انتقاد گسترده به طرح جمع آوری و پردازش اطلاعات میلیون‌ها بیمار توسط گوگل

بنا بر گزارش‌های گوگل، طرح اخیر این شرکت به نام «پروژه بلبل» که سروصداهای زیادی را به پا کرده، طرحی برای جمع آوری و پردازش اطلاعات ده ­ها میلیون بیمار بوده و کاملاً منطبق بر استاندارد HIPAA می­ باشد. با این حال، پژوهشگران امنیت سایبری عقیده دیگری داشته و می­ گویند که با اجرایی شدن این پروژه، حریم خصوصی بیماران به طور جدی به خطر افتاده و امکان افشای اطلاعات پزشکی و سوابق درمانی آن ­ها وجود دارد.

شرکت گوگل، این غول بزرگ فناوری، از هوش مصنوعی برای دسته‌بندی اطلاعات دقیق مربوط به وضعیت سلامت شخصی میلیون‌ها آمریکایی استفاده خواهد کرد. این طرح، پژوهشگرانی دارد که براساس استاندارد HIPAA قرار است سوءاستفاده های اطلاعاتی را تشخیص داده و با استفاده از ابزارهای کنترلی قانونی، حفظ حریم خصوصی اشخاص را کنترل کنند. حداقل یک مقام قانون‌گذار فدرال نیز در خصوص این پروژه تحقیق و تفحص خواهد کرد.

گوگل، قرارداد همکاری خود با شرکت Ascension که یکی از بزرگ‌ترین شرکت‌های ملی درمان و سلامت به شمار آمده و در 21 ایالت آمریکا مشغول ارایه خدمات است را به امضا رسانده است. بر اساس مفاد این قرارداد، این غول بزرگ اینترنتی بیان کرده است که زیرساخت ­های ابری و ابزارهای لازم را برای شرکت Ascension فراهم خواهد کرد.

بخش سوم این قرارداد که شامل راه‌اندازی ابزاری برای پزشکان و پرستاران Ascension است که بتوانند سریع‌تر و ساده‌تر به اطلاعات بیماران دسترسی پیدا کنند، با انتقادهای بسیاری روبرو شده است.

این اقدام که به شکل رمزی پروژه بلبل نام‌گذاری شده است، اخیراً در گزارش مجله وال استریت نیز به آن پرداخته شده است. طبق مستنداتی که از منابع داخلی گوگل به دست آمده است در بخش سوم قرارداد، گوگل موظف به جمع­ آوری سابقه بیماری و اطلاعات تماس بیماران در 2600 بیمارستان، مطب پزشکی و سایر سازمان‌های مربوطه است. البته هدف از جمع­ آوری اطلاعات بیماران، استفاده از هوش مصنوعی بر روی داده‌ها جهت ارایه طرح‌های درمانی بهتر، تشخیص سریع‌تر مشکلات (همچون حساسیت‌های دارویی)، ارجاع رویدادهای پزشکی مرتبط، ارایه طرح و برنامه ­های مربوط به مواد مخدر، جایگزینی یا اضافه کردن پزشک، تغییر در صورتحساب‌ها و بسیاری از موارد مشابه است.

بر اساس اسناد به دست آمده، جهت پیاده‌سازی این پروژه، زمانی که بیمار وقت ملاقات دارد، پزشکان و پرستاران پس از مراجعه و معاینه بیمار، داده‌ها را در فضای ابری ذخیره می­ کنند. در ادامه، این اطلاعات وارد سیستم پروژه بلبل نیز خواهد شد.

مسأله‌ای که مطرح می ­باشد این است که گوگل، چنین کاری را بدون اطلاع بیماران و پزشکان انجام می‌دهد در حالی که طبق گزارش WSJ « بیش از 150 نفر از کارکنان گوگل، در ارتباط مستقیم با این داده ­ها قرار خواهند گرفت و اطلاعات مربوط به ده‌ها میلیون بیمار در دسترس آن ­ها خواهد بود».

گوگل اندکی پس از انتشار این مقاله، پستی منتشر کرد. در این پست، طاریق شائوکات، معاون راهکارها و محصولات صنعتی در فضای ابری گوگل، این قرارداد همکاری را تأیید کرده اما اطلاعاتی در زمینه عملکرد دقیق هوش مصنوعی در پروژه بلبل ارایه نکرده است. وی تنها به گفتن این مطلب که: «کار ما تنها قرار دادن ابزاری در اختیار شرکت Ascension خواهد بود که کیفیت تشخیص، درمان و ایمنی بیماران را بهبود دهد» اکتفا کرد.

شائوکات تأکید کرده که قانون انتقال و پاسخ­گویی الکترونیک بیمه سلامت (HIPAA) که در سال 1996 میلادی تصویب شد، به ارایه کنندگان خدمات درمانی اجازه می‌دهد تا اطلاعات وضعیت سلامت (PHI) افراد را بدون دریافت مجوز از صاحبان آن­ ها تحت یک توافق همکاری تجاری (BAA) در اختیار شرکای تجاری‌شان قرار دهد. BAA  به روشنی مشخص می‌کند که این داده‌ها تنها می‌بایست در راستای سرویس‌های معینی که در قرارداد گفته شده است، استفاده شوند. گوگل اضافه کرده که داده­ های بیماران نمی‌تواند و نباید با هیچ یک از داده‌های مشتریان این شرکت ترکیب شود و از این اطلاعات برای فعالیت‌هایی که با شاخه بهداشت و درمان مرتبط نیستند، استفاده ­ای نخواهد شد.

