張 敏 沈嘉裕 劉華瑋 嚴(yán)煒煒*

(1.武漢大學(xué)信息資源研究中心，湖北 武漢 430072；2.武漢大學(xué)信息管理學(xué)院，湖北 武漢 430072)

互聯(lián)網(wǎng)醫(yī)院是通過互聯(lián)網(wǎng)的技術(shù)和手段，遠(yuǎn)程為患者提供導(dǎo)診、預(yù)約掛號、常見病以及慢性病診療并開具處方和配送藥物的醫(yī)療服務(wù)平臺[1]。當(dāng)前互聯(lián)網(wǎng)醫(yī)院有政府主導(dǎo)型、大型實(shí)體醫(yī)院自建型、互聯(lián)網(wǎng)企業(yè)主導(dǎo)型3種主要類型[2]。國家衛(wèi)生健康委明文規(guī)定，互聯(lián)網(wǎng)醫(yī)院必須依托于實(shí)體醫(yī)院，因此互聯(lián)網(wǎng)醫(yī)院也被認(rèn)為是實(shí)體公立醫(yī)療機(jī)構(gòu)增設(shè)的第二名稱[3]。2018年，國務(wù)院辦公廳出臺了《關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》，隨后我國互聯(lián)網(wǎng)醫(yī)療服務(wù)業(yè)務(wù)量增長顯著。統(tǒng)計(jì)數(shù)據(jù)顯示，截至2021年6月，我國互聯(lián)網(wǎng)醫(yī)院數(shù)量已超過1 600家[4]。

移動互聯(lián)技術(shù)的不斷發(fā)展使得互聯(lián)網(wǎng)醫(yī)院應(yīng)用程序(以下簡稱APP)應(yīng)用場景不斷豐富。相較于傳統(tǒng)PC端的醫(yī)療信息系統(tǒng)，互聯(lián)網(wǎng)醫(yī)院APP可向患者提供實(shí)時信息服務(wù)，有效解決了傳統(tǒng)醫(yī)院掛號難、排隊(duì)難的沉疴，凸顯出方便、快捷、高效等優(yōu)勢。但值得注意的是，患者在就診中產(chǎn)生的海量生物識別、醫(yī)療健康等敏感的個人信息[5]，可能會因商業(yè)數(shù)據(jù)共享不當(dāng)、遭受黑客攻擊等原因而導(dǎo)致個人健康信息的泄露[6-8]。因此，互聯(lián)網(wǎng)醫(yī)院APP收集、處理、使用患者隱私數(shù)據(jù)的過程是否規(guī)范合法，不僅關(guān)系到患者的個人隱私安全，更影響并制約其本身乃至整個產(chǎn)業(yè)的健康發(fā)展。

應(yīng)用程序隱私政策內(nèi)容反映了服務(wù)商對個人隱私保護(hù)的承諾，是研究移動應(yīng)用程序隱私保護(hù)情況的極佳材料。本研究選擇互聯(lián)網(wǎng)醫(yī)院APP的隱私政策內(nèi)容為研究樣本，在構(gòu)建互聯(lián)網(wǎng)醫(yī)院移動應(yīng)用程序隱私政策評價體系的基礎(chǔ)上，分析我國互聯(lián)網(wǎng)醫(yī)院APP隱私政策的實(shí)施現(xiàn)狀，研究結(jié)論有助于完善互聯(lián)網(wǎng)醫(yī)院移動應(yīng)用程序隱私安全保護(hù)機(jī)制。

