谷歌被曝收集5000万患者医疗隐私数据！美国政府紧急调查

导读：谷歌被爆光采集了全美2600家医院、5000万患者医疗隐私数据，而医生和患者却毫不知情。美国卫生部相关机构正在对谷歌的“夜莺项目”展开调查。至少有四名来自两党的议员公开对这一项目表示了严重担忧。

曝光不到48小时，美国联邦部门就开启了对谷歌医疗数据项目的调查。谷歌与美国第二大医疗体系阿森松集团(Ascension)的合作被爆光采集了全美2600家医院、5000万患者医疗隐私数据，用于实时读取、存储和算法生成，而医生和患者却毫不知情。

据报道，“夜莺项目”收集了5000万名美国患者的信息，其中包括化验结果、诊断资料和住院记录以及患者姓名和生日等，至少150名谷歌员工可以接触和存取这些极为私密的医疗数据。据报道，谷歌的目的是为了能够设计出追踪病人病史，利用人工智能和机器学习为医生提供参考、更好服务病人的健康软件。

据美国媒体报道，美国卫生与公众服务部(HHS)民权办公室表示，正在对谷歌的“夜莺项目”(Project Nightingale)展开调查。

今年来，有关数据保护的负面消息并不少见，但很少有像个人医疗隐私这样牵动人心。

被报道曝光后，阿森松集团和谷歌迅速发布了新闻稿，正式宣布了双方的这一合作。在解释希望通过合作提升效率的同时，双方着重强调了行为的合法性，称这项合作旨在帮助医疗机构更好的帮助患者，并没有违反美国1996年颁布的《健康保险便利和责任法》(HIPAA)在内的各项医疗法规。

Google Cloud总裁Tariq Shaukat在声明中表示：

“阿森松的数据不会用于任何帮助医院履行其医疗保健职能外的目的，同时，医患的数据也不会与谷歌的消费者数据结合。”

但作为过不少“不良”记录的科技巨头之一，这一爆料再次引发了整个美国科技和医疗乃至政界的轩然大波。截至发稿，至少有四名来自两党的议员公开对这一项目表示了严重的担忧。

最有威慑力的反应来自联邦政府部门的紧急调查。美国卫生与公众服务部办公室主任Roger Severino告诉记者，美国监管机构将寻求了解有关这一大规模收集个人医疗记录的更多信息，以此来确保《健康保险便利和责任法》(HIPAA)保护措施得到了充分实施。

图/新华社

两党多名议员反对，谷歌称只是提供服务

谷歌云总裁Tariq Shaukat声明表示，与其他医疗领域的合作一样，医疗机构阿森松才是真正的“管家”，谷歌只是在严格的隐私和安全管制下，为医疗机构提供服务。

但议员们并不买账。“眼看已经在消费者数据上占主导地位的技术平台继续利用其优势获得医疗领域的数据地位，这个前景非常令人担忧。”弗吉尼亚参议员Mark Warner表示。

Warner表示，对于涉及已经严重违反隐私权和安全性的公司，类似的交易应被暂停。

不管怎样，谷歌所能接触到的隐私信息确是多的惊人。

报道指出，在“夜莺计划”中，病人从来到医院就诊就开始了数据之旅。医生护士对病人进行检查，将数据输入电脑。除了姓名、出生日期、地址、家庭成员等基础信息外，所有放射学检查、住院治疗记录、实验室测试和曾经服用的药物均记录在系统中。

这些数据立即流入谷歌的“夜莺计划”系统，基于人工智能和机器学习，谷歌使用这些数据来设计新的软件，为个体患者的治疗提出建议。

系统会在经过人工智能和机器学习后，自动生成一系列的行医建议：治疗计划、检查建议；标记治疗中的异常偏差；为患者更换或增加医生的建议以及开药建议。

根据谷歌的新闻稿，双方合作主要目标是以下三方面：

将阿森松的基础设施转移到云端：运用谷歌G Suite的生产力工具：给医生和护士提供工具。

数据不他用且免费，就不违法？

合法性是两家公司曝光后对外沟通的核心。

根据美国1996年颁布的《健康保险便利和责任法》(HIPAA)，一般而言，只要病患的资料只用于医疗用途，医院有权在不通知病患的情况下与商业合作伙伴分享数据。

在博客中，Tariq Shaukat表示谷歌与医院的合作签署了商业协议(Business Associate Agreement BAA) ，该协议将监管被保护的健康信息(Protected Health Information,PHI) 只用于帮助病人。

