■ 劉乾坤 劉昊鵬 秦子昂 馬騁宇

在“互聯(lián)網(wǎng)+醫(yī)療健康”時(shí)代，移動(dòng)健康應(yīng)用程序（簡(jiǎn)稱“健康A(chǔ)PP”）使更多個(gè)人醫(yī)療健康信息匯入網(wǎng)絡(luò)，在方便提供個(gè)性化醫(yī)療健康服務(wù)的同時(shí)，也增加了信息泄露風(fēng)險(xiǎn)。2017年，亞馬遜平臺(tái)某醫(yī)療機(jī)構(gòu)近15萬(wàn)人的血液檢驗(yàn)等高敏感信息意外泄露[1]。2018年，美國(guó)保險(xiǎn)公司Anthem遭受黑客入侵，7900萬(wàn)人的醫(yī)療數(shù)據(jù)遭到泄露[2]。大量醫(yī)療信息泄露事件引起政府及社會(huì)重視，個(gè)人醫(yī)療信息的保護(hù)逐漸被納入立法議程。然而，法律可能增加用戶對(duì)健康A(chǔ)PP的信任，但并不代表醫(yī)療信息泄露的風(fēng)險(xiǎn)降到最低，仍需要健康A(chǔ)PP采取積極的措施來(lái)保障用戶信息安全。對(duì)此，2017年12月，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)頒布《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2017，簡(jiǎn)稱《規(guī)范》），規(guī)范了個(gè)人信息控制者在信息收集、保存、使用、共享、轉(zhuǎn)讓和披露等方面的行為，同時(shí)也提供了隱私政策模板，為健康A(chǔ)PP完善隱私保護(hù)政策提供依據(jù)。因此，作者參照《規(guī)范》，了解健康A(chǔ)PP隱私政策現(xiàn)狀以及存在的主要問(wèn)題，并提出相關(guān)建議，為健康A(chǔ)PP完善隱私保護(hù)政策提供參考。

1 對(duì)象與方法

1.1 研究對(duì)象

將安卓（Android）應(yīng)用商店內(nèi)健康A(chǔ)PP分為健康、移動(dòng)醫(yī)療以及互聯(lián)網(wǎng)醫(yī)院3類。其中，健康類主要包括運(yùn)動(dòng)、睡眠、兩性健康、育兒以及慢病管理等，移動(dòng)醫(yī)療類包括醫(yī)學(xué)科普知識(shí)、醫(yī)藥、整形、問(wèn)診和在線咨詢，互聯(lián)網(wǎng)醫(yī)院類包括預(yù)約掛號(hào)和云醫(yī)院。根據(jù)下載量排名各選取前5款A(yù)PP，以15款（A O）APP隱私政策作為研究對(duì)象，見(jiàn)表1。

1.2 研究方法

本研究基于內(nèi)容分析法對(duì)典型健康A(chǔ)PP隱私文本進(jìn)行分析。內(nèi)容分析法是一種以內(nèi)容特征為對(duì)象，通過(guò)從文本或文獻(xiàn)中提取一定文字內(nèi)容，對(duì)其進(jìn)行客觀系統(tǒng)的描述分析，歸納和挖掘潛在規(guī)律的方法[3]，用于趨勢(shì)、共變和因果推理以及比較不同的內(nèi)容群。本研究對(duì)不同APP的隱私保護(hù)內(nèi)容進(jìn)行分析和比較，去探究目前健康A(chǔ)PP隱私政策保護(hù)個(gè)人信息安全的現(xiàn)狀和問(wèn)題。

2 應(yīng)用程序內(nèi)容分析

2.1 基本情況

15款A(yù)PP中，A、B、D、F、G和L無(wú)獨(dú)立的隱私文本，其隱私保護(hù)存在于軟件協(xié)議和服務(wù)許可中。其中，E和J明確標(biāo)注了隱私政策最近更新時(shí)間。在下載量方面，健康類APP用戶下載量較大，互聯(lián)網(wǎng)醫(yī)院類較低。

根據(jù)《規(guī)范》要求，個(gè)人信息控制者在從事信息處理活動(dòng)時(shí)需要遵循權(quán)責(zé)一致、目的明確、選擇同意、最少夠用、確保安全、主體參與、公開(kāi)透明等原則，僅有J和K明示信息收集與使用原則。為方便用戶理解隱私文本，一般會(huì)提供要點(diǎn)目錄，研究發(fā)現(xiàn)僅G、J和K提供。

