健康物联网技术应用伦理难题研究

　　人类已经进入制造技术并受技术控制的生存时代。在该浪潮下，技术化手段及其思维方式也深深融入医疗保健领域，如物联网技术与医疗保健的结合催生出健康物联网(Health-Internet of Things,H-IoT)。但是，H-IoT技术应用也带来一系列伦理问题，如H-IoT设备以前所未有的范围和细腻度对个人健康与活动进行记录，导致H-IoT场景下的个人隐私等伦理问题凸现。总体而言，H-IoT技术面对的主要挑战是如何科学设计设备与协议，即在收集、共享、处理和验证跨领域数据的同时，实现经济高效、技术先进、科学可靠并符合伦理。

　　结合国际最新研究成果，本文确定了H-IoT伦理问题的3个核心主题——设备伦理、数据伦理及实践伦理，据此分析H-IoT设备伦理问题、H-IoT数据协议伦理问题以及H-IoT介导护理伦理问题。

　　物物互联是信息网络技术发展的新领域，相应地，物联网也越来越多地渗透到医疗和社会关怀领域，H-IoT正在成为医疗保健的常用工具：H-IoT设备通过收集、处理健康数据，负责监控和管理身处传统医疗机构之外的用户健康与安全。H-IoT技术应用范围包括临床医疗、健康管理和科研等，具体涵盖疾病预防、患者状况实时远程监控、治疗测试、健身和健康监测、药物分配及健康数据收集等。

　　在临床应用方面，H-IoT能够实现长期监测、慢性病管理以及消费者健康管理。通过监测风险患者的健康状况和紧急情况，从而替代家庭护理观察等耗时活动。慢性病患者通常需要长期住院或短期入院检查，H-IoT的应用可以让患者留在家中，享受正常的生活，同时，降低了个人开支和入院率。由于H-IoT可以监测诸如心率、呼吸、血氧饱和度、皮肤温度、血糖、血液化学等医疗参数，使用户健康状况和行为活动被数字化记录、存储与分析，为临床护理创造了诸如紧急警报、智能发药等新机遇。

　　在健康管理方面，从健身与健康(如睡眠质量、运动水平)等主动自我监测设备，到辅助居家养老的家居智能辅助装置，大量的H-IoT健康管理应用不断涌现。无论是移动单传感器设备，还是能够监测健康(如生理指标)和健康行为(如睡眠，行走)的复杂网络设备，都能应用于健康与安全的外部或自我管理。应用程序和软件的更新也能够将现有网络设备转化为H-IoT，如智能手表健康应用程序、Health2Sync葡萄糖检测仪、ResearchKit等大量健康管理软件被开发与推广。H-IoT分析协议能将来自多个传感器的数据流聚合，促进链式护理和健康管理，如监测心脏病发作等紧急情况或运动睡眠等健康行为。总体而言，H-IoT有利于改善个体及特殊群体(如患病人群)的健康习惯。

　　在科学研究方面，由H-IoT生成的数据有助于推动疾病因素及医疗保健研究。运用大数据、云计算等技术，将H-IoT数据与其它生物医学数据集合，可以为研究传统医疗保健和居家医疗保健关系提供新依据。这些生物医学数据包括：临床试验数据、遗传和微生物测序数据、可公开访问的互联网数据、生物标本、电子健康记录等。H-IoT数据通过与其它医疗数据集的关联，共同组成生物医学大数据。

　　基于上述分析，H-IoT技术为医疗保健创造了实践和研究新机遇，但同时，由于技术的“双刃剑”效应，H-IoT技术从设备、数据协议、实践等层面也诱发了一系列伦理难题。

　　H-IoT设备可由用户佩戴或直接嵌入家庭、工作或公共场所中。每种应用情景均会创建一个进入私人生活的窗口，以收集用户健康和行为数据并进行第三方分析，进而为数据共享、挖掘和分类提供支撑。但是H-IoT通过日益细化的监控和个性化干预，在改善医疗保健的同时，也可能深层次披露用户个人的物理隐私。

