我采访了一位72岁的退休会计师,他已经拔掉了他的智能血糖监测仪。他解释说,他"不知道谁在查看"他的血糖数据。
这位男士并非不熟悉技术——他的职业生涯中成功使用计算机数十年。他头脑清醒。但当涉及到他的健康设备时,他找不到关于数据去向、谁可以访问数据或如何控制数据的明确答案。说明书内容密集,隐私设置被埋在多个菜单中。因此,他做出了似乎最安全的选择:拔掉了设备。这一决定意味着他放弃了医生推荐的实时血糖监测。
医疗物联网(IoT)市场预计到2028年将超过2890亿美元,其中老年人占用户的主要份额。这些设备包括跌倒检测器、用药提醒器、血糖监测仪、心率追踪器等,使独立生活成为可能。然而,部署与采用之间存在日益扩大的差距。根据美国退休人员协会(AARP)的一项调查,34%的50岁以上成年人将隐私列为采用健康技术的主要障碍。这代表着数百万可能从监测工具中受益的人,但由于感到不安全而避免使用。
在我的丹佛大学里奇工程与计算机科学学院的研究中,我调查了22位老年人,并对9位使用健康监测设备的参与者进行了深入访谈。研究结果揭示了一个关键的工程失败:82%的人理解双因素认证和加密等安全概念,但在使用这些设备时,只有14%的人对自己的隐私管理感到自信。在我的研究中,我还评估了28款专为老年人设计的医疗应用程序,发现79%缺乏基本的违规通知协议。
一位参与者告诉我,"我知道有加密,但我不知道这是否真的足以保护我的数据。" 另一位说,"想到我的健康数据落入错误的人手中非常令人担忧。我特别担心身份盗窃或我的信息被用于诈骗。"
这不是用户知识问题;而是一个工程问题。我们构建了需要技术专业知识才能安全操作的系统,然后将其交给那些在视力、认知和灵巧度方面面临与年龄相关变化的同时还要管理复杂健康需求的人们。
衡量差距
为了量化隐私设置透明度方面的问题,我开发了隐私风险评估框架(PRAF),这是一个在五个关键领域对医疗应用程序进行评分的工具。
首先,合规性领域评估应用程序是否明确声明遵守《健康保险流通与责任法案》(HIPAA)、《通用数据保护条例》(GDPR)或其他数据保护标准。仅仅声称合规是不够的——他们必须提供可验证的证据。
其次,安全机制领域评估加密、访问控制以及最重要的违规通知协议的实施情况,这些协议会在用户数据可能被泄露时提醒用户。第三,在可用性和可访问性领域,该工具检查隐私界面是否对视力或认知能力因年龄而发生变化的人们来说是可读和可导航的。第四,数据最小化实践评估应用程序是否仅收集必要信息并明确指定保留期限。最后,第三方共享透明度衡量用户是否能轻松理解谁可以访问他们的数据以及原因。
当我将PRAF应用于28款老年人常用的医疗应用程序时,结果显示存在系统性差距。只有25%明确声明符合HIPAA,仅有18%提到了GDPR合规性。最令人担忧的是,79%缺乏违规通知协议,这意味着用户可能永远不会知道他们的数据是否被泄露。隐私政策的平均可读性达到了12年级水平,尽管研究表明老年人的平均阅读水平仅为8年级水平。没有一款应用程序在其隐私界面中包含可访问性调整。
考虑一下当老年人打开一个典型的健康应用程序时会发生什么。他们面对的是充满"数据控制者"和"处理目的"等法律术语的多页隐私政策,随后是分散在多个菜单中的设置。一位参与者告诉我,"说明很难理解,字体太小,而且令人不知所措。" 另一位解释说,"我觉得自己对数据如何被收集、存储和共享的信息不够充分。看起来这些公司大多是为了利润,他们不会让用户轻松理解他们的数据发生了什么。"
当保护需要人们无法阅读的手册时,会有两种结果:他们要么完全跳过安全措施,使自己处于脆弱状态,要么完全放弃该技术,放弃其健康益处。
为隐私而设计
我们需要将信任视为工程规范,而不是营销承诺。基于我的研究发现和老年人面临的特定障碍,三种方法解决了不信任的根本原因。
第一种方法是自适应安全默认设置。设备不应要求用户导航复杂的配置菜单,而应预先配置最佳实践,这些实践会自动根据数据敏感性和设备类型进行调整。跌倒检测系统的设置不需要与连续血糖监测仪相同。这种方法源自系统工程中"默认安全"的原则。
生物识别或语音认证可以替代容易忘记或写下来的密码。关键是消除专业知识的负担,同时保持强大的保护。正如一位参与者所说:"简化的安全设置、更好的教育资源和更直观的用户界面将是有益的。"
第二种方法是实时透明度。用户不应必须通过设置来查找数据去向。相反,通知系统应该用通俗易懂的语言显示每次数据访问或共享事件。例如:"您的医生于下午2点访问了您的心率数据,以审查您即将进行的预约。" 单一仪表板应总结谁有访问权限以及原因。
这解决了我在采访中反复出现的一个问题:用户想知道谁在查看他们的数据以及原因。这里的工程挑战不是技术复杂性,而是设计能够用任何人都能理解的语言传达技术现实的界面。此类系统已经存在于其他领域;例如,银行应用程序会为每笔交易发送即时通知。同样的原则适用于健康数据,而健康数据的风险可能更高。
第三种方法是隐形安全更新。对于处理健康数据的任何设备,自动无缝更新应该是标准配置,并配以简单的状态指示器,以便用户可以一目了然地确认保护。正如一位参与者所说,"作为老年人,我们面临的最大问题是记不住密码……新技术已经超出了老年人跟上它的能力。" 自动更新消除了一个重要的焦虑和风险来源。
利害攸关
我们可以继续以我们目前的方式构建医疗物联网:快速、功能丰富,但从根本上不可靠。或者,我们可以设计出透明、安全且易于使用的系统。信任不是通过口号或法律免责声明来营销的东西。它是你一行一行地编写到代码本身中的东西。对于依赖技术维持独立生活的老年人来说,这种工程比我们可能添加的任何新功能都更为重要。每一个被拔掉的血糖监测仪、每一个被抛弃的跌倒检测器、每一个因困惑或恐惧而删除的健康应用程序,不仅代表了一次销售损失,还代表了一个支持某人健康和自主权的机会的错失。
医疗物联网中隐私的挑战超出了修复现有系统的范畴,它需要重新构想我们如何传达隐私本身。我的持续研究通过AI驱动的数据助手建立在这些发现之上,该系统使用大型语言模型将密集的法律隐私政策翻译成简短、准确且易于老年人理解的摘要。通过使数据实践透明且理解可衡量,这种方法旨在将合规性转化为理解和信任,从而推进下一代值得信赖的数字健康系统。
【全文结束】
