تتجه تطبيقات الذكاء الاصطناعي لتصبح جزءًا أساسيًا من قطاع الرعاية الصحية، مما يثير تساؤلات حول مدى كفاية ممارسات أمن البيانات وخصوصيتها. تستكشف هذه المقالة التأثير المحتمل للذكاء الاصطناعي في هذا المجال الحيوي.
شهد العام الماضي إطلاق العديد من الشركات الكبرى، مثل OpenAI و Anthropic و Google، لمنتجات تعتمد على الذكاء الاصطناعي في مجال الصحة. تهدف هذه الأدوات إلى تقديم نصائح حول الصحة والعافية للمستخدمين الأفراد أو المؤسسات، والمساعدة في تشخيص الأمراض، وفحص السجلات الطبية، وتنفيذ مهام أخرى متنوعة ذات صلة بالصحة.
وتقدر OpenAI أن مئات الملايين من الأشخاص يستخدمون ChatGPT بالفعل للإجابة على استفساراتهم المتعلقة بالصحة والعافية. وتشير الدراسات إلى أن نماذج اللغات الكبيرة قادرة بشكل ملحوظ على التشخيص الطبي، حيث وصف أحد الأبحاث قدراتها بأنها “تفوق القدرات البشرية” مقارنة بالطبيب البشري.
مخاوف بشأن خصوصية البيانات الصحية مع تطبيقات الذكاء الاصطناعي
إلى جانب المخاوف الأمنية الإلكترونية التقليدية المتعلقة بمدى قدرة هذه التطبيقات على حماية البيانات الصحية الشخصية، تبرز مجموعة من الأسئلة حول نوع الحماية القانونية التي يتمتع بها المستخدمون فيما يتعلق بالبيانات الطبية الشخصية التي يشاركونها. صرح خبراء في مجال الرعاية الصحية والقانون لـ CyberScoop بأن هذه الشركات على الأرجح غير خاضعة لنفس المتطلبات التنظيمية والقانونية، مثل قواعد حماية البيانات بموجب قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، التي تلزم المستشفيات والمرافق الصحية الأخرى بضمان حماية بيانات المرضى.
أشارت سارة جوجغان، المستشارة الأولى في مركز معلومات الخصوصية الإلكترونية، إلى أن تقديم نفس الحماية للبيانات أو حماية مشابهة كجزء من اتفاقية شروط الخدمة يختلف اختلافاً جذرياً عن التفاعل مع كيان صحي خاضع للتنظيم.
وأضافت: “على المستوى الفيدرالي، لا توجد قيود – بشكل عام وشامل – على بيع المعلومات غير المحمية بموجب HIPAA أو معلومات المستهلك لطرف ثالث، أو وسطاء البيانات”.
وسلطت الضوء أيضاً على مخاوف خصوصية البيانات التي نشأت عن إفلاس وبيع شركة اختبارات الحمض النووي 23andMe العام الماضي، كمثال على المخاطر التي يواجهها المستهلكون عند تقديم بياناتهم الصحية الحساسة أو بياناتهم الحيوية لكيان غير منظم.
في كثير من الحالات، تحمل تطبيقات الذكاء الاصطناعي الصحية نفس مخاطر الأمان والخصوصية التي تتعرض لها منتجات الذكاء الاصطناعي التوليدي الأخرى، مثل تسرب البيانات، والهلوسة (تقديم معلومات غير صحيحة بثقة)، وحقن الأوامر، والميل إلى إعطاء إجابات خاطئة بثقة.
إضافة إلى ذلك، أصبحت خروقات البيانات في صناعة الرعاية الصحية شائعة بشكل متزايد خلال السنوات القليلة الماضية، حتى قبل ازدهار الذكاء الاصطناعي الحالي. غالباً ما تكون المنظمات الصحية هدفاً للهجمات الإلكترونية، والتصيد الاحتيالي، وهجمات الفدية. وعلى الرغم من أن الشركات يمكن أن تخضع للمسؤولية القانونية بموجب HIPAA لفشلها في حماية بيانات المرضى، إلا أن الخروقات لا تزال تحدث لأن العديد من الأنظمة تعتمد على برامج قديمة، وتعتمد على العديد من البائعين الخارجيين، وتكافح لمواكبة تكلفة وتعقيد الأمن السيبراني القوي.
قال كارتر جروم، الرئيس التنفيذي لشركة First Health Advisory، وهي شركة استشارية لإدارة المخاطر في مجال الرعاية الصحية والأمن السيبراني، أنه بالإضافة إلى المخاوف بشأن ما إذا كانت شركات التكنولوجيا هذه قادرة حتى على الوعد بحماية بياناتك الصحية بشكل معقول، فإنه من غير الواضح أيضاً ما إذا كانت تدابير حمايتها الأمنية أكثر من مجرد سياسة داخلية للشركة.
