■ 刘乾坤 刘昊鹏 秦子昂 马骋宇
在“互联网+医疗健康”时代,移动健康应用程序(简称“健康APP”)使更多个人医疗健康信息汇入网络,在方便提供个性化医疗健康服务的同时,也增加了信息泄露风险。2017年,亚马逊平台某医疗机构近15万人的血液检验等高敏感信息意外泄露[1]。2018年,美国保险公司Anthem遭受黑客入侵,7900万人的医疗数据遭到泄露[2]。大量医疗信息泄露事件引起政府及社会重视,个人医疗信息的保护逐渐被纳入立法议程。然而,法律可能增加用户对健康APP的信任,但并不代表医疗信息泄露的风险降到最低,仍需要健康APP采取积极的措施来保障用户信息安全。对此,2017年12月,国家标准化管理委员会颁布《信息安全技术个人信息安全规范》(GB/T 35273-2017,简称《规范》),规范了个人信息控制者在信息收集、保存、使用、共享、转让和披露等方面的行为,同时也提供了隐私政策模板,为健康APP完善隐私保护政策提供依据。因此,作者参照《规范》,了解健康APP隐私政策现状以及存在的主要问题,并提出相关建议,为健康APP完善隐私保护政策提供参考。
将安卓(Android)应用商店内健康APP分为健康、移动医疗以及互联网医院3类。其中,健康类主要包括运动、睡眠、两性健康、育儿以及慢病管理等,移动医疗类包括医学科普知识、医药、整形、问诊和在线咨询,互联网医院类包括预约挂号和云医院。根据下载量排名各选取前5款APP,以15款(A O)APP隐私政策作为研究对象,见表1。
本研究基于内容分析法对典型健康APP隐私文本进行分析。内容分析法是一种以内容特征为对象,通过从文本或文献中提取一定文字内容,对其进行客观系统的描述分析,归纳和挖掘潜在规律的方法[3],用于趋势、共变和因果推理以及比较不同的内容群。本研究对不同APP的隐私保护内容进行分析和比较,去探究目前健康APP隐私政策保护个人信息安全的现状和问题。
15款APP中,A、B、D、F、G和L无独立的隐私文本,其隐私保护存在于软件协议和服务许可中。其中,E和J明确标注了隐私政策最近更新时间。在下载量方面,健康类APP用户下载量较大,互联网医院类较低。
根据《规范》要求,个人信息控制者在从事信息处理活动时需要遵循权责一致、目的明确、选择同意、最少够用、确保安全、主体参与、公开透明等原则,仅有J和K明示信息收集与使用原则。为方便用户理解隐私文本,一般会提供要点目录,研究发现仅G、J和K提供。
用户使用健康APP时,个人信息保护与利用覆盖了从信息收集、保存、使用以及共享、转让到披露等信息处理的整个生命周期。在此过程中,运营商与用户间需要通过隐私政策文件,明确彼此间权利与义务关系。因此,本文按照信息处理流程将隐私政策分为5个部分:(1)信息收集阶段;(2)信息保存阶段;(3)信息使用阶段;(4)信息共享、转让和披露阶段;(5)信息咨询与反馈阶段。
2.2.1 信息收集阶段。《规范》规定,个人信息收集应当遵循合法、最小化、授权同意以及明示敏感信息等要求。研究结果显示,B、C、D、E、J、K、L和O等8款APP明确界定了个人信息与隐私信息等概念,方便用户了解隐私范围内的信息种类。
一般为保障APP正常运转,运营商会向用户端设备发送名称为Cookie的小型数据文件,主要用于追踪用户动态或了解用户偏好,或收集整体用户群体的统计数据。再加上部分APP缺乏脱敏处理,很容易造成用户隐私信息泄露。根据《规范》要求,在使用Cookie工具时,需要向用户说明使用目的,并提供限制使用方法及流程。结果显示,E、F、J和K等4款APP告知使用Cookie技术。其中,F未说明使用目的。同时在限制使用方面,仅J提示能够限制使用,但缺少限制使用的具体指导。