　　个人隐私包含多方面的权利内容。从物理角度，隐私由个体相对其他人的物理可及性决定，并由物理边界(如门和墙等)进行限定，也可以解释为拥有和保护个人空间(如家庭)的权利[1]；个人隐私也可以指独立或不受第三方监督的权利，它可解释为个体对私人空间的私密感和控制感[2]；个人隐私也可以被理解为 “在需要时回避观察或访问的自由”[3]，这意味着应当尊重个体与他人隔离的愿望。H-IoT应用可能导致个人隐私逐渐被技术吞噬，在智能家居领域表现得尤为突出。同时，监控技术给人以“被观察”的感觉，造成心理障碍。在慢性病管理中，基于H-IoT技术对安全和延迟住院的作用，用户不得不容忍潜在侵犯隐私技术的存在。如精神障碍患者、身体虚弱的老年人和慢性病患者等出于个人护理需求，不得不接受来自H-IoT设备的监视及隐私被侵犯的风险。

　　凸出性感知会影响用户对H-IoT设备的接受度和使用期限。凸出性(obtrusiveness)被定义为“基于对某技术或个体特征进行的综合评估，导致个体从物理上或心理上被凸显出来”[4]。H-IoT设备因干扰用户正常行为和自主决策而产生伦理问题。在居家护理中，监控区域内居民行为的改变表明，嵌入式H-IoT传感器可能影响用户行为；同时，老年用户群体的独立感也被减损。

　　嵌入家庭或护理环境的H-IoT可能在持续使用后被遗忘，这种个人空间内的心理失踪也会引起伦理问题。这是因为用户在家中感觉更舒适，有助于保持其人际角色和地位；但同时，如果用户忘记监控正在进行，“同意被监控”的有效性受到破坏。同意被监控的意见通常是一次性给予的，因此需要实时更新同意意见以确保受监控状态不被遗忘，但现实中难以做到经常更新同意意见，这对于无法给予同意意见、认知受损或精神障碍者以及儿童等用户尤为不公。

　　H-IoT应用会导致一部分用户因凸显而引发身份羞耻感。在个人身体或私人空间内安装的H-IoT，既是监控疾病和身体活动的一种装置，又是其个体的一部分延展。个人感知受身份特征影响，如精神分裂症或者失眠者使用H-IoT可能会加重其身份羞耻感。此外，H-IoT收集数据会被诱发歧视性问题。以个人健身跟踪设备为例，健身追踪器通过收集用户运动和其它生物特征数据，再由软件分析来评估其健身水平。虽然这种分析有利于用户通过量化方式达到健康目的，但此类数据也可能诱发歧视性问题：一些医疗保险机构以降低保费为条件换取参与者对其健身数据的分享，从表面上看，愿意放弃生物识别数据的人能够获得保费折扣，但同时却对具有不良生活习惯的人或经济处于弱势地位的人带来歧视性风险。

　　相对于健身用途的H-IoT，临床H-IoT对用户带来的凸出感和羞耻感更加明显。临床H-IoT因暴露疾病或健康状况而给用户带来羞耻感，这种羞耻感可能影响用户身份和行为认知。以养老福利院的老年人客户为例，当H-IoT设备公开显示其健康不佳信息时，有可能被认定为体质虚弱而需要他人监控。即使H-IoT设备不是公共可见的，异常行为或紧急情况下的警报、报告等也能产生相似影响。虽然有时被监控者可能需要隐瞒表征其体弱的信息，以规避别人对他们的消极看法，但是这种情形下的H-IoT应用会削弱机构对用户的理解。

　　最低限度的监控可以降低上述影响，它要求在设备设计中赋予用户选择满足其特定需求和价值诉求的权利。例如建立用户的合理推诿(plausible deniability)权限，让设备允许用户输入不精确或虚拟的非重要数据，但对于认知有限的用户可能带来重大安全风险。

　　H-IoT设备生成了大量描述用户个人健康状况和行为的数据，通过数据传输、归档、标记、存储和分析，服务于医疗、医学研究和消费分析，以满足用户、服务提供商和其它利益相关者的利益诉求，但H-IoT数据协议也引发了新的伦理难题。

