加州大學伯克利分校完成的一項新研究表明,美國當前的法律框架還沒有準備好就人工智能如何影響人們的數字隱私進行立法。
該研究的重點是人工智能如何使用大量數據存儲庫來識別個人及其個人健康數據。首席研究員阿尼爾·阿斯瓦尼 (Anil Aswani) 表示,人工智能可以使用從活動跟踪器、智能手機和智能手錶收集的步數數據,並將其與人口統計數據交叉引用,以識別個人。
在研究過程中,伯克利研究人員使用從 15,000 名美國人身上挖掘的數據,成功證明現行法律法規並不能充分保護人們的私人健康數據。這項研究於去年 12 月 21 日發表在《JAMA Network Open》雜誌上,研究表明,如果要適當保護人們的健康數據,當前的健康保險流通和責任法案 (HIPAA) 中規定的隱私標準迫切需要重新評估。
個人數據的重新歸屬
該研究的一個主要發現涉及匿名或假名數據的重新歸因。阿斯瓦尼表示,從健康相關數據集中剝離所有識別信息並不能適當保護個人。這是因為公司可以使用人工智能來重新歸因之前匿名的數據。阿斯瓦尼解釋說:
“HIPAA 法規使您的醫療保健隱私化,但它們的覆蓋範圍並沒有您想像的那麼多。許多團體,例如科技公司,不受 HIPAA 覆蓋,並且當前的 HIPAA 規則只允許共享非常具體的信息。有些公司購買健康數據。它應該是匿名數據,但他們的整個商業模式是找到一種將名稱附加到這些數據上並將其出售的方法。”
阿斯瓦尼描述了 Facebook 等公司如何將敏感數據重新組合起來作為自己的業務。不幸的是,現行的美國法律並沒有阻止公司重新歸因以前被刪除的數據,這使人們的私人健康數據面臨風險:
“原則上,你可以想像 Facebook 從你智能手機上的應用程序收集步數數據,然後從另一家公司購買醫療保健數據並將兩者進行匹配。現在他們將擁有與姓名匹配的醫療保健數據,他們可以開始基於這些數據銷售廣告,也可以將數據出售給其他人。”
其影響是顯而易見的,對於那些與潛在健康問題作鬥爭的人來說,這些健康數據可能會導致歧視。健康保險公司可以在決策過程中使用任何可以成功歸因於個人的健康數據。就步數數據而言,久坐的生活方式(健康保險公司不應該自動知道這一點)可能會導致更高的保費。
輕鬆訪問
加州大學伯克利分校的研究表明,人工智能功效的提高將大大提高私營部門收集個人健康相關數據的能力。研究人員認為,這將不可避免地誘惑企業以不道德或秘密的方式使用數據。
隨著人工智能的進步,個人可能會發現他們的健康數據被雇主、抵押貸款機構、信用卡公司和保險公司用來對付他們。阿斯瓦尼的團隊感到很困擾——因為這可能會導致公司根據懷孕或殘疾等因素進行歧視。
常見問題
這並不是第一次將匿名或假名數據成功歸因於個人。麻省理工學院 2015 年進行的研究表明,之前被刪除的信用卡數據可以成功地重新歸屬。
麻省理工學院使用了來自 10,000 家商店的去識別化數據,其中包含 110 萬信用卡客戶的詳細信息。據首席研究員稱伊夫·亞歷山大·德蒙喬耶,如果成功發現特定標記,就可以輕鬆地挑出一個人。根據麻省理工學院的說法,這些重要標記可以使用少至 3 或 4 筆交易的數據來發現。
研究表明,數據假名化過程遠非萬無一失。這令人擔憂,因為即使在 GDPR 極大改善了人們的數據隱私權的歐盟,數據假名化也被吹捧為企業在不違反法律的情況下處理“特殊類別”或敏感數據的方法。特殊類別數據包括遺傳數據和健康相關數據。
加州大學伯克利分校的新研究和麻省理工學院之前的研究都表明,數據的假名化可能不足以無限期地保護數據。這意味著即使是最具前瞻性的數據隱私法案也可能無法充分保護公民免受拼圖攻擊。
需要立法更新
阿斯瓦尼和他的研究團隊敦促美國政府“重新審視和修改”現有的 HIPPA 立法,以保護人們免受人工智能造成的危險。需要新的法規來保護健康數據,但伯克利研究人員擔心美國政策制定者似乎正走在錯誤的方向上:
“理想情況下,我希望看到的是保護健康數據的新法規或規則。但現在實際上有很大的推動力甚至削弱法規。例如,HIPAA 規則制定小組已要求就增加數據共享發表評論。風險在於,如果人們不知道發生了什麼,我們的規則就會被削弱。而且,事實是,我們在醫療保健方面失去隱私控制的風險實際上在增加而不是減少。”
如果這個故事讓您重新考慮自己的在線安全,為什麼不看看我們的最好的VPN服務頁面,了解如何確保在線安全。
圖片來源:metamorworks/Shutterstock.com、五棵樹/Shutterstock.com、Billion Photos/Shutterstock.com。