醫(yī)學人工智能應(yīng)用中的隱私保護

王慧穎

（上海第二工業(yè)大學，上海 201209）

一、醫(yī)學人工智能的相關(guān)應(yīng)用

如今，人工智能在醫(yī)學領(lǐng)域的應(yīng)用還屬于初級階段，主要包括：醫(yī)療智能決策、醫(yī)學影像、新藥篩選、慢病管理、人機協(xié)同等［1］。而這一切醫(yī)學人工智能應(yīng)用都是以海量的醫(yī)學數(shù)據(jù)為基礎(chǔ)的，包括基因數(shù)據(jù)、就診病歷、住院病歷、疾病影像甚至包括可穿戴設(shè)備上的數(shù)據(jù)等。由于醫(yī)學人工智能對大量臨床數(shù)據(jù)和疾病診斷數(shù)據(jù)的深度挖掘與分析涉及了個人信息的采集、治理、應(yīng)用等一系列問題，對海量數(shù)據(jù)的不斷挖掘與分析就會帶來個人隱私泄露的風險。

二、醫(yī)學人工智能應(yīng)用中的隱私威脅

（一）隱私可能泄露的方式

在醫(yī)學數(shù)據(jù)采集階段，一般醫(yī)學數(shù)據(jù)的采集方式是基于醫(yī)院HIS信息系統(tǒng)和接口導出?；颊呔歪t(yī)時，很多個人隱私信息，包括：姓名、住址、身份證號、健康情況等都在就醫(yī)過程中被記錄到醫(yī)院的信息系統(tǒng)中。而醫(yī)院工作者所做的工作也只是記錄患者信息，并不會對這些包含了大量疾病、用藥、付費等敏感信息的數(shù)據(jù)進行保護。這大大增加了隱私數(shù)據(jù)的泄露的可能。

在醫(yī)學數(shù)據(jù)整理階段，數(shù)據(jù)整理是指對數(shù)據(jù)中的非結(jié)構(gòu)化的文本進行分析與處理，實現(xiàn)表達形式上的轉(zhuǎn)換和一致性。包括檢查數(shù)據(jù)一致性、處理無效值和缺失值等，保證數(shù)據(jù)符合規(guī)范性、完整性、準確性等質(zhì)量要求。對于敏感信息進行脫敏和加密保護處理。然而當脫敏后的這組數(shù)據(jù)與另一組數(shù)據(jù)結(jié)合起來分析可能仍會泄露患者隱私。

在醫(yī)學數(shù)據(jù)應(yīng)用階段，數(shù)據(jù)應(yīng)用是指將事先處理好的醫(yī)學數(shù)據(jù)通過機器學習、深度學習等處理，通過建模、分析來挖掘出具有醫(yī)療應(yīng)用價值的信息。然而經(jīng)過多元數(shù)據(jù)聚合分析，可能會帶來隱私信息重新識別的風險。并且在數(shù)據(jù)采集時，數(shù)據(jù)的可信性并不能得到有效保障，這就導致在數(shù)據(jù)應(yīng)用階段會產(chǎn)生錯誤的結(jié)論。

（二）健康隱私泄露引發(fā)的問題

健康隱私泄露導致的問題一般可以分為兩類：后果論和道義論。后果論關(guān)注的是在隱私泄露后，會給隱私人帶來不好的后果。比如：某人在招聘前被用人單位知道患有某種疾病或者從基因數(shù)據(jù)中看出他比常人更易患上某種疾病導致應(yīng)聘失敗，或者某人因醫(yī)學隱私泄露而導致個人保險額度提高，這些都是不公平的。后果論的另一種情況不會直接帶來不好的后果，但是會被焦慮的情緒所困擾。比如：有人認為現(xiàn)在可能會出現(xiàn)身份盜竊，擔心自己的隱私權(quán)受到侵犯，可能會使人焦慮、神經(jīng)緊張。

而道義論所關(guān)注的并不取決于經(jīng)歷了什么不好的后果。在此類別中，即使沒有人使用隱私人的相關(guān)隱私信息也沒有人受到傷害，或者該人甚至從未意識到自己已經(jīng)發(fā)生違規(guī)行為，也可能會受到隱私泄露的侵害。例如，某個組織無意中訪問了某人存儲在智能手機上的數(shù)據(jù)，在審查之后，該組織意識到這些數(shù)據(jù)對他們毫無價值并且刪除了記錄。那些審查數(shù)據(jù)的人在國外生活，絕不會在現(xiàn)實生活中遇到。很難說這個人在結(jié)果論的角度受到了傷害，但他失去對自己數(shù)據(jù)的控制。所以入侵即使在沒有傷害的情況下也存在著道義上的問題［2］。

三、醫(yī)學人工智能應(yīng)用中的隱私保護建議

（一）構(gòu)建我國人工智能隱私保護相關(guān)法律

在我國現(xiàn)有法律法規(guī)中，目前僅《民法總則》《侵權(quán)責任法》《執(zhí)業(yè)醫(yī)師法》《護士管理辦法》等部分法律就個人信息的權(quán)利和隱私保護有相關(guān)涉及條款，沒有形成以隱私權(quán)為獨立個體的系統(tǒng)化、專門化的法律條例，司法實踐上存在較大困難。伴隨著醫(yī)學人工智能的迅速發(fā)展，沒有健全的隱私保護法律體系便難以應(yīng)對人工智能時代的隱私風險。

