【编者按】2020年7月,世界经济论坛WEF发布了研究报告《身联网已来:应对技术治理的新挑战》(The Internet of Bodies Is Here:Tackling new challenges of technology governance)。报告认为,身联网(Internet of Bodies,IoB)技术在提供巨大的社会福利与健康福祉的同时,也带来了新的数据风险。由此,报告基于美国与欧盟的监管实践,重点分析了IoB数据治理这一关键议题,分析了如何定义“健康数据”、等六大挑战,并构建了新的治理框架。

身联网(IoB)的到来

1.1身体作为技术平台

一般来说,身联网(IoB)技术包括医疗设备、各种生活方式和健康跟踪设备、其他靠近人体的智能消费设备以及部署在企业、教育和娱乐场景中的各种附加或嵌入式设备。当前,连接在人体上的设备和传感器数量空前,甚至被植入到人体之中。IoB生成大量的生物特征数据和人类行为数据。这反过来又推动了健康研究和产业的转型,以及社会生活的其他方面。然而,IoB也给数据管理带来了新的挑战,这些挑战不仅涉及个人隐私和自主性,还涉及就业、教育、金融、医疗保险和其他社会资源分配等重要领域的歧视和偏见。报告研究的IoB技术大多是“个人设备”,其总是在一个定期的、长时间的接触中与用户的身体发展出相对稳定的关系。因此,这不包括安装在公共和私人空间的生物识别技术,如面部识别系统、指纹传感器和视网膜扫描仪,这些技术侧重于收集和处理大量人口或群体的数据,而不是特定的个人。

图1:IoB技术实例

1.2基于数据的社会福祉

通过IoB技术收集到的大量多样的数据正在推动健康研究和行业的变革,特别是直接面向消费者的数字健康市场的发展。具体来看:一是实现远程患者跟踪和减少交叉感染,医疗保健提供者可通过传感器对人体生命体征(如血压、氧气水平、血糖水平、心率、睡眠、步幅)的持续监测,更好地跟踪医疗设施内外的患者状况;二是提高患者参与度,促进健康的生活方式,IoB技术有助于扩大医疗保健范围,使患者积极参与传统医学架构之外的活动;三是推进预防保健和精准医疗,IoB技术提供的数据使医生能够及早发现疾病并提供预防措施,消费者可穿戴设备亦为科学研究和临床试验提供了新类型的数据和可能性;四是加强工作场所安全,IoB技术可应用于危险工作场所(如建筑工地、矿山和工厂),跟踪工人的位置,监督环境风险,减少肌肉骨骼损伤或其他伤害,并通过远程监控和快速发布信息,降低工人的安全风险。

1.3 IoB面临的数据风险

IoB在带来的社会效益和创新之外,还带来了与数据滥用、泄露个人健康和行为隐私等新风险。

一是互操作性和数据准确性问题。健康生态系统的多场景化导致了平台和技术层面缺乏互操作性。而医疗器械和非医疗器械因受到不同的监管和不同审批标准的约束,用消费类设备替换医疗级设备可能存在误诊风险,例如错误警报和过度治疗。

二是网络安全与隐私问题。可穿戴设备和医疗物联网设备易受黑客攻击和网络攻击,这些攻击使人类面临潜在的人身伤害和隐私风险。数据显示,2018年医疗保健领域网络安全漏洞占报告事件1/4,超过任何其他行业。与此同时,IoB设备也引起了人们对安全和隐私的新担忧,但现有的技术标准和政策尚未能解决这些新挑战。

三是数据分析中的歧视风险。当这个用户生成的、生物衍生的IoB数据与来自其他来源(如零售商店、消费品服务公司、金融服务和政府机构)的数据相结合时,就可能会发生滥用。对不准确或不完整的数据、代理数据和从分析中生成的敏感数据进行分析,可能导致政策和决策的偏差,不仅影响个人,而且影响弱势群体。如基于IoB数据而形成的歧视性保险政策、不公平的公共政策等。

