Договор технологических компаний с NHS, который стал предметом иска, был заключен еще в 2015 году. В коллективном судебном иске, поданном в Высокий суд от лица примерно 1,6 млн британцев, утверждается, что Google и DeepMind получили конфиденциальные медицинские данные в обход законов об их защите.
В чем дело
DeepMind — лондонский стартап, разрабатывающий технологии искусственного интеллекта, — был приобретен компанией Google в 2014 году. Годом позже DeepMind и Royal Free London NHS Foundation Trust подписали соглашение о разработке приложения Stream для отслеживания медицинской истории пациентов.
По этому соглашению DeepMind получил доступ к анонимизированным данным пациентов. Однако в 2016 году журнал New Scientist опубликовал результаты журналистского расследования, из которого следовало, что компания получила гораздо более широкий доступ к личным данным.
Это послужило поводом для разбирательства в Information Commissioner’s Office (ICO), который в 2017 году постановил, что обмен данными между DeepMind и NHS противоречит законам о защите приватности личных данных. Комиссар Элизабет Денхам отметила тогда, что пациенты не знали, какие из их данных попадут в распоряжение компании, и не могли предпринять реальных мер, чтобы это предотвратить.
И хотя последующий независимый аудит, который провела юридическая фирма Linklaters, не выявил нарушений закона, другая юридическая фирма Mishcon de Reya, которая представляет истцов сейчас, считает иначе. Представитель фирмы Бен Лассерсон заявил, что иск «должен помочь ответить на фундаментальные вопросы об обработке конфиденциальных персональных данных». В Google и DeepMind от комментариев по этому делу отказались, пишет издание CNBC, которое первым сообщило об иске.
Почему это важно
Может, конечно, показаться, что это очередное разбирательство, в которые интернет-гиганты втягиваются постоянно. На это отчасти намекает и заявление представителей истцов, которые признают, что иск «подан во время повышенного интереса и понятной обеспокоенности со стороны общественности в отношении того, кто имеет доступ к персональным данным и медицинской истории человека, и как этот доступ контролируется».
В общем, основания заподозрить юристов в желании подключиться к пост-ковидному хайпу и сыграть на страхах пациентов NHS есть. Однако если учесть рост популярности телемедицины во время пандемии, а также повышенную в последнее время активность NHS в сфере разработки digital-сервисов, вопрос о защите медицинских данных обсуждать не только можно, но и нужно.
По данным Financial Times, всего к данным NHS в том или ином формате сейчас имеют доступ более 40 предприятий, от глобальных консалтинговых фирм до фармацевтических конгломератов и компаний по обработке больших объемов данных. А иск к DeepMind — далеко не единственный скандал с защитой данных, в который вовлечена NHS.
В прошлом году активисты начали кампанию против обмена данными NHS с американской технологической компанией Palantir, известной сотрудничеством с разведкой, пограничным контролем и военными ведомствами. В разгар пандемии NHS предоставила Palantir данные миллионов британцев, хранящиеся в так называемом Covid-19 Data Store. Хотя попавшие к Palantir данные были анонимизированными или агрегированными, их объем и характер оказались весьма подробными: компания получила доступ к информации не только о местах жительства и возрасте пациентов, но и о перенесенных ими заболеваниях, наличии аллергий, полученном лечение, результатах анализов и так далее — вплоть до сведений об употреблении людьми алкоголя и табака. Протесты были, но они ни к чему не привели: Palantir по соглашению с NHS получила право на работу с этими данными до декабря 2022 года.
В свою очередь, Apple и Google в апреле этого года заблокировали запланированное обновление печально известного приложения Track & Trace. Причина блокировки в том, что его новая функциональность не отвечала принципам защиты личных данных, принятым на обеих платформах. В частности, одна из функций приложения должна была (по согласию, впрочем, владельца смартфона) загружать историю посещенных им заведений, если пользователь получал положительный результат теста на COVID-19. И Apple, и Google не одобрили такой подход, поскольку он подразумевал централизованное хранение данных о перемещениях пользователей.
Почему так происходит
Благие в целом намерения, которыми руководствуется NHS, понятны. Аналитика больших данных с помощью технологий машинного обучения — уже стандартная практика и государственных учреждений, и бизнеса. А беспрецедентность ситуации с коронавирусом действительно вынудила системы здравоохранения по всему миру искать решения, которые помогут спасти жизни. Если учесть, что едва ли не две трети пользователей готовы делиться личными данными в обмен на скидки и бесплатные сэмплы от брендов, цель минимизировать заражения и снизить смертность от коронавируса кажется вполне оправдывающей средства.
Кроме того, приложение NHS App (пусть и не официально, но по факту) становится практически паспортом вакцинации для британцев. И с упрощением системы международных поездок, которая вступает в силу с этой недели, и приближением зимних праздников актуальность его как «билета на свободу» только возрастает.
Приложение NHS Covid-19 App (или Track & Trace), несмотря на баги и критику, тоже доказало свою полезность в предотвращении сотен тысяч новых случаев заражения коронавирусом. И здесь стоит даже поддержать подход NHS в разграничении двух приложений. В основном NHS App хранятся все медицинские данные пользователя, но оно не отслеживает его местоположение. Тогда как Track & Trace не имеет доступа к личным данным пользователя и не агрегирует данные в единой базе, а только отслеживает контакты с зараженными. Не исключено, что с достижением коллективного иммунитета второй сервис будет постепенно архивирован.
Что делать пользователям
Пытаться скрывать свои данные от NHS бессмысленно. Тем более что сделать это, живя в Великобритании, вряд ли получится, даже если вы полностью перейдете на частное медицинское обслуживание, — вопрос, с кем и на каких основаниях частные клиники делятся вашими данными, не менее запутан. Однако GDPR никто не отменял, и масштабное попрание прав на конфиденциальность чревато последствиями и для NHS, и для ее партнеров.
Если вы являетесь пациентом NHS, главное — в полной мере понимать свои права на защиту личных данных. Для этого прежде всего стоит изучить материалы на сайте NHS о том, как хранятся и обрабатываются ваши данные.
Затем настройте режим использования своих данных NHS. Сделать это несложно:
- откройте приложение NHS App (если оно у вас установлено) или свой аккаунт на сайте NHS. Если вы еще не создавали аккаунт, сделать это тоже несложно — достаточно указать адрес электронной почты, номер в системе NHS и установить пароль;
- зайдите в раздел Your Health и прокрутите страницу почти до конца — до последней опции, которая позволяет выбрать, как именно ваши данные будут использовать в исследованиях самой NHS и третьих сторон. В разделе подробно описано, кто, как и в какой форме получает доступ к данным. Если вы по каким-либо причинам не готовы ими делиться, выберите вариант No;
- свой выбор можно также сделать по телефону, электронной или обычной почте.
В некоторых случаях NHS, правда, все равно сохраняет за собой право использовать данные пациентов — в частности, в интересах общественной безопасности в экстренных ситуациях, подобных распространению коронавируса. Однако осведомленность о своих правах и понимание, как защитить свои данные, вернет хотя бы ощущение контроля над ситуацией.