近年來，隨著大數(shù)據(jù)挖掘與分析等方法的逐漸成熟，人工智能技術已經(jīng)在醫(yī)療領域廣泛應用。本文詳細討論了在醫(yī)療數(shù)據(jù)采集端與人工智能應用端隱私保護所面臨的各項問題，從技術的角度、法律的角度以及倫理道德的角度分別分析了醫(yī)療隱私安全，并最終提出了四條建議，為醫(yī)療行業(yè)隱私保護的理論和實踐發(fā)展提供了可行路徑。

大數(shù)據(jù)醫(yī)療時代的人工智能

大數(shù)據(jù)很早就開始為醫(yī)療行業(yè)保駕護航了，但到底什么是大數(shù)據(jù)醫(yī)療，這里首先做一個定義。學術界通常通過4V來描述大數(shù)據(jù)：海量數(shù)據(jù)規(guī)模（Volume）、快速的數(shù)據(jù)流轉（Velocity）、多樣的數(shù)據(jù)類型（Variety）和較低的價值密度（Value）[7]。從不同領域出發(fā)，對大數(shù)據(jù)的理解也各不相同。在醫(yī)療領域，這4V也同樣成立：醫(yī)療數(shù)據(jù)正以史無前例的速度不斷更迭（Volume）；病種繁多，病人各異，醫(yī)療數(shù)據(jù)必須快速流轉（Velocity）；醫(yī)療數(shù)據(jù)有文字、有影像，甚至各個醫(yī)院還有各種不同格式的文件（Variety）；對醫(yī)療數(shù)據(jù)的聚通用還遠遠不夠（Value），要想辦法提高對醫(yī)療行業(yè)數(shù)據(jù)的“加工能力”，通過“加工”實現(xiàn)數(shù)據(jù)的“增值”。

大數(shù)據(jù)醫(yī)療伴隨著新的人工智能技術的進步而蓬勃發(fā)展，例如用人工智能來進行預測和生成推薦系統(tǒng)，其中最典型的應用之一是圖像分析。目前國內(nèi)診斷病人CT 圖像還普遍采用兩個醫(yī)生同時查看的形式，當兩個醫(yī)生對該圖像得出相同的判斷時容易認定，但當兩個醫(yī)生得到的結論不同時則需要討論。這種方法是為了提高診斷的準確率，但是耗費人力。卷積神經(jīng)網(wǎng)絡（Convolutional neural networks CNN）是一種典型的深度學習算法，已經(jīng)在醫(yī)學圖像領域擁有廣泛的應用。CNN可以接受各種醫(yī)學圖像的訓練，包括放射科、病理科、皮膚科和眼科等。CNN獲取輸入圖像，并使用簡單的操作（如卷積、匯集和完全的連接層）將其順序轉換為扁平向量，輸出向量的元素表示疾病存在的概率，因此可以輔助醫(yī)生進行診斷，在很大程度上緩解醫(yī)生的工作量[8]。另外一個人工智能的醫(yī)療大數(shù)據(jù)應用是預測治療路徑，例如通過多種類多形式數(shù)據(jù)預測一個內(nèi)傷患者發(fā)生大出血的概率并建議采取干預治療，或者預測一個重傷人員在一年內(nèi)死去的概率從而建議從傳統(tǒng)治療轉為臨終關懷[6]。

在真實的應用場景中，人工智能輔助醫(yī)療要通過大量的數(shù)據(jù)積累，包括疾病診斷記錄、病人用藥效果、基因數(shù)據(jù)、家庭病史、行為數(shù)據(jù)甚至社會環(huán)境狀況數(shù)據(jù)等。在國內(nèi)，要實現(xiàn)上述數(shù)據(jù)積累，最重要的壁壘是打通各個醫(yī)院和社區(qū)間的數(shù)據(jù)交換共享渠道。美國基于此考慮建設了一個電子健康記錄系統(tǒng)（Electronic health records EHRs）,十年內(nèi)積累了1000萬名病人的記錄。EHR的潛在應用價值是巨大的，如果好好加以利用，這相當于積累了20萬年醫(yī)生的智慧和1億年的疾病情況[9]。在這樣的技術不斷突飛猛進的同時，我們享受到了科技進步帶來的好處，但我們不禁要問，在人工智能學習分析大背景數(shù)據(jù)的同時，病人的隱私被侵犯了嗎？存在道德風險嗎？我們的現(xiàn)行法律能否保障我們在治療中和治療后的權益？