美國關(guān)于隱私保護的立法較早，1996年通過了著名的HIPAA法案。HIPAA分為不同部分，每個部分解決醫(yī)療保險改革中的一個獨特問題。其中保護患者免受隱私泄露的最重要策略之一是通過刪除一組18個指定的標識符（如姓名和電子郵件地址）來保護其數(shù)據(jù)。歐盟的數(shù)據(jù)隱私規(guī)則，《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR，簡稱《條例》）經(jīng)過近兩年的討論修改，于2018年正式生效?！稐l例》明確調(diào)整對象、增強信息處理透明度、拓展用戶權(quán)利、禁止對個人敏感信息進行自動化處理、引入隱私設(shè)計理論［3］。參考美國和歐盟的隱私保護法，在我國的《個人隱私保護法案》中應(yīng)關(guān)注以下制度的建立。

1.對數(shù)據(jù)進行多層次檢查

主要包括三方面對數(shù)據(jù)的監(jiān)管要求。首先公司有義務(wù)向國家管理機構(gòu)提供相關(guān)算法決策詳細解釋，或關(guān)于算法如何做出決定的資料。這主要是為了避免“歧視問題”。其次是國家要求公司開展的監(jiān)管，公司應(yīng)當遵守讓人工介入AI的使用過程，可以審核任意算法決策。三是由個人提出的監(jiān)管要求，比如“擦除權(quán)”，即用戶如果認為該公司的產(chǎn)品收集了個人數(shù)據(jù)并侵犯了隱私則可要求公司擦除涉及個人隱私的數(shù)據(jù)。

2.確定與侵犯隱私程度相對應(yīng)的刑法處罰

2018年5月28日報道，F(xiàn)acebook和谷歌等美國企業(yè)成為GDPR法案下第一批被告。2019年7月8日，英國信息監(jiān)管局發(fā)表聲明說，英國航空公司因為違反《一般數(shù)據(jù)保護條例》被罰1.8339億英鎊（約合15.8億元人民幣）。刑法是調(diào)整社會關(guān)系的最后一道防線，讓侵犯隱私的人付出代價才能及時止損。

（二）隱私保護的技術(shù)方法

在我國沒有相關(guān)隱私保護法的情況下，大多數(shù)公司和企業(yè)都是采用技術(shù)的方法對相關(guān)隱私進行保護。

在數(shù)據(jù)采集階段，首先需要提高醫(yī)務(wù)人員的隱私保護意識，杜絕就診時有其他不相關(guān)人員在場的現(xiàn)象。其次是對數(shù)據(jù)進行一定程度的脫敏處理，可以參考《HIPAA法案》中規(guī)定的18項健康信息對患者的隱私進行脫敏保護。

在數(shù)據(jù)整理階段，首先做好隱私數(shù)據(jù)脫敏處理。在保證數(shù)據(jù)可用的情況下，降低黑客攻擊的風險。其次可以使用數(shù)據(jù)擾亂技術(shù)，通過添加噪聲對敏感數(shù)據(jù)進行擾亂同時保持數(shù)據(jù)或數(shù)據(jù)屬性不變。HIS（醫(yī)院信息管理系統(tǒng)）、EMR（電子病歷系統(tǒng)）應(yīng)具有容災(zāi)備份能力。

在數(shù)據(jù)應(yīng)用階段，則重點考慮數(shù)據(jù)集相互關(guān)聯(lián)的情況下，最大化被匿名處理之后的數(shù)據(jù)使用效果，實現(xiàn)數(shù)據(jù)跨系統(tǒng)的共享與利用。一般使用平衡約束算法實現(xiàn)數(shù)據(jù)實用性和防止信息泄露的隱私保護之間的平衡。

（三）堅持公平原則

侯瀅等人認為：“智慧醫(yī)療的發(fā)展關(guān)系到每一位民眾的切身利益，其數(shù)據(jù)智能的發(fā)展必須符合正義原則”［4］。醫(yī)學人工智能本質(zhì)上是為每一位民眾提供更好更快的就診服務(wù)，提高民眾就醫(yī)體驗的技術(shù)，不應(yīng)擴大就醫(yī)人群的地位和權(quán)力的差距。劉洋［5］等人認為有能力支付醫(yī)學人工智能治療方式的人占少數(shù)且人工智能也給老年人帶來不便，人工智能算法所基于的數(shù)據(jù)本身可能包含有意想不到的算法偏見，不可控的產(chǎn)生年齡、性別、種族方面的歧視，加劇現(xiàn)有的社會不平等。筆者覺得醫(yī)學人工智能的廣泛應(yīng)用引起的公平問題不僅僅體現(xiàn)在患者與患者之間，也體現(xiàn)在醫(yī)療機構(gòu)之間。在現(xiàn)階段大部分醫(yī)學人工智能都造價不菲，再加上平時的保養(yǎng)和管理的費用，以及培訓醫(yī)務(wù)人員使用人工智能的費用，這一大筆開銷使得能引進醫(yī)學人工智能的醫(yī)院少之又少，且購買人工智能設(shè)備都需相應(yīng)的資質(zhì)。這樣看來，只有少數(shù)有實力有資金的大醫(yī)院才可引進人工智能設(shè)備，長此以往，醫(yī)療機構(gòu)之間的差距也會逐漸拉大。