早些时候,我们曾报道过“谷歌获得160万NHS患者数据”,然而这件事引发了很大的争议。尽管该公司可以“访问”参与处理NHS数据,但却没有获得监管机构和患者本人的使用许可,不过谷歌和NHS Trust(院方)都认为无需监管部门的批准。谷歌正在开发的人工智能系统,希望能够检测病人是否有急性肾损伤的风险,而Royal Free和Barnet & Chase农场医院向谷歌提供了160万的患者数据,其中包含了敏感的个人身份信息。 据《新科学人》报道,他们似乎跳过了移交此类数据的两个关键步骤。 首先,谷歌正在开发的应用,其所使用的数据流被归类为‘医疗设备’;为安全起见,所有医疗设备都必须经由英国药品产品监管机构的批准。此外,他们并未通过英国数据监管办公室(ICO)寻求批准。 在患者数据被移交之前,他们也没有告知或征求过意见。数据被加密后传输到了谷歌在某个秘密地点的服务器,但处理的过程却又是未加密的。 2006年的《NHS法案》第251章节明令禁止在不知情的情况下分享个人身份信息。但如果你在运行一个大型的研究项目,征求每一个患者的同意几乎是难以做到的。 此时你应该通过机密咨询小组(Confidentiality Advisory Group)决定是否同意,然后获得英国国务大臣的授权。谷歌未遵循这一流程,因为每两周更新一次的“健康研究权威数据库”中并未显示。 谷歌则表示,患者并未‘明确’、而是‘暗示’了同意,因为其能够访问数据库的前提,是这项研究“对临床患者有着直接的益处”。 然而这一案例的争议点在于,政府准则明确指出,‘假设的同意’并不适用与此,因为直接的临床护理,只有当病人被特定的临床医生、给予一种特定形式的护理时才适用,接收数据的人也应该是病患的临床医生。 在一份声明中,谷歌重申了它拥有数据的合法访问。不过当局已围绕此事展开正式的调查,目前尚不清楚是否会最终指控其行为不当。 [编译自:Neowin, 来源:New Scientist] 相关文章: 谷歌获得160万英国病人的医疗数据