健康隱私

個人隱私向來是一個很難定義的概念。因為個人隱私無法像上文中的大數(shù)據(jù)一樣用幾個“V”就可以描述，個人隱私的定義要與其內(nèi)涵強關聯(lián)，與行為人強關聯(lián)，涉及到內(nèi)涵溢出的目的、頻率以及具體信息[6]。當這些關聯(lián)規(guī)則被違背時，我們可以說個人隱私被侵犯了。隱私侵犯可以發(fā)生在錯誤的行為人接觸到信息時，或者內(nèi)涵溢出的目的動機不符合預設時，或者內(nèi)涵溢出的頻率超出規(guī)定時等。健康隱私的內(nèi)涵包括但不限于患者的隱私在病歷中的詳細記載，病情、個人史、家族史、接觸史、身體隱私部位、異常生理物征等病理和個人生活秘密。侵犯個人健康隱私是否成立不應基于信息量或?qū)ο髷?shù)據(jù)集的大小，因為即使對象不大其后果仍可能是很嚴重的。在人工智能醫(yī)療應用過程中的個人隱私問題主要可出現(xiàn)在圖1所示各環(huán)節(jié)。主要造成溢出的過程是數(shù)據(jù)匯聚和人工智能應用兩個環(huán)節(jié)，以下分別予以討論。

圖1人工智能應用中主要涉及隱私安全問題各環(huán)節(jié)

數(shù)據(jù)匯聚的過程中產(chǎn)生的隱私問題

在數(shù)據(jù)匯聚過程中的隱私問題主要指擔憂隱私被直接侵犯的情況，或者可以理解為如圖1所示輸入和存儲中造成的內(nèi)涵外溢。這可以是可預測的結果，比如乙肝病毒庫的隱私泄露可能導致當事人找工作受到歧視。有的結果是不可預測的，比如一個人總是擔心自己的隱疾被泄漏出去而導致精神緊張甚至抑郁癥。

也要考慮到另一種情況，即是很多隱私是在當事人不知情的狀況下泄漏的，比如某些公司刻意收集網(wǎng)絡上的個人隱私狀況或非法入侵某些醫(yī)療機構數(shù)據(jù)庫竊取數(shù)據(jù)，即使這些泄漏數(shù)據(jù)并未被直接加以利用給當事人帶來損失，甚至記錄也已被刪除，然而此種情況也應屬于醫(yī)療數(shù)據(jù)安全問題，可能有潛在的危害，應該被予以重視。

數(shù)據(jù)匯聚過程中的隱私問題也涉及很多法律和道德問題。健康隱私數(shù)據(jù)的來源包含很多方面：電子病歷、醫(yī)療保險、智能健康終端設備和社交媒體等等。美國關于隱私安全的立法較早，1974年即通過《隱私權法》（The Privacy Act），后在2003年生效《健康保險攜帶與責任法》（Health InsurancePortability and Accountability Act, HIPAA）。通過HIPAA規(guī)定了很多EHR的隱私保護細則，對使用EHR系統(tǒng)也有明確的規(guī)定，是否可以對EHR加以利用取決于信息是如何建立的、誰在維護以及當事人情況[10]。

中國法律暫未對個人健康隱私有進一步明確的規(guī)范，只是在《中華人民共和國網(wǎng)絡安全法》第四十四條強調(diào)了“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息?！币约罢趯徸h中的《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》第二十一條提到：“國家保護與公民健康有關的個人隱私，確保個人健康信息安全。除法律法規(guī)規(guī)定或本人同意外，任何組織和個人不得獲取、利用和公開公民個人健康信息?！睆倪@兩條法律法規(guī)的對比可見，我們的相關法律和規(guī)范還比較宏觀，缺乏對具體情況的考慮。