همچنین گوگل در پرسش ­های متداولی در این خصوص، ویژگی طرح امنیت داده‌ها برای پروژه بلبل را این­گونه مطرح کرد: « داده‌ها به شرکت Ascension ارسال می‌شوند، درون یک فضای مجازی خصوصی قرار گرفته و با کلیدهای اختصاصی رمزنگاری می‌شوند. اطلاعات بیماران در این محیط امن باقی می‌ماند و تنها برای استفاده در طرح­ های درمانی و سلامت که از سوی شرکت Ascension ارایه می­ شود، مورد استفاده قرار خواهد گرفت. طبق این قرارداد، مشخصاً هیچ­کدام از داده‌های شرکت Ascension برای فروش تبلیغاتی مورد استفاده قرار نخواهد گرفت. اطلاعات دسترسی به این داده‌ها توسط هر فردی که در فرایند تنظیم و آزمایش ابزارها به کمک Ascension آمده باشد، ثبت خواهد شد تا این اطمینان ایجاد شود که قوانین امنیتی کاملاً رعایت شده ­اند. دست آخر هم این سیستم‌ها در رویه بازرسی‌های انطباقی ISO 27001 و SOC2/3 که سالانه در گوگل انجام می‌شود مورد بررسی قرار می ­گیرند. این رویه‌های بازرسی انطباقی، توسط ممیزان بیرونی انجام شده و در آن ­ها سیستم‌ها و رویه‌های موجود، از نظر ضمانت کنترل‌های دسترسی، ایزوله شدن داده‌ها، ثبت و بازرسی به طور کامل مورد بررسی قرار خواهند گرفت».

با وجود ضمانت‌هایی که گوگل در زمینه HIPAA و حفظ حریم خصوصی ارایه می‌دهد، نگرانی‌های جدی در خصوص نتایج همکاری با Ascension وجود دارد. برای مثال راجر سورینو، مدیر دفتر حقوق مدنی در وزارت بهداشت و خدمات انسانی، در بیانه‌ای به WSJ گفته است: «در اینجا سؤالی که مطرح می­ شود این است که در فرایند جمع‌آوری این حجم وسیع از سوابق پزشکی افراد، آیا مقررات محافظتی HIPAA به طور کامل پیاده‌سازی شده است یا خیر؟».

آدام کوجاوا، مدیر آزمایشگاه Malwarebytes به Threatpost می‌گوید: «بله، این طرح قطعاً نقض HIPAA است». او همچنین مبحث خطرات از سوی کارکنان داخلی را نیز مطرح کرده است، خطری که کارکنان سرکش در مواجه با چنین اطلاعات ارزشمندی می‌توانند ایجاد کنند. او گفته است: «این اطلاعات ارزشمند، همراه با دقیق‌ترین جزییات شخصی ممکن است توسط کارکنان، به افراد متخاصم یا مجرمان سایبری که با حجم وسیعی از داده‌ها سروکار دارند با قیمتی بسیار ناچیز فروخته شود. چنین اتفاقی در این ابعاد و بین دو شرکت بزرگ و شناخته شده، واقعاً بسیار عجیب است».

فاستو الیویرا، مدیر معماری امنیت Acceptto به Threatpost گفته است که به رغم تمام ضمانت‌هایی که توسط گوگل ارایه شده است، در واقعیت هیچ کنترلی بر روی استفاده از داده‌های جمع­ آوری شده وجود ندارد.

وی معتقد است که: «از دیدگاه یک مشترک خصوصی، چه ضمانت و حق و حقوقی به شخص داده می­ شود که اطلاعات وی توسط شرکت­ های دیگر برای کارهایی خارج از حوزه سلامت استفاده نشود؟». او همچنین اضافه کرد که گوگل هنوز پاسخ برخی پرسش‌ها را به درستی نداده است. اگر یک خطای اداری بر روی هزینه‌های بیمه اثر بگذارد، چگونه شخص مطمئن شود که داده‌های تحت اختیار گوگل تصحیح می­ شود.

کوجاوا افزود، از دیدگاه محرمانگی و حفظ حریم خصوصی، نداشتن کنترل بر روی داده‌ها توسط فرد، اولین موضوعی است که به ذهن می‌رسد؛ «ما نیاز به مقرراتی داریم که شخص به وسیله آن ها بتواند بر روی اطلاعات مربوط به خود و شرکت‌هایی که قرار است به این اطلاعات دسترسی داشته باشند، کنترل‌هایی داشته باشد. این واقعیت که کل این اطلاعات برای سودجویی مالی شخصی می ­تواند جمع‌آوری، تحلیل و به اشتراک گذاشته ‌شود خود خبر از ناموفق بودن سیستم امنیتی موجود برای حفظ داده‌ها دارد؛ به ویژه اگر این کار برای شرکت‌ها قانونی باشد، چرا که از سوءاستفاده‌های احتمالی جلوگیری به عمل نمی‌آورد».

الیویرا نیز به خطر هک شدن و افشای غیرمجاز داده‌ها اشاره کرده است. او می­ گوید: «اگر ویدیویی از این پروژه منتشر شود، در طول مدت زمان کوتاهی داده‌های مشتریان در معرض خطر قرار می­ گیرد. داده‌های مربوط به وضعیت سلامت افراد، حاوی اطلاعات حساسی است که می‌تواند در حوزه سیاست بر میزان رأی‌دهنده‌ها در بخش‌های مختلف تأثیر بگذارد. این کار، زمینه را برای سوءاستفاده از اطلاعات سلامت فردی همچون نژاد یا جنسیت، با تهدید و خدشه وارد کردن به اعتبار و وجه افراد فراهم می‌کند؛ یک لحظه تصور کنید که بخشی یا تمام این داده‌ها استخراج شوند، مجرمان سراسر جهان به سوی این اطلاعات حمله‌ور خواهند شد تا انواع کلاهبرداری‌ها و جرایم را مرتکب شوند».