1 文獻(xiàn)綜述

1.1 移動應(yīng)用程序隱私政策評價研究

近年來，學(xué)者們在移動應(yīng)用程序隱私保護(hù)方面進(jìn)行了豐富的研究，如表1所示：①在研究場景方面，醫(yī)療健康、電子商務(wù)、社交媒體、移動圖書館等是關(guān)注的重要領(lǐng)域[9-13]；②在研究方法方面，內(nèi)容分析法是較為常用的研究方法，也包括比較分析法、層次分析法、問卷調(diào)查法等社會科學(xué)研究常用研究方法。劉嬌等[14]采用比較分析法，對中外應(yīng)用程序隱私保護(hù)文本進(jìn)行了比較研究。張曉娟等[15]采用專家訪談與層次分析法，構(gòu)建了隱私政策評價指標(biāo)體系。秦克飛[16]采用中文可讀性公式法，通過隱私政策文本的每句平均字?jǐn)?shù)和難字百分比計(jì)算隱私政策文本的可讀性。姚勝譯等[17]借助問卷調(diào)查法與層次分析法，構(gòu)建了應(yīng)用程序隱私政策友好程度評價框架。此外，國外有學(xué)者將基于政策文本自動分類的方法引入隱私政策合規(guī)性研究[18-19]。趙楊等[20]運(yùn)用CNN、RNN、LSTM這3種機(jī)器學(xué)習(xí)算法，構(gòu)建了隱私政策合規(guī)性自動檢測模型，對隱私政策文本進(jìn)行自動化標(biāo)注，進(jìn)而進(jìn)行合規(guī)性評價；③在研究規(guī)則方面，法律法規(guī)[9,11,15,20]、專家意見[15]、數(shù)據(jù)生命周期[12]以及用戶體驗(yàn)[21]是制定隱私政策評價體系與評價指標(biāo)的主要依據(jù)。

表1 移動應(yīng)用程序隱私政策評價相關(guān)研究

表1(續(xù))

文獻(xiàn)綜述發(fā)現(xiàn)，我國應(yīng)用程序隱私政策研究的邏輯主線已經(jīng)厘清，并形成了初步的理論知識體系，但同時也存在以下局限：①在研究場景方面，針對互聯(lián)網(wǎng)醫(yī)院APP隱私政策展開系統(tǒng)實(shí)證調(diào)研的相對較少；②在研究視角方面，內(nèi)容合規(guī)性[12-14]視角和用戶體驗(yàn)[16-17]單獨(dú)采用較多，特別是內(nèi)容合規(guī)維度，近年來已有學(xué)者[20]將機(jī)器學(xué)習(xí)方法引入隱私政策的內(nèi)容合規(guī)評價研究中，而將內(nèi)容合規(guī)維度與認(rèn)知負(fù)荷維度系統(tǒng)結(jié)合起來的研究較少；③在研究方法方面，根據(jù)專家的先驗(yàn)知識進(jìn)行AHP主觀權(quán)重設(shè)置的研究較多[17]，但同時結(jié)合主客觀因素設(shè)置權(quán)重的研究較少；④在研究規(guī)則方面，基于用戶體驗(yàn)的評價指標(biāo)設(shè)置缺乏統(tǒng)一的理論依據(jù)，致使不同研究對隱私政策的用戶體驗(yàn)維度的設(shè)置較為零散。如對于隱私政策的可讀性這一評價指標(biāo)，秦克飛[16]采取定量的中文可讀性公式法衡量隱私政策文本的可讀性，而徐雷等[21]從隱私政策的文本字?jǐn)?shù)、目錄與重點(diǎn)標(biāo)注、專業(yè)術(shù)語3個方面評價應(yīng)用程序隱私政策的可讀性。姚勝譯等[17]則從內(nèi)容角度出發(fā)設(shè)置可讀性評價指標(biāo)體系來考察隱私政策的內(nèi)容是否完整、規(guī)范、合規(guī)。指標(biāo)設(shè)置理念的差異造成了認(rèn)知上的分歧，不利于隱私政策評價研究的理論與實(shí)踐發(fā)展，而認(rèn)知負(fù)荷理論適用于用戶閱讀應(yīng)用程序隱私政策的場景，可有效解決學(xué)者們在用戶體驗(yàn)評價指標(biāo)設(shè)置上的分歧。因此，本研究擬基于認(rèn)知負(fù)荷理論和內(nèi)容合規(guī)的角度，構(gòu)建互聯(lián)網(wǎng)醫(yī)院APP的隱私政策評價體系。