我國在2018年5月1日開始實施的《信息安全技術個人信息安全規(guī)范》，是一部相對比較完整，從個人信息的收集、保存、使用等角度提出保護個人信息安全應遵循的原則。然而，我們還缺少針對醫(yī)療隱私保護的詳細的法律法規(guī)，現(xiàn)階段在健康數(shù)據(jù)系統(tǒng)還沒有打通的情況下矛盾尚不明顯，一旦有了國家范圍內(nèi)類似美國EHR的數(shù)據(jù)共享系統(tǒng)，隱私保護問題將被無限放大，我們應該提前做好預防。

有的人會問，在數(shù)據(jù)原始采集過程中有一個關鍵的問題，即為了研究的目的或更多人的利益著想，某些健康隱私是否可直接被脫敏后再進行存儲和使用。然而首先脫敏的方法和標準沒有定性，其次，現(xiàn)階段的某些技術達到了即使脫敏后也可以通過多數(shù)據(jù)集的比對重新配對數(shù)據(jù)的程度，從而使脫敏失效[11]。

人工智能數(shù)據(jù)使用過程中產(chǎn)生的隱私問題

如圖1所示，人工智能的數(shù)據(jù)輸出包含多種方面，比如智能輔助診療，預測診療手段、精準切除以及各種基因處理方法等。在數(shù)據(jù)輸出過程中的隱私安全問題不可回避，其直接造成的一類后果就是帶來歧視。例如在聘用過程中如果雇主通過某些渠道的診療手段泄漏獲悉擬聘用人員有慢性病或一些較難治療的疾病，有很大可能會招致聘用失敗，而這是違反《勞動法》的。特別是針對一類在聘用時其實并沒有疾病但屬于染病高風險人群（可能是基因數(shù)據(jù)的分析結果或是家庭病史甚至社區(qū)和性取向等帶來的高風險等），這樣的信息泄露很顯然是不公平的。

最近一項針對臨床試驗參與者的調(diào)查發(fā)現(xiàn)，6.6%的參與者“非常擔心”，14.9%的參與者“有點擔心”，即“如果信息與我聯(lián)系起來，我會受到歧視”。但正如調(diào)查報告作者承認的，特定的特征研究人群的主觀導向，尤其是他們已經(jīng)決定參加臨床試驗的事實，可能會影響到他們的決定從而最終影響預測結果的準確性[12]。

另一類在人工智能預測結果中產(chǎn)生的隱私侵犯可能不會直接帶來嚴重的后果，但因為擔心自己的隱私權受到侵犯，可能會使人精神緊張、暴躁甚至產(chǎn)生精神疾病。比如在自動比對基因庫的過程中發(fā)現(xiàn)的一類問題可能會引致思考別人看到會怎么辦的想法，從而導致一些焦慮。

總結并提出建議

首先不能因噎廢食，應該區(qū)分性對待隱私所有權問題。包括脫敏程度，數(shù)據(jù)使用者以及使用目的。例如疾控中心可以用流感應對數(shù)據(jù)對比醫(yī)院發(fā)熱病人狀態(tài)，來重新考核現(xiàn)行流感控制措施，這樣做確實在未經(jīng)許可時侵犯了健康隱私（未予泄漏），但其目的是為潛在的發(fā)病做更好的服務。

其次須采用一些創(chuàng)新的方法去追求醫(yī)療隱私問題的平衡性。新的人工智能技術不斷涌現(xiàn)，某些隱私數(shù)據(jù)在積累時尚不能考慮到其應用場景和應用范圍，所以也不能提前征求被采集者的意見，而當需要使用其數(shù)據(jù)時，很多情況下難以做到一一征求意見，特別是在看似無害的數(shù)據(jù)使用情況下。因此，利用新的人工智能技術，在數(shù)據(jù)匯聚的過程中即做好甄別和預判數(shù)據(jù)使用權限工作，提前征求當事人意見，則可避免許多矛盾。

第三，加強醫(yī)療數(shù)據(jù)安全領域立法，特別是細致的、針對信息是如何建立的、誰在維護以及當事人情況的法律法規(guī)的建立是有急切需求的。

最后，建議成立國家、省、市級“關鍵數(shù)據(jù)安全委員會”，對醫(yī)療數(shù)據(jù)如何開放共享，如何判定隱私泄漏責任權屬以及新技術的應用等問題，起到關鍵指導作用。