Секретный «Соловей» от Google: Как уберечь медицинские данные от утечек

В США продолжается масштабная война регуляторов с IT-корпорациями. Огромный штраф в 5 млрд долларов за утечки уже получил Facebook, власти отслеживают действия Amazon, Google, Microsoft и других компаний. Несмотря на это, Google рискнул создать секретную систему по сбору персональных медицинских сведений. В компании считают, что не нарушают законы и заявляют, что в дальнейшем данные будут использоваться исключительно для разработки полезных для людей цифровых медицинских сервисов.

За новым скандалом в США на самом деле кроется нечто большее, нежели просто попытка властей приструнить крупных игроков IT-рынка. Медицинские данные граждан — особо охраняемая информация практически в любой стране, так как повсеместно существует понятие о врачебной и медицинской тайне. Замахнувшись на эту чувствительную сферу, Google показывает всему миру, что запретных или недоступных корпорациям данных больше не существует.

Фото: Africa Studio / Shutterstock.com

Однако угроза состоит не только в бесконтрольном сборе таких сведений, но и в их бесконтрольном распространении. Причём под таким распространением можно понимать и утечки, то есть то, что лежит вне поля деятельности той или иной компании, но за что она, вне всяких сомнений, должна отвечать.

Сбор медицинских данных производится и в России. В нашей стране есть законы, регламентирующие эту процедуру. Но от этого данная область вовсе не становится прозрачнее. Последние примеры с утечками из банков говорят о том, что данными в итоге может воспользоваться кто угодно в корыстных целях.

О чём поёт американский «Соловей»

О секретном проекте «Соловей» удалось узнать благодаря расследованию журналистов Wall Street Journal. Оказалось, что проект работает уже в 21 штате США, ведётся тайный сбор данных о здоровье, истории болезни, анализах, обращениях к врачу, аллергии и патологиях миллионов американцев.

«Google сотрудничает с одной из крупнейших систем здравоохранения США в рамках проекта по сбору и анализу подробной информации о личном здоровье миллионов людей в 21 штате. Инициатива под кодовым названием "Project Nightingale" ("Проект Соловей". — прим. Царьград), по-видимому, является самой большой попыткой гиганта из Силиконовой долины завоевать позиции в сфере здравоохранения за счёт обработки медицинских данных пациентов», — пишет издание.

Тут сразу возникает первый вопрос, ответ на который может быть только риторическим: должен ли вообще поисковый гигант заниматься сбором медицинских данных? Однако он делает это не один. Поисковик, даже такой признанный мировой лидер, как Google, может лишь анализировать историю поиска, собирать данные о запросах пользователей сервисов компании в интернете и на мобильных платформах. Чтобы получить серьёзные медицинские данные, их корпорации должен кто-то «слить». Этим занимается вторая по величине организация в сфере здравоохранения в США Ascension.

«В прошлом году Google тайно начал проект "Соловей" с базирующейся в Сент-Луисе сетью из 2600 больниц, врачебных кабинетов и других учреждений, где, согласно внутренним документам, обмен данными ведётся в ускоренном режиме с лета. Данные, включённые в инициативу, представляют собой результаты лабораторных исследований, диагнозы врачей, записи о госпитализации и другие категории, составляющие полную историю болезни, включая имена пациентов и даты рождения», — говорится в материале.

Ключевой момент — наличие имён пациентов и прочие параметры, отвечающие за персонализацию информации. При этом у самих больниц и пациентов никто никакого согласия на сбор их медицинских данных не спрашивал.

Google и Ascension утверждают, что действуют в соответствии с законом от 1996 года об обмене информацией и подотчётности медицинского страхования, который позволяет больницам обмениваться данными с деловыми партнёрами, не сообщая об этом пациентам, если информация используется «только для того, чтобы помочь субъекту страхования выполнять свои функции здравоохранения». Несмотря на это, деятельность проекта «Соловей» уже стала объектом федерального расследования, недовольство высказывают как законодатели, так и пациенты.

Фото: Maxx-Studio / Shutterstock.com

В Google говорят, что благодаря проекту «Соловей» может быть совершена революция в амбулаторном лечении. Персональные данные, проходя через технологии машинного обучения, могут впоследствии помочь больному. Например, программа может посоветовать пациенту, какие таблетки купить и даже сама проводить анализ данных МРТ и других данных. В то же время риски, о которых говорят критики в США, связаны с опасениями, что Google начнёт просто продавать медицинские данные страховым компаниям, а также с опасениями утечек этих данных.

Как отмечается, тот или иной гражданин может попросту столкнуться с тем, что работодатель уже будет знать историю его болезни и, исходя из этого, увольнять, снижать зарплату и т. д. В данный момент нет ясности относительно того, чем кончится история «Соловья», однако совершенно очевидно, что такой персонализированный сбор медицинских данных граничит с беззаконием.

