Защита данных или защита здоровья?
Я не хочу жить в мире, где все, что я делаю и говорю, записывается.
Эдвард Сноуден1
Сегодня все гаджеты, которые стали возможны благодаря Интернету, должны иметь цифровое «предупреждение Миранды»: все, что вы говорите или делаете онлайн, от обновления статуса до селфи, может и будет использовано как свидетельство против вас в Интернете.
Ник Билтон, The New York Times2
В мире WikiLeaks Джулиана Ассанжа и разоблачений Эдварда Сноудена мы неуклонно приближаемся к нулевой толерантности в отношении непрозрачности деятельности правительства1, 3. В то же самое время происходит или обнаруживается огромное количество взломов систем защиты в Интернете, как в случае сети розничных магазинов Target или так называемой ошибки Heartbleed. По мере оцифровывания все вокруг становится портативным и доступным, а мы застряли где-то посредине — ни то ни се. Мы хотим открытости, но хотим при этом сохранить право на неприкосновенность частной жизни. Мы хотим от правительства прозрачности, но не хотим ставить под угрозу безопасность4, 5. Мы хотим полного доступа, но требуем защиты нашей персональной информации. Мы живем в мире продвинутых хакеров и «кванта-предпринимателей»6, которые хотят продавать наши данные, чтобы на этом заработать. Сказать, что «это все крайне запутанно», — все равно что не сказать ничего.
Несмотря на все сложности, очень важно разобраться с этими вопросами. Мы рассмотрели многие уже существующие пути обмена данными. Основная предпосылка в сегодняшнем здравоохранении состоит в том, что большие данные в конечном счете приведут к большему количеству вылеченных людей7, 8 или, по крайней мере, к улучшению их здоровья. А между тем людей постоянно лечат, но редко исцеляют. Во многом это объясняется предиктивной аналитикой, которая является темой следующей главы. В ней мы рассмотрим, насколько сказанное выше соответствует действительности. Однако, если у нас не будет четкого понимания обратной стороны оцифровывания людей и подключения всех к Интернету, мы не сможем взвесить потенциальные преимущества — будет ли это улучшение состояния человека, например хорошее самочувствие в течение месяца, или радикальный результат, такой как полное излечение от рака. Поэтому к важным вопросам неприкосновенности частной жизни и безопасности цифрового здравоохранения и медицинских данных мы обратимся прямо сейчас.
Наши цифровые «хлебные крошки» и торговцы данными
На протяжении уже нескольких десятилетий мы оставляем цифровые «хлебные крошки» везде, где только можно, начиная с оплаты кредитными картами. Их количество резко возросло за последние 15 лет с появлением Google и Интернета, Amazon и покупок онлайн, социальных сетей подобных Facebook, не говоря уже о беспроводных мобильных устройствах, которые сообщают о нашем точном местонахождении и дают гораздо больше информации о нас в режиме реального времени. А еще есть Агентство национальной безопасности, которое хранит нашу электронную переписку и разговоры по мобильным телефонам в огромных базах данных для несанкционированного поиска9, 10. Хлебные крошки превратились в буханки хлеба.
Избегать этого наблюдения в лучшем случае очень неудобно. В своей книге «Нация, пойманная в сеть: В поисках прайвеси, безопасности и свободы в мире безжалостного наблюдения» (Dragnet Nation: A Quest for Privacy, Security, and Freedom in a World of Relentless Surveillance)11 Джулия Ангвин, занимающаяся журналистскими расследованиями в ProPublica, объясняет, почему прекратила пользоваться Google: «Мои поиски предоставляют самую секретную информацию обо мне»12. У нее вызвало раздражение решение Google объединить информацию с различных сервисов компании, таких как поисковая система и почтовый сервис Gmail, предоставив рекламодателям больше возможностей для персонализированного продвижения товаров. Поэтому Ангвин перешла на DuckDuckGo, поисковую систему, которая не вводит в память и не хранит IP-адрес пользователя и другие цифровые следы12–14. Эта «маленькая» поисковая система, в которой набирается 1 млрд запросов на поиск в год в сравнении со 100 млрд в месяц у Google, быстро разрослась в связи с ростом интереса к сохранению конфиденциальности15. Хотя в ней размещаются рекламные объявления, связанные с вашими запросами.
Тайну частной жизни защитить чрезвычайно сложно, когда вы стучите по клавиатуре или пользуетесь мобильным устройством. Вы можете попытаться купить немного прайвеси с помощью таких инструментов, как Blackphone или смартфон Android стоимостью $62816, где есть специальное программное обеспечение, позволяющее пользователям делать зашифрованные звонки и отправлять зашифрованные СМС-сообщения; существует также корпус для мобильного телефона OFF Pocket за $85 для блокировки сигнала с телефона, чтобы сделать невозможным определение местонахождения аппарата17. Приложение Snapchat обещает автоматическое удаление данных, СМС-сообщений, фотографий и видеозаписей из аппарата получателя и серверов компании в период от одной до десяти секунд после просмотра данных. (Также имеются «эфемерные» приложения Secret, Confide, Younity, Gliph и Wickr.)18
Усилия по ограничению сбора данных в национальных масштабах почти не дали результата. Инструмент под названием Do Not Track («не отслеживайте меня») для потребителей, которые хотят избежать слежки в Интернете, совершенно неэффективен, а Билль о правах потребителя на конфиденциальность (Consumer Privacy Bill of Rights), который предложил президент Обама в 2012 г.19–24, так и остался пока на бумаге. Алексис Мадригал описал ощущения жертвы слежки — за ним в Интернете следили 105 компаний. Он отмечал, что «люди не контролируют данные, которые собирают о них и которыми торгуют»25, несмотря на предложение президента Обамы, которое должно было позволить пользователям «контролировать то, какие персональные данные о них собирают компании и как ими пользуются». С тех пор положение дел стало еще хуже.