2.2 主要研究?jī)?nèi)容和結(jié)論

用戶使用健康A(chǔ)PP時(shí)，個(gè)人信息保護(hù)與利用覆蓋了從信息收集、保存、使用以及共享、轉(zhuǎn)讓到披露等信息處理的整個(gè)生命周期。在此過(guò)程中，運(yùn)營(yíng)商與用戶間需要通過(guò)隱私政策文件，明確彼此間權(quán)利與義務(wù)關(guān)系。因此，本文按照信息處理流程將隱私政策分為5個(gè)部分：（1）信息收集階段；（2）信息保存階段；（3）信息使用階段；（4）信息共享、轉(zhuǎn)讓和披露階段；（5）信息咨詢與反饋階段。

2.2.1 信息收集階段?！兑?guī)范》規(guī)定，個(gè)人信息收集應(yīng)當(dāng)遵循合法、最小化、授權(quán)同意以及明示敏感信息等要求。研究結(jié)果顯示，B、C、D、E、J、K、L和O等8款A(yù)PP明確界定了個(gè)人信息與隱私信息等概念，方便用戶了解隱私范圍內(nèi)的信息種類。

一般為保障APP正常運(yùn)轉(zhuǎn)，運(yùn)營(yíng)商會(huì)向用戶端設(shè)備發(fā)送名稱為Cookie的小型數(shù)據(jù)文件，主要用于追蹤用戶動(dòng)態(tài)或了解用戶偏好，或收集整體用戶群體的統(tǒng)計(jì)數(shù)據(jù)。再加上部分APP缺乏脫敏處理，很容易造成用戶隱私信息泄露。根據(jù)《規(guī)范》要求，在使用Cookie工具時(shí)，需要向用戶說(shuō)明使用目的，并提供限制使用方法及流程。結(jié)果顯示，E、F、J和K等4款A(yù)PP告知使用Cookie技術(shù)。其中，F(xiàn)未說(shuō)明使用目的。同時(shí)在限制使用方面，僅J提示能夠限制使用，但缺少限制使用的具體指導(dǎo)。

未成年人判斷能力弱，對(duì)其個(gè)人信息使用的后果無(wú)法做出準(zhǔn)確判斷。因此，《規(guī)范》明確規(guī)定≤14周歲兒童的個(gè)人信息屬于敏感信息，收集≤14周歲兒童信息前，應(yīng)征得監(jiān)護(hù)人的明示同意；年滿14周歲的應(yīng)征得未成年人或監(jiān)護(hù)人的明示同意。但調(diào)查發(fā)現(xiàn)，15款A(yù)PP年齡限定籠統(tǒng)，未對(duì)未成年人是否擁有民事行為能力進(jìn)行細(xì)分，缺乏對(duì)兒童隱私保護(hù)的強(qiáng)調(diào)。在信息收集時(shí)，8款A(yù)PP明確表示，未成年人使用或注冊(cè)時(shí)需得到父母或監(jiān)護(hù)人同意，比如：L強(qiáng)調(diào)未成年人使用前必須獲得父母或監(jiān)護(hù)人的書面同意。然而，父母或監(jiān)護(hù)人知情同意在實(shí)際中很難具體操作，同時(shí)APP運(yùn)營(yíng)商也無(wú)法實(shí)時(shí)監(jiān)測(cè)用戶年齡。例如，G在未成年人注冊(cè)或使用時(shí)，會(huì)默認(rèn)已經(jīng)征得父母或監(jiān)護(hù)人的同意。

2.2.2 信息保存階段。在信息保存階段，APP開(kāi)發(fā)商和運(yùn)營(yíng)商是主要的信息控制者，在保護(hù)用戶個(gè)人信息安全具有不可推卸的責(zé)任。在《規(guī)范》隱私政策模板中，開(kāi)發(fā)商和運(yùn)營(yíng)商需要提供以下保護(hù)措施：防止不當(dāng)或者未經(jīng)授權(quán)訪問(wèn)、使用信息；采用加密等技術(shù)防止惡意攻擊；不定期對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估與分析；設(shè)立信息安全部門或者專員；制定應(yīng)急預(yù)案，在安全事件發(fā)生時(shí)，及時(shí)告知用戶，并上報(bào)國(guó)家信息安全部門；在信息泄露或者用戶合法權(quán)益受到侵害時(shí)，會(huì)承擔(dān)相應(yīng)法律責(zé)任等。另外，用戶雖然在該階段控制信息受限，但也需要采取主動(dòng)措施保護(hù)個(gè)人信息安全，例如，盡量避免把個(gè)人賬號(hào)信息告知他人等。

