近年來，隨著大數(shù)據(jù)挖掘與分析等方法的逐漸成熟，人工智能技術(shù)已經(jīng)在醫(yī)療領(lǐng)域廣泛應(yīng)用。本文詳細(xì)討論了在醫(yī)療數(shù)據(jù)采集端與人工智能應(yīng)用端隱私保護(hù)所面臨的各項問題，從技術(shù)的角度、法律的角度以及倫理道德的角度分別分析了醫(yī)療隱私安全，并最終提出了四條建議，為醫(yī)療行業(yè)隱私保護(hù)的理論和實踐發(fā)展提供了可行路徑。

大數(shù)據(jù)醫(yī)療時代的人工智能

大數(shù)據(jù)很早就開始為醫(yī)療行業(yè)保駕護(hù)航了，但到底什么是大數(shù)據(jù)醫(yī)療，這里首先做一個定義。學(xué)術(shù)界通常通過4V來描述大數(shù)據(jù)：海量數(shù)據(jù)規(guī)模（Volume）、快速的數(shù)據(jù)流轉(zhuǎn)（Velocity）、多樣的數(shù)據(jù)類型（Variety）和較低的價值密度（Value）[7]。從不同領(lǐng)域出發(fā)，對大數(shù)據(jù)的理解也各不相同。在醫(yī)療領(lǐng)域，這4V也同樣成立：醫(yī)療數(shù)據(jù)正以史無前例的速度不斷更迭（Volume）；病種繁多，病人各異，醫(yī)療數(shù)據(jù)必須快速流轉(zhuǎn)（Velocity）；醫(yī)療數(shù)據(jù)有文字、有影像，甚至各個醫(yī)院還有各種不同格式的文件（Variety）；對醫(yī)療數(shù)據(jù)的聚通用還遠(yuǎn)遠(yuǎn)不夠（Value），要想辦法提高對醫(yī)療行業(yè)數(shù)據(jù)的“加工能力”，通過“加工”實現(xiàn)數(shù)據(jù)的“增值”。

大數(shù)據(jù)醫(yī)療伴隨著新的人工智能技術(shù)的進(jìn)步而蓬勃發(fā)展，例如用人工智能來進(jìn)行預(yù)測和生成推薦系統(tǒng)，其中最典型的應(yīng)用之一是圖像分析。目前國內(nèi)診斷病人CT 圖像還普遍采用兩個醫(yī)生同時查看的形式，當(dāng)兩個醫(yī)生對該圖像得出相同的判斷時容易認(rèn)定，但當(dāng)兩個醫(yī)生得到的結(jié)論不同時則需要討論。這種方法是為了提高診斷的準(zhǔn)確率，但是耗費人力。卷積神經(jīng)網(wǎng)絡(luò)（Convolutional neural networks CNN）是一種典型的深度學(xué)習(xí)算法，已經(jīng)在醫(yī)學(xué)圖像領(lǐng)域擁有廣泛的應(yīng)用。CNN可以接受各種醫(yī)學(xué)圖像的訓(xùn)練，包括放射科、病理科、皮膚科和眼科等。CNN獲取輸入圖像，并使用簡單的操作（如卷積、匯集和完全的連接層）將其順序轉(zhuǎn)換為扁平向量，輸出向量的元素表示疾病存在的概率，因此可以輔助醫(yī)生進(jìn)行診斷，在很大程度上緩解醫(yī)生的工作量[8]。另外一個人工智能的醫(yī)療大數(shù)據(jù)應(yīng)用是預(yù)測治療路徑，例如通過多種類多形式數(shù)據(jù)預(yù)測一個內(nèi)傷患者發(fā)生大出血的概率并建議采取干預(yù)治療，或者預(yù)測一個重傷人員在一年內(nèi)死去的概率從而建議從傳統(tǒng)治療轉(zhuǎn)為臨終關(guān)懷[6]。

在真實的應(yīng)用場景中，人工智能輔助醫(yī)療要通過大量的數(shù)據(jù)積累，包括疾病診斷記錄、病人用藥效果、基因數(shù)據(jù)、家庭病史、行為數(shù)據(jù)甚至社會環(huán)境狀況數(shù)據(jù)等。在國內(nèi)，要實現(xiàn)上述數(shù)據(jù)積累，最重要的壁壘是打通各個醫(yī)院和社區(qū)間的數(shù)據(jù)交換共享渠道。美國基于此考慮建設(shè)了一個電子健康記錄系統(tǒng)（Electronic health records EHRs）,十年內(nèi)積累了1000萬名病人的記錄。EHR的潛在應(yīng)用價值是巨大的，如果好好加以利用，這相當(dāng)于積累了20萬年醫(yī)生的智慧和1億年的疾病情況[9]。在這樣的技術(shù)不斷突飛猛進(jìn)的同時，我們享受到了科技進(jìn)步帶來的好處，但我們不禁要問，在人工智能學(xué)習(xí)分析大背景數(shù)據(jù)的同時，病人的隱私被侵犯了嗎？存在道德風(fēng)險嗎？我們的現(xiàn)行法律能否保障我們在治療中和治療后的權(quán)益？

