当AI工具处理医疗数据时：为何HIPAA覆盖实体并非唯一关注点

OpenAI新宣布的ChatGPT Health功能引发了关于用户将医疗记录委托给人工智能平台时，敏感个人信息保护的严重质疑。虽然该公司声称已采取安全措施，但隐私倡导者认为，现有法规在消费者保护方面存在危险的漏洞。

超越HIPAA覆盖实体的隐私保护差距

这里最关键的区别是：健康数据根据持有者的不同而受到不同的法律对待。当HIPAA覆盖实体——如医院、保险公司或医生诊所——存储您的医疗信息时，适用严格的隐私规则。然而，科技公司、AI平台和健康应用开发者在一个基本未受监管的空间中运营。

民主与技术中心（Center for Democracy and Technology）的高级政策顾问Andrew Crawford强调了这种差异：“当您的健康数据由您的医生或保险公司持有时，HIPAA隐私规则适用。对于非HIPAA覆盖实体，比如健康应用开发者、可穿戴追踪器或AI公司，则不适用。”这意味着，尽管ChatGPT Health采用了加密和分离存储，但它并不受传统医疗提供者相同的合规标准约束。

OpenAI对新功能的做法

ChatGPT Health允许用户直接上传医疗记录和健康信息。OpenAI表示，该工具旨在帮助用户了解自己的健康状况，而非提供诊断或治疗服务。公司强调，它只会分享一般的、事实性的健康信息，并在高风险场景下提醒用户咨询实际的医疗专业人员。

本周开始在非欧盟和英国的部分用户中逐步推出，未来几周将扩展到iOS和网页版。

更深层次的担忧：谁在控制您的数据？

公共公民（Public Citizen）的大型科技问责倡导者J.B. Branch指出，自我监管不足以应对问题：“即使公司声称有隐私保护措施，消费者往往缺乏有意义的同意、透明度或对其数据使用、保留或再利用的控制权。”Branch表示：“健康数据具有特殊敏感性，如果没有明确的法律限制和可执行的监管，自我监管的保护措施根本无法防止滥用、重新识别或后续伤害。”

这个问题不仅限于当前的使用。OpenAI表示，健康对话不会用于训练其基础模型，但缺乏全面的联邦隐私立法意味着未来对这些数据的再利用几乎没有限制。

日益增长的心理健康维度

ChatGPT Health的推出时机值得注意。OpenAI此前披露，每周有超过100万用户与ChatGPT讨论自杀和心理健康危机——约占其用户基础的0.15%。这一数据凸显了该平台已成为事实上的心理健康资源，但缺乏通常监管敏感心理数据的法规框架。

真正的问题：在未受监管环境中消费者的负担

Crawford强调，联邦政策实际上将负担转嫁给了个人用户：“我们目前的法律责任在于让消费者分析他们是否愿意接受日常使用的技术处理其数据的方式。”他解释道：“缺乏针对科技公司持有的健康数据的全面联邦隐私法律，意味着个人必须自行进行风险评估。”

不同于受法律义务约束的HIPAA覆盖实体，像OpenAI这样的公司自行制定隐私标准。若没有联邦干预或更新的法规来规范AI持有的健康数据，这种不平衡可能会持续存在。