調(diào)查發(fā)現(xiàn)，除A、B、D、H和O等5款A(yù)PP缺乏信息保護(hù)措施外，其余各APP均含有信息保護(hù)措施。其中，開(kāi)發(fā)商和運(yùn)營(yíng)商采用防止不當(dāng)或者未經(jīng)授權(quán)訪問(wèn)、使用信息和采用加密等技術(shù)防止惡意攻擊等方面的措施較多。在措施完善程度方面，E和J對(duì)個(gè)人信息的保護(hù)相對(duì)完整，見(jiàn)表2。

除保護(hù)措施外，本文還對(duì)保存地點(diǎn)和時(shí)限進(jìn)行對(duì)比分析。G、J、K和N將收集的個(gè)人信息保存在國(guó)內(nèi)服務(wù)器上，另外，N的部分信息還會(huì)保存在限定區(qū)域的衛(wèi)生計(jì)生部門機(jī)房?jī)?nèi)。由于E在境外擁有服務(wù)器，信息一般儲(chǔ)存在信息收集時(shí)的歸屬地的服務(wù)器上。信息保存一般遵循時(shí)間最小化原則，尤其個(gè)人信息的保存應(yīng)為個(gè)人信息控制者實(shí)現(xiàn)特定目的所需要的最短時(shí)間[4]。結(jié)果顯示，C、G、J、K和N都在法律或者協(xié)議規(guī)定有效期內(nèi)使用個(gè)人信息，當(dāng)用戶注銷賬戶時(shí)，經(jīng)過(guò)一定期限后系統(tǒng)會(huì)刪除或者匿名化處理個(gè)人信息。

表1 健康A(chǔ)PP隱私文本來(lái)源

表2 健康A(chǔ)PP信息保存措施

2.2.3 信息使用階段。在信息使用階段，用戶對(duì)個(gè)人信息具有部分支配權(quán)，不限于訪問(wèn)、更正、刪除個(gè)人信息，改變或撤銷授權(quán)以及注銷賬號(hào)等權(quán)利。研究表明：15款A(yù)PP中，8款能夠訪問(wèn)、更正及刪除個(gè)人信息，但存在無(wú)法更改注冊(cè)信息的情形；5款能夠自主選擇個(gè)性化推薦、改變或撤銷授權(quán)；4款能夠注銷用戶賬戶，見(jiàn)表3。

2.2.4 信息共享、轉(zhuǎn)讓和披露階段。相對(duì)于信息的收集和保存階段，共享、轉(zhuǎn)讓和披露階段更涉及個(gè)人信息的流動(dòng)，個(gè)人信息的泄露風(fēng)險(xiǎn)也更大。《規(guī)范》規(guī)定，除在用戶授權(quán)、法律規(guī)定以及其他合理事由時(shí)，其他情形下個(gè)人信息不得共享、轉(zhuǎn)讓或披露。例如：個(gè)人信息用于學(xué)術(shù)研究屬于信息共享的合理關(guān)聯(lián)范圍，但對(duì)外提供時(shí)需要去標(biāo)識(shí)化處理。

在信息共享方面，除A，其余APP在自身授權(quán)、法律規(guī)定以及為實(shí)現(xiàn)特定功能而與合作伙伴、關(guān)聯(lián)公司共享個(gè)人信息，見(jiàn)表4。在信息轉(zhuǎn)讓方面，運(yùn)營(yíng)商可能會(huì)涉及合并、收購(gòu)等情形，此時(shí)，個(gè)人信息會(huì)作為無(wú)形資產(chǎn)進(jìn)行轉(zhuǎn)移。因此，隱私政策中需要明確告知用戶轉(zhuǎn)讓與停止運(yùn)營(yíng)時(shí)個(gè)人信息的保護(hù)措施。結(jié)果顯示： C、E、I、J、K、L、M等7款A(yù)PP在共享、轉(zhuǎn)讓個(gè)人信息時(shí)會(huì)與第三方簽訂保密措施或者以不低于其隱私政策的保密程度保護(hù)用戶個(gè)人信息；J和N更明確表示在超出授權(quán)范圍時(shí)會(huì)重新征得用戶同意。在信息披露方面 ，用戶授權(quán)、法律或者行政部門強(qiáng)制規(guī)定和用戶違規(guī)使用以及存在欺詐行為等是個(gè)人信息披露的主要情境。同時(shí)，為維護(hù)國(guó)家安全、公共安全及利益，用戶自行公開(kāi)或者公開(kāi)收集到的合法披露信息屬于特殊情形下的信息披露。結(jié)果顯示：A、G和O等3款A(yù)PP未告知用戶披露情形，見(jiàn)表5。同時(shí)，調(diào)查發(fā)現(xiàn)：C、F、H以及I明確表示不會(huì)將個(gè)人信息用于商業(yè)操作，E和M則表示可能會(huì)將匿名信息或者非敏感信息用于商業(yè)營(yíng)銷。