Стивен Вольфрам, превосходный специалист в области информатики, продемонстрировал, сколько всего мы открываем потенциальным хакерам и электронным ворам, когда регистрируемся на Facebook26. Хотя согласие делиться данными и добровольное, оно отнюдь не информированное. Лишь немногие знают, что даже после того, как пользователи делают настройки конфиденциальности более ограничительными, восстановить ранее введенные данные совсем несложно. К тому же постоянно предпринимаются попытки хакерского взлома некоторых сайтов, например сайтов, позволяющих проводить банковские операции онлайн путем использования компьютерных программ, которые определяют пароль пользователя. Программы-анализаторы сети типа Wireshark могут сделать угрозы зримыми27, раскрыв все пакеты данных в Интернете, направленные на (атакующие) ваш компьютер, — они отлавливаются и фильтруются, чтобы вы могли их проверить и впасть в еще большую депрессию.
Когда вы покидаете небезопасное пространство в вашем доме, оставив там стационарный компьютер или ноутбук, и решаете отправиться в магазин или торговый центр, вы определенно знаете, что за вами внимательно наблюдают камеры, и привыкли к этому28. Но это только цветочки. Например, ваш смартфон «разговаривает» со многими ритейлерами и бакалейными лавками, подавая им знак, что вы вошли29–32. Зная ваш профиль, эти компании могут предложить вам персонализированный акционный товар в форме СМС-сообщений или купонов. Вполне возможно, что у вас включена защита, не позволяющая определить ваше местонахождение по аппарату, но это не имеет значения. Смартфон издает сигналы в поисках антенны Wi-Fi, и они дают ритейлерам много информации по мере того, как покупатели передвигаются по торговому центру, и то же самое делает датчик наклона в вашем телефоне33а. Вы знали, что на полках некоторых магазинов спрятаны камеры для отслеживания движения ваших глаз и того, что вы снимаете с полок и рассматриваете, и что затем они могут алгоритмически генерировать купон или какое-то соблазнительное предложение и отправить на ваш смартфон? Персональный подход, так? Существует и программное обеспечение, которое определяет ваше настроение по выражению лица и дает рекомендации применительно конкретно к вам. Если вы готовы вообще отказаться от прайвеси, то мобильное приложение Placed дает вам купоны, обеспечивающие вас информацией о магазине, в котором вы находитесь.
Когда вы выходите на городские улицы и попадаете в общественные места, вас окружает беспрецедентное количество датчиков, камер телесистем и обширные беспроводные сети, позволяющие следить за вашими передвижениями, считывать номера ваших машин и улавливать биометрическую информацию, например, узнавать лица. Еще есть наблюдающие за вами сверху недорогие спутники, в результате чего «вся Земля оказывается, словно перед зеркалом, в режиме почти реального времени и просматривается в мельчайших подробностях c помощью инфракрасной локации и других способов сбора данных»33b. Боже, да нам буквально негде укрыться от всевидящего ока.
И за нами не просто наблюдают, но и опознают. Приложение NameTag позволяет пользователям Google Glass фотографировать незнакомцев и опознавать их с помощью базы данных компании FacialNetwork, которая включает род занятий и профили в социальных сетях34. Точно так же компания NEC разрабатывает инструменты, позволяющие гостиницам и компаниям автоматически узнавать важных посетителей35. Эти функции основываются на конвертировании данных по каждому лицу в «отпечаток лица» цифрового кода и на наличии большой базы данных, в которой находится соответствие. Пользователи Facebook представляют себе это, поскольку их программное обеспечение для поиска лиц, известное как Tag Suggestions, автоматически предлагает пометить людей, изображенных на фотографиях34–36.
Хотя в настоящее время еще не существует базы данных с «отпечатками лиц» всех 7 млрд жителей Земли, это не означает, что нет компаний, которые работают над ее созданием.
В международном аэропорту Ньюарк Либерти в Нью-Йорке в 2014 г. был установлен 171 новый светодиодный осветительный прибор, и лишь немногие люди понимали, что эти светильники представляют собой часть новой беспроводной сети с датчиками, осуществляющей мониторинг всего, что происходит в терминале37. Такие «умные фонари» теперь распространяются в городах по всему миру — от Чунцина в Китае до Дубая в Объединенных Арабских Эмиратах и до Рио-де-Жанейро в Бразилии. В Великобритании на каждые 11 человек приходится камера видеонаблюдения38. В Нижнем Манхэттене ведется тщательное наблюдение за людьми и машинами с использованием технологии определения лиц и предметов. Камеры наблюдения в Бостоне использовались для идентификации Джохара и Тамерлана Царнаевых, устроивших взрывы во время Бостонского марафона28, 39. Как оказалось в дальнейшем, программное обеспечение для распознавания лиц смогло мгновенно опознать Джохара. Подобное программное обеспечение, алгоритмы, датчики и полномасштабное наблюдение бесспорно имеют большую ценность при таких обстоятельствах, но нельзя игнорировать беспокойство по поводу наблюдения в «умных городах». Как было написано в The Economist, «вместо того, чтобы стать образцом демократии, они [умные города] могут превратиться в электронные паноптикумы, в которых за всеми постоянно наблюдают. Их лабиринты программного обеспечения могут быть парализованы хакерами или вирусами»38. Нечто подобное описывает Дейв Эггерс в книге «Круг» (The Circle)40: вымышленная компания из Кремниевой долины, представляющая собой порочный гибрид Facebook, Google и Apple, сводит воедино личные письма по электронной почте, банковскую информацию, информацию о покупках и активности в социальных сетях в универсальную операционную систему. Автор показывает, к чему может привести доведенная до крайности утрата прайвеси, когда детям, например, вживляют чипы, чтобы избежать похищения41, 42. Энтони Таунсенд в книге «Умные города: большие данные, гражданские хакеры и поиск новой утопии» (Smart Cities: Big Data, Civil Hackers, and the Quest for a New Utopia)43 рисует более жизнерадостную картину. Он считает, что электронное наблюдение — это прекрасно и что мы заново изобретаем города на платформе смартфона.