美欧IoB数据监管政策法规分析

2.1美国IoB数据监管情况

当前,美国没有一部全面的数据保护法来规范数据安全和个人隐私。IoB技术产生的数据受到不同层级的法律和法规机构的监管:特定行业的联邦法律法规,联邦级反歧视法律,以及州、县和地方法律法规(如表1所示)。此外,美国的行业组织和论坛针对消费者健康和可穿戴产品的隐私和数据问题,提出了一系列的指南、行为准则、原则和方法。

表1:美国与IoB数据监管的相关政策法规

序号

类型

政策法规

相关监管内容

联邦层级

1

医疗领域

《健康保险流通和责任法案》(HIPAA)

HIPAA法案对受保护实体使用和披露“受保护的健康信息”(PHI)进行了监管,并提供了两种可用于满足隐私规则的识别标准的方法的指南:专家决定法和安全港

2

消费者隐私

《联邦贸易委员会法》(FTC Act)

FTC Act禁止公司从事欺骗或不公平的行为或做法,包括未能遵守实体自身的隐私政策等。这使该法案成为适用于消费者IoB设备隐私和安全实践的主要联邦法规

3

多行业适用

《公平信息实践原则》(FIPPs)

FIPPs原本是作为标准的广泛共识原则,现已演变成一套适用于不同隐私环境的的规则,具体涵盖医疗数据、金融数据、儿童/学生/消费者/驾驶员隐私等

4

金融

《格莱姆-里奇-布莱利法案》(GLBA)

GLBA法案限制了金融机构收集的非公开个人信息的披露,但并不限制个人信息或大数据分析用于个性化保险合同

5

消费者隐私

《公平信用报告法》(FCRA)

FCRA对任何提供“消费者报告”的“消费者报告机构”进行了监管。相关数据主要用于协助确定消费者的信贷资格,涉及个人的信誉、信用状况、性格、一般声誉、个人特征,生活模式等

6

科研

《保护研究对象联邦法案》(Common Rule)

该法案适用于涉及收集或研究现有数据、文件、记录、病理标本或诊断标本的研究,但匿名或未经确认的信息明确免于监管

7

反歧视

《美国残疾人法》(ADA)

ADA法案旨在消除对残疾人、有残疾记录的个人和被认为有残疾的个人的歧视性障碍。但它尚未监管可能对个人预测健康数据感兴趣的雇主、金融机构、营销人员和教育机构等

8

反歧视

《患者保护和平价医疗法案》(ACA)

ACA法案旨在保证与ACA资助的项目非歧视性。它禁止在某些保健方案和活动中基于种族、肤色、国籍、性别、年龄或残疾的歧视

9

反歧视

《遗传信息非歧视法案》(GINA)

GINA法案护美国居民在医疗保险覆盖范围和就业环境中免受基因歧视。但是,它不包括其他形式的保险,如人寿保险、长期护理和残疾保险

州、县和地方法律法规

10

消费者隐私

《加利福尼亚消费者隐私法》(CCPA)

CCPA是美国第一部全面针对消费者数据保护的法律,适用于在加州运营且有一定规模量级的公司

11

生物识别

《伊利诺伊州生物特征隐私法》(BIPA)

BIPA法案允许个人就侵犯其隐私提起诉讼,即使个人没有受到任何实际伤害

12

数据安全

《纽约市阻止黑客入侵并改善电子数据安全法》(SHIELD Act)

SHIELD法案适用于收集纽约居民的个人信息的任何个人或企业,要求其实施并维持合理的保障措施,以保护私人信息的安全性、机密性和完整性

注:译者根据原文综合整理

表2:美国IoB数据监管政策风险与差异

议题与风险

相关联邦法规

监管差距

地方法律示例

“健康信息”的范围限定

HIPAA

不覆盖未纳入保护实体的直接连接消费者的医疗设备数据;不覆盖健康信息预测

《加州医疗信息隐私法案》(CMIA)将健康信息保护责任扩大到软件、硬件和在线服务提供商

金融和保险领域的歧视风险

FCRA;GLBA;GINA(健康保险)