1.2 認(rèn)知負(fù)荷理論及其應(yīng)用

認(rèn)知負(fù)荷理論[24]由Sweller J于1988年提出，認(rèn)知負(fù)荷是指個體在完成任務(wù)過程中進(jìn)行信息加工所需要的認(rèn)知資源的總量，可細(xì)分為內(nèi)在認(rèn)知負(fù)荷、外在認(rèn)知負(fù)荷以及關(guān)聯(lián)認(rèn)知負(fù)荷。其中，內(nèi)在認(rèn)知負(fù)荷是指在具體任務(wù)中必須理解的任務(wù)信息、材料的復(fù)雜性與個人知識水平的交互作用所引起的難度。外在認(rèn)知負(fù)荷是指由信息呈現(xiàn)方式產(chǎn)生的，個體將投入多余的信息或與目標(biāo)無關(guān)的過程中的精力是外在認(rèn)知負(fù)荷的來源。關(guān)聯(lián)認(rèn)知負(fù)荷是指個體致力于構(gòu)建圖式而投入的精力[25]，又稱“相關(guān)認(rèn)知資源”。由于個體工作記憶資源的總量是有限的，當(dāng)認(rèn)知資源被投入與任務(wù)無關(guān)的外在認(rèn)知負(fù)荷時，被投入到與任務(wù)相關(guān)的內(nèi)在負(fù)荷的相關(guān)認(rèn)知資源會相應(yīng)減少。查先進(jìn)等[26]指出，降低學(xué)習(xí)者的認(rèn)知負(fù)荷并提升學(xué)習(xí)效果的途徑包括兩種：一是降低內(nèi)在認(rèn)知負(fù)荷，即改變學(xué)習(xí)材料或任務(wù)本身的認(rèn)知難度；二是降低外在認(rèn)知負(fù)荷，即對學(xué)習(xí)材料或任務(wù)的組織和呈現(xiàn)方式進(jìn)行改進(jìn)。

認(rèn)知負(fù)荷理論扎根于認(rèn)知心理，并通過大量實(shí)踐不斷擴(kuò)充其內(nèi)涵，近年來影響力和解釋力在教育心理學(xué)[27-28]、信息系統(tǒng)[29]、用戶行為[30]、文本閱讀體驗(yàn)[31]等研究領(lǐng)域中不斷增強(qiáng)。Wang Q等[32]借助眼動追蹤方法，證實(shí)了電商網(wǎng)站設(shè)計(jì)的復(fù)雜性與用戶的外在認(rèn)知負(fù)荷有關(guān)。王偉偉等[30]基于認(rèn)知負(fù)荷理論，構(gòu)建了基于用戶情緒的感知體驗(yàn)服務(wù)模型，對某汗糖檢測APP的信息元素進(jìn)行認(rèn)知結(jié)構(gòu)的調(diào)整，從而推進(jìn)產(chǎn)品優(yōu)化。在文本理解領(lǐng)域，牛麗慧等[31]發(fā)現(xiàn)，將科學(xué)論文的論證結(jié)構(gòu)外顯化可以降低科研人員的外部認(rèn)知負(fù)荷，促進(jìn)科研人員理解論文主旨大意的效率。此外，張玥等[33]將認(rèn)知心理學(xué)中的認(rèn)知負(fù)荷理論引入醫(yī)療健康A(chǔ)PP隱私政策閱讀效果研究。上述研究驗(yàn)證了認(rèn)知負(fù)荷理論在在線文本閱讀理解領(lǐng)域的適用性，因此認(rèn)為，認(rèn)知負(fù)荷理論適用于用戶閱讀應(yīng)用程序隱私政策的研究場景。