В русле всего этого потока данных держит курс и большой бизнес. «Торговцы данными» — это компании, которые собирают и анализируют нашу персональную информацию и продают ее, не ставя нас в известность44. Acxiom, использующая 23 000 компьютерных серверов и обрабатывающая свыше 50 трлн сделок по передаче данных в год, является крупнейшей компанией в этой индустрии, тянущей на многие миллиарды долларов. Она имеет в своем распоряжении свыше 1500 различных данных по каждому человеку из более чем 200 млн американцев и 200 млн досье на мобильные телефоны44, 45. Очерк о таких компаниях в The New York Times был озаглавлен «Картирование и обмен данными по потребительскому геному» (Mapping, and Sharing, the Consumer Genome)46. Acxiom и другие компании, торгующие данными, располагают не только именами и фамилиями пользователей, но и сведениями о доходах, вероисповедании, расе, образовательном уровне, сексуальной ориентации, политических пристрастиях, стоимости дома, владении транспортными средствами, о том, сколько у вас детей, о ваших недавних покупках, вашем пакете акций, о том, вегетарианец ли вы, о семейной истории болезни и принимаемых лекарственных препаратах. Компании типа Exact Data продают базы данных с именами людей с заболеваниями, передаваемыми половым путем. Браузеры Интернета и приложения для мобильных телефонов во многом способствуют этому вторжению в частную жизнь. В программе «60 минут» отмечалось, что через приложения Angry Birds и Brightest Flashlight Free более 50 млн человек дали компаниям возможность бесплатно следить за ними и продавать полученные в результате данные44.
Acxiom можно считать аксиоматическим примером вторжения в частную жизнь. Ритейлер Target соединяет эти данные с информацией, которую компания собирает сама, для того, чтобы точно знать своего потребителя. Как сказал один сотрудник контрольно-надзорного органа, «это невидимые киберацци, которые собирают информацию обо всех нас». Получается, что мы все — знаменитости, а за нами бегают папарацци, только цифровые46. Генеральный директор Aсxiom Скотт Хау сказал: «Вскоре наши цифровые возможности позволят дотянуться почти до каждого пользователя Интернета в США»44. Уже сейчас у нас все не слава богу. Это вполне может служить предзнаменованием цифрового кошмара. И чем больше данных свидетельствует об этом, тем сильнее становится не по себе.
Безусловно, это не тот случай, когда данные защищены. У Choice Point имелось 17 млрд записей по отдельным людям и компаниям45. Они продали эти данные 100 000 клиентов, которые охватывали 7000 федеральных учреждений, учреждений штатов и местных органов. Было проведено расследование деятельности этой компании по поводу продажи свыше 140 000 личных данных для того, чтобы отследить всю воровскую цепочку. Компания Court Ventures, которую в дальнейшем купила Experian, одно из крупнейших бюро кредитных историй, продала «полный пакет» персональных данных, включая номера в системе социального страхования, девичьи фамилии матерей и персональную информацию, необходимую для гарантии безопасности кредитных карт.
Помимо продажи персональных данных некоторые из этих торгующих данными компаний подверглись атаке хакеров. Вот вам рецепт для создания проблем — хакерская атака на хранителя большого количества данных. Серьезный сбой в системе защиты в Epsilon привел к обнародованию электронных писем миллионов клиентов Citibank, JP Morgan Chase, Walgreens и Target46. Затем Target подверглась хакерской атаке в конце 2013 г., в результате чего был получен доступ к информации по кредитным и дебетовым картам 40 млн покупателей.
Многие из тех, кто выступает в защиту сбора данных, делают упор на различии между данными и метаданными, между личностью и цифровыми тегами, которые с нами связываются. К сожалению, по мере того, как метаданные все более увязываются с контекстом большого количества персональной информации, мы становимся «метаперсонами»47. Наша истинная личность менее важна, но ее гораздо легче установить по собранным данным. Когда Сноуден разоблачил Агентство национальной безопасности, президент Обама заявил: «В этой базе данных нет имен, нет содержания»48. Неправильно. Оказывается, человека невероятно легко идентифицировать по его номеру телефона, как продемонстрировали исследователи из Стэнфордского университета49.
Этот очень краткий обзор преимущественно немедицинской ситуации может служить прелюдией к тому, куда идет здравоохранение. Во многих больницах используется видеомониторинг, чтобы наблюдать за пациентами, с которыми связывается риск падения или совершения самоубийства, а также для того, чтобы проверять, моют ли руки врачи и медсестры50. Как и в случае розничной торговли, последствия для бизнеса огромны. Когда я был на шоу Стивена Колберта, я рассказал о работе, которую мы ведем в Институте трансляционных исследований Скриппса, чтобы внедрять в кровоток нанодатчик, способный выявлять приближение сердечного приступа за несколько дней, а то и за пару недель до того, как он должен произойти, и передавать этот сигнал на смартфон. Колберт быстро отреагировал: «Теперь я уверен, что страховые компании будут предлагать скидку, если вы носите монитор, чтобы быть более здоровым. Но затем они начнут продавать информацию о нынешнем состоянии вашего здоровья другим людям, и вам будут звонить с вопросами типа: "Хотите получить 20%-ную скидку на гробы?" Или крестор, или что-то в этом роде?» Колберт со своими несравненными шутками попал прямо в точку. Грустно во всем этом то, что в результате оцифровывания наших медицинских личностей мы оказываемся очень уязвимыми, и дело не только в маркетинге, все гораздо хуже.