　　信息隐私是指对本人数据的控制或对未经授权方隐藏个人识别数据[5]。健康数据在伦理和法律上被认为是高度敏感的，设计和部署H-IoT可能导致用户的健康状况和健康史等信息被公开。正如技术哲学家海德格尔[6]所言，“无论是否对技术持激烈的否定或肯定态度，人们都始终不自由地束缚于技术”，透过数字身份等相关数据信息，个人乃至社会群体的隐私问题都被统摄于数据分析集合中[7]。H-IoT将个人生活决策机制转移到设备和算法上，并由设备在缺少个人意识的情况下实施这些决策，导致用户信息隐私受到H-IoT技术的挑战。换而言之，人工智能时代的H-IoT技术迫使人们接受“一个由无数联网机器不断交互并监视着周围”[8]的现实。H-IoT设备在传输个人数据时可能跨越自然、社会、空间、时间的隐私边界，同时，也侵犯了物理和信息隐私。虽然通讯前数据进行了本地匿名化，以防止未经授权地访问用户信息或识别用户，但大数据等技术能将匿名化的数据重新聚合和再分析，使之重新具有可识别性。

　　通过控制个人信息传播，个体可以避免第三方(如朋友、家庭和服务提供者)对自身及社会层面的决策干扰。尽管如此，在某些情形下用户对数据的控制力仍然有限。基于公众对H-IoT态度的调查研究表明，人们在特殊或紧急情况下不得不放弃信息隐私。例如在H-IoT用户端策略等隐私工具中，为实现用户和H-IoT系统的自由交互，用户知情同意权仅得到有限保障。H-IoT设备和协议的安全性是信息隐私与患者安全的先决条件，利用H-IoT安全漏洞发起的外部攻击和数据泄漏将严重威胁患者健康与安全，可以预见一个被黑客攻击了的自动胰岛素泵会给病人带来巨大风险。H-IoT设备对用户安全的伤害，也将破坏用户对技术、生产商和数据控制者的信任。信任涉及系统对数据的收集、处理，提供数据的用户以及访问数据的涉众等。现有H-IoT应用程序大多缺乏严格的隐私保护措施和政策，未能促进用户隐私数据的保护和信任。信任缺乏将导致潜在用户不愿使用H-IoT技术，阻碍H-IoT技术进步及普及。

　　自主可以解释为个体的决定权、自由权或独立权等，通常从自由和独立性角度进行理解[9]。H-IoT设备传感器的存在或数据传输可能妨碍用户的自主性，尤其是在医疗辅助技术、智能家居和H-IoT嵌入住宅护理等场景中表现得尤为明显。

　　隐私是自主的先决条件，不期望的信息共享、物理空间或社会关系的入侵，均可能危害用户的自主决定能力[10]。H-IoT数据能够帮助用户对健康或风险状况进行分析，同时，这种分析要求给予第三方访问资料的权利。用于慢性病管理的H-IoT会逐渐减少用户的自主权。异常行为、指数或紧急情况的自动警报会对用户的自立感产生影响，这是因为一旦出现问题，护理人员或医疗专业人员就会被提醒。访问H-IoT设备数据的医护人员还能够评估患者行为，例如治疗计划是否被正确遵循，或者用户是否正在从事危险行为等。医护人员的这种监督可能损害患者的自由决策和自主权，引发用户和医护人员之间的伦理问题，即何种情况下基于H-IoT数据的干预措施会侵犯用户的隐私权和自主权。

　　大数据技术等对H-IoT数据的处理无法直接适用传统的知情同意规则。知情同意规则要求对数据的学术研究、商业分析等开发利用，首先必须向用户告知其个人H-IoT数据的潜在价值和第三方使用情况，并获得用户同意。H-IoT应用程序的服务协议允许收集、聚合与分析用户数据，却无法明确如何使用数据。H-IoT设备可能产生隐性数据，导致用户无法获知监测的数据范围和细腻程度[11]。由于H-IoT供应商和用户之间的最终用户协议缺乏明确的知情同意机制，导致即使有关数据被去身份化，用户依然担忧其数据被重新用于医学研究或类似的消费者分析。

　　传统规则下，用户只同意某一实例研究，并不授权将其数据在更广泛的研究社区中分享、聚集及超出同意范畴的研究。H-IoT大数据具有巨大潜能——既可用于医疗保健，也可用于医学研究。通过大数据技术对H-IoT数据进行链接和聚合的二次分析，能揭示出不可预见的联系和推论，但是单一实例同意模式与该发展趋势相矛盾。虽然用户能够理解使用H-IoT的初始风险和益处，但无法准确知悉数据的未来效用和侵扰性(即数据对用户私生活的揭示)。利用收集的数据对用户进行侵扰性研究，会引起用户对数据驱动服务的歧视或排斥，导致用户不愿意分享个体信息，继而削弱H-IoT大数据的可用性。

