醫療檔案的網絡恐怖

李　光

信息技術早就進入人們的生活并左右人們的生活，遠程醫療或電子(網絡)醫療便是其中一種。遠程醫療除了可以遠程為病人實時看病、診斷、開藥和手術外，另一個重要內容是保存公民的醫療檔案。今天世界上最大的搜索引擎谷歌(Google)似乎在這方面又找到一個突破口，可以借保存個人醫療記錄或病歷而滲入人們生活，由此也可能賺錢發財并左右人們的生活方式。個人醫療檔案放到網絡上去保管將會引起什么樣的結果并對人們的生活方式造成什么樣的影響呢?

網絡公司介入醫檔保存

谷歌于2008年2月21日宣布說，它將開始為數千人保存或貯存醫療記錄以作為它向人們提供一種期盼已久的衛生服務。

谷歌的最初計劃是，將對美國俄亥俄州克利夫蘭市醫院的1500～10000名自愿同意的病人做個人健康記錄的電子轉移者，能使這些病人通過谷歌的這項新的服務檢索自己的健康信息，但又不會對公眾公開。

每個人的健康檔案，包括處方、過敏和醫療史的記錄將受到密碼的保護，以避免其他使用谷歌服務的人進入。谷歌把這一延伸到醫療記錄管理的服務視為其業務的一種合乎邏輯的擴展，因為它的搜索引擎已經處理過成千上億來自人們的搜索請求，希望對他們的受傷、疾病或推薦治療提供更多的信息。

不過現在谷歌對于何時啟動這項衛生服務還沒有一個特別的時間表，而在過去兩年谷歌的健康服務已積累了很多資源。谷歌的衛生項目主管馬里薩·梅耶此前已表示，這項服務在2008年會啟動。不過，谷歌為病人保存電子醫療記錄的計劃將始于克利夫蘭醫院，這是于87年前創建的一個非贏利醫學中心。這個醫院已經在其自己的名為“我的計劃”的網絡服務中保留了12萬多名病人的個人健康檔案。而把健康信息轉移到谷歌上的病人即使他們不再接受克利夫蘭醫院的治療，也仍可在網上迅速查詢和獲得自己的醫療資料。

在由克利夫蘭醫院主持的一個儀式上，梅耶在一份申明中說，他們相信病人更容易地獲得并管理自己的醫療信息。而克利夫蘭醫院的首席信息官馬丁·哈里斯則表示，克利夫蘭醫院與谷歌一起工作將“創造一個更有效和更實際的全國醫療系統”。

然而，谷歌并非是第一個建立網上文件以努力讓公眾在換了醫生或醫療保險計劃后更容易獲得其醫療記錄的高技術重量級選手。例如，谷歌的競爭對手微軟公司于2007年就引進了一項相似的服務，稱為“健康庫房”。而美國在線(AOL)的創始人之一史蒂芬·凱思也正在創建一種稱為“革命醫療”的網上系統，能夠為公眾提供管理個人衛生檔案的網上工具。可以說，網絡公司正在介入和追逐包括醫療檔案保存在內的所有遠程醫療的項目，原因在于，這既可以擴大用戶，更可以贏利。

個人醫療信息安金的立法

毫無疑問，個人醫療檔案是一種極具隱私的信息，包括人們患了什么病、有無遺傳性、是否能治療、能否生育，甚至個人的性生活等都可能記錄在案，一旦泄漏對當事人恐怕將是滅頂之災。

例如，如果一個人患癌或患過癌癥，而且有家族遺傳史，那么他／她就可能面臨沒有人愿意雇用的局面，同時個人婚姻也面臨困難。這方面的例子在生活中數不勝數，無論是哪個國家都有雇主因病解雇員工的情況。在中國，甚至有傳染病也無法得到雇用，如乙肝。所以，信息時代和網絡固然是個好東西，但其殺傷力也是空前的。

意識到這一點，美國早在上個世紀推行遠程(網絡)醫療時就做了嚴格的法律論證并立法以保障公民的個人信息安全。1991年，美國衛生部(HHS)組建了電子數據交換工作組(WEDI)，研究電子數據如何交換但又不泄密的問題。隨后，1992年，WEDI提交了一份關于醫療保險電子數據交換標準化的研究報告，并于1993年發表了年度報告。

