早些時候，我們曾報道過“谷歌獲得160萬NHS患者數據”，然而這件事引發了很大的爭議。盡管該公司可以“訪問”參與處理NHS數據，但卻沒有獲得監管機構和患者本人的使用許可，不過谷歌和NHS Trust(院方)都認為無需監管部門的批準。谷歌正在開發的人工智能系統，希望能夠檢測病人是否有急性腎損傷的風險，而Royal Free和Barnet & Chase農場醫院向谷歌提供了160萬的患者數據，其中包含了敏感的個人身份信息。

據《新科學人》報道，他們似乎跳過了移交此類數據的兩個關鍵步驟。

首先，谷歌正在開發的應用，其所使用的數據流被歸類為‘醫療設備’；為安全起見，所有醫療設備都必須經由英國藥品產品監管機構的批準。此外，他們并未通過英國數據監管辦公室（ICO）尋求批準。

在患者數據被移交之前，他們也沒有告知或征求過意見。數據被加密后傳輸到了谷歌在某個秘密地點的服務器，但處理的過程卻又是未加密的。

2006年的《NHS法案》第251章節明令禁止在不知情的情況下分享個人身份信息。但如果你在運行一個大型的研究項目，征求每一個患者的同意幾乎是難以做到的。

此時你應該通過機密咨詢小組（Confidentiality Advisory Group）決定是否同意，然后獲得英國國務大臣的授權。谷歌未遵循這一流程，因為每兩周更新一次的“健康研究權威數據庫”中并未顯示。

谷歌則表示，患者并未‘明確’、而是‘暗示’了同意，因為其能夠訪問數據庫的前提，是這項研究“對臨床患者有著直接的益處”。

然而這一案例的爭議點在于，政府準則明確指出，‘假設的同意’并不適用與此，因為直接的臨床護理，只有當病人被特定的臨床醫生、給予一種特定形式的護理時才適用，接收數據的人也應該是病患的臨床醫生。

在一份聲明中，谷歌重申了它擁有數據的合法訪問。不過當局已圍繞此事展開正式的調查，目前尚不清楚是否會最終指控其行為不當。