　　未来，H-IoT设备制造商需重新设计用户协议，向用户公正地表明设备生成数据的价值，同时，告知数据被第三方用于研究或商业的聚合与链接情形。

　　数据主体和控制者共同享有H-IoT数据分配、修改的模糊所有权[12]。这些权利通过隐私法或数据保护法得到保障，并且根据隐私、自主权和身份认同伦理进行扩展。例如在欧洲，数据主体保留两种权利：一是获得通知的权利，以知悉其数据被创建、修改或分析的情形；二是访问和纠正的权利，即访问从其衍生的数据并能修正其中的错误。当前数据所有权的保障主要有两条途径：①修改数据保护法，提高H-IoT数据收集和处理流程的透明度以及数据主体的控制力；②更新数据控制者处理H-IoT数据的伦理标准，赋予数据主体被遗忘权、数据到期权和社交图谱所有权等。被遗忘权是指数据主体要求删除有关链接信息的能力；数据到期权是指在数据不再具有商业或研究价值的一段时间后自动删除有关数据的能力；社交图谱所有权要求向用户详细报告哪些个人数据存在、何时通过何种方式收集数据、数据的存储位置等[13]。

　　法律或伦理标准在保障数据所有权的同时，缺乏对数据主体的监督，由此产生的社会偏见、不平等问题不利于数据的科学处理[14]。H-IoT应用可以按照超出法律要求的伦理标准，赋予数据主体强大的访问和修改个人数据的权力，保障用户伦理上的数据自决权。数据自决权有利于解决因缺乏个人数据的收集、分析和利用信息而产生的信息不对称问题。但是，在H-IoT场景下，用户不受限制地访问自身数据也会带来新风险。例如，如果没有临床医生、护理人员或数据科学家的专业协助，数据主体容易对数据产生错误认知。此外，数据主体对数据的修改也可能破坏数据集的准确性和完整性。

　　数据主体访问和修改数据的权利依赖于主体是否知悉个体的数据有哪些？谁持有它们？它们的潜在作用是什么？以及如何使用它们？要满足这些需求，存在巨大的技术和实践障碍。大数据需要大量的计算、存储能力和先进技术作支撑，即每一门类数据的科学性需要具备一定专业技术和识来理解共享数据，但是数据主体在H-IoT数据的获取和理解上存在巨大障碍。由于信息隐私的理想保护主义与数据主体对数据的合理控制之间存在差距，没有数据控制者的专业协助，数据主体无法理解数据处理的意义和范围，也无法合理请求修改和更正数据。在H-IoT场景下有意义地监督和控制个人数据是不切实际的。

　　此外，H-IoT数据主体获益权的实现也存在困难。数据控制者利用数据主体的数据提供产品和服务，基于伦理依据，数据主体会要求从其数据研发出的产品和服务中分享收益，但现实是数据主体不会直接获益，例如由H-IoT数据研发产生的知识产权等收益或归属仍存在巨大争议。

　　使用H-IoT实现居家健康管理或护理，可能导致用户社会孤立化。H-IoT通过承担日常情况监测，降低了医护人员登门造访的必要性，但传感器的病情信息收集方式很难完全等同于面对面的交流方式。对老年人的研究表明，人们普遍担忧H-IoT不是对个人和社会互动的补充，而是取代个人和社会的互动[15]。

　　随着技术发展带来生活方式的异化，家庭护理辅助机器人(可以在连接互联网时被认为是H-IoT)和包含网络社交功能的临床H-IoT将逐步推出。机器人或社交网络能够有效支持用户和医护人员之间的交互，但这些交互模式并不能复制面对面的互动，也难以产生面对面交互对用户带来的心理健康和幸福感，导致用户产生孤立感，带来医疗保健从业性质和范围的新伦理难题。

