Коли інструменти штучного інтелекту обробляють медичні дані: чому не лише суб'єкти, що підпадають під HIPAA, є проблемою

Новий функціонал ChatGPT Health, оголошений OpenAI, викликав серйозні питання щодо захисту конфіденційної особистої інформації, коли користувачі довіряють свої медичні записи платформам штучного інтелекту. Хоча компанія стверджує, що впровадила заходи безпеки, захисники приватності заперечують, що існуючі регуляції створюють небезпечні прогалини у захисті прав споживачів.

Прогалина у захисті приватності поза межами HIPAA для охоплених суб’єктів

Ось ключова різниця, яку більшість користувачів пропускає: медичні дані отримують різне правове ставлення залежно від того, хто їх зберігає. Коли охоплені HIPAA суб’єкти — такі як лікарні, страхові компанії або кабінети лікарів — зберігають вашу медичну інформацію, застосовуються суворі правила конфіденційності. Однак технологічні компанії, платформи штучного інтелекту та розробники додатків для здоров’я працюють у переважно нерегульованому просторі.

Андрю Кроуфорд, старший радник з політики Центру демократії та технологій, підкреслює цю нерівність: «Правила конфіденційності HIPAA застосовуються, коли ваші медичні дані зберігає ваш лікар або страхова компанія. Те саме не стосується суб’єктів, які не підпадають під HIPAA, таких як розробники додатків для здоров’я, носимих трекерів або компаній штучного інтелекту». Це означає, що ChatGPT Health, попри шифрування та роздільне зберігання, не зобов’язаний дотримуватися тих самих стандартів відповідності, що й традиційні медичні заклади.

Підхід OpenAI до нового функціоналу

ChatGPT Health дозволяє користувачам завантажувати медичні записи та інформацію про здоров’я безпосередньо у платформу. OpenAI заявляє, що інструмент створений для допомоги користувачам у розумінні їхнього стану здоров’я, а не для надання діагностичних або лікувальних послуг. Компанія наголошує, що буде ділитися лише загальною, фактичною інформацією про здоров’я та позначати високоризикові сценарії для консультацій з реальними медичними фахівцями.

Впровадження починається цього тижня для обраних користувачів за межами ЄС та Великої Британії, з розширенням доступу через iOS та веб у найближчі тижні.

Глибша проблема: хто контролює ваші дані?

Дж. Б. Бренч, представник громадської організації Public Citizen, що відповідає за підзвітність великих технологій, зазначає, що саморегуляція недостатня. «Навіть коли компанії заявляють про заходи безпеки приватності, споживачі часто позбавлені значущої згоди, прозорості або контролю над тим, як їхні дані використовуються, зберігаються або перепрофілюються», — сказав Бренч. «Медичні дані є унікально чутливими, і без чітких юридичних обмежень та обов’язкового контролю самостійно запроваджені заходи безпеки просто не можуть захистити людей від зловживань, повторної ідентифікації або шкоди у майбутньому».

Проблема виходить за межі поточного використання. OpenAI заявляє, що розмови про здоров’я не будуть використовуватися для тренування базових моделей, але відсутність всеохоплюючого федерального законодавства про приватність означає, що майбутнє перепрофілювання цих даних малоймовірне запобігти.

Зростаючий аспект психічного здоров’я

Час запуску ChatGPT Health є особливо важливим. OpenAI раніше повідомляв, що понад 1 мільйон користувачів щотижня обговорюють із ChatGPT суїцидальні та психічні кризи — що становить приблизно 0,15% від його бази користувачів. Цей обсяг підкреслює, наскільки платформа стала фактичним ресурсом для психічного здоров’я, але без регуляторної рамки, яка зазвичай регулює чутливі психологічні дані.

Реальна проблема: навантаження на споживача в нерегульованому середовищі

Кроуфорд наголошує, що федеральна політика фактично переклала відповідальність на окремих користувачів. «Наші поточні закони покладають відповідальність на споживачів аналізувати, чи комфортно їм з тим, як технології, якими вони користуються щодня, обробляють їхні дані», — пояснив він. «Відсутність всеохоплюючого федерального закону про приватність, що регулює медичні дані, збережені технологічними компаніями, означає, що кожен має самостійно оцінювати ризики».

На відміну від суб’єктів, охоплених HIPAA, які зобов’язані дотримуватися законодавчих вимог, компанії на кшталт OpenAI визначають свої власні стандарти приватності. Без федерального втручання або оновленого регулювання, що враховує медичні дані, збережені штучним інтелектом, ця нерівність, ймовірно, збережеться.