加州大学伯克利分校完成的一项新研究表明,美国当前的法律框架还没有准备好就人工智能如何影响人们的数字隐私进行立法。
该研究的重点是人工智能如何使用大量数据存储库来识别个人及其个人健康数据。首席研究员阿尼尔·阿斯瓦尼 (Anil Aswani) 表示,人工智能可以使用从活动跟踪器、智能手机和智能手表收集的步数数据,并将其与人口统计数据交叉引用,以识别个人。
在研究过程中,伯克利研究人员使用从 15,000 名美国人身上挖掘的数据,成功证明现行法律法规并不能充分保护人们的私人健康数据。这项研究于去年 12 月 21 日发表在《JAMA Network Open》杂志上,研究表明,如果要适当保护人们的健康数据,当前的健康保险流通和责任法案 (HIPAA) 中规定的隐私标准迫切需要重新评估。
个人数据的重新归属
该研究的一个主要发现涉及匿名或假名数据的重新归因。阿斯瓦尼表示,从健康相关数据集中剥离所有识别信息并不能适当保护个人。这是因为公司可以使用人工智能来重新归因之前匿名的数据。阿斯瓦尼解释说:
“HIPAA 法规使您的医疗保健隐私化,但它们的覆盖范围并没有您想象的那么多。许多团体,例如科技公司,不受 HIPAA 覆盖,并且当前的 HIPAA 规则只允许共享非常具体的信息。有些公司购买健康数据。它应该是匿名数据,但他们的整个商业模式是找到一种将名称附加到这些数据上并将其出售的方法。”
阿斯瓦尼描述了 Facebook 等公司如何将敏感数据重新组合起来作为自己的业务。不幸的是,现行的美国法律并没有阻止公司重新归因以前被删除的数据,这使人们的私人健康数据面临风险:
“原则上,你可以想象 Facebook 从你智能手机上的应用程序收集步数数据,然后从另一家公司购买医疗保健数据并将两者进行匹配。现在他们将拥有与姓名匹配的医疗保健数据,他们可以开始基于这些数据销售广告,也可以将数据出售给其他人。”
其影响是显而易见的,对于那些与潜在健康问题作斗争的人来说,这些健康数据可能会导致歧视。健康保险公司可以在决策过程中使用任何可以成功归因于个人的健康数据。就步数数据而言,久坐的生活方式(健康保险公司不应该自动知道这一点)可能会导致更高的保费。
轻松访问
加州大学伯克利分校的研究表明,人工智能功效的提高将大大提高私营部门收集个人健康相关数据的能力。研究人员认为,这将不可避免地诱惑企业以不道德或秘密的方式使用数据。
随着人工智能的进步,个人可能会发现他们的健康数据被雇主、抵押贷款机构、信用卡公司和保险公司用来对付他们。阿斯瓦尼的团队感到很困扰——因为这可能会导致公司根据怀孕或残疾等因素进行歧视。
常见问题
这并不是第一次将匿名或假名数据成功归因于个人。麻省理工学院 2015 年进行的研究表明,之前被删除的信用卡数据可以成功地重新归属。
麻省理工学院使用了来自 10,000 家商店的去识别化数据,其中包含 110 万信用卡客户的详细信息。据首席研究员称伊夫·亚历山大·德蒙乔耶,如果成功发现特定标记,就可以轻松地挑出一个人。根据麻省理工学院的说法,这些重要标记可以使用少至 3 或 4 笔交易的数据来发现。
研究表明,数据假名化过程远非万无一失。这令人担忧,因为即使在 GDPR 极大改善了人们的数据隐私权的欧盟,数据假名化也被吹捧为企业在不违反法律的情况下处理“特殊类别”或敏感数据的方法。特殊类别数据包括遗传数据和健康相关数据。
加州大学伯克利分校的新研究和麻省理工学院之前的研究都表明,数据的假名化可能不足以无限期地保护数据。这意味着即使是最具前瞻性的数据隐私法案也可能无法充分保护公民免受拼图攻击。
需要立法更新
阿斯瓦尼和他的研究团队敦促美国政府“重新审视和修改”现有的 HIPPA 立法,以保护人们免受人工智能造成的危险。需要新的法规来保护健康数据,但伯克利研究人员担心美国政策制定者似乎正走在错误的方向上:
“理想情况下,我希望看到的是保护健康数据的新法规或规则。但现在实际上有很大的推动力甚至削弱法规。例如,HIPAA 规则制定小组已要求就增加数据共享发表评论。风险在于,如果人们不知道发生了什么,我们的规则就会被削弱。而且,事实是,我们在医疗保健方面失去隐私控制的风险实际上在增加而不是减少。”
如果这个故事让您重新考虑自己的在线安全,为什么不看看我们的最好的VPN服务页面,了解如何确保在线安全。
图片来源:metamorworks/Shutterstock.com、五棵树/Shutterstock.com、Billion Photos/Shutterstock.com。