　　H-IoT是提高临床护理和长期健康管理效率与质量的重要工具。作为医师和患者之间的桥梁，H-IoT将持续的患者护理转化为技术人工制品[6]，改变了医生与患者之间的依赖关系。过度依赖H-IoT的医生除了将医学知识应用于病人之外，不能在医患互动中表现出理解、同情或其它良好关怀[16]。H-IoT将医疗健康和患者护理简化成参数或者自动化流程的同时，也带来了一定风险：

　　(1)H-IoT将患者状况评估限定在易测量或可量化的狭窄范围，使人们对技术预测结果盲目乐观。数据工具被越来越多地用于用户健康情形建模和监测，不断补充或替代口头报告和实际护理。由于H-IoT将患者状况转化为监测数据结果，该转化过程可能过滤了很多关键技术和信息来源，因此输出结果具有局限性，限制了医生对患者病情的全面认知。此外，传送的监测数据具有不同程度的复杂性，如果数据在到达医护团队或病人之前被进行了简化，有可能产生有害结果。

　　(2)生理参数监测可能催生不科学的健康理念——将监测数据作为衡量健康的“客观”指标。该理念忽视了环境因素对健康的影响力，也弱化了患者的社会意义[13]。例如，血压升高的特殊情形在传统高血压测量中会被理解为正常范围内的自然波动，但H-IoT持续监测血压的设备可能带来“高血压”的机械认定。由此，H-IoT可能带来确定的假象，即监测数据被认为是病人情况的真实表现，但忽略了数据收集背景。

　　(3)机构和医生过于依赖H-IoT监测数据而忽视患者的主观经历与感受，将导致医疗健康的去情景化。H-IoT应用将减少面对面的交流，导致对病人主观经历和感受的忽略，而过度倚重客观的H-IoT监测数据，最终影响患者的医疗关怀质量。传统上医生通过临床试验、交流以及患者口头报告了解病人状况。尽管H-IoT创建了新的信息来源，但患者的社交、心理和情绪状态等信息并不容易被H-IoT监测，这是因为H-IoT监测数据体量大、内容复杂，医护人员难以从中识别重要信息。将H-IoT数据作为患者健康信息的主要来源，忽视了患者社交、心理和情绪状态等重要信息。

　　H-IoT有助于减轻社会和医疗保健部门的负担，但从另一种角度看，这种负担被隐形地转移给家庭成员、朋友和社区等非专业照顾者。非专业照顾者不一定愿意成为H-IoT警报的第一联络方；即使非正式护理人员接受护理职责，医疗和社会保健人员的人道义务也不能完全依靠非正式护理人员代为履行[16]。原因之一是，非正式护理缺乏伦理规范、职业道德、法律准则和医学专业训练。H-IoT改变了用户承但护理的性质。医疗专业人员对患者具有道德义务(如寻求患者利益而不是自身利益的最大化；不得利用病人在医疗保健方面的弱势地位等)，同时，具有专业知识。虽然非专业护理人员也可以建立良好的实践规范体系，但是非专业照顾者缺乏上述道德精神和专业知识。专业的医疗保健需要具有“病人脆弱性”、医护伦理责任等意识，但是这些意识不会随H-IoT的应用而自动转移到非专业照顾者。同时，将医护任务转移给非专业人士也不利于医疗技能、社区建设和个人发展[16]。

　　在H-IoT医疗场景中，病人的疾病经历(如恐惧、无助、依赖)及护理期望没有明显改善，但医护关系中的地位可能受提供医疗护理的H-IoT设备或利益相关者的影响而改变。如H-IoT用户可能受困于不受欢迎的个性化营销和保费，也可能因限制对其个人数据的访问而被拒绝提供服务或产品，还可能遭受基于数据分析带来的歧视。

　　H-IoT对良好医疗实践的抑制效应取决于服务交付模式，如果服务交付完全由现有具备专业医疗道德素养的医护团队承担，医疗关系中不利相关者的介入情形就会减少。在技术风险视域下，伦理责任需要根据技术化运作过程中的主体资源占用和利益获取情况来划分[17]。因此，建立H-IoT患者的信任，首先需构建医疗保健监测的公认实践规范。该规范将传统机构与人员的义务、职责和伦理道德，赋予新的护理提供者、非专业护理人员、H-IoT设备和服务提供者。例如为H-IoT的非专业护理制定适当的伦理准则和行为规范。此外，未来还需在H-IoT支持的医疗关系中赋予用户更大的医疗护理控制权，以对冲临床医生(专业医疗道德准则的化身)参与度减少的负效应，这种自我责任的理想模式意味着患者在医疗关系中获得更大自主权，并承担更多的自身健康和福祉责任。