وأوضح جروم: “ليست ملزمة بـ HIPAA. المنظمات التي تبني التطبيقات، هناك منطقة رمادية حقيقية فيما يتعلق بأي نوع من الامتثال” لقوانين خصوصية بيانات الرعاية الصحية.
تكتسب الخصوصية أهمية خاصة في مجالي الصحة والطب، سواء لحماية المعلومات الطبية الحساسة أو لبناء الثقة في النظام الصحي بشكل عام. لهذا السبب، تخضع المستشفيات والمكاتب الطبية ومختبرات الفحص والكيانات المرتبطة بها لقوانين ولوائح مشددة لحماية سجلات المرضى وبياناتهم الصحية الأخرى.
تتطلب قوانين مثل HIPAA من الكيانات المغطاة وشركائها التجاريين “الحفاظ على ضمانات إدارية ومادية وتقنية معقولة ومناسبة لأمن معلومات صحية معينة يمكن التعرف عليها بشكل فردي”.
كما أن القانون يفرض على الشركات قواعد إشعار بالخروقات تجبرها على إخطار الضحايا، ووزارة الصحة والخدمات الإنسانية، وفي بعض الحالات، الجمهور عند الوصول إلى بيانات صحية معينة أو اكتسابها أو استخدامها أو الكشف عنها في خرق للبيانات.
الغموض حول امتثال الذكاء الاصطناعي لمعايير HIPAA
قال جروم وأندرو كروفورد، المستشار الأول في مشروع البيانات والخصوصية بمركز الديمقراطية والتكنولوجيا، إن شركات التكنولوجيا مثل OpenAI و Anthropic و Google من المؤكد أنها لن تعتبر كيانات مغطاة بموجب قاعدة الأمان الخاصة بـ HIPAA، والتي وفقًا لوزارة الصحة والخدمات الإنسانية تنطبق على خطط التأمين الصحي، وغرف المقاصة، ومقدمي الرعاية الصحية، والشركاء التجاريين الذين ينقلون المعلومات الصحية المحمية الإلكترونية (ePHI).
لا تدعي كل من OpenAI و Anthropic أن ChatGPT Health أو Claude for Healthcare يلتزمان بمعايير HIPAA. يصف موقع Anthropic الإلكتروني Claude for Healthcare بأنه “مبني على بنية تحتية جاهزة لـ HIPAA”، بينما تدعي صفحة OpenAI لمجموعة منتجاتها المتعلقة بالرعاية الصحية أنها “تدعم” الامتثال لـ HIPAA.
ولم ترد OpenAI و Anthropic و Google على طلب للتعليق من CyberScoop.
وقال كروفورد في بيان لـ CyberScoop: “هذا يعني أن عدداً من الشركات غير ملزمة بحماية الخصوصية الخاصة بـ HIPAA ستقوم بجمع بيانات الأشخاص الصحية ومشاركتها واستخدامها”. وأضاف: “وبما أن الأمر متروك لكل شركة لتحديد القواعد لكيفية جمع بيانات الصحة واستخدامها ومشاركتها وتخزينها، فإن سياسات وإجراءات حماية البيانات غير الكافية يمكن أن تعرض المعلومات الصحية الحساسة لخطر حقيقي”.
تتضمن قوانين مثل HIPAA حماية خصوصية قوية لبيانات الصحة، لكنها محدودة النطاق و”تهدف إلى مساعدة رقمنة السجلات، وليس منع شركات التكنولوجيا من جمع بياناتك الصحية خارج عيادة الطبيب”، حسبما ذكرت جوجغان.
ومع توسع شركات التكنولوجيا مثل OpenAI و Anthropic و Google في مجال الرعاية الصحية، فقد أكدت على أمن البيانات كأولوية قصوى في إطلاق منتجاتها.
قالت OpenAI إن نموذج صحتها يستخدم طبقة إضافية من التشفير وميزات العزل لتقسيم المحادثات الصحية، بالإضافة إلى ميزات إضافية مثل المصادقة متعددة العوامل. وكما هو الحال مع نماذج OpenAI الأخرى، يقوم ChatGPT Health بتشفير بياناته أثناء الراحة وأثناء النقل، ولديه ميزة لحذف الدردشات في غضون 30 يومًا، ويعد بأن بياناتك لن تستخدم لتدريب الذكاء الاصطناعي.
