你的心跳血壓值幾錢?從醫療數據買賣看未來數據生態

你的心跳血壓值幾錢?從醫療數據買賣看未來數據生態
Image Credit: Bull's Eye / ImageZoo / Corbis / 達志影像

我們想讓你知道的是

醫療數據買賣是一門大生意,當中涉及的私隱、安全問題值得關注。

情境︰你拿著公司醫療卡去看醫生,醫生問診及看過病歷後,開藥和(很重要的)假紙給你,然後你回家休息….

問題:請問以上環節,有哪幾處是值錢的個人醫療信息呢?

答案是全部。由詳細病歷、藥物處方到醫療保險理賠,一直以來都是醫療數據公司買賣的資料,這些資料對於數據經理而言都是具有龐大價值的資產,可賣予藥廠、保險公司或其他相關企業圖利。在美國,醫療數據經紀企業可以是上市公司,當中龍頭企業IMS Health在紐約證券交易所上市,現時年度收益達33億美元,2014年市值高達90億。另一邊廂,大型藥廠如輝瑞則每年花費1200萬美元購入數據,可見這是一門龐大的生意。

匿名不等於安全

這種交易合法嗎?醫療紀錄不是私人資料嗎,為什麼能任人魚肉?這種交易操作之所以堂而皇之地進行,全繫於一點,就是匿名保密︰買賣的數據都不會附有真實姓名等個人資料,因此符合美國法例。私隱外洩固然使人不安,但即使假設保密措施充足,亦有意見不滿個人資料被用作圖利。

時代變遷,十數年前電腦科技未盛行,這種不完全的元數據(metadata)各自獨立,匿名已是有效地保障。然而,在大數據盛行的今天,匿名或已無法保護的身分免於曝露;今天,各種大數據形成,數據交易如何影響一般民眾的權益,也開始受到更多關注。

數據經紀往往持有超過一組數據,即使各組獨立的資料是不具名的元數據,只要比對不同數據組,便可輕易識別出個人人士的數據。早於1997年,麻省理工學院的學生已能夠將來自醫院的公務員醫療數據(為匿名資料)及選民登記處資料比較,從中識別出當地時任州長的醫療資料,包括他最近曾到何處求診、當時的診斷以及醫生為他處方的藥物。數據交易通常十分低調,公眾往往難以得知一個經紀同時持有幾多種資料,無法估計當中可整合中何種資料,甚至用以識別個別人士。

過往無從收集的日常健康狀況,例如心率、睡眠狀況以及活動量,也因為日漸普及的可穿載式裝置(wearable devices)而變得可行,這些數據自然是數據經紀及背後多類企業垂涎的龐大商機。外國流行的FitBit與來自內地的小米手環都具有這種功能,香港也有保險商自行提供這種裝置予客戶,並以紀錄運動量扣除保費作招徠,但這類裝置背後的數據保安問題備受關注。

自己數據自己賣?

在這個紀錄儀無處不在、逛時裝店也可能被臉部識別器「點相」的年代,有人認為應反其道而行,提倡「自己數據自己賣」,以個人名義將數據售予數據經紀圖利。倡議者如醫療數據企業家Maneesh Juneja甚至聲言,這種交易可以讓全球70億人類利用身體產生的資訊養活自己。

目前歐美已有初創公司如美國的Datacoup及倫敦的Handshake建立供個人與數據經紀企業交易的網上平台,包括醫療數據。邀請消費者售出社交媒體與網上交易數據的Datacoup,其行政總裁兼創辦人之一Matt Hogan認為:「若一個消費者希望作出具有知識與教育基礎的決定,他們應有權決定向誰人賣出數據。」不過,即使參與這種個人數據交易,亦不代表能全權掌握這些數據,因這些數據同時掌握在社交媒體及銀行等服務供應商手中。

有人認為使用醫療數據應不忘初衷,既然醫療數據一直以來都是醫學及藥物研究的基石,收集大數據亦應回歸公益,全人類應公開醫療數據作科研用途。相關倡議者包括由多間大學共同創立的The Open Humans Network

數據越來越值錢

雖然上述數據買賣「個人化」尚未普及,但一般民眾處理保護個人數據的取態,亦可見他們同樣認識到「數據有價」,奇貨可居。美國Pew Research Center於今年一月公佈的調查報告中,研究人員向當地461名受訪者提供6個以數據換取利益的情景,要他們作出決定並解釋當中因由。結果顯示,利益交易內容是左右決定的最主要因素,但他們同時關注到資料的敏感度,擔心資料會否使披露自己所在之處,且對資料向第三方披露十分反感。

香港而言,醫療資料保密基本原則是「必須徵求當事人同意」,一般來說,醫療數據都須得到事主同意方可向第三方披露,商業活動則受其個別條款所限。本港關注團體認為,為保障起見,資料透露越少便越安全,相對而言,服務供應商於登記時亦應以收集最少個人資料為原則。

根據McKinsey&Company 2016年2月一份報告,全球數據數據流動所產生的價值於2014年達到2.8萬億,甚至較傳統貨物流所產生價值為高。數據的生態將進一步改變現時的生活形態,事不宜遲,香港亦是時候思考,如何訂立相關原則與法規,以保障個體的利益與私隠。

核稿編輯︰鄭家榆