大数据时代背景下医疗隐私保护的伦理困境及实现途径*
2016-02-05王强芬
王强芬
(桂林医学院医学伦理与职业道德研究中心,广西 桂林 541004,skb5806@glmc.edu.cn)
大数据时代背景下医疗隐私保护的伦理困境及实现途径*
王强芬
(桂林医学院医学伦理与职业道德研究中心,广西桂林541004,skb5806@glmc.edu.cn)
大数据浪潮的兴起为医学的发展带来了新的发展机遇,也给人类的医疗隐私保护带来挑战:数据监测下隐私无处躲藏,共享的数据被滥用,数据挖掘中隐私被二次利用,数据预测里隐私被预测。同时也使数据的整合利用与医疗隐私保护的困境凸显:非自主性数据操作下的自主性原则的困境,数据化世界中人的主体身份消亡,医疗隐私信息难以被遗忘。在促进医疗行业信息化的同时,探讨大数据环境下医疗隐私保护的实现途径:实施使用医疗数据的过程必须符合自主性原则和透明化原则,建立医疗信息共享系统面向患者的隐私保护访问控制系统,完善保障医疗数据隐私的法律规范,加强个人的医疗数据隐私性管理意识。
大数据时代;医疗隐私;伦理困境
近年来很多国家都在积极推进医疗信息化发展,特别是物联网、传感网的发展进一步推动了医疗行业数据的急剧增长。大数据浪潮的兴起为医学整合涵盖流行病、预防医学、临床医学、康复医学、卫生经济学和医学分子生物学等多学科领域的数据库、深入挖掘医疗大数据的价值和推进个体化医疗发展进程等方面带来了新的发展机遇。然而,随着越来越多的个人信息的聚集、区域网电子病历数据库的共享、各大数据库的关联等,大数据时代的到来也给人类的医疗隐私伦理带来挑战。应对大数据背景下人类医疗隐私保护的困境,夯实构建生命医疗信息共享系统的合法与有效性,对于平衡医疗数据高效的社会效益与人类医疗隐私的保护之间的博弈,让大数据更好地推动包括医学在内的生命科学的发展,具有特别的重要价值。
1 大数据时代医学数据的整合利用对医疗隐私保护的挑战
大数据本身是一个比较抽象的范畴,单从字面来看,它表示数据规模的庞大,但仅从数量上的庞大是无法体现大数据这一概念的,因为这和以往的海量数据(massivedate)、超大规模数据(verylargedate)等概念之间没有本质区别。目前对于大数据的概念众说纷纭。权威IT咨询公司Gartner主张大数据是一种信息资产,其特征是海量、高增长率和多样化,必须使用新的大数据处理模式才能使其具有更强的优化流程能力、决策创新能力及洞察发现力[1]。IBM公司认为大数据来自于任何地方的多维数据,它的特征可以用“4V”来概括,即Volume(容量)巨大、Variety(种类)繁多、Velocity(速度)快和Value(价值)密度低[2]。大数据的核心不在于掌握大量的数据,而在于对这些含有意义的数据进行专业化处理,在于提高对数据的加工能力,通过加工实现数据的增值。因此挖掘大数据价值、提供大数据服务的能力,是大数据时代的核心竞争力。一方面,大数据时代的到来为现代医学的发展带来前所未有的机遇,网络大数据使人们获得了前所未有的大规模医学数据:医疗服务的医院信息系统(HIS)数据、电子健康档案系统(EHRs)数据、实验室信息系统(LIS)数据、医学影像信息系统(PACS)数据、放射信息系统(RIS)的数据等,医院与医保的结算与费用数据、医学研究的数据、医院药物采购与使用监管数据、居民的行为与健康管理数据及政府的人口与公共卫生数据,构成了医疗卫生领域大数据的初期数据资源。现代医学的发展也带来海量的数据,如现代医学除了常规收集的患者信息量非常巨大以外,大量的基因、基因组学、蛋白质组学、脂类组学、表观遗传学、代谢组学、转录组学等数据规模也同样庞大。这些规模巨大、动态性强、复杂性高、种类繁多的数据为我们综合分析挖掘每位患者病理学、生理学和病理生理学等数据,提供了充足的样本。另一方面,大数据时代的到来也给人类的隐私保护带来巨大挑战:无所不在的视频监控、无线射频识别、精准的地理定位系统、云存储和云计算等使人们陷入一个难以遁形的透明化世界。