未能妥善处理人寿保险、长期护理保险和其他类型保险中使用健康信息;很少有措施解决大数据分析的风险

CCPA不向政府机构施加法律义务,但在涉及第三方披露时可能相关;BIPA监管私人实体如何收集、使用和共享生物特征信息等

就业歧视风险

宪法权利(适用于联邦和州政府);GINA;ADA;怀孕歧视法

处理预测性健康数据的措施很少;公共部门和私营部门各不相同;雇员自愿参加的健康计划可豁免

《加州医疗信息隐私法案》(CMIA)将健康信息保护责任扩大到软件、硬件和在线服务提供商

公共政策歧视风险

美国宪法第四修正案(禁止政府进行不合理的搜查和扣押,包括人身搜查和通过窃听和查阅公司记录来搜索个人信息)

在因执法和国家安全获取个人信息时面临复杂局面

/

2.2欧盟视角与GDPR

欧盟数据保护和隐私法建立在区分个人数据和非个人数据的基础上,对特殊类型的个人数据,如健康数据则提供了更高级别的保护。欧盟《通用数据保护条例》GDPR自2018年起生效,其适用于个人数据的收集、传输和处理。具体来看:

一是规定了数据保护原则。GDPR提出了收集、处理和存储个人数据时应遵循的一系列原则,包括:目的限制、数据最小化、存储限制、准确性、完整性和保密性(安全性)、责任和合法性、公平性和透明度。但对“公平”的模糊定义损害了对数据分析造成歧视风险的有效监管。此外,其规定了向个人用户收集个人数据的法律依据由数据处理者确定,有同意、合法利益或合同履行三种类型。

二是对“健康数据”做出了单独的规定。“健康数据”在GDPR中定义为“那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据,包括和卫生保健服务相关的服务”。与HIPAA的定义不同,来自消费设备的生活方式和身体状况数据被视为“健康数据”。除了第6条所列的处理个人数据的正当理由外,第9条列出了处理特殊类型数据的条件,其中包括:数据主体明确同意评估雇员的工作能力、具有重大公共利益的理由、公共卫生、研究等。

三是规定了对自动化的个人决策提出异议的权利。第22条明确规定,“数据主体有权反对此类决策完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策”,并指出了该规则的例外情况。

除GDPR外,欧盟的《欧盟基本权利宪章》(Charter of Fundamental Rights)、《种族平等指令》(2000/43/EC)、《两性平等指令》(2006/54/EC)94和《性别获得商品和服务指令》(2004/113/EC)95在就业、福利制度和获得商品和服务等领域对利用数据作出歧视性决定提出了监管要求。

问题与对策

3.1大数据时代新的治理挑战

一是如何定义“健康数据”。IoB技术产生了大量的生理和生物特征数据,远远超过了传统的健康信息定义。消费者可穿戴设备和身体接近技术(body-proximity technologies)已被证明对获取医疗设施以外的健康数据很有价值。而HIPAA等法规侧重于对传统健康意义上的患者信息保护,加之健康数据边界模糊,对数据何以产生和怎么产生的过程监管明显不足。

二是如何平衡数据效用和现有的数据保护原则。数据保护的基本原则,如“数据最小化”和“目的限制”可能与IoB大数据实践背道而驰。后者需要大量的数据用于算法训练,并且常常涉及数据的重新调整和组合使用。在实践中,也很难预测数据处理和二次使用的目的。当前,这些数据保护原则需要重新评估和更新,以适应大数据分析的新实践。

三是如何管理个人可识别信息(PII)和个人数据。数据保护规则历来侧重个人可识别信息和个人数据,可识别性阈值和重新识别的可能性成为定义隐私风险的关键。一方面,“一刀切”的去个人身份的方法可能会影响数据的完整性和研究的实用性;另一方面,它在保护隐私方面已经被证明是不够的,这不仅是由于去标识对基因组数据无效,而且还因为通过将数据元素与外部数据集(如选民登记记录、商业可用数据库和其他来源)进行交叉关联,可以重新识别相关数据。个人可识别信息的边界在大数据环境中变得越来越不稳定。

