你的医疗记录正在出售 - 彭博社

摄影：海莫·施密特随着医院转向数字医疗记录，管理者承诺患者将获得更好的护理和更短的等待时间。他们常常忽略提到，他们与州卫生机构共享文件，而后者又将这些信息出售给私人数据挖掘公司。这些记录去掉了姓名和地址，并没有证据表明数据挖掘者正在努力识别个别患者。然而，这些记录通常包含患者的年龄、邮政编码和治疗日期——足够的元数据让好奇的人将姓名与文件匹配，或者让激进的公司针对广告或提高保险费率。

哈佛大学数据隐私实验室主任拉塔尼亚·斯威尼通过购买州医疗数据并创建一个简单的软件程序，将这些信息与新闻报道和其他公共记录进行交叉引用，从华盛顿的一个数据库中识别出35名患者。“我只需要知道一个人一点点信息以及他们去医院的时间，我就可以在这种数据中找到他们的医疗记录，”斯威尼说。她表示，其他25个州的数据同样脆弱。

从一则关于摩托车事故的简短地方新闻中，她将退役越战老兵雷·博伊尔斯顿与一份记录有骨盆骨折、脾脏破裂、肾衰竭和膀胱切除的患者文件匹配。“我觉得我被侵犯了，”62岁的博伊尔斯顿说。“我真的觉得公众没有权利了解我的医疗历史。”大多数斯威尼发现的患者名字要求保持匿名，包括一位在被袭击后接受治疗的高管，他的医疗记录显示他对止痛药上瘾。另一位出现在失踪人员报告中的商人，根据他的医疗记录，被诊断为胰腺癌并曾尝试通过毒药自杀。

免于联邦健康隐私法的限制，各州长期以来一直出售医疗数据以帮助资助公共健康研究。对这些相对便宜的信息的需求已从大学研究项目转向商业数据挖掘者，他们将其纳入报告和数据库，出售给直接营销商、保险公司以及药品和医疗设备制造商。根据公共记录显示，2011年，美国12个最人口众多的州通过1698笔数据销售产生了191万美元的收入，这是最新的可用数据。（麦肯锡估计，购买这些信息并转售给医疗公司的数据挖掘行业到2020年将超过100亿美元的收入。）华盛顿州的健康机构在那一年出售了其数据库95次，仅收集了15950美元。该州卫生部门发言人唐·莫耶表示，他们选择发布额外的识别信息，如患者的邮政编码，以使其数据更有用。

购买州数据的公司包括IMS Health，一家处方数据提供商；OptumInsight， UnitedHealth的一个部门，后者是美国最大的健康保险公司；以及 WebMD。位于康涅狄格州丹伯里的IMS购买了博伊尔斯顿的记录，波特兰（缅因州）的IVantage Health Analytics也进行了购买。IMS的美国市场总监乔迪·费舍尔表示，他们公司向制药公司出售医疗数据，以便进行对医生和消费者的销售宣传，维护一个包含2.6亿处方药患者的数据库，但不试图识别任何名字已被编辑的患者。IVantage的执行副总裁约翰·莫罗表示，他们公司会清除像邮政编码这样的信息。他说，有了这种标识符，“你就相当于拥有患者的电子病历号码。”

吉姆·皮尔斯，法律事务所Powers Pyles Sutter & Verville的首席律师，专注于健康法律和政策，他表示，数字化的医疗数据有潜力防止医生遗漏患者历史中的关键元素，或帮助分析师识别更大的健康趋势，例如医院费用或疾病传播。然而，他说，这些数据的销售使患者在日益复杂的黑客时代变得更加脆弱。“电子健康信息就像核能，”皮尔斯说。“如果它被利用并严格控制，它有潜在的好处。但如果失控，造成的损害是不可估量的。”

华盛顿、田纳西州、内华达州和亚利桑那州的卫生机构表示，他们在6月5日关于州健康数据收集的彭博新闻报道后，已开始审查他们的收集政策。（华盛顿现在要求买方签署保密协议，尽管对政策的全面审查将需要几个月，莫耶说。）加利福尼亚州、伊利诺伊州、新泽西州、马萨诸塞州、康涅狄格州、内布拉斯加州和阿拉斯加州的机构表示，他们已经开始审查。“真正的收获，”哈佛大学的斯威尼说，“是我们可以做得更好。”