数十亿美元医疗数据买卖背后 第三方公司这样获

2019-08-31

随着医疗行业与其它系统的融合进程持续加深,二级市场上患者数据的买卖已达到高度自由。
事实上,黑客并非利用患者医疗数据获利的唯一群体。合法成立的公司也在变现医疗数据,包括医疗系统、药企、部分电子医疗记录供应商以及购买这些数据的第三方公司。
去除身份标志的患者医疗信息共享是合法的
第三方公司从多种渠道获得去除身份标志的医疗信息,出售给二级市场上收集医疗方案的购买者。购买者可能是希望以此为依据改进营销策略、理清下一步投资方向或确定临床试验方案的制药公司。哈佛大学社会科学量化研究所研究员亚当·坦纳(Adam Tanner)在其著作《我们的身体,我们的数据:公司是如何从售卖我们的医疗记录中获利数十亿的》(Our Bodies, Our Data: How Companies Make Billions Selling Our Medical Records)中称,大型制药企业每年可能向该市场领先的主导公司之一Iqvia(原IMS医疗)支付1000万美元到4000万美元,以购买数据、咨询和服务。
只要去除身份标志信息,数据分享就不违背美国《健康保险携带及责任法案》(Health Insurance Portability and Accountability Act, HIPAA)的隐私和安全规定。
“即使是少量的特定疾病患者数据,如果公司需要,价值也非常之高。” 诺基亚成长伙伴基金(Nokia Growth Partners Capital, NGP Capital)合伙人约翰·加德纳(John Gardner)如是说。
这些数据来自于第三方公司,以Iqvia为例,它已与世界范围内超过12万个资源点达成协议,获取匿名患者数据。Iqvia目前在100多个市场有超过5.3亿份去除身份标志的患者数据,这使其2017年收益达80亿美元。据Iqvia首席隐私官基姆·格雷(Kim Gray)说,其数据来源包括供应商、付款人和药店。她补充道,Iqvia很少从电子医疗记录(Electronic Health Record, EHR)供应商那里获取数据。
Iqvia是否有从医疗系统购买患者数据,格雷并未给出明确答复。“我们为数据来源提供的补偿措施极具多样性。”她说。
EHR供应商有权销售医疗系统患者数据
即使有来源于医院的患者数据,它们也已经技术合作伙伴进行过技术处理。医疗系统的供应商合同有时会包含授权供应商协助进行数据转让的条例,PA咨询(PA Consulting)医疗业务资深负责人奈尔什·钱德拉(Nilesh Chandra)如是说。
虽然医疗系统自身是其患者数据的所有者,但EHR供应商在法律及技术上仍具有很大的控制权。事实上,很难去判断是哪些供应商在向第三方公司出售其患者数据。
“电子医疗记录供应商聚集医疗服务数据,去除身份标志信息,然后判断是否使其货币化或商业化。”安永会计师事务所(Ernst & Young)美国医疗技术创新负责人斯科特·科莱萨尔(Scott Kolesar)说,“电子医疗记录供应商是有权将其带入二级市场的信息持有者。签订许多合同时,他们希望获得去除身份标志的信息使用权,用于调研或为大型社区提供广泛数据分析。”
例如,美国电子医疗记录公司Practice Fusion的供应商用户协议就包含此类条例,授权其“以任何不受限目的”出售去除身份标志信息的权利。据亚当·坦纳在其著作中所述,该公司的纵向数据集销售价格可达5万到200万美元。
并非所有供应商都会出售医疗数据或在合同中设立上述条款。例如,据公司发言人说,美国医疗信息技术公司Epic系统(Epic Systems Corp.)就是其中一员。
目前没有患者数据销售行为的公司,并不代表将来也不会这么做。“他们在考虑借此扩展其商业模式,充分利用数据优势。”斯科特·科莱萨尔补充说,这是战略性决策,因为供应商明白,随着小型应用占据更多市场,其企业应用的必要性在日益降低。
患者数据隐私安全保护仍是重中之重
随着更多企业进入数据共享市场,越来越多的患者数据面临泄露风险,影响患者安全及隐私。“虽然有匿名处理,将医疗数据与其它可用记录进行比对合并,仍可能识别出患者身份。”乔治·华盛顿大学医疗信息项目线上硕士学位教育主任萨姆·汉纳(Sam Hanna)如是说。
汉纳以Cambridge Analytic信息泄露事件为例说明了患者数据的可识别性。Cambridge Analytic公司曾将人格测试数据同脸谱网(Facebook)已有投票记录及其它信息的用户信息进行比对整合。“医疗行业也可能出现此类事件,”他说,“使患者了解其数据使用可能面临此类风险,获取患者的详细许可很关键。”
如何使数据难以再识别,医疗机构同样应就这一问题进行研究。美国卫生协会(National Health Council)政府事务及政策副会长Eric Gascho说,“这是最令人担忧的。”
即使患者数据的使用目的是积极的,如科研及精准医学,仍旧存在风险。
“利用患者数据进行调研或开发针对性治疗方案,这非常棒。但若落入目的不单纯的机构手中,后果不堪设想。”汉纳如是说。因而,持有患者数据的医疗机构应注重实施保护措施,“在数据隐私和数据使用之间保持平衡状态”。