2.2.5 信息咨詢與反饋階段。在信息咨詢與反饋階段，個(gè)人信息控制者需要給出處理個(gè)人信息安全問(wèn)題相關(guān)反饋、投訴的渠道，并明確響應(yīng)處理時(shí)限。一般隱私保護(hù)政策中，在對(duì)隱私信息保護(hù)存在疑問(wèn)或意見(jiàn)、建議，或用戶認(rèn)為自身信息泄露時(shí)，運(yùn)營(yíng)商需要提供聯(lián)系方式、地址、郵件或者在線客服等。另外，當(dāng)與用戶存在無(wú)法協(xié)商解決爭(zhēng)議時(shí)，也需要給出解決機(jī)構(gòu)信息或者聯(lián)系方式。

結(jié)果表明，在15款A(yù)PP應(yīng)用中，僅6家提供了聯(lián)系方式，以電話和郵箱為主，而在響應(yīng)請(qǐng)求時(shí)限方面，14款A(yù)PP缺失響應(yīng)時(shí)限。在解決不可協(xié)商的爭(zhēng)議方面，僅J提供了外部爭(zhēng)議解決機(jī)構(gòu)（轄區(qū)內(nèi)的法院）。

3 完善健康A(chǔ)PP個(gè)人信息安全對(duì)策與建議

《規(guī)范》雖然已經(jīng)實(shí)施，但多數(shù)健康A(chǔ)PP隱私政策的制定并未嚴(yán)格按照模板進(jìn)行制定，存在內(nèi)容缺失或敘述模糊。因此，除在政策文件上強(qiáng)調(diào)保護(hù)個(gè)人信息，更應(yīng)當(dāng)促進(jìn)健康A(chǔ)PP隱私政策的規(guī)范制定，同時(shí)構(gòu)建隱私政策評(píng)價(jià)標(biāo)準(zhǔn)機(jī)制，此外還需要建立健全個(gè)人隱私信息保護(hù)法律，以促進(jìn)用戶安全使用健康A(chǔ)PP。

3.1 促進(jìn)隱私政策規(guī)范制定

隨著“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展，更多用戶會(huì)使用健康A(chǔ)PP。但目前健康A(chǔ)PP存在過(guò)度收集和濫用個(gè)人信息情形。因此，需要利用健康A(chǔ)PP隱私政策規(guī)范運(yùn)營(yíng)商行為來(lái)提升隱私保護(hù)水平。

可見(jiàn)性和可讀性是隱私政策重要的合規(guī)標(biāo)準(zhǔn)，是評(píng)價(jià)隱私政策完整性的重要內(nèi)容[5]。在可見(jiàn)性方面，第一，運(yùn)營(yíng)商需要在顯著位置顯示隱私政策，同時(shí)保證在點(diǎn)擊時(shí)能夠有效跳轉(zhuǎn)到隱私政策。第二，標(biāo)題需包含“隱私”字眼，但不限于“隱私政策”“隱私聲明”“隱私權(quán)保護(hù)”“隱私權(quán)指示”“個(gè)人隱私信息保護(hù)”等。

表3 健康A(chǔ)PP用戶權(quán)利情況

表4 健康A(chǔ)PP 信息共享情況

表5 健康A(chǔ)PP信息轉(zhuǎn)讓與披露情形

在可讀性方面，第一，隱私政策須擁有動(dòng)態(tài)性，同時(shí)隱私政策需要提供要點(diǎn)目錄，方便用戶了解隱私政策內(nèi)容。第二，在信息處理時(shí)需要遵循目的明確、選擇同意、最少夠用等原則。例如，在收集階段，根據(jù)自身服務(wù)特征詳細(xì)說(shuō)明信息收集種類、目的和方式，并告知用戶是否使用Cookie等。第三，運(yùn)營(yíng)商需告知用戶避免過(guò)量授權(quán)，同時(shí)給予正確的下載網(wǎng)址或商店。并根據(jù)自身服務(wù)針對(duì)老年人和未成年人進(jìn)行安全知識(shí)科普。第四，用戶擁有訪問(wèn)、更正、刪除和注銷賬號(hào)的權(quán)利，隱私政策需注明具體操作流程。第五，在共享和使用個(gè)人信息時(shí)，需要去標(biāo)識(shí)或匿名化處理，做到無(wú)法識(shí)別個(gè)人信息主體。