بالنسبة لتحميل السجلات الطبية، قالت OpenAI إنها تتعاون مع b.well، وهي منصة صحية رقمية تعمل بالذكاء الاصطناعي تربط البيانات الصحية للمرضى في الولايات المتحدة. وعلى موقعها الإلكتروني، تذكر الشركة أنها “تستخدم سياسة خصوصية شفافة وسهلة الاستخدام تتيح للمستخدمين التحكم في أذونات مشاركة البيانات وتغييرها في أي وقت، ولا تبيع البيانات الشخصية، وتشاركها فقط دون إذن في حالات محدودة. كما أنها تتبع طوعاً إطار CARIN Alliance للثقة وقواعد السلوك – مما يجعلها مسؤولة أمام لجنة التجارة الفيدرالية – وتقول إنها تهدف إلى تلبية معايير HIPAA أو تجاوزها من خلال تدابير مثل التشفير، ومراجعات الأمان المنتظمة، وشهادات HITRUST و NIST CSF، على الرغم من أنها تشير إلى أنه لا يوجد نظام يمكنه القضاء تمامًا على مخاطر التهديدات السيبرانية.”
يقول خبراء قانونيون إن الادعاءات التي تقدمها شركات التكنولوجيا بأن منتجات الذكاء الاصطناعي الخاصة بها “متوافقة مع HIPAA” أو “جاهزة لـ HIPAA” غالباً ما تكون غامضة، ولا يتضح ما إذا كانت هذه الادعاءات ترقى إلى مستوى أكثر من مجرد وعد بعدم استخدام بيانات الصحة بشكل غير مسؤول.
تكتسب هذه الفروقات أهمية عندما يتعلق الأمر ببيانات الصحة الشخصية. وذكرت جوجغان أن من الشائع في بعض قطاعات صناعة العافية أن تدعي الشركات غير المنظمة بشكل غامض أنها “متوافقة مع HIPAA” للتهرب من حقيقة أنها ليست ملزمة قانوناً باللوائح.
وتابعت جوجغان: “بشكل عام، تقول العديد من الشركات إنها متوافقة مع HIPAA، ولكن ما تعنيه هو أنها ليست كياناً خاضعاً لـ HIPAA، وبالتالي ليس عليها أي التزام.”
اقترح جروم أن شركات الذكاء الاصطناعي تبالغ في التزامها بالأمن في محاولة لطمأنة مخاوف منتقدي الخصوصية، مشيراً إلى أن إعلانات منتجاتهم تحتوي على “مستوى كوميدي من التأكيد على حمايتهم لمعلوماتك”.
تكمن مشكلة إضافية في أن أدوات الذكاء الاصطناعي تظل “صناديق سوداء” إلى حد ما، حيث لا يستطيع حتى مطوروها فهم أو شرح كيفية عملها بشكل كامل. هذا النوع من عدم اليقين، خاصة مع بيانات الرعاية الصحية، يمكن أن يؤدي إلى نتائج سيئة فيما يتعلق بالأمن أو الخصوصية.
وأضاف جروم: “الوضع هش للغاية الآن عندما تأتي شركة وتقول ‘نحن متوافقون تماماً مع HIPAA’، وأعتقد أن ما يقومون به هو محاولة منح المستهلك شعورًا زائفًا بالثقة.”
أفاد العديد من المصادر لـ CyberScoop بأنه على الرغم من هذه المخاطر، يتوقعون استمرار الاستخدام الواسع لتطبيقات الذكاء الاصطناعي الصحية، ويرجع ذلك جزئياً إلى أن نظام الرعاية الصحية التقليدي في أمريكا لا يزال باهظ الثمن.
في المقابل، أدوات الذكاء الاصطناعي مريحة وفورية وفعالة من حيث التكلفة. وبينما ذكر أشخاص مثل جوجغان وجروم أنهم متعاطفون مع الضغوط التي تدفع الناس نحو هذه التطبيقات، إلا أن المقايضات تثير القلق.
وختمت جوجغان بالقول: “الكثير من هذا ينبع من حقيقة أن الرعاية غير متاحة، ويصعب الحصول عليها، وهي مكلفة، وهناك العديد من الأسباب التي تجعل الناس لا يثقون في تقديمات الرعاية الصحية. لكن الحل لهذه الرعاية غير المتاحة لا يمكن أن يكون الاعتماد على التكنولوجيا الكبيرة ومنتجات المليارديرات. لا يمكننا أن نثق [بهم] في أنهم سيأخذون مصلحة صحتنا الفضلى في الاعتبار.”