健康隱私

個人隱私向來是一個很難定義的概念。因為個人隱私無法像上文中的大數(shù)據(jù)一樣用幾個“V”就可以描述，個人隱私的定義要與其內(nèi)涵強關(guān)聯(lián)，與行為人強關(guān)聯(lián)，涉及到內(nèi)涵溢出的目的、頻率以及具體信息[6]。當(dāng)這些關(guān)聯(lián)規(guī)則被違背時，我們可以說個人隱私被侵犯了。隱私侵犯可以發(fā)生在錯誤的行為人接觸到信息時，或者內(nèi)涵溢出的目的動機不符合預(yù)設(shè)時，或者內(nèi)涵溢出的頻率超出規(guī)定時等。健康隱私的內(nèi)涵包括但不限于患者的隱私在病歷中的詳細(xì)記載，病情、個人史、家族史、接觸史、身體隱私部位、異常生理物征等病理和個人生活秘密。侵犯個人健康隱私是否成立不應(yīng)基于信息量或?qū)ο髷?shù)據(jù)集的大小，因為即使對象不大其后果仍可能是很嚴(yán)重的。在人工智能醫(yī)療應(yīng)用過程中的個人隱私問題主要可出現(xiàn)在圖1所示各環(huán)節(jié)。主要造成溢出的過程是數(shù)據(jù)匯聚和人工智能應(yīng)用兩個環(huán)節(jié)，以下分別予以討論。

圖1人工智能應(yīng)用中主要涉及隱私安全問題各環(huán)節(jié)

數(shù)據(jù)匯聚的過程中產(chǎn)生的隱私問題

在數(shù)據(jù)匯聚過程中的隱私問題主要指擔(dān)憂隱私被直接侵犯的情況，或者可以理解為如圖1所示輸入和存儲中造成的內(nèi)涵外溢。這可以是可預(yù)測的結(jié)果，比如乙肝病毒庫的隱私泄露可能導(dǎo)致當(dāng)事人找工作受到歧視。有的結(jié)果是不可預(yù)測的，比如一個人總是擔(dān)心自己的隱疾被泄漏出去而導(dǎo)致精神緊張甚至抑郁癥。

也要考慮到另一種情況，即是很多隱私是在當(dāng)事人不知情的狀況下泄漏的，比如某些公司刻意收集網(wǎng)絡(luò)上的個人隱私狀況或非法入侵某些醫(yī)療機構(gòu)數(shù)據(jù)庫竊取數(shù)據(jù)，即使這些泄漏數(shù)據(jù)并未被直接加以利用給當(dāng)事人帶來損失，甚至記錄也已被刪除，然而此種情況也應(yīng)屬于醫(yī)療數(shù)據(jù)安全問題，可能有潛在的危害，應(yīng)該被予以重視。

數(shù)據(jù)匯聚過程中的隱私問題也涉及很多法律和道德問題。健康隱私數(shù)據(jù)的來源包含很多方面：電子病歷、醫(yī)療保險、智能健康終端設(shè)備和社交媒體等等。美國關(guān)于隱私安全的立法較早，1974年即通過《隱私權(quán)法》（The Privacy Act），后在2003年生效《健康保險攜帶與責(zé)任法》（Health InsurancePortability and Accountability Act, HIPAA）。通過HIPAA規(guī)定了很多EHR的隱私保護(hù)細(xì)則，對使用EHR系統(tǒng)也有明確的規(guī)定，是否可以對EHR加以利用取決于信息是如何建立的、誰在維護(hù)以及當(dāng)事人情況[10]。

中國法律暫未對個人健康隱私有進(jìn)一步明確的規(guī)范，只是在《中華人民共和國網(wǎng)絡(luò)安全法》第四十四條強調(diào)了“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。”以及正在審議中的《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第二十一條提到：“國家保護(hù)與公民健康有關(guān)的個人隱私，確保個人健康信息安全。除法律法規(guī)規(guī)定或本人同意外，任何組織和個人不得獲取、利用和公開公民個人健康信息。”從這兩條法律法規(guī)的對比可見，我們的相關(guān)法律和規(guī)范還比較宏觀，缺乏對具體情況的考慮。