Воровство медицинских персональных данных — «кража личности» — уже идет полным ходом51, 52. Исследование, проведенное Научно-исследовательским центром Пью, показало, что число краж заметно растет в США, и затрагивают они все возрастные группы53. Как говорится в отчете Центра по борьбе с хищениями персональных данных (Identity Theft Resource Center), в 2013 г. 43% всех краж персональных данных в США были связаны с медициной52. Институт Понемона в 2012 г. выпустил отчет по воровству медицинских персональных данных, которое определяется как «использование одним лицом имени и персональных данных другого лица для получения обманным путем медицинских услуг, рецептурных препаратов или представления ложных счетов». По оценкам института, жертвами стали 1,84 млн американцев — на 20% больше, чем в предыдущий год. Президент института Ларри Понемон подвел итог: «Воровство медицинских персональных данных портит экосистему здравоохранения, что очень напоминает отравление городской водопроводной системы и повлияет на всех»51. Начиная с 2009 г., когда Министерство здравоохранения и социального обеспечения США начало вести соответствующий учет, были взломаны медицинские карты 68 млн американцев52. Так что, когда Министерство здравоохранения и социального обеспечения требует от провайдера медицинских услуг оповещать своих пациентов в случае взлома медицинских карт 500 или более пациентов, это только верхушка айсберга. А как быть со взломами документов менее 500 пациентов, о которых гражданам не сообщается? Плохо уже то, что большое количество медицинских центров в США, причем и самые престижные, со сложными информационными системами здравоохранения, прошли через опыт взлома их электронных медицинских карт. Хотя некоторые из них были работой хакеров (примерно 14% случаев), гораздо большее количество утечек произошло из-за краж ноутбуков и флешек (более 50% случаев). Более того, по словам Эдварда Сноудена, Агентство национальной безопасности взламывало коды, которые используются для защиты медицинских карт американцев.
При заметном развитии телемедицины и виртуальных обращений к врачам, которые рассматривались в главе 9, необходимо позаботиться о безопасности этих электронных взаимодействий. Многие компании используют термин «надежность» весьма свободно и широко в своих рекламных материалах, а ведь то, что встреча с медиком передается по Сети, уже внушает подозрения. Вероятность нарушения системы киберзащиты в клиниках и больницах усиливается по мере того, как все больше посетителей и сотрудников приносят свои беспроводные устройства на работу и потенциально имеют доступ к «безопасной» внутренней сети организации здравоохранения.
По мере неконтролируемого роста стоимости медицинских услуг увеличивается и заинтересованность самозванцев. Но это лишь одна сторона вопроса. Продажа информации — проблема гораздо более масштабная, и она набирает силу. Как выразился Сэм Имандуст из Центра по борьбе с хищениями персональных данных: «Несколько раз кликнув мышкой, вы можете получить доступ к данным 10 000 пациентов. Каждый байт информации может быть продан по цене от $10 до $20».
«Кража личности» в медицине — это щекотливая тема, и не только из-за финансовых последствий. Если вы стали жертвой обычного ограбления, вы можете получить новое водительское удостоверение и кредитные карточки. Кража медицинских данных — это совсем другое дело. Как выразился один эксперт, «почти невозможно очистить медицинскую карту после того, как случилась кража медицинских персональных данных. Если кто-то внес ложную информацию в ваш файл, то чужие данные переплетаются с вашими и невозможно отделить информацию о вас от информации о нем»52.
Care.data vs. Careless.data
Очень информативное и весьма отрезвляющее исследование о ненадлежащем обращении с медицинскими данными в больших масштабах предприняла Государственная служба здравоохранения Великобритании (NHS)54–60. Эта крупнейшая в мире государственная организация здравоохранения предоставляет медицинскую помощь 53 млн человек. В августе 2013 г. правительство, желая побудить население делиться своими медицинскими данными с учеными, инициировало крупную кампанию под лозунгом Care.data. По всей Англии в кабинетах врачей были развешены постеры. Возглавляли кампанию Wellcome Trust и ведущие благотворительные организации, такие как Британский фонд изучения рака, Диабетический фонд Великобритании, Британский фонд сердечных болезней, и такие крупные специалисты, как Бен Голдакр. Премьер-министр Дэвид Кэмерон сказал: «Каждый пациент Государственной службы здравоохранения должен быть участником исследования»57.
Один из пациентов и участников кампании Care.data, излечившийся от рака Ричард Стивенс, был блестящей иллюстрацией полезности этой инициативы. Он сказал: «Как человек, который пережил два вида рака, я лично видел, как наши медицинские карты могут помочь людям. Возможно, меня сегодня не было бы в живых, если бы у исследователей не было доступа к медицинским записям других раковых больных, чтобы разработать самые эффективные виды лечения и выбрать лучший метод лечения для меня. Предоставляя свою историю болезни исследователям, я знаю, что помогаю другим пациентам в будущем»61.
Правительство разослало брошюру под названием «Лучшая информированность означает лучшую медицинскую помощь» (Better Information Means Better Care) в 26 млн домохозяйств (рис. 12.1)54. Цель NHS — «добиться лучшего здравоохранения, одновременно создавая самую всеобъемлющую базу данных пациентов в мире для исследований» — несомненно достойна похвалы. Это первый случай оцифровывания и хранения всех историй болезни целой нации в одном месте, центральном архиве Информационного центра Министерства здравоохранения и социального обеспечения.
Однако прозвучали серьезные опасения по поводу неприкосновенности частной жизни. Через несколько месяцев после начала кампании возникло активное оппозиционное движение, которое включало Британскую медицинскую ассоциацию и Королевскую коллегию врачей общей практики. К сожалению, эта обеспокоенность не встретила должного понимания. Например, профессор Лайам Смит из Лондонской школы гигиены и тропической медицины сказал: «Я не могу гарантировать, что не будет ни единой утечки, но риск минимален. Речь не идет о конкретных людях»61. Да нет же! Речь идет как раз о конкретных людях. Care.data состоит из конфиденциальных медицинских данных каждого человека, включая наследственность, диагнозы, выписанные лекарства, результаты анализов крови и медицинские снимки. Стоит делу дойти до «кражи личности» — чтобы стало ясно, насколько это касается конкретного человека. А для компаний розничной торговли и компаний, торгующих информацией, реидентификация не составляет особого труда, и истинная анонимность невозможна. Более точным термином будет «псевдоанонимность»59. Кражи важных медицинских персональных данных одного человека вполне достаточно, чтобы вызвать волнения и беспокойство. Но причин для беспокойства оказалось гораздо больше. В конце февраля 2014 г. крупная часть базы данных, содержащая данные больниц за 13 лет и охватывающая 47 млн пусть и обезличенных пациентов, была продана страховой индустрии. Бен Голдакр пришел в ярость от действий Информационного центра Министерства здравоохранения и социального обеспечения и написал, что это нарушение собственного устава Информационного центра: «Они не правы: это подобно ядерной энергии. Медицинские данные, разреженные и сжатые, представляют собой огромную силу, способную творить добро, но они таят в себе и большой риск. Если происходит утечка, то вернуть данные назад невозможно; потребуются десятилетия, чтобы восстановить доверие населения»56. Джонатан Фридлэнд написал в The Guardian: «Мы теперь никому не доверяем наши данные — даже нашим врачам»62.