未成年人判断能力弱,对其个人信息使用的后果无法做出准确判断。因此,《规范》明确规定≤14周岁儿童的个人信息属于敏感信息,收集≤14周岁儿童信息前,应征得监护人的明示同意;年满14周岁的应征得未成年人或监护人的明示同意。但调查发现,15款APP年龄限定笼统,未对未成年人是否拥有民事行为能力进行细分,缺乏对儿童隐私保护的强调。在信息收集时,8款APP明确表示,未成年人使用或注册时需得到父母或监护人同意,比如:L强调未成年人使用前必须获得父母或监护人的书面同意。然而,父母或监护人知情同意在实际中很难具体操作,同时APP运营商也无法实时监测用户年龄。例如,G在未成年人注册或使用时,会默认已经征得父母或监护人的同意。
2.2.2 信息保存阶段。在信息保存阶段,APP开发商和运营商是主要的信息控制者,在保护用户个人信息安全具有不可推卸的责任。在《规范》隐私政策模板中,开发商和运营商需要提供以下保护措施:防止不当或者未经授权访问、使用信息;采用加密等技术防止恶意攻击;不定期对安全风险进行评估与分析;设立信息安全部门或者专员;制定应急预案,在安全事件发生时,及时告知用户,并上报国家信息安全部门;在信息泄露或者用户合法权益受到侵害时,会承担相应法律责任等。另外,用户虽然在该阶段控制信息受限,但也需要采取主动措施保护个人信息安全,例如,尽量避免把个人账号信息告知他人等。
调查发现,除A、B、D、H和O等5款APP缺乏信息保护措施外,其余各APP均含有信息保护措施。其中,开发商和运营商采用防止不当或者未经授权访问、使用信息和采用加密等技术防止恶意攻击等方面的措施较多。在措施完善程度方面,E和J对个人信息的保护相对完整,见表2。
除保护措施外,本文还对保存地点和时限进行对比分析。G、J、K和N将收集的个人信息保存在国内服务器上,另外,N的部分信息还会保存在限定区域的卫生计生部门机房内。由于E在境外拥有服务器,信息一般储存在信息收集时的归属地的服务器上。信息保存一般遵循时间最小化原则,尤其个人信息的保存应为个人信息控制者实现特定目的所需要的最短时间[4]。结果显示,C、G、J、K和N都在法律或者协议规定有效期内使用个人信息,当用户注销账户时,经过一定期限后系统会删除或者匿名化处理个人信息。
表1 健康APP隐私文本来源
表2 健康APP信息保存措施
2.2.3 信息使用阶段。在信息使用阶段,用户对个人信息具有部分支配权,不限于访问、更正、删除个人信息,改变或撤销授权以及注销账号等权利。研究表明:15款APP中,8款能够访问、更正及删除个人信息,但存在无法更改注册信息的情形;5款能够自主选择个性化推荐、改变或撤销授权;4款能够注销用户账户,见表3。
2.2.4 信息共享、转让和披露阶段。相对于信息的收集和保存阶段,共享、转让和披露阶段更涉及个人信息的流动,个人信息的泄露风险也更大。《规范》规定,除在用户授权、法律规定以及其他合理事由时,其他情形下个人信息不得共享、转让或披露。例如:个人信息用于学术研究属于信息共享的合理关联范围,但对外提供时需要去标识化处理。
在信息共享方面,除A,其余APP在自身授权、法律规定以及为实现特定功能而与合作伙伴、关联公司共享个人信息,见表4。在信息转让方面,运营商可能会涉及合并、收购等情形,此时,个人信息会作为无形资产进行转移。因此,隐私政策中需要明确告知用户转让与停止运营时个人信息的保护措施。结果显示: C、E、I、J、K、L、M等7款APP在共享、转让个人信息时会与第三方签订保密措施或者以不低于其隐私政策的保密程度保护用户个人信息;J和N更明确表示在超出授权范围时会重新征得用户同意。在信息披露方面 ,用户授权、法律或者行政部门强制规定和用户违规使用以及存在欺诈行为等是个人信息披露的主要情境。同时,为维护国家安全、公共安全及利益,用户自行公开或者公开收集到的合法披露信息属于特殊情形下的信息披露。结果显示:A、G和O等3款APP未告知用户披露情形,见表5。同时,调查发现:C、F、H以及I明确表示不会将个人信息用于商业操作,E和M则表示可能会将匿名信息或者非敏感信息用于商业营销。
