Google旗下公司、研發出全球關注的圍棋人工智慧AlphaGo的DeepMind,為了醫療研究,未經病患同意便存取其醫療數據,影響超過160萬名病患。經過一年調查,英國資訊委員會(The Information Commissioner's Office,ICO)指出,該項協議已經違反數據保護法。
資料用於開發急性腎損傷預警系統
DeepMind和英國公有醫療體系下的醫療信託機構Royal Free NHS,在2015年簽署數據共享協議。該項協議開放DeepMind存取NHS旗下三家醫院、多達160萬名病患在5年內的所有醫療數據,目的在於開發針對急性腎損傷高風險人群的預警應用程式「Streams」。
其中,DeepMind使用NHS既有的演算法找出急性腎損傷的高風險病患,並在病情惡化時自動傳通知到醫生手機,也讓醫生可以查看病人的就診紀錄和病歷,包含血液檢測、X光、掃描結果等,已在多間NHS醫院的治療中測試。
這項協議也讓NHS和DeepMind在2016年加深合作,開發辨識視覺疾病的機器學習系統。
資料涉及敏感病史,包含用藥過量、墮胎、是否為愛滋病病患
爭議處在於,根據ICO調查,並非所有病患都被告知他們的數據將被用於研究,且這些資料中也包含高度私人敏感的病史,例如是否用藥過量、墮胎、甚至是否為愛滋病病患。
批評者指出,該款應用程式僅針對特定病情,為何需要大範圍存取病患數據?也有人質疑,未來是否只要是為了醫療目的,大型私人企業(如DeepMind母公司Google)就能直接大量存取私人醫療數據?
對此,DeepMind強調,其從未將病患數據提供給母公司Google。而針對未取得病患同意就存取數據的指控,DeepMind和Royao Free曾表示,這項協議是基於「直接照護(direct care)」的法律基礎,意即為了改善醫療,第三方研究機構不用獲得病人的許可即可存取匿名的醫療數據。
ICO判違法,要求NHS應取得病人同意、公布數據用途
經過一年調查後,ICO判定該協議已經違法,要求他們必須修改協議內容,在使用數據前先取得病人同意,並且說明他們未來將如何在隱私法的範圍內進行實驗。
「病人不會預期他們的數據被如此使用,而NHS應該對如何使用病人數據更透明。」ICO數據專員Elizabeth Denham在聲明中表示,「創新的代價,不應該需要侵犯基本的隱私權。」
ICO也指出,DeepMind和NHS此例並不適用於「直接照護」的法律基礎,因為DeepMind主要是利用數據來測試這款應用程式是否運作正常,以及醫護人員是否喜歡應用程式介面,並非真的用來改善醫療。
對此,DeepMind在部落格也承認原本的協議有不少缺失。他們表示,將修改與NHS間的協議,包含主動揭露新合約細節、邀請獨立審查員監督其在醫療領域的研究。
基於NHS和DeepMind都承諾會改進其處理並和數據的方式,因此ICO並未開罰,而在解決完隱私爭議後,雙方合作的Streams項目仍可繼續進行。