Хотя программа Care.data была осуществлена из рук вон плохо, она очень поучительна. Она олицетворяет потенциально несовместимые цели разработки огромных ресурсов медицинской информации в помощь пациентам, но в то же самое время делает их доступными для покупателей и, к сожалению, для грабителей.
Медицинские данные и мобильные устройства
Самый большой источник данных о здоровье человека — это не МООМ и не национальное хранилище данных о здравоохранении, а смартфон. Хорошая новость состоит в тот, что куки-файлы не очень хорошо работают с мобильными телефонами, так что не могут следовать за человеком от браузера компьютера к браузеру телефона. Плохая новость состоит в том, что рекламодатели, преступники и торговцы данными нашли новые, изощренные способы отслеживать все наши действия в Сети и занятия, связанные со смартфоном или планшетом63–65. Компании типа Drawbridge могут соотнести несколько устройств с определенным пользователем путем обработки данных, включая сайты в Интернете, которые он посетил, работу с приложениями, даты и время, а также местонахождение32.
Privacy Rights Clearinghouse основательно изучила 43 мобильных приложения, связанных со здравоохранением, и показала «существенный» риск для неприкосновенности частной жизни пользователей66. Пользователи не знали, что информацию можно декодировать, передать по незащищенным сетям и ее может использовать разработчик приложения или третьи лица. Только 43% бесплатных приложений уведомляли о политике конфиденциальности67. Исследование, проведенное Колорадским университетом, показало, что потребители готовы платить за то, чтобы быть уверенными в конфиденциальности данных, вводимых или получаемых через приложение. У меня была возможность обсудить этот вопрос с Майком Ли, автором и генеральным директором MyFitnessPal — одного из самых широко используемых мобильных приложений для сброса веса и поддержания себя в форме. Он настойчиво заверял меня, что они не передают никакой индивидуальной информации третьим лицам. Похоже на правду, но относится это не ко всем. Распространение мобильных приложений для фитнеса определенно началось не самым лучшим образом, когда компания Fitbit, еще в 2011 г., непреднамеренно сделала доступной информацию о сексуальной активности пользователей. Мы прекрасно знаем, что, когда мобильные приложения загружаются, пользователь никогда не читает условия, а просто нажимает на кнопку «Согласен».
Важная часть истории о неприкосновенности частной жизни в связи с мобильными устройствами — работодатели. За водителями грузовиков следят уже несколько лет с помощью приборов слежения, сигнализирующих о местонахождении, с GPS-навигаторами, каждую минуту определяющими местонахождение и время в пути68, 69. Это было только начало все более распространенной практики контроля работодателей над своими сотрудниками с помощью датчиков, которые те носят на теле70, 71. Один из примеров — бизнес-микроскоп Hitachi (Hitachi Business Microscope), устройство, которое продается руководителям крупных компаний для увеличения производительности труда. Оно вставляется в именной бейдж сотрудника и состоит из инфракрасных датчиков, акселерометра, микрофона и беспроводного устройства связи. Сотрудники общаются друг с другом, а бейджи записывают это и передают руководству, «кто с кем разговаривает, как часто, где и насколько активно»70. Еще один подобный прибор — умные очки наподобие Vuzix, в которых есть микрофон, GPS-навигатор, акселерометр и дисплей для данных. Регистрирующие жизнь приложения типа Saga включают барометр, фотоаппарат, микрофоны и датчики для определения местонахождения смартфона с целью обеспечения «всеобъемлющей автоматической записи вашей жизни»72; они точно знают, где вы находитесь и что собираетесь делать. Барометр помогает определить точное местонахождение наряду с сильными акустическими и световыми сигналами для контекста.
Но чаще люди имеют датчики, которые носят на теле, — это беспроводные акселерометры типа Fitbit и Jawbone73–75. Эти компании теперь продают свои устройства тысячам работодателей для корпоративных оздоровительных программ75. Представитель одной крупной медицинской страховой компании отметил, что «данные, собираемые с помощью этих гаджетов, могут в конце концов повлиять на ценообразование группового страхования». Группового — а как насчет индивидуального? Кроме вашего работодателя, который может быть заинтересован в отслеживании ваших действий, есть еще ваш спортзал или фитнес-клуб, и они уже этим занимаются. Многие люди, которые покупают абонемент и не пользуются им, в будущем, возможно, уже не смогут спрятаться. Life Time Fitness, компания с фитнес-клубами в 24 штатах, имеет «менеджера по устройствам, работающего в рамках национальной программы»76, который убеждает каждого члена клуба позволить вести мониторинг каждого его движения в спортзале. Членов клуба заверяют, что они могут выбирать, с кем из друзей поделиться данными, и всегда имеется опция «Выходные в Лас-Вегасе», позволяющая полностью закрыть информацию76.