2.2.5 信息咨询与反馈阶段。在信息咨询与反馈阶段,个人信息控制者需要给出处理个人信息安全问题相关反馈、投诉的渠道,并明确响应处理时限。一般隐私保护政策中,在对隐私信息保护存在疑问或意见、建议,或用户认为自身信息泄露时,运营商需要提供联系方式、地址、邮件或者在线客服等。另外,当与用户存在无法协商解决争议时,也需要给出解决机构信息或者联系方式。
结果表明,在15款APP应用中,仅6家提供了联系方式,以电话和邮箱为主,而在响应请求时限方面,14款APP缺失响应时限。在解决不可协商的争议方面,仅J提供了外部争议解决机构(辖区内的法院)。
《规范》虽然已经实施,但多数健康APP隐私政策的制定并未严格按照模板进行制定,存在内容缺失或叙述模糊。因此,除在政策文件上强调保护个人信息,更应当促进健康APP隐私政策的规范制定,同时构建隐私政策评价标准机制,此外还需要建立健全个人隐私信息保护法律,以促进用户安全使用健康APP。
随着“互联网+医疗健康”发展,更多用户会使用健康APP。但目前健康APP存在过度收集和滥用个人信息情形。因此,需要利用健康APP隐私政策规范运营商行为来提升隐私保护水平。
可见性和可读性是隐私政策重要的合规标准,是评价隐私政策完整性的重要内容[5]。在可见性方面,第一,运营商需要在显著位置显示隐私政策,同时保证在点击时能够有效跳转到隐私政策。第二,标题需包含“隐私”字眼,但不限于“隐私政策”“隐私声明”“隐私权保护”“隐私权指示”“个人隐私信息保护”等。
表3 健康APP用户权利情况
表4 健康APP 信息共享情况
表5 健康APP信息转让与披露情形
在可读性方面,第一,隐私政策须拥有动态性,同时隐私政策需要提供要点目录,方便用户了解隐私政策内容。第二,在信息处理时需要遵循目的明确、选择同意、最少够用等原则。例如,在收集阶段,根据自身服务特征详细说明信息收集种类、目的和方式,并告知用户是否使用Cookie等。第三,运营商需告知用户避免过量授权,同时给予正确的下载网址或商店。并根据自身服务针对老年人和未成年人进行安全知识科普。第四,用户拥有访问、更正、删除和注销账号的权利,隐私政策需注明具体操作流程。第五,在共享和使用个人信息时,需要去标识或匿名化处理,做到无法识别个人信息主体。
隐私政策可操作性同样是健康APP个人信息保护中重要环节。但目前缺乏完善的评价和监管标准,即使隐私文本完整,也无法确保落实隐私条款。因此,第一,国家和互联网健康行业应当构建可行的隐私政策指标评价体系,成立专门的个人信息保护机构,定期对隐私政策规范性和操作性做出评价。第二,国家和行业除监管治理恶意程序外,需将技术标准运用到检测APP系统安全和稳定性等基础环节。第三,健康APP的运营商可能受经济利益驱使,出于好奇心理或仅因触手可及,泄露系统内个人医疗数据。因此,需要定期检查内部人员操作权限、离职保密协议的签订以及信息安全的培训与考核,同时设立个人信息安全专职部门和专员,以应对信息安全事件发生。
虽然规范的隐私政策可以提高开发商和运营商以及用户的信息安全保护意识,也可为开发商和运营商提供操作指引,但隐私政策的制定和实施离不开个人隐私信息保护法律环境。相对于美国的《消费者隐私保护法案》和欧盟的《通用数据保护条例》,我国颁布的《规范》缺乏强制性,在个人信息保护方面指导性较差[6]。因此,国家需要建立健全个人隐私信息保护法律。第一,应当建立个人信息保密等级,将敏感信息和一般信息进行区分[7]。敏感信息应当征得用户的明确同意,一般信息可以相对弱化用户同意请求[8],但都要尽量去标识化处理,阻断与特定个人的关联。第二,个人信息收集在法律上一般需要遵循正当、合法、必要原则。但健康APP种类繁多,且不断朝着细化分类发展,用户无法判断某些信息是否必要,因此在法律上需要界定个人信息的收集种类是否必要。第三,用户信息处理阶段对个人信息的控制受限,且与运营商和开发商间存在信息不对称。在发生信息安全事件时,用户无法及时得知自身信息是否泄露及泄露严重程度。因此,需要在法律中明确规定开发商和运营商应当存在取证倒置义务,确保在安全事件发生后保护用户的合法权益。