随着人们对社交网络和智能电子设备的依赖日益增强,其行为、语言、地理位置甚至身体、心理特征等信息都可以便捷地被记录、传播。QQ、微博、电话记录等正在窃听我们的社交关系网;智能手机、视频监控、传感器技术等正在监视我们在工作单位、各大活动场所、商店、小区等所在位置的出入行为,在大数据环境下人类的隐私泄露变得更加容易。大数据时代也无疑会提高医疗过程数据的透明度:医疗行业开始大规模广泛应用电子健康记录;临床数据库、家庭监控、远程医疗和医疗数据外包给云提供商都有很大的概率发生医疗隐私泄露。这里主要有两个问题,一是安全,二是隐私,本文主要探讨的是隐私,认为大数据环境下人类医疗隐私面临着更多的风险和威胁,主要体现在以下几方面。
1.1数据监测——无处躲藏的隐私
近年来,我国积极推进医疗信息化发展,特别是物联网、传感网的发展进一步推动了医疗行业步入大数据时代。当越来越多的日常物体都贴上无线射频识别(RFID)标签时,当配置有传感器、摄像头等物联网设备的环境可以监测所有人或物的运动、温度、湿度、声音、光线等方面所有的数据时,人们的隐私开始无处躲藏,故大数据环境下隐私问题具有泛在性和必然性。随着我国推进医疗卫生领域的信息化工作,无线传感器网络(WirelessSensorNetworks,简称WSNs)作为远程无线医疗监护,被广泛地应用于医疗卫生健康监测领域。它实现了患者在家或社区内就可以把人体相关生理参数传送给医疗监护中心,监护中心通过信息处理后回送告警信息、诊断结果等反馈情况给病人及其家属。WSNs让病人在家就可享受相关的医疗服务,免除病人在家与医院之间的奔波之苦,给患者带来方便的同时,也把患者的医疗隐私暴露无遗。借助各类信息技术的“监控”, 我们生活在一个前所未有、难以想象的数据收集和监控之中:从举止言行到思想内容、从个人生活数据到生理数据资料,人就像生活在一个透明的玻璃房中一样,又或者像《皇帝新衣》中的那个皇帝,人的隐私已无处躲藏。技术化生存变成了透明化生存,无论何时何地都处在别人全面监视的情况下生存。
1.2数据分享——被滥用的隐私
随着现代信息技术的更新和全球一体化的推进,医疗卫生事业领域的信息交流更加密切,各种临床、科研、政府决策、分子生物学等医学信息的交流与共享,大数据时代的到来催化了区域网电子病历的发展。即通过网络运营商的介入,为不同的医疗、卫生、保险以及科研机构搭建一个共享电子病历数据平台,实现了诊疗信息和其他相关的健康保健信息的共享。区域网电子病历数据库克服了以HIS(HospitalinformationSystem)系统为基础的局域网电子病历系统的不足,病历的信息共享不再被限制在医疗机构内部,极大地拓展了病历的应用范围。但是随着电子病历信息的网络化,人们的医疗信息也可能成为商品被出售:网络营销商可能针对个人的信息进行量身定制的医疗广告投放;医疗保险推销员可能查到人的病历资料和电话号码,从而不厌其烦地推销某种疾病保险;而公司也能通过电子病历数据库得知员工的身体状况,从而以身体不适合为由解雇员工等。个人疾病作为一个非常敏感的问题,在推动区域网电子病历发展的同时保护好人类的医疗隐私不被滥用将是一个不得不考虑的问题。
1.3数据挖掘——被二次利用的隐私
在大数据时代,移动互联网、物联网、智能手机、视频监控、社交网络、传感技术的发展增进了医学信息的知识共享和信息的交互,也产生了巨量的医学信息。淹没在数据洪流下的人们迫切需要将这些数据转换成有用的知识并揭示其潜在的价值,因此如何挖掘大数据潜在的价值,帮助人们作出正确的决策,成为大数据时代人们关注的重点。医疗决策支持系统的构建就是为了帮助医疗决策者获得更全面、更完整的数据集,在获取多样性、高速性的数据的同时,通过数据挖掘、数据处理和人工智能等大数据处理技术,让医疗决策者从中挖掘更多支持决策的有价值的信息。由于大数据的价值更多源于它的二次利用,在数据的利用过程中可能导致原本看似不相关的数据通过挖掘可能发现个人隐私的数据:有的数据表面上并不是个人数据,但经由大数据处理之后就可以追溯到个人;有的数据不是敏感信息,却经个人一些属性信息的组合,在背景知识或其他外部信息的帮助下识别出个体敏感信息。这种二次利用涉及的隐私问题是对医疗隐私保护的更大威胁,因为在数据搜集时可以通过主体的知情同意来实现个人隐私的保护,但是在进行数据挖掘时这种知情同意很难实现的,即使是在主体授权下使用个人数据,有时也不能保证应用中语境的完整性,正如信息技术专家亨特(Hunter)所说:“我们的革新将不会是在收集数据方面——不指望在你的卧室里安装电视摄像机,而是在分析已被同意共享的信息方面[3]。”