四是如何对“敏感数据”进行分类。通过大数据分析,可以从间接相关的健康数据中推断出某人的健康状况;来自IoB技术的健康和行为数据也可以用在保险、就业和金融等领域的预测。公共和私人代理人可能会得出“高风险的结论”,以此适用于可能损害个人和团体利益的索赔和决策。此外,敏感程度还取决于数据使用的目的和背景。例如,一个人的年龄信息可能不被视为敏感信息,但在保险和招聘的重要决策中可能会被用来钳制个人。

图2:敏感预测的风险

五是“隐私自我管理”和同意模式的问题。“通知和同意”机制既不能解决算法和预测模型的不透明性,也不能解决数据主体和数据控制者之间的知识和权力不对称问题。因此,强调个人的“隐私自我管理”的通知和同意模式,往往会陷入法律形式。此外,互联的大数据环境可能会表现出“隐私相互依赖”的情况,即一个人的隐私会受到他人决定的影响,如一个人的基因数据会影响其他人的选择权和隐私权。

六是基于个人数据保护的算法分组问题。算法分组系统对现有的隐私理论和政策提出了挑战。通过算法分组创建的身份标识通常不可还原个人身份,但基于算法分组的决策和策略仍然会影响个人利益。消费者群体特征分析、评分解决方案和预测性警务应用就是典型的例子,其造成了实质性的价格歧视、地域歧视等。而潜在的受害者可能永远不知道自己被标记为哪个群体,因此也无法根据非歧视法提出索赔。

3.2对策分析

一是围绕IoB构建一个健全的治理体系。随着物联网日益向与人体相连的方向发展,需要一个健全的治理体系来应对不断扩大的IoB带来的风险。例如,在美国,可在传统的医疗和非医疗领域划分中形成一种新的治理战略,以应对IoB技术和数据的广泛动态。IoB的治理,不仅依赖于决策者和监管者,还依赖于贸易团体、行业协会、患者群体、用户和公民、民间社会和其他形式的多利益相关者合作。

二是解决数据预测和分析结果带来的安全风险。如上所述,当前的数据保护法规主要侧重于确保数据是合法获取的,并且其处理是合规的。但总的来说,现有的法规未能解决所有情况下算法决策的风险。人工智能数据监管应解决数据预测和算法分析中的隐私和歧视风险。这就需要对部门法进行彻底的重新审查,因为大多数反歧视法律侧重于防止人类决策中的歧视,但未能解决算法的不透明性和不可预测性。

三是建立一套隐私增强技术,并制定决策框架。为了实现特定的隐私或数据保护功能,已出现了一系列技术解决方案或方法,其中包括加密、元数据和数字权限管理、应用程序编程、系统开发治理,身份管理等。此外,合成数据(Synthetic data)是另一种去个性化的方法。合成数据是与真实数据具有相同统计特性的“假”数据,可在人工智能和机器学习、软件测试等领域被认为是真实数据。隐私增强技术的具体选择通常需与数据效用和运营成本等其他因素一起考虑。决策框架可以帮助优化每种情况下的解决方案,以保护个人隐私。

四是支持数据主体并尝试团结一致的方法(solidarity approach)。为了充分实现IoB技术和数据的社会效益,应赋予用户数据主体和执行这些权利的支持系统的合法权利。这就要求对数据所有权有更明确的定义,并更好地控制用户自己的数据。同时,应将重点转移到共同的社会利益和责任上,激励人们为了集体和个人利益共享数据。生物银行是共享生物数据的一个很好的例子。数据治理团结一致的方法将数据贡献者视为合作伙伴,这包括明确承认数据库支持的研究类型,并使社区成员方便地获得研究结果。数据主体还应了解相关潜在风险。

编译 | 唐巧盈/赛博研究院高级研究员

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。