Медицинские устройства и хакерство
В то время как нам еще только предстоит увидеть широкомасштабное использование потребителями непрерывного мониторинга кровяного давления и других жизненно важных показателей, есть достаточное количество пациентов с имплантированными медицинскими устройствами для выявления многих потенциальных предрасположенностей77–81. Как выразилась Сейди Криз, профессор кибербезопасности из Оксфордского университета: «Если вы думаете, что попытки не дать ворам украсть информацию о ваших кредитных картах или взломать вашу страницу в Facebook достаточно рутинная задача, вообразите себе попытки помешать им забраться в вашу поджелудочную железу»82. На самом деле это уже случалось и с инсулиновыми насосами, и с сердечными дефибрилляторами. И те и другие имеют беспроводную связь для отслеживания и обновления программного обеспечения83. Производители не предусматривали никаких мер безопасности в этих устройствах, но были предложены новые концепции шифрования дефибриллятора посредством сигнала о сердцебиении самого пациента или кодировки данных каким-то иным способом80. Базы данных трех крупнейших производителей медицинских устройств в мире — Medtronic, St. Jude Medical и Boston Scientific — подвергались хакерским атакам, предположительно из Китая, и компании об этом не знали, пока их не уведомили федеральные власти77. Управление по контролю за продуктами и лекарствами США подняло вопрос о необходимости обеспечения кибербезопасности медицинских устройств, которые особенно уязвимы, поскольку подсоединены и к Интернету, и к больничным сетям, и к смартфонам, и к другим медицинским устройствам78.
Ошибка Heartbleed, обнаруженная в 2014 г., — яркое напоминание об уязвимости популярного, широко используемого программного обеспечения с открытым исходным кодом84–86. Мы знаем, что это программное обеспечение называется OpenSSL и используется оно для кодирования большого количества разнообразных встроенных устройств, подвергая их риску. Такие недостатки в коде, безусловно, могут быть и в программном обеспечении с закрытым исходным кодом, как и во всех наших системах электронных медицинских карт (типа EPIC, Cerner, Allscripts), которые используются на всей территории США в больницах и информационных системах здравоохранения.
Всестороннее изучение кибербезопаности больниц и организаций здравоохранения США — которое охватывало медицинские устройства и программное обеспечение, включая частные виртуальные сети передачи данных, межсетевые защитные экраны, колл-центры, программное обеспечение для радиологических исследований, телесистемы, работающие по замкнутому каналу, и роутеры — привело к выводу, что состояние медицинской кибербезопасности «ужасающее» и «вызывает тревогу», а также «является иллюстрацией того, как далеко отстала сфера здравоохранения». В отчете критиковали такие никчемные с точки зрения стандартов безопасности данных законы, как Закон о страховании здоровья и медицинской ответственности (Health Insurance Portability and Accountability Act) и Закон о применении медицинских информационных технологий в экономической деятельности и клинической практике (Health Information Technology for Economic and Clinical Health Act). Эти выводы были подкреплены результатами «первого моделирования атаки на кибербезопасность в отрасли здравоохранения», проведенного в 2014 г.87, 88а, 88b Один только факт, что первое моделирование имело место только в 2014 г., говорит сам за себя, но есть и более серьезные проблемы. Участники говорили о невозможности скоординировать действия различных медицинских практик, производителей устройств, информационных систем больниц и всех, кто с ними связан88а, 89. Джим Кониг, один из руководителей моделирования, сказал, что ожидает только роста количества атак87. Поэтому неудивительно, что число хакерских атак на больницы возросло, возможно, даже быстрее, чем предсказывалось, и они становятся все мощнее. В апреле 2014 г. неизвестная группа хакеров атаковала сайт Бостонской детской больницы, практически выведя серверы из строя и заставив больницу временно прекратить электронную переписку88с. Всего через несколько месяцев Community Health System, организация здравоохранения, обслуживающая 4,5 млн пациентов и включающая 206 больниц, подверглась кибератаке со стороны китайских хакеров, в результате чего были утрачены персональные данные, фамилии, адреса и номера социального страхования88d. Пока это самый крупный взлом базы медицинских данных из числа зарегистрированных.
Ваш геном
Когда бы я ни выступал на тему геномики, первый, неизменно задаваемый вопрос касается конфиденциальности. В настоящее время самая обширная база геномных данных имеется у 23andMe. Миссия компании — создать «самую крупную, надежную частную базу данных в мире с генотипической и фенотипической информацией, которая может быть использована для сравнительного анализа и исследований»90. Миссия эта кажется прекрасной, пока не узнаешь о том, что «генетическая информация, которой вы делитесь с другими, может быть использована не в ваших интересах», или о перспективном плане компании продавать анонимизированные данные фармацевтической промышленности.
На самом деле есть много поводов для беспокойства относительно прайвеси и безопасности, когда дело касается ваших ДНК. Начнем с генетического анализа, который может включать все — от простого генотипирования до полногеномного секвенирования или любого из «омов», составляющих ГИС человека. Решение должен принимать хозяин генома, единственным исключением могут быть дети, за которых это делают родители. К сожалению, очень легко провести генетическое тестирование, не ставя в известность человека, ведь это так просто — прихватить немного вашей ДНК с чашки, посуды или стакана, которыми вы пользовались. Нелегальная генетическая оценка должна быть запрещена, так как представляет собой откровенное нарушение неприкосновенности частной жизни.
Следующий вопрос: кто может иметь доступ к результатам анализа вашей ДНК? Ваш страховщик? Ну, в этом деле задействованы врачи, что отражает исследование, проведенное Колумбийским университетом, которое показало, что 5% из 220 терапевтов преднамеренно скрывали или искажали генетические данные своих пациентов. «Кодекс медицинской этики» Американской медицинской ассоциации предполагает, что от врачей может потребоваться хранить генетические результаты в отдельном файле, недоступном страховщикам. И разумеется, вы вправе беспокоиться из-за того, что результаты вашего геномного секвенирования хранятся в вашей медицинской карте. Электронная карта может подвергнуться хакерской атаке или быть взломана, как мы уже говорили. Или страховая компания может воспользоваться информацией, чтобы либо отказать в покрытии, либо потребовать исключительно высоких страховых взносов91.
После 14 лет бездействия американского Конгресса в 2008 г. наконец был принят Закон о недопущении дискриминации в связи с генетической информацией (Genetics Information Nondiscrimination Act)92. В то время как этот закон защищает людей от передачи их генетических данных работодателям или медицинским страховым компаниям и злоупотреблений ими, он не распространяется на страхование жизни, страхование на случай инвалидности и необходимости длительного лечения. Исключив эти важные виды страхования из рассмотрения вопроса о конфиденциальности и запрете на передачу генетической информации, закон породил существенные противоречия и путаницу92.
