许晓峰:网络安全≠数据安全
随着医疗信息科技等技术的日益完善,大数据推动人工智能发展勿容置疑,医疗数据安全、伦理十分敏感,需要万分谨慎的处置。所以作为HIT从业者来说,难免会困惑、会纠结。怎么样又能安全又能开放使用?我们与翼方健数CSO许晓峰先生,就医疗数据安全展开了一次简短的对话。
记者提问1:有没有一种可能性可以保证独立的医疗数据安全,又可以将医疗数据发挥出最大的价值?
目前这一代的人工智能就是以大数据为基础的。举个例子来说,医疗人工智能领域有很多做肺结节识别的公司,其原因是公开数据集发挥了很大的作用,一个数据集甚至能催生一个行业。换句话,要是没有这些数据,人工智能应用就无法实现。人工智能产业要发展,对数据的获取是一个必要条件。因为人工智能的发展需要大数据,那数据的安全风险就变得非常大,未授权使用、超授权使用,已成为行业表象。现行的数据使用方式往往会脱离数据所有者的视线,原始数据会离开数据平台,隐私和安全的保护就存在很大的风险。
我们一直在努力实现数据不离开平台,数据在平台内授权使用,平台只输出数据的价值和结果,好比将“数据挖掘利用”限定在一个空间里,所有的数据风险都是可控的。
记者提问2:对于医疗数据安全问题,最大的风险是来自于哪一块呢?
我们一讲安全,提到的最多的就是防火墙、防水墙、隔离......习惯性的把数据安全和网络安全等同起来。但其实网络安全≠数据安全,第三方报告显示,医疗行业是众多行业中一个内部威胁大于外部威胁的行业。密歇根州立大学和约翰霍普金斯大学的最新研究发现,近期超过一半以上的个人健康信息(PHI)数据泄露是由于医疗服务提供者的内部问题,53%是由医疗机构内部造成,黑客只占12%,网络安全非常非常重要,但数据安全也不单是网络安全,网络安全了未必数据就安全了。医学科研、数据挖掘、人工智能模型训练,一定会有第三方机构和临床医生的共同参与,依靠现有制度安全和流程安全是可以过滤一些安全风险,但是远远不够。正因为“技术手段”的缺位,才导致我们只能依赖制度正确和流程正确来保证数据安全,数据安全的隐患一直没有消退。