1.4数据预测——被预测的隐私
在大数据时代人们面临的隐私威胁并不仅限于个人隐私的泄漏,还在于基于大数据对人们状态和行为的预测,如通过分析用户的Twitter信息可以发现用户的政治倾向、消费习惯以及喜好的球队等。通过数据分析挖掘技术可以搜索到这些数据以发现相关的模式,对人或物的行为做出预测,以提供符合个人偏好的产品或服务,如可以根据用户近日搜索、浏览和购物等记录推测出其有可能怀孕,而向其推荐孕妇产品。企业借助大数据的力量,掌握个人的习惯、偏好、价值观,从而利用信息去推动、劝服、影响甚至限制人们的认同。
2 数据的整合利用与医疗隐私保护的困境
大数据环境下通过数据的挖掘共享达到数据价值的高效社会效益与人类医疗隐私的保护二者之间存在伦理的悖论。例如医学领域中基因研究的快速发展,使得全球超过百万人在不知情的情况下向研究人员公开了他们的DNA数据,这些研究可以解决心脏病、糖尿病的问题,却不可避免地会涉及个人隐私问题,通过DNA序列分析,可以推理出某个人是否是癌症患者。一方面,医学研究数据的碎片化、数据利用的低效性及缺乏条理性和连贯性等现状要求把医学相关领域的各大数据库整合共享起来[4],通过大数据挖掘把医疗大数据转换为支持临床决策需要的信息。以个体化医疗为例,个体化医疗意味着更全面的搜集每位患者的大量信息,在共享的基础上通过综合分析挖掘每位患者病理学、生理学和病理生理学等方面的特点,进一步制定出适合每位患者的独特的、最佳的治疗和预防方案,提高治疗的针对性从而取得最优的疗效。另一方面,医学领域从数据库(database,DB)到大数据(bigdata,BD)的转变趋势使每个人在大数据时代都将是透明的存在着,大数据的聚集与关联性也使人类医疗隐私的保护面临更加复杂的挑战。隐私权的重要性则在于它的隐秘性、非公开性,实践中对患者隐私权的侵害往往是将患者的秘密泄露、公开所致。而个体化医疗则需要综合分析每位患者的各方面信息和共享,“大数据本身就意味着共享,众多领域的数据共享是大数据时代的前提和关键特征之一,也是隐私失控的开始[5]”,当患者的生理参数通过WSNs传送给医疗监护中心时,当人们的医疗信息在区域网电子病历数据库实现共享时,当原本看似不相关的数据通过挖掘可能发现个人隐私的数据,并预测个人行为时,人类的医疗隐私正遭遇前所未有的困境。数据共享与隐私风险就如同一枚硬币的两面,同时存在而又不可避免。
2.1非自主性数据操作下的自主性原则的困境
隐私作为不愿意为他人所知晓和干预的私人生活和私人信息,是人之为人的最基本的权力,是人类尊严的基础。因此个人的隐私必须受到尊重,因为它是“保护自由和自决的一张重要的盾牌”,是“行使自由或个人自主权的必要条件[6]”。尊重人的隐私权是对人自主性的尊重。自主性原则是美国生命伦理学家比彻姆(TomBcauchamp)和丘卓斯(JamesChildress)在1979年提出生命伦理学“四项基本原则”时提出来的。自主性原则是对患者或受试者的人格与尊严的重视,取得他们自主的知情、同意或选择,要求患者或受试者个人按照自己的意愿和选择来决定行为的过程。其核心是对人权的尊重,对个人的自主和自由的尊重。根据自主性原则,个人数据的采集、传播、存储、使用、共享等都应取得当事人自主的知情、同意或选择,要求按照当事人自己的意愿和选择来决定数据的操作行为,实施自主性原则是对个体人格与尊严的更好维护。然而自主性原则在今天的大数据环境下却很难实现。无线射频识别、传感器、视频监控等智能设备的普及带来的是个人数据的自动收集,个人可能对这些被观察、被跟踪、被分析、被定位等全然不知,即使知道作为个体也很难控制、选择他们的何种信息正被采集和处理。这些数据在传播、存储、挖掘、共享等方面很可能成为技术暗箱,个人不可能详细地知道数据转发给谁、数据在哪些终端被复制、数据使用的目的是什么等,个体几乎没有自决权,经常出现没有经过当事人同意的情况下有可能被第三方使用的情况。自主性原则在现实中难以贯彻,进一步导致对公民的隐私保护产生威胁。
