Photograph: Lionel Bonaventure/AFP via Getty Images

В этот понедельник 11 ноября информатор из Google слил информацию об опасности нового проекта. По его словам, у компании есть медицинские данные 50 миллионов людей. Данные, которые находятся под угрозой – непонятно, как они защищены от кибератак и сливов третьим лицам.

Новость информатора вызвала споры в конгрессе США. Первоначально информатор анонимно опубликовал своё письмо и объяснение, почему он рассказал о медицинском проекте Google, в The Guardian.

Вот его письмо.

* * *

Когда я узнал, что Google приобретает персональные медицинские данные 50 миллионов пациентов, я не смог промолчать.

Я не думал сливать информацию по сделке Google, известную как «проект Соловья» (Nightingale Project). Решение пришло ко мне постепенно, развивалось во мне через ежедневную работу. Я был один из около 250 человек, которые работают в Google и Ascension над проектом.

Когда я впервые присоединился к «Соловью», я был рад, что буду стоять в авангарде медицинских инноваций. Google стал главным игроком в сфере здравоохранения, используя феноменальный искусственный интеллект (AI) и инструменты машинного обучения для прогнозирования заболеваний таким образом, который может привести к появлению новых методов лечения.

Я работал со старшими командами управления с обеих сторон, Google и Ascension, создавая будущее. У меня есть убеждение, что у технологий действительно есть потенциал для изменения системы здравоохранения к лучшему.

Но с течением времени я становился все более озабочен вопросами безопасности и конфиденциальности. Многие вокруг меня в команде «Соловья» также разделяли эти тревоги.

Через некоторое время я достиг точки, которая, подозреваю, знакома большинству информаторов, когда становится трудно быть просто свидетелем и молчать дальше. Два простых вопроса преследовали меня: знали ли пациенты о передаче своих данных технологическому гигантаму? Должны ли они быть проинформированы об этом и могут ли отказаться от этого?

Ответ на первый вопрос быстро стал очевидным: нет. Ответ на второй, в котором я все больше убеждался: да. Как я мог молчать?

Так много поставлено на карту. Безопасность данных важна в любой области, но если эти данные касаются личных сведений о здоровье человека, это имеет самое важное значение, так как это последняя граница приватности.

Сделка и передача личных данных более 50 миллионов американцев – это ощутимо и ответственно, поэтому надзор должен быть большим. Чтобы убедиться, что он соответствовал федеральным законом, регулирующим конфиденциальную информацию о защите информации в области здравоохранения в соответствии с законодательством HIPAA* 1996 года, необходимо было сравнивать каждый аспект.

* HIPAA или Health Insurance Portability and Accountability Act – Акт (закон) о мобильности и подотчетности медицинского страхования, который был принят 21 августа 1996. Был одобрен Конгрессом США и подписан президентом Биллом Клинтоном прежде всего, чтобы модернизировать поток медицинской информации, предсказать, как личная информация, хранящаяся в медицинских учреждениях и медицинских страховых областях, должна быть защищена от мошенничества и краж.

Работа с командой из 150 сотрудников Google и около 100 сотрудников Ascension была манящей. Но меня поразило то, насколько мало контекста нам давали и с каким малым количеством информации мы работали.

Какие алгоритмы искусственного интеллекта работали в режиме реального времени, когда данные передавались из больниц в Google? Что Google планировал сделать с данными, к которым им был предоставлен доступ? Казалось, никто не знал.

Прежде всего: почему информация передавалась в форме, которая не была «де-идентифицирована» – термин, который индустрия использует для удаления всех личных данных, чтобы медицинская карта пациента не могла быть напрямую связана с ними? И почему ни пациентам, ни доктором не сказали, что происходит?

Я также был обеспокоен аспектом безопасности размещения огромного количества медицинских данных в цифровом облаке. Подумайте о недавних взломах банков или о нарушении данных в 2013 году, которому подвергся гигант розничной торговли Target *. Теперь представьте, что такое событие произошло с миллионами медицинских данных.

* В 2013 году хакеры похитили данные с 40 миллионов карточек. Target выплатила около 19 миллионов долларов людям из 47 штатов, пострадавшим от махинаций хакеров. А в целом компания понесла убытки после взлома на 202 миллиона долларов.

Я горжусь тем, что довёл эту историю до всеобщего внимания. С тех пор, как в 11 ноября в понедельник об этом узнали люди, несколько членов Конгресса выразили обеспокоенность. В том числе кандидат в президенты от Демократической партии сенатор от Миннесоты Эми Клобушар, которая заявила, что сделка вызвала «серьёзные проблемы с приватностью».

Началось федеральное расследование того, были ли соблюдены меры защиты HIPAA.

Я вижу преимущества использования Google и медицинских данных: заявки будут подавать быстрее, данные более доступны для докторов, со временем можно найти лекарство от некоторых заболеваний.

Но недостатки тоже есть: сотрудники крупных технологических компаний, которые имеют доступ к личной информации; данные в руках третьих лиц; контекстная реклама у пациентов в соответствии с их историей болезни.

Я хотел бы надеяться, что результатом моего публичного высказывания станут открытые дебаты, ведущие к конкретным изменениям. Передача медицинских данных крупным технологическим компаниям должна быть видна общественности и быть полностью прозрачной, с мониторингом независимых наблюдателей.

Пациенты должны иметь право знать о своём участии или иметь право отказаться. Использование данных должно быть четко определено не только на данный момент, но и на 10 или 20 лет в будущем.

Необходимо обеспечить полное выполнение HIPAA и установить границы, чтобы предотвратить доступ третьих сторон к данным без публичного согласия.

Короче говоря, пациенты и общественность имеют право знать, что происходит с их личной медицинской информацией на каждом этапе пути.

• Тэкст даступны на мове: Беларуская