在這個報告的基礎上，美國出臺了“健康保險攜帶和責任法案”(簡稱HIPAA法案，又稱“醫療電子交換法案”)，目的是簡化管理，降低日益增長的醫療費用開支。1996年，克林頓政府簽署了經過參議院和眾議院通過的這個醫療保險改革法案。當然，這只是一個初步的方案，后來美國衛生部于2000年12月，公布了個人健康信息的隱私保護標準和實施指南。2001年5月7日，美國107屆國會通過修正案，將標準化工作延期到2004年lO月16日，并要求聯邦審計總署對HIPPA法案實施及電子數據交換標準的實施效果進行評估。如今，這一法案已在美國正常實施，但還會不斷修改和添加內容。

HIPPA法案的內容很多，其中一個重要規定是要求醫療服務供應商和保險公司，在未經患者同意的情況下不得披露患者的醫療信息。正是在這一點上人們普遍懷疑今天的谷歌和微軟等公司能否做到。

網絡公司提供的安全保障

網上貯存和閱覽醫療檔案無疑是方便了公眾，但這種服務也為隱私偷窺者提供了更多機會，后者相信谷歌對其使用者的興趣和習慣知道得很多，因為谷歌的計算機記錄了他們的搜索請求并能貯存他們在電子郵件中討論的內容。

針對這一點，谷歌早在2007年就推出了一項旨在消除安全隱患的措施。網民都知道，他們上網瀏覽或搜尋數據的紀錄，都會被儲存進一個龐大的數據庫內，執法部門可以運用權力要求商家提交這些數據，因而這令很多網民感到不安。

為了打消公眾的顧慮，爭取更多的網民，谷歌于2007年3月14日宣布，今后會定期刪除其數據儲存庫和服務器內的“餅干”(cookies)，每隔18個月便會更新系統和刪除c00kies一次，這符合美國法律要求互聯網供應商保留用戶數據的期限。所謂“餅干”(cookies)只是一個數據庫。當你在瀏覽網站的時候，網絡供應商服務器會先送一個小數據庫cookies放在你的計算機上，它會把你在網站上所書寫、記錄的文字或一些選擇，都記錄下來。當下次你再光臨同一個網站，供應商服務器會先看看有沒有它上次留下的C00ki e資料。如果有，就會依據Cookie里的內容來判斷使用者，送出特定的網頁內容給使用者。

谷歌是全球最大的網絡搜索引擎，它的cookies當然龐大和量多，而大量搜索者的個人信息就包含在這種cookies中，不僅當局，而且黑客都可以找到并獲得個人的信息。谷歌宣布每隔18個月便會更新系統和刪除cookies一次，也就刪除了個人隱私和信息，為人們提供了安全保證。而且，谷歌在一次個人司法記錄的演示中，也成功地拒絕了美國司法部要求查驗兩年前一個法庭辯論時谷歌的數百萬使用者的搜索請求。也就是說，谷歌如果在網上推出個人醫療電子檔案，是可能為使用者保密的。

但是，無論是谷歌還是微軟，都屬于第三者，會遇到麻煩，因為他們都游離于美國“健康保險攜帶和責任法案”之外。美國的HIPAA法案有嚴格的標準，其中，“未經患者同意不得披露患者的醫療信息”有多種規定。例如，該法案要求把醫療信息視為一種在醫生和病人之間的特許的交流。而在其他情況下，HIPAA法案規定，如果司法要求查詢一份醫療記錄時，醫生要通知病人。

在這一點上，世界隱私論壇的執行主席帕姆·迪克遜認為，這意味著，由谷歌或微軟把一名病人的醫療記錄轉移到一個外部的衛生服務部門去時，可能會無意讓政府部門或其他一些法律對手更容易獲得病人的信息。如果醫療信息不能被HIPAA法案保護，那就可以認為這些信息會被用于市場目的。

現在，谷歌經營著互聯網最賺錢的網絡廣告，這主要是依賴其建立在搜索查詢的市場信息、網頁內容和包含在其計算機的電子郵件之上。當然，現在還不清楚谷歌是否有意用保存個人醫療檔案這樣的醫療服務賺錢。不過，當個人信息可以被用來賺大錢之時，遠程醫療的安全性就非常脆弱了。

責任編輯張田勘