2.2 数据化世界中人的主体身份消亡
未来学家尼葛洛庞帝(NicholasNegroponte)曾预言的“数字化生存”(BeingDigital)在当下成为现实。信息技术的发展使人们的行为、语言、甚至身体、心理、思想特征等信息都可以便捷地被记录、传播,人成为数据的表征,个人生活的方方面面都在以数据的形式被记忆,“数据化的自我”正在生成。“数据化的自我”拥有我的记忆、喜好、作息习惯、健康状况、地理位置、日程安排、社会关系、志向、心情等,于是在数据化的世界中人的主体身份开始消亡。当政府通过个人数据分析制定切合社会形势的公共卫生政策时;当医院借助医学大数据提供个性化医疗时;当企业借助医学大数据更精确地定位消费者,进行精准营销时,人沦为“数字化生存”。这些个人数据被政府机构、商业机构、学术机构等不断挖掘分析,其本质是依据他人目的来限制个人的自由,是人自主性的丧失。在康德看来,违背一个人的自主性意味着仅仅将这个人当作手段来对待,而没有考虑到这个人自己的目的,依据他人目的来限制这个人的自由,使这个人按照他人的目的行事[7]。数据成了主体和目的,人成了客体和手段,“数字化生存”的世界里不再是主体想把自身塑造成什么样的人,而是客观的数据来显示主体是什么样的人,这使人的主体地位丧失,违反了康德“人是目的”的绝对至上命令。这也是技术异化的体现,人在利用大数据改造自然社会的过程中,技术过程和结果反而成为支配人、压抑人的力量。
2.3医疗隐私信息难以被遗忘
医疗隐私信息对个体往往意味着难以启齿的隐痛、痛苦不堪的经历这类消极信息,而且医疗隐私信息的泄露往往带来歧视、难堪。以往患者大多是通过自我遗忘和医疗机构隐私保密来维护自我人格与尊严的。遗忘,作为人类的天性,是人们一种正常的修复机制,它让我们忘记痛苦、活在当下、走向未来,而不仅仅被过去疾病的记忆所束缚。但大数据时代的到来,遗忘机制对人隐私的保护受到了挑战,正如英国学者维克托·迈尔·舍恩伯格(ViktorMayer-Schonberger) 所说“数字技术已经让社会丧失了遗忘的能力,取而代之的则是完善的记忆[8]”。随着信息存储成本持续下降、出于容灾和维护等考虑云服务系统将数据进行多点备份、搜索引擎等技术的提取记忆的能力极大增强等,信息一旦产生将可能被永远保留,于是人们在网络中被遗忘变得越来越艰难。由于患者病历信息通常具有极高的敏感性和隐私性,这些信息难以被遗忘将对患者造成极大的影响。数字记忆的持久性导致人们患病信息总可能被人挖掘出来,“我们的过去就像纹身一样镌刻在我们的数字皮肤上”,这往往会给当事人在学习、就业、保险等方面带来歧视与不公。
3 讨论
3.1实施使用医疗数据的过程必须符合自主性原则和透明化原则
个人疾病作为一个非常敏感的问题,个人的医疗信息是个人隐私的敏感信息一类,关系到患者的人格与尊严。一旦泄露就可能使医疗隐私变成一种被市场利用的商品,进而可能造成个人最基本的人格尊严受到侵犯。无论是患者来到医疗机构接受医疗服务还是在家通过WSNs采集人体相关生理参数传送给医疗监护中心,都是为了治疗自身疾病而同意采集自己的隐私信息的,都有要求尊重和保密隐私的权利,这一点无论信息技术如何发展,都没有改变患者享有的自主权利。因此个人数据的采集和处理必须符合自主性原则,符合数据采集时与患者约定目的原则,一旦超出约定的目的,需要通知当事人,取得其同意,方可使用。自主性原则是对个人的自主和自由的尊重,无论何时都应该维护,个人对于医疗隐私信息的提供与利用的决定,必须尊重个人自我意志。
