Когда инструменты ИИ обрабатывают медицинские данные: почему охваченные HIPAA организации — не единственная проблема

Нововведенная функция ChatGPT Health от OpenAI вызвала серьезные вопросы о том, как защищается конфиденциальность личной информации при передаче пользователями своих медицинских данных искусственным интеллектуальным платформам. Хотя компания утверждает, что внедрила меры безопасности, защитники конфиденциальности отмечают, что существующие нормативы создают опасные пробелы в защите прав потребителей.

Пробел в защите конфиденциальности за пределами субъектов, покрываемых HIPAA

Вот важное отличие, которое большинство пользователей упускает: медицинские данные получают разное юридическое обращение в зависимости от того, кто их хранит. Когда субъекты, покрываемые HIPAA — такие как больницы, страховые компании или кабинеты врачей — хранят вашу медицинскую информацию, применяются строгие правила конфиденциальности. Однако технологические компании, платформы ИИ и разработчики медицинских приложений работают в в основном нерегулируемой сфере.

Андрю Кроуфорд, старший советник по политике в Центре демократии и технологий, подчеркивает эту разницу: «Правила конфиденциальности HIPAA применяются, когда ваши медицинские данные хранятся у вашего врача или страховой компании. То же самое не относится к субъектам, не подпадающим под HIPAA, таким как разработчики медицинских приложений, носимых устройств или ИИ-компаний». Это означает, что ChatGPT Health, несмотря на шифрование и разделенное хранение, не подчиняется тем же стандартам соответствия, что и традиционные поставщики медицинских услуг.

Подход OpenAI к новой функции

ChatGPT Health позволяет пользователям загружать медицинские записи и информацию о здоровье прямо в платформу. OpenAI заявляет, что инструмент предназначен для помощи пользователям в понимании их здоровья, а не для диагностики или предоставления лечебных услуг. Компания подчеркивает, что будет делиться только общей, фактической информацией о здоровье и отмечать ситуации высокого риска для консультации с реальными медицинскими специалистами.

Запуск начнется на этой неделе для избранных пользователей за пределами ЕС и Великобритании, с расширением доступа через iOS и веб в ближайшие недели.

Глубокая проблема: кто контролирует ваши данные?

Дж. Б. Бранч, представитель организации Public Citizen, выступающей за ответственность крупных технологических компаний, отмечает, что саморегуляция недостаточна. «Даже когда компании заявляют о наличии мер защиты конфиденциальности, потребители часто лишены осмысленного согласия, прозрачности или контроля над тем, как их данные используются, хранятся или перепрофилируются», — заявил Бранч. «Медицинские данные — это уникально чувствительная информация, и без четких юридических ограничений и обязательного надзора меры саморегуляции просто не могут защитить людей от злоупотреблений, повторной идентификации или последующего вреда».

Проблема выходит за рамки текущего использования. OpenAI заявляет, что разговоры о здоровье не будут использоваться для обучения своих базовых моделей, однако отсутствие всеобъемлющего федерального законодательства о конфиденциальности означает, что мало что мешает будущему перепрофилированию этих данных.

Рост важности психического здоровья

Запуск ChatGPT Health вызывает особое внимание. Ранее OpenAI сообщил, что более 1 миллиона пользователей еженедельно обсуждают с ChatGPT темы суицида и кризисов психического здоровья — что составляет примерно 0,15% его пользовательской базы. Этот объем подчеркивает, что платформа стала фактическим ресурсом по вопросам психического здоровья, однако при этом она остается без нормативной базы, которая обычно регулирует чувствительные психологические данные.

Настоящая проблема: бремя ответственности для потребителей в нерегулируемой среде

Кроуфорд подчеркивает, что федеральная политика фактически переложила бремя ответственности на отдельных пользователей. «Наши текущие законы возлагают на потребителей ответственность за анализ того, насколько им комфортно с тем, как технологии, которыми они пользуются ежедневно, обрабатывают их данные», — объяснил он. «Отсутствие всеобъемлющего федерального закона о конфиденциальности, регулирующего данные о здоровье, хранящиеся у технологических компаний, означает, что каждый должен самостоятельно оценивать риски».

В отличие от субъектов, покрываемых HIPAA, которые обязаны соблюдать определенные нормативы, компании вроде OpenAI самостоятельно определяют свои стандарты конфиденциальности. Без федерального вмешательства или обновленных правил, учитывающих здоровье, хранящееся в ИИ, эта диспропорция, скорее всего, сохранится.