　　基于H-IoT并辅以人工智能技术的自我护理和自我负责应用模式，不仅带来技术与医疗保健邻域的深刻变革，而且也带来新的伦理风险。评估和破解技术引发的医疗保健伦理难题，需要在保证自主权、健康福祉管理以及医疗保健质量的前提下，为H-IoT技术进步、医疗保健智能化构建科学的伦理、法律及政策体系。

　　H-IoT技术进步及其应用会产生巨大效应，因此，需要收集、处理的身体实时数据的体量和精细度也将大幅提升，并为医疗等相关领域带来新机遇。本文研究为未来研究设计与部署H-IoT技术中的伦理道德与规范体系提供了参考。尽管在设计H-IoT时可以预先解决一部分伦理问题，但在部署中会不断产生一些新伦理问题，并通过数据提供者的行为和责任表现出来。因此，未来研究可以在上述分析基础上，深入探讨伦理对策，以不断提高H-IoT技术的伦理可接受度。

　　[1] KOSTA E,PITKNEN O,NIEMELM,et al.Mobile-centric ambient intelligence in health- and homecare-anticipating ethical and legal challenges [J].Science & Engineering Ethics,2010,16(2):303.

　　[2] ZIEFLE M,ROCKER C,HOLZINGER A.Medical technology in smart homes:exploring the user's perspective on privacy,intimacy and trust[C].Computer Software and Applications Conference Workshops,IEEE,2011:410-415.

　　[3] ESSéN A.The two facets of electronic care surveillance:an exploration of the views of older people who live with monitoring devices[J].Social Science & Medicine,2008,67(1):128-136.

　　[4] HENSEL B K,DEMIRIS G,COURTNEY K L.Defining obtrusiveness in home telehealth technologies[J].Journal of the American Medical Informatics Association,2006,13(4):428-431.

　　[5] MITTELSTADT B D,FAIRWEATHER B N,SHAW M,et al.The ethical implications of personal health monitoring[J].International Journal of Technoethics,2013,5(2):37-60.

　　[6] 宋祖良.拯救地球和人类未来:海德格尔的后期思想[M].北京:中国社会科学出版社,1993:51.

　　[7] 张学义,彭成伦.大数据技术的哲学审思[J].科技进步与对策,2016,33(13):130-134.

　　[8] GARCIA-MORCHON O,FALCK T,WEHRLE K.Sensor network security for pervasive e-health[J].Security & Communication Networks,2011,4(11):1257-1273.

　　[9] PEPPET S R.Regulating the internet of things:first steps toward managing discrimination,privacy,security & consent[J].Texas Law Review,2014,93(1):85-179.

　　[10] WACHTER S.Privacy:primus inter pares-privacy as a precondition for self-development,personal fulfilment and the free enjoyment of fundamental human rights[J].Social Science Electronic Publishing,2017,1(24):26-52.

　　[11] BIETZ M J,BLOSS C S,CALVERT S,et al.Opportunities and challenges in the use of personal health data for health research[J].Journal of the American Medical Informatics Association,2015,23-30.

　　[12] KOSTKOVA P,BREWER H,DE L S,et al.Who owns the data? open data for healthcare[J].Front Public Health,2016,4(1):7-15.

　　[13] NUNAN D,DOMENICO M L D.Market research and the ethics of big data[J].International Journal of Market Research,2013,55(4):505.

　　[14] MCNEELY C L,HAHM J O.The big (data) bang:policy,prospects,and challenges[J].Review of Policy Research,2014,31(4):304-310.

　　[15] PALM E.Who cares? moral obligations in formal and informal care provision in the light of ICT-based home care[J].Health Care Analysis,2013,21(2):171-188.

　　[16] COECKELBERGH M.E-care as craftsmanship:virtuous work,skilled engagement,and information technology in health care[J].Medicine Health Care & Philosophy,2013,16(4):807-816.

　　[17] 王建锋,赵静波.论技术风险视域下的个体伦理责任[J].科技进步与对策,2011,28(4):105-108.