当公权机关利用职权优势合法请求患者共享信息、配合监控,利用隐私政策秘密挖掘用户隐私时,容易导致个体对隐私保护的焦虑,这种焦虑主要来自秘密数据处理带来的不安全感与单方无限制滥用存储数据并由此带来的不公平感。因此实施数据使用透明化原则,有利于保障用户的医疗信息的自主权利,防止医疗信息的滥用,“阳光是最好的杀菌剂”。透明度原则的实质也是对人自主性原则的尊重,是对公民知情同意权的尊重,作为采集、整理、使用、公布个人数据的主体有如实告知本人相关信息的义务。透明度原则实施的前提是个人享有对自身信息的支配权,即个体对个人信息的收集、储存、传播所享有的决定权,只有这样,才能最大限度地保障个体信息的隐私不受侵害。实施数据采集和处理的透明度原则有利于提高数据使用者的责任感,也有利于以促进相关监管法规的协调。
3.2建立医疗信息共享系统面向患者的隐私保护访问控制系统
大数据时代的到来带来了医疗机构的信息化,实现了数据的共享,提升医疗机构现代化管理水平和诊疗效率。实现医学大数据的高效社会效益不能牺牲患者的隐私权。自主性原则规定了患者对自身信息享有访问权、矫正权、删除权、阻止权和被遗忘权。因此,在构建临床医学、康复医学、流行病和医学分子生物学等多学科领域的数据库的医疗信息共享平台时,必须建立面向患者的隐私保护访问控制模型,即患者可根据自身的隐私偏好决定敏感数据的访问与否以及数据的使用目的,这种给予患者的细粒度访问控制权,既不妨碍医护人员及患者等用户对患者的隐私信息的查看与访问,也可满足不同患者的个性化隐私保护需求。这种支持患者根据自身的隐私偏好定义个性化的访问控制策略,防止对数据的非授权访问和隐私泄露,使患者拥有对其医疗信息揭露与否、如何被收集、使用和传递的控制权利,较好地解决了患者敏感数据泄漏和滥用问题[9]。
3.3完善保障医疗数据隐私的法律规范
健全完善数据隐私法律规范是降低大数据时代医疗隐私侵权风险的重要措施。由于医学治疗的特殊性,基于对疾病的诊治,患者必须向医务人员提供自己的隐私,这些隐私和资料的公开将严重地侵犯患者的人格尊严,给患者的工作、家庭生活、感情等方面造成损害,因此医务人员必须保守所知病人的隐私。为了有力地保护患者的隐私权,我国许多医药卫生法律都规定了医务人员对患者隐私的保密义务,但对隐私权的保护此还缺乏明确的规范,如把隐私权混同于名誉权、对隐私权的侵害缺乏明确和严厉的法律责任的规定等[10]。随着越来越多的个人信息的聚集、区域网电子病历数据库的共享、各大数据库的关联等,实现医疗数据利益最大化与保护患者的隐私之间的动态平衡,要求进一步完善保障医疗数据隐私的法律规范。
3.4加强个人的医疗数据隐私性管理意识
Web2.0时代下的博客、社交网络平台、视频分享网站等社交性网站允许人们用网络作为平台分享各种信息、文字、图片、声音、视频等,鼓励人们无限制地自主提供个人信息,于是个体的数据化表演成为获得社会关注与社会认同的重要方式。在医学中的专业数据网站、医疗信息平台上人们愿意主动地在网上发布思想见解、经验和经历等,这无疑淡化了个人隐私保护意识,“我们不知道自己被追踪,我们不知道数据来源和出处,除非引起了问题我们对此不在乎[12]”。 个人隐私保护意识的薄弱导致大量的个人信息碎片被累积、关联,最终暴露了个人隐私。我们借助大数据技术可以收集挖掘大量的数据信息,如医疗事故信息的上报统计、医生专业知识的交流和分享、医学科研数据的网络化交流、患者病情发展案例等,而目前我国对患者医疗数据的收集、存储、管理与使用等缺乏规范、缺乏监管;对个人信息保护的法律法规尚不完善,因此个体在日常的网络使用行为中从源头上注意加强个人数据隐私性管理意识,是一个低成本、易操作的可行方法之一。
[1]MarkB.Gartnersayssolvingbigdatachallengeinvolvesmorethanjustmanagingvolumesofdata[J].GartnerRetrieved, 2011,13.