Так, например, Барта Мария Кнопперс, директор Центра геномики и политики при Университете Макгилла, указывает, что «ни одно исследование никогда не устанавливало существования генетической дискриминации страховщиками»93, и делает вывод: «Сомнительно, что очередной закон о страховании жизни, инвалидности и долгосрочного лечения на самом деле может предотвратить дискриминацию»93. И действительно, Джоли с коллегами провели систематический анализ всех публикаций о генетической дискриминации и страховании жизни и сделали вывод: «За исключением достойного внимания изучения болезни Хантингтона, ни одно из рассматриваемых здесь исследований не дает бесспорных доказательств системных проблем генетической дискриминации, которые могли бы привести к нежелательным социальным последствиям»94.
Из 15 крупных страховых компаний лишь одна (Northwestern Mutual) в настоящее время спрашивает потенциальных клиентов в определенных штатах о данных генетических тестов, если такие делались94. И компания указывает, что отказ сообщать результаты может привести к отмене страхового покрытия или повышению ставки страховых взносов. Одна компания, занимающаяся страхованием жизни, включает в договор особое условие, что, если человек не сообщит о высокой генетической предрасположенности к болезни Альцгеймера, как, например, о наличии двух копий аллеля apoε4, это будет считаться серьезным упущением и может привести к признанию полиса недействительным95.
К счастью, некоторые штаты распространили инициативу за рамки Закона о недопущении дискриминации в связи с генетической информацией, чтобы обеспечить всеобъемлющий закон о конфиденциальности генетических данных. В 16 штатах есть законы о конфиденциальности генетических данных и при страховании жизни, и при страховании инвалидности. В 10 штатах законы касаются длительного лечения, а в некоторых штатах, например Калифорнии и Массачусетсе, защита конфиденциальной информации распространяется на все три вида страхования96. В Великобритании страховые компании пока согласились игнорировать генетические анализы, потому что наследственные заболевания, которые могут иметь серьезные последствия, довольно редки.
Тем не менее некоторые ведущие американские страховые компании считают уместным иметь всю информацию о здоровье клиента, включая геномные данные, поскольку это единственный способ справедливо и точно оценить риски. Так что этот спор по большому счету не закончился. Кроме того, постоянно меняется интерпретация геномной информации, и меняется серьезно. Мутации, при которых высока вероятность развития у конкретного человека серьезного заболевания, по большей части редки; более типичны геномные варианты, при которых нет уверенности, что у человека вообще разовьется болезнь, — можно только предполагать. Возьмем в качестве примера apoε4. Носители встречаются довольно часто, это примерно 14% населения. Риск заболеть болезнью Альцгеймера у них выше в три раза, чем у тех, кто не является носителем этого аллеля. Но все равно этот риск находится в диапазоне от 20% до 25%, это далеко не 100%. Страховые компании, возможно, захотят иметь точную статистику по этому вопросу, но история apoε4 касается лишь одного из немногих установленных обычных аллелей, ход развития которых исследован. В предстоящие годы мы узнаем гораздо больше о генах-модификаторах, которые объясняют, почему некоторые люди даже с двумя копиями apoε4 никогда не заболевают болезнью Альцгеймера. Только после того, как миллионы людей с различными заболеваниями и наследственностью пройдут полногеномное секвенирование, мы начнем лучше понимать риски. До тех пор мы находимся в зоне неопределенности, а это мешает исследованиям — почти 25% людей, которым предлагают участвовать в геномных исследованиях, отказываются, поскольку их беспокоят вопросы страхования. Да, большинство людей готовы поделиться информацией о своих ДНК для научных целей, при условии сохранения анонимности, но с этим-то как раз проблема. Некоторые исследования показали, что при получении от человека обширных геномных данных есть вероятность, что его можно реидентифицировать. Это нелегко и безусловно не всегда возможно97, но гарантировать добровольному участнику геномного исследования, что этого не произойдет, нельзя. Недавние исследования показали, что становится все проще воссоздать лицо человека («генетический снимок») на основании геномной последовательности, и это добавляет еще один повод для беспокойства по поводу прайвеси98. А с помощью алгоритмов для распознавания лиц могут быть выявлены и генетические аномалии99.
Для выхода из этого затруднительного положения предлагаются разные пути. Миша Энгрист из Университета Дьюка рассматривает три варианта — лучше шифровать, сделать реидентификацию противозаконной или просто сделать генотип и фенотип общедоступными100. Приняв участие в проекте «Личный геном» Гарвардского университета с полностью открытыми данными, он признал, что, учитывая последнее обстоятельство, люди должны чувствовать себя неуютно, поскольку их ДНК могут быть использованы, чтобы каким-то образом подставить: среди всего прочего, например, существует риск признания вашего отцовства.
Зашифровывание генома вполне реально. Криптологи выступают за «гомоморфную» методологию, в этом случае с данными работают через умножение и сложение, но при этом не требуется тратить много времени на расчеты. Однако возможна полная расшифровка: Джон Уилбэнкс, специалист по сохранению конфиденциальности из Sage Bionetworks, Сиэтл, сказал: «Если где-то имеется копия вашего генома, пусть и сильно зашифрованная, я могу просто пожать вам руку и взять немного вашего генетического материала». Мы уже рассматривали эту возможность, и она должна быть признана противозаконной. Реидентификация также должна быть противозаконной, но ввести подобную практику может быть чрезвычайно сложно.
Трудность решения проблемы прайвеси, особенно когда речь идет о больших базах геномных данных, собираемых у миллионов людей, вероятно, объясняет точку зрения Стивена Бреннера из Калифорнийского университета в Беркли, высказанную им в статье «Будьте готовы к утечке большого количества геномных данных» (Be Prepared for the Big Genome Leak)101. Но хотя он и утверждает, что серьезные утечки неизбежны, он верит, что на индивидуальном уровне такие данные, «вероятно, раскроют меньше, чем при обычном поиске в Google». Он может быть прав насчет этого сегодня, но, если перемотать пленку к тому времени, когда геномные данные станут заметно более информативными, это уже может быть совсем не так.