基于上述分析，本研究從認(rèn)知負(fù)荷與隱私政策內(nèi)容合規(guī)的雙重研究視域出發(fā)，結(jié)合《個人隱私保護(hù)法》構(gòu)建我國互聯(lián)網(wǎng)醫(yī)院APP隱私政策評價體系，利用AHP-EWM耦合賦權(quán)方法對評價指標(biāo)進(jìn)行賦權(quán)。由于機(jī)器學(xué)習(xí)等自動標(biāo)注方法無法對認(rèn)知負(fù)荷維度的交互友好性等指標(biāo)(如隱私政策的出現(xiàn)時機(jī)與隱私政策的閱讀窗口是否能夠全屏顯示)進(jìn)行標(biāo)注，因此本研究通過人工標(biāo)注的方式，結(jié)合內(nèi)容合規(guī)與認(rèn)知負(fù)荷雙重視角，對國內(nèi)現(xiàn)有的互聯(lián)網(wǎng)醫(yī)院APP隱私政策進(jìn)行實(shí)證研究，豐富了隱私政策的研究范疇，為完善互聯(lián)網(wǎng)醫(yī)院移動應(yīng)用程序隱私安全保護(hù)機(jī)制提供合理的依據(jù)。

2 我國互聯(lián)網(wǎng)醫(yī)院APP隱私政策評價體系構(gòu)建

2.1 基于認(rèn)知負(fù)荷維度的指標(biāo)選擇

認(rèn)知負(fù)荷理論認(rèn)為，應(yīng)降低外在認(rèn)知負(fù)荷，提高相關(guān)認(rèn)知資源，并且將內(nèi)在認(rèn)知負(fù)荷控制在適量的程度，使個體能進(jìn)行最有效的認(rèn)知加工[34]。鑒于此，本研究將影響用戶閱讀互聯(lián)網(wǎng)醫(yī)院APP隱私政策的認(rèn)知負(fù)荷分為外在認(rèn)知負(fù)荷和內(nèi)在認(rèn)知負(fù)荷。其中，外在認(rèn)知負(fù)荷涉及隱私政策的可獲得性以及交互友好性；內(nèi)在認(rèn)知負(fù)荷指隱私政策的易讀性。圖1顯示了認(rèn)知負(fù)荷維的評價結(jié)構(gòu)，各指標(biāo)含義以及依據(jù)如表2所示。認(rèn)知負(fù)荷維度的指標(biāo)大多為0～1變量，由人工進(jìn)行標(biāo)注，例如，對于指標(biāo)C2(內(nèi)容摘要)，如果某互聯(lián)網(wǎng)醫(yī)院APP的隱私政策正文中有內(nèi)容摘要，則該指標(biāo)取值為1，如果沒有內(nèi)容摘要，則該指標(biāo)取值為0。此外，指標(biāo)C6可讀性分?jǐn)?shù)為連續(xù)型變量，由Python程序計(jì)算；指標(biāo)C8(出現(xiàn)時機(jī))是指從下載安裝后第一次打開APP到查看隱私政策所需的點(diǎn)擊數(shù)，該指標(biāo)由人工進(jìn)行下載、統(tǒng)計(jì)和標(biāo)注。