“澄清一下，在这种安排下，阿森松的数据不能用于我们协议规定之外的任何目的，病人的数据不能也不会与谷歌的消费者数据联系起来。”博客表示。

根据报道，谷歌不但进行了这项“仅服务于帮助患者”的数据服务，而且还是免费提供的。

到目前为止，谷歌已经向夜莺计划派出数十名工程师，但没有收取任何费用，因为它希望利用这个框架向其他卫生系统销售类似的产品。文件显示，谷歌的最终目标是创建一个综合搜索工具来聚合不同类型的患者数据，并将所有数据都放在一个地方。

这个项目由Google Cloud部门执行，谷歌首席执行官Sundar Pichai今年曾多次表示，为云计算找到新的增长领域是当务之急。

尽管免费、数据又不做他用，谷歌的数据隐私记录却难以让人放心。

在医疗领域，谷歌就不只一次“触电”。

2016年，Alphabet旗下的人工智能部门Deepmind因未经患者适当同意而从英国国家卫生局获取患者病历而备受抨击。公司承认了错误，重新签订了合同。

2017年，在与芝加哥大学医学中心合作开发的机器学习工具时，谷歌曾被指控通过芝加哥大学医学中心不当访问数十万份医疗记录。

上个月，谷歌以21亿美元收购运动可穿戴巨头Fitbit的计划引起了的警惕，弗吉尼亚州参议员马克·沃纳表示，该声明“引起了严重关切”，并呼吁强制披露大型科技公司如何在“医疗产品中使用敏感数据”。

图/图虫

医疗数据产业链，或引发美国联邦隐私立法讨论？

尽管谷歌的案例引发了所有人的关注，但采集数据、运用人工智能、机器学习等一系列方式提供更好的医疗解决方案，并不是新鲜事，而可以说是整个行业的运营模式。

“这不算是新闻了吧，” 医生、皮肤学家Howard Greenn在社交媒体上表示。“上百个公司收集、买卖个人每天的医疗信息已经催生成了一个巨大的数十亿美元的市场。”

其实不只是谷歌，包括微软、亚马逊和Salesforce在内的科技巨头一直试图在数万亿美元的医疗保健市场里分得一杯羹。

正如上图所示，更有几百上千个生态体系上的中小型公司，构成以医疗数据的收集方（比如可穿戴设备， 数据交易平台，软件提供商等全方位的数据平台。

内华达大学生物伦理学专家、法学教授斯泰西·托维诺(Stacey Torvino)表示，这些大型公司即使根据HIPAA的规定取消了对患者记录的识别，但谷歌和Facebook等公司仍有独特的能力利用其他挖掘的数据来确定病人的身份。

尽管确实存在一定的模糊空间，但根据欧洲已经执行一年半的“史上最严厉数据法案”GDPR，谷歌的上述做法是完全不可能行的通的。

根据最核心的GDPR知情权理念，谷歌绝不可能在未告知病人的情况下采集任何数据。

与欧洲相比，美国只有加州刚刚通过了类似的法案CCPA，并将于明年1月1日执行。根据本报此前了解，美国设立全国的隐私法在未来五年几乎不可能。但这一涉及21个州的谷歌事件仍然引发了很多美国人对进行联邦隐私立法的讨论。

“谷歌是不可信的，大的医疗机构也是不可信的，”知名科技评论人士莫博士(Walter Mossberg) 在第一时间在社交媒体发声，“这也就是为什么我们需要在联邦层面的隐私立法。”