[2]IBM.Whatisbigdata? [EB/OL].(2012-10-02)[2016-03-10].http//www-01.ibm.com/software/data/bigdata/.
[3]LarryHunter.PublicImage[J].WholeEarthReview.1985(1).
[4]焦飞,王娟,马颖,等.大数据时代背景下的医学思考——转化医学新趋势前瞻率[J].医学与哲学,2014,35(11A):1-9.
[5]薛孚,陈红兵.大数据隐私伦理问题探究[J].自然辩证法研究,2015(2):44-48.
[6]理查德·A·斯皮内洛.世纪道德——信息技术的伦理方面[M].刘钢.译.北京:中央编译出版社,1999:167-168.
[7]康德.康德著作全集:第4卷[M].李秋零.译.北京:中国人民大学出版社,2005:437.
[8]维克托·迈尔-舍恩伯格.删除:大数据取舍之道[M].杭州:浙江人民出版社,2013: 118-159.
[9]霍成义,吴振强.面向患者的医疗信息系统隐私保护访问控制模型[J]. 计算机应用与软件,2014,31(11):75-77.
[10]高玉玲.论医疗信息化中的患者隐私权保护—以电子病历运用为视角[J].法学论坛,2014,29(2):74-79.
〔编辑李丹霞〕
EthicsPredicamentandProtcetionPathofMedicalPrivacyintheEraofBigData
WANG Qiangfen
(Research Center of Medical Ethics and Professional Ethics, Guilin Medical College, Guilin 541004,China, E-mail: skb5806@glmc.edu.cn)
Thetideofbigdatahasbroughtnewopportunitiesformedicaldevelopmentbutalsochallengestohumanmedicalprivacyprotection:nowheretohideprivacyunderdatamonitoring,themisuseofdatasharing,secondaryutilizationofprivacyindataminingandpredictedprivacyindataforecast.Atthesametime,ithighlightsthedilemmaofintegrateduseofdataandtheprotectionofmedicalprivacy:theplightoftheprincipleofautonomyundernonindependentdataoperation,perishofsubjectidentityintheworldofdata,andunforgettablemedicalprivacyinformation.Atthesametimeofpromotingmedicalinformationindustry,thispaperdiscussedthewaystorealizemedicalprivacyprotection:implementingtheprincipleofindependenceandtransparency,establishingmedicalinformationsharingsystemforpatientswiththeprivacypreservingaccesscontrolstrategy,perfectinglawsandregulationsofmedicalprivacyprotection,andstrengtheningpersonalmanagementawarenessofmedicaldataprivacy.
TheEraofBigData;MedicalPrivacy;EthicsPredicament
广西高等学校人文社会科学重点研究基地医学伦理与职业道德研究中心(2015RWZD01);广西教育科学“十二五”规划2015年度立项重点课题(2015A022)
R-052
A
1001-8565(2016)04-0685-05
2016-05-27〕
2016-07-03〕
doi:10.12026/j.issn.1001-8565.2016.04.43