表2 互聯(lián)網(wǎng)隱私政策評價體系指標(biāo)設(shè)置

對于內(nèi)在認(rèn)知負(fù)荷而言，降低與閱讀材料相關(guān)的內(nèi)在認(rèn)知負(fù)荷的方式[35]主要包括使用部分—整體順序、簡化總?cè)蝿?wù)[36]、模塊化呈現(xiàn)、考慮受眾的先驗(yàn)知識等。本研究主要通過提供內(nèi)容摘要、目錄索引、教育說明、重點(diǎn)標(biāo)注，以及降低文本內(nèi)容的復(fù)雜程度等方式來達(dá)到降低內(nèi)在認(rèn)知負(fù)荷的目的?？勺x性是快速量化文本易讀程度的有效指標(biāo)[16]。在20世紀(jì)20年代，教育家們發(fā)現(xiàn)了一種利用詞匯難度和句子長度來預(yù)測文章難度的方法——即可讀性公式法，這些公式被廣泛應(yīng)用于新聞、研究、醫(yī)療、法律、保險和工業(yè)等領(lǐng)域的研究，證明了可讀性公式強(qiáng)大的理論和統(tǒng)計(jì)有效性[37]。秦琴等[38]以中文可讀性公式中最為權(quán)威的荊溪昱公式為基礎(chǔ)，結(jié)合李萍融合專業(yè)術(shù)語的可讀性計(jì)算方法[39]，提出了較為科學(xué)的可讀性計(jì)算公式，因此，本文的可讀性分?jǐn)?shù)指標(biāo)(C6)的設(shè)置借鑒了秦琴等[38]的研究，采用式(1)進(jìn)行計(jì)算?？勺x性分?jǐn)?shù)屬于逆向指標(biāo)，即可讀性分?jǐn)?shù)越高代表文本越復(fù)雜，式(1)中的Y表示可讀性分?jǐn)?shù)，TC表示隱私政策文本的總字?jǐn)?shù)，AS表示平均句長可通過式(2)中的總字?jǐn)?shù)(TC)除以總句數(shù)(TS)得到，PK表示專業(yè)詞匯字?jǐn)?shù)在文本中的占比可通過式(3)中的專業(yè)詞匯的字?jǐn)?shù)(TK)除以總字?jǐn)?shù)(TC)得到。

Y=17.5255+0.0024·TC+0.04415·AS-18.3344·(1-PK)

(1)

(2)

(3)

對于外在認(rèn)知負(fù)荷而言，降低外在認(rèn)知負(fù)荷主要是要減少冗余信息，最大限度地呈現(xiàn)直接達(dá)到學(xué)習(xí)目的的內(nèi)容[35]。一般降低外在負(fù)荷的方式包括避免注意力分散、圖表使用、提供操作支持等方式。已有研究表明，隱私政策的內(nèi)部可獲得特征、閱讀窗口界面全屏?xí)τ脩糸喿x隱私政策的體驗(yàn)產(chǎn)生正向影響[17]。也有學(xué)者[21]通過統(tǒng)計(jì)用戶在APP內(nèi)獲取隱私政策的點(diǎn)擊次數(shù)來衡量隱私政策獲取途徑的便捷性。本研究主要通過讓用戶直接在APP內(nèi)部查看、主動彈出隱私政策(指標(biāo)C7)、減少用戶尋找隱私政策的步驟[21](指標(biāo)C8)、提供全屏閱讀窗口(指標(biāo)C9)等方式來達(dá)到降低外在認(rèn)知負(fù)荷的目的。

表2(續(xù))

2.2 基于內(nèi)容合規(guī)維度的指標(biāo)選擇

內(nèi)容合規(guī)維度的關(guān)注重點(diǎn)是隱私政策文本是否依照相關(guān)法規(guī)要求，體現(xiàn)了個人信息處理方對于用戶個人隱私保護(hù)的承諾。本研究參考了《信息安全技術(shù) 個人信息安全規(guī)范》(本文中簡稱《規(guī)范》)和《中華人民共和國個人信息保護(hù)法》(本文簡稱《個人信息保護(hù)法》)選擇內(nèi)容合規(guī)維度的指標(biāo)。根據(jù)《規(guī)范》要求，APP服務(wù)商需要向用戶提供信息的收集、存儲、使用、共享、安全保障的相關(guān)說明和具體承諾，對于未成年人的隱私信息保護(hù)需要有特別的聲明?！秱€人信息保護(hù)法》對APP過度收集個人信息、大數(shù)據(jù)殺熟以及非法買賣、泄露個人信息等做出針對性規(guī)范。此外，本研究在政策內(nèi)容合規(guī)維度添加了《個人信息保護(hù)法》中提出的跨境數(shù)據(jù)處理和死者信息處理的相關(guān)法規(guī)，如圖2所示。各指標(biāo)含義以及設(shè)置依據(jù)如表2所示。

