countermeasures
R-052
A
1001-8565(2015)01-0083-04
国家高技术研究发展计划(863计划)资助项目:数字化医疗医院示范(2012AA02A611);国家科技重大专项资助项目:无线体域网关键技术研究及应用验证(2013ZX03005008)
**通讯作者,E-mai1:1iufan@pkuph.edu.cn
2014-12-05〕