我國在2018年5月1日開始實施的《信息安全技術(shù)個人信息安全規(guī)范》，是一部相對比較完整，從個人信息的收集、保存、使用等角度提出保護(hù)個人信息安全應(yīng)遵循的原則。然而，我們還缺少針對醫(yī)療隱私保護(hù)的詳細(xì)的法律法規(guī)，現(xiàn)階段在健康數(shù)據(jù)系統(tǒng)還沒有打通的情況下矛盾尚不明顯，一旦有了國家范圍內(nèi)類似美國EHR的數(shù)據(jù)共享系統(tǒng)，隱私保護(hù)問題將被無限放大，我們應(yīng)該提前做好預(yù)防。

有的人會問，在數(shù)據(jù)原始采集過程中有一個關(guān)鍵的問題，即為了研究的目的或更多人的利益著想，某些健康隱私是否可直接被脫敏后再進(jìn)行存儲和使用。然而首先脫敏的方法和標(biāo)準(zhǔn)沒有定性，其次，現(xiàn)階段的某些技術(shù)達(dá)到了即使脫敏后也可以通過多數(shù)據(jù)集的比對重新配對數(shù)據(jù)的程度，從而使脫敏失效[11]。

人工智能數(shù)據(jù)使用過程中產(chǎn)生的隱私問題

如圖1所示，人工智能的數(shù)據(jù)輸出包含多種方面，比如智能輔助診療，預(yù)測診療手段、精準(zhǔn)切除以及各種基因處理方法等。在數(shù)據(jù)輸出過程中的隱私安全問題不可回避，其直接造成的一類后果就是帶來歧視。例如在聘用過程中如果雇主通過某些渠道的診療手段泄漏獲悉擬聘用人員有慢性病或一些較難治療的疾病，有很大可能會招致聘用失敗，而這是違反《勞動法》的。特別是針對一類在聘用時其實并沒有疾病但屬于染病高風(fēng)險人群（可能是基因數(shù)據(jù)的分析結(jié)果或是家庭病史甚至社區(qū)和性取向等帶來的高風(fēng)險等），這樣的信息泄露很顯然是不公平的。

最近一項針對臨床試驗參與者的調(diào)查發(fā)現(xiàn)，6.6%的參與者“非常擔(dān)心”，14.9%的參與者“有點擔(dān)心”，即“如果信息與我聯(lián)系起來，我會受到歧視”。但正如調(diào)查報告作者承認(rèn)的，特定的特征研究人群的主觀導(dǎo)向，尤其是他們已經(jīng)決定參加臨床試驗的事實，可能會影響到他們的決定從而最終影響預(yù)測結(jié)果的準(zhǔn)確性[12]。

另一類在人工智能預(yù)測結(jié)果中產(chǎn)生的隱私侵犯可能不會直接帶來嚴(yán)重的后果，但因為擔(dān)心自己的隱私權(quán)受到侵犯，可能會使人精神緊張、暴躁甚至產(chǎn)生精神疾病。比如在自動比對基因庫的過程中發(fā)現(xiàn)的一類問題可能會引致思考別人看到會怎么辦的想法，從而導(dǎo)致一些焦慮。

總結(jié)并提出建議

首先不能因噎廢食，應(yīng)該區(qū)分性對待隱私所有權(quán)問題。包括脫敏程度，數(shù)據(jù)使用者以及使用目的。例如疾控中心可以用流感應(yīng)對數(shù)據(jù)對比醫(yī)院發(fā)熱病人狀態(tài)，來重新考核現(xiàn)行流感控制措施，這樣做確實在未經(jīng)許可時侵犯了健康隱私（未予泄漏），但其目的是為潛在的發(fā)病做更好的服務(wù)。

其次須采用一些創(chuàng)新的方法去追求醫(yī)療隱私問題的平衡性。新的人工智能技術(shù)不斷涌現(xiàn)，某些隱私數(shù)據(jù)在積累時尚不能考慮到其應(yīng)用場景和應(yīng)用范圍，所以也不能提前征求被采集者的意見，而當(dāng)需要使用其數(shù)據(jù)時，很多情況下難以做到一一征求意見，特別是在看似無害的數(shù)據(jù)使用情況下。因此，利用新的人工智能技術(shù)，在數(shù)據(jù)匯聚的過程中即做好甄別和預(yù)判數(shù)據(jù)使用權(quán)限工作，提前征求當(dāng)事人意見，則可避免許多矛盾。

第三，加強醫(yī)療數(shù)據(jù)安全領(lǐng)域立法，特別是細(xì)致的、針對信息是如何建立的、誰在維護(hù)以及當(dāng)事人情況的法律法規(guī)的建立是有急切需求的。

最后，建議成立國家、省、市級“關(guān)鍵數(shù)據(jù)安全委員會”，對醫(yī)療數(shù)據(jù)如何開放共享，如何判定隱私泄漏責(zé)任權(quán)屬以及新技術(shù)的應(yīng)用等問題，起到關(guān)鍵指導(dǎo)作用。