А как с этим в России?

Международная аналитическая компания BIS Research, которая специализируется на выявлении глобальных рисков для рынков в ближайшие 5-10 лет, сообщила ещё в прошлом году, что к 2025 году рынок Big data для медицины вырастет с 14 млрд долларов до более чем 68 млрд долларов, а объём накопленных в мире медицинских данных вырастет к 2020 году до беспрецедентных 2,3 экзабайт.

Россия так или иначе будет участником этого процесса. Более того, уже сейчас сервисы Google собирают о жителях России большое число данных, сохраняют историю местоположений, статистику запросов. Google Android имеет доступ к телефонным книгам и другой информации. Медицинские данные в России пока находятся в относительной безопасности от глобальной каталогизации, но и с этим мы можем столкнуться уже в ближайшем будущем.

В России в 2005 году был принят федеральный закон № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Ратификация конвенции завершилась в 2013 году и документ вступил в силу.

С учётом этой конвенции был написан закон №152-ФЗ «О персональных данных», который начал действовать ранее, вступив в силу в 2007 году. Этот закон регламентирует процессы сбора и обработки персональных данных в России.

В статье 9 закона сказано, что «субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе». То есть без согласия гражданина собирать его персональные данные в России попросту незаконно.

Важное уточнение мы находим в другом законе — № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». Из статьи 91.1 «Единая государственная информационная система в сфере здравоохранения» (поправки в которую были внесены в 2019 году) теперь следует, что единая государственная информационная система в сфере здравоохранения включает в себя сведения, перечисленные в других статьях закона, и обезличенные (!) в порядке, установленном уполномоченным федеральным органом исполнительной власти.

Что это значит? Что в 2019 году в закон были внесены поправки, требующие от медучреждений, как и прежде, получать согласие пациента на сбор медицинских данных, однако с тем дополнением, что переданы в единую систему они могут быть только в обезличенном виде. Под таким видом понимается исключение из персональных сведений всей информации, которая указывает на её принадлежность конкретному гражданину.

У нас всё в порядке?

Всё вместе это означает, что в России сбор медицинских сведений, которым сейчас занимается Google в США, является противозаконным. Если корпорация вдруг каким-то образом решит заняться этой деятельностью у нас, то она нарушит закон и должна будет понести за это ответственность.

Однако так ли хорошо у нас защищены персональные данные, в том числе медицинские? На самом деле нет. Примером тому могут служить уже произошедшие утечки персональных данных, например, из Сбербанка. А их в 2019 году случилось по крайней мере две. Интерес к различным базам персональных данных проявляют сегодня очень многие, и за такую информацию на чёрном интернет-рынке заинтересованные лица готовы платить хорошие деньги. Специалисты уверены, что пока существует понятие персональных данных, всегда будут находиться и те, кто будет их красть.

Именно поэтому в России следует регулировать не только сбор данных, но и их хранение, а также распространение.

«Нам необходимо регулировать использование данных. Не сбор данных, а их использование. То есть некоторые типы использования собранных данных должны быть разрешены, а некоторые — запрещены», — сказал в интервью Царьграду один из крупнейших специалистов в сфере IT в России Игорь Ашманов.

Он отметил, что любые утечки персональных данных — это угроза, однако она в разы меньше, чем угроза неправильного использования данных. Сегодня всё более модным становится злоупотребление так называемыми вычисляемыми данными, в том числе, имеющими отношение к здоровью человека.

«Эти данные вы ниоткуда не взяли, а сами вычислили. И вот как раз использование таких чувствительных данных нужно ограничить, потому что тут главное — не их сбор, а именно применение — для рекламы, для дискриминации на работе и так далее», — сказал специалист.

Между тем, по словам Ашманова, в России «очень трудно получить медицинские данные, историю болезни». В то же время должны быть приняты законы, которые будут вносить порядок в принципы распространения персональных сведений, чтобы были наказаны не только похитители информации, но и те, кто ненадлежащим образом её хранит.

Фото: Malykalexa / Shutterstock.com

По его словам, разработкой таких законов сейчас занимаются специалисты рабочей группы по правовому направлению цифровой экономики в центре компетенций в «Сколково». Однако пока эти законы в разработке.

Скандал с американским «Соловьём» — показательный пример. Пока в России нет такого засилья интернет-компаний, как в США, где корпорации в личных коммерческих целях хотят знать о гражданах всё. Однако устраниться от процесса ускорения распространения персональных данных России будет очень сложно.

Медицинские данные — самые чувствительные для человека. Закон должен не только регламентировать их корректный сбор, но и защитить людей от посягательств на эти сведения любых игроков — отечественных или заграничных. Ведь и в самих США инициатива Google по этим деликатным данным может стать поводом для штрафов и запрета вести подобную деятельность. Так зачем же нам наступать на эти американские грабли?