3.2 完善隱私政策評(píng)價(jià)標(biāo)準(zhǔn)

隱私政策可操作性同樣是健康A(chǔ)PP個(gè)人信息保護(hù)中重要環(huán)節(jié)。但目前缺乏完善的評(píng)價(jià)和監(jiān)管標(biāo)準(zhǔn)，即使隱私文本完整，也無(wú)法確保落實(shí)隱私條款。因此，第一，國(guó)家和互聯(lián)網(wǎng)健康行業(yè)應(yīng)當(dāng)構(gòu)建可行的隱私政策指標(biāo)評(píng)價(jià)體系，成立專門的個(gè)人信息保護(hù)機(jī)構(gòu)，定期對(duì)隱私政策規(guī)范性和操作性做出評(píng)價(jià)。第二，國(guó)家和行業(yè)除監(jiān)管治理惡意程序外，需將技術(shù)標(biāo)準(zhǔn)運(yùn)用到檢測(cè)APP系統(tǒng)安全和穩(wěn)定性等基礎(chǔ)環(huán)節(jié)。第三，健康A(chǔ)PP的運(yùn)營(yíng)商可能受經(jīng)濟(jì)利益驅(qū)使，出于好奇心理或僅因觸手可及，泄露系統(tǒng)內(nèi)個(gè)人醫(yī)療數(shù)據(jù)。因此，需要定期檢查內(nèi)部人員操作權(quán)限、離職保密協(xié)議的簽訂以及信息安全的培訓(xùn)與考核，同時(shí)設(shè)立個(gè)人信息安全專職部門和專員，以應(yīng)對(duì)信息安全事件發(fā)生。

3.3 建立健全個(gè)人隱私信息保護(hù)法律環(huán)境

雖然規(guī)范的隱私政策可以提高開(kāi)發(fā)商和運(yùn)營(yíng)商以及用戶的信息安全保護(hù)意識(shí)，也可為開(kāi)發(fā)商和運(yùn)營(yíng)商提供操作指引，但隱私政策的制定和實(shí)施離不開(kāi)個(gè)人隱私信息保護(hù)法律環(huán)境。相對(duì)于美國(guó)的《消費(fèi)者隱私保護(hù)法案》和歐盟的《通用數(shù)據(jù)保護(hù)條例》，我國(guó)頒布的《規(guī)范》缺乏強(qiáng)制性，在個(gè)人信息保護(hù)方面指導(dǎo)性較差[6]。因此，國(guó)家需要建立健全個(gè)人隱私信息保護(hù)法律。第一，應(yīng)當(dāng)建立個(gè)人信息保密等級(jí)，將敏感信息和一般信息進(jìn)行區(qū)分[7]。敏感信息應(yīng)當(dāng)征得用戶的明確同意，一般信息可以相對(duì)弱化用戶同意請(qǐng)求[8]，但都要盡量去標(biāo)識(shí)化處理，阻斷與特定個(gè)人的關(guān)聯(lián)。第二，個(gè)人信息收集在法律上一般需要遵循正當(dāng)、合法、必要原則。但健康A(chǔ)PP種類繁多，且不斷朝著細(xì)化分類發(fā)展，用戶無(wú)法判斷某些信息是否必要，因此在法律上需要界定個(gè)人信息的收集種類是否必要。第三，用戶信息處理階段對(duì)個(gè)人信息的控制受限，且與運(yùn)營(yíng)商和開(kāi)發(fā)商間存在信息不對(duì)稱。在發(fā)生信息安全事件時(shí)，用戶無(wú)法及時(shí)得知自身信息是否泄露及泄露嚴(yán)重程度。因此，需要在法律中明確規(guī)定開(kāi)發(fā)商和運(yùn)營(yíng)商應(yīng)當(dāng)存在取證倒置義務(wù)，確保在安全事件發(fā)生后保護(hù)用戶的合法權(quán)益。