Еще один вариант — продавать вашу геномную последовательность. Компания-стартап Miinome создала платформу, при помощи которой потребители получают наличные за продажу данных своих ДНК рыночным производителям и исследователям102. Генеральный директор сказал: «Мы представляем собой первый маленький рынок человеческого генома, контролируемый участниками процесса»102. Компания получает свои проценты за каждый доступ покупателя к вашим данным. Я сомневаюсь, что бизнес-модель этой компании привлечет клиентов, и думаю, что исследователям не выделяется достаточно средств, чтобы оправдать издержки, но, по крайней мере, в данном случае начинают признаваться принципы права собственности и ценность человеческой ДНК.
Если подытожить обзор этих альтернатив, кажется, что два варианта в сущности выполнимы — лучшее зашифровывание и признание реидентификации нелегальной. В то время как эти решения отнюдь не идеальны, оба стоит рассмотреть в контексте повышения информативности геномных данных в будущем. Все, что лучше защитит конфиденциальность геномных данных человека, должно быть нашей путеводной звездой.
Путь вперед
Мы рассмотрели многие аспекты сохранения конфиденциальности и безопасности ваших медицинских данных, но есть несколько очень важных понятий и требующих действий вопросов, на которые нужно обратить внимание, чтобы все шло правильным путем.
Я говорил это раньше, но позвольте мне повториться. Вы должны владеть всеми своими медицинскими данными. Если вы их собрали, например, с помощью датчиков, прикрепленных к вашему телу, или лаборатории вашего смартфона, или устройства, формирующего изображение, вы ими владеете. Это ваше тело. Вы заплатили за то, чтобы получить эту информацию. Для вас она значит больше, чем для кого-либо еще на нашей планете. На протяжении вашей жизни вы можете сталкиваться с десятками различных врачей в многочисленных организациях здравоохранения и клиниках, и нет никакого способа обеспечить наличие информации о вас и ее доступность, если ее нет в вашем распоряжении. Мы говорим не только о медицинских заключениях и результатах. Мы говорим и об исходных данных. Например, о полной последовательности вашего генома, показаниях датчиков или видеозаписях ультразвукового исследования. Обо всех ваших данных, в мельчайших деталях. Даже если они вам не нужны или вы совершенно их не понимаете, владение медицинскими данными может оказаться чрезвычайно полезным для дальнейших оценок вашего состояния. Нам еще предстоит долгий путь. Как подчеркивали Луншоф и его коллеги в Science, говоря о жизненной необходимости доступа к исходным данным: «Президентская комиссия недавно рассмотрела 32 отчета из США и со всего мира о возвращении находок в самых разных контекстах; поразительно, что ни в одном из них не рассматривается вопрос доступа к исходным данным участниками исследований»103. В редакционной статье в Nature удачно описана обязанность защищать участников исследований: «Фундаментальное право человека — решать, как должны использоваться его медицинские данные, и никакие исключения из особого информированного согласия нельзя считать нормой. Информированное согласие — это не препятствие, которое нужно преодолевать, а принцип, который нужно уважать и ценить»55.
Далее, набор данных вашей ГИС — т.е. о вас, в оцифрованном медицинском образе, — должен быть полностью защищен в вашем личном облачном хранилище данных с помощью соответствующих межсетевых экранов. Это слишком большой файл, чтобы держать его под рукой. Это единственный способ обеспечить легкий доступ и защиту всем вашим медицинским данным от утробы до могилы. Здесь принцип исследования с участием одного пациента работает в вашу пользу. В то время как вы, надо надеяться, с энтузиазмом будете участвовать в клинических исследованиях и делиться своими данными с большой базой данных на условиях анонимности и зашифровывания, мы видели, как они могут подвергнуться хакерской атаке. Чем крупнее информационный ресурс, тем более привлекательным он может быть для такого взлома. Если у вас есть персональное облачное хранилище данных, шансы на исчезновение таких данных снижаются. Устаревшие медицинские информационные системы сегодня должны пройти полную реконфигурацию, причем так, чтобы каждый байт данных о вас автоматически помещался в хранилище и оптимально размещался в вашем персональном облачном хранилище данных.
Нам также нужна помощь правительства. К счастью, Управление по контролю за продуктами и лекарствами имеет совершенно определенную позицию по поводу прав потребителей в геномике: «Граждане должны иметь неограниченный доступ к своим исходным геномным данным». Как я уже говорил, совсем необязательно такой позиции придерживаются медицинские организации, например Американская медицинская ассоциация. Но наше законодательство сильно отстает во всех вопросах цифровой медицины, федеральные законы, касающиеся неприкосновенности частной жизни и безопасности, никуда не годятся. Нам нужен новый закон, выходящий за пределы Закона о страховании здоровья и медицинской ответственности и Закона о применении медицинских информационных технологий в экономической деятельности и клинической практике, — такой закон, который обеспечил бы важный баланс для защиты конфиденциальности и в то же самое время способствовал медицинским исследованиям89, 104. Предложенные Белым домом билль о правах потребителя на конфиденциальность и инструмент Do Not Track необходимо сделать законами. Как правильно утверждает Стивен Фэйрслоуг, профессор Ливерпульского университета: «Электронные устройства, которые отслеживают наши эмоции, сердечный ритм или мозговые волны, должны регулироваться в интересах нашей конфиденциальности»105. Это возвращает нас к теме выбора — «защита данных или защита здоровья» — и заголовку этой главы. Конечно, мы хотим способствовать развитию открытой медицины, открытой науки и МООМ — и пользоваться их поразительными возможностями. Но в то же время мы хотим, чтобы нас осведомляли о рисках. Курирование медицинской информации, с правильной смесью безопасности и открытости, может когда-нибудь стать основой лечения или, по крайней мере, сохранения здоровья. Я предполагаю, что искомое равновесие в конце концов будет достигнуто и определенно для каждого человека будет свой вариант. На этой основе мы готовы использовать данные, чтобы сбылась мечта о предотвращении болезней, а это гораздо лучше лечения.