圖2 政策內(nèi)容維度評價結(jié)構(gòu)

在信息收集方面，《規(guī)范》確立了選擇同意原則，《個人隱私保護(hù)法》指出了個人信息處理明確合理、個人權(quán)益影響最小等具體要求。因此，本研究在設(shè)置信息收集維度的評價指標(biāo)時，將信息收集范圍與信息收集授權(quán)納入考慮范圍。

在信息存儲方面，《個人隱私保護(hù)法》指出，個人信息處理者應(yīng)當(dāng)向用戶告知個人信息的保存期限、個人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時間、當(dāng)用戶個人信息保存期限屆滿時個人信息處理者應(yīng)當(dāng)主動刪除個人信息。互聯(lián)網(wǎng)醫(yī)院APP存儲的個人信息涉及到醫(yī)療信息等比較敏感的個人信息，為了平衡隱私保護(hù)與數(shù)據(jù)利用之間的關(guān)系，通常需要采用數(shù)據(jù)脫敏等操作方法。因此，本研究將存儲期限以及脫敏處理納入考慮范圍。

在信息安全保障方面，《規(guī)范》明確指出，個人信息保護(hù)者在制定個人信息保護(hù)政策時，需要告知用戶提供個人信息后可能存在的安全風(fēng)險以及個人信息安全保護(hù)措施，必要時可公開數(shù)據(jù)安全和個人信息保護(hù)相關(guān)的合規(guī)證明。《個人隱私保護(hù)法》指出，個人信息處理者應(yīng)對其個人信息處理活動負(fù)責(zé)，采取必要措施保障所處理的個人信息的安全。因此，本研究將責(zé)任承擔(dān)、風(fēng)險告知、保護(hù)措施、外部認(rèn)證、安全事件處置納入考慮范圍。

在信息使用方面，《規(guī)范》明確指出，個人信息控制者在使用個人信息時，不應(yīng)超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因此，本文將信息使用目的告知納入考慮范圍。

在信息共享方面，《規(guī)范》明確指出，個人信息控制者共享、轉(zhuǎn)讓個人信息時，應(yīng)充分重視風(fēng)險，向個人信息主體告知共享、轉(zhuǎn)讓個人信息的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果，并事先征得個人信息主體的授權(quán)同意。因此，本研究將信息共享對象告知與目的告知納入信息共享維度。此外，互聯(lián)網(wǎng)醫(yī)院APP的數(shù)據(jù)流中，涉及到我國居民的個人身份信息、健康狀況信息、疾病與用藥信息、就醫(yī)信息等與國家總體安全有相關(guān)關(guān)系的敏感信息?！秱€人隱私保護(hù)法》明確指出，個人信息處理者如果需要向境外提供個人信息，應(yīng)向用戶告知境外接收方的名稱、聯(lián)系方式、處理目的、處理方式、個人信息的種類，并取得個人的單獨(dú)同意。因此，本研究將跨境信息說明納入考慮范圍。

在信息更新方面，根據(jù)《規(guī)范》附錄中提供的個人信息保護(hù)政策模板，隱私政策文本需要說明該隱私政策的適用范圍以及更新日期。在個人信息保護(hù)政策發(fā)生重大變化時，個人信息處理方需要及時更新個人信息保護(hù)政策并通知個人信息主體。此外，當(dāng)個人信息控制者發(fā)生收購、兼并、重組、破產(chǎn)等變更時，個人信息處理方需要向個人信息主體告知有關(guān)情況，如破產(chǎn)且無承接方，個人信息處理方需要對數(shù)據(jù)做刪除處理。因此，本研究將信息更新說明、控制權(quán)變更說明作為信息更新維度的評價指標(biāo)。

在個人信息權(quán)利方面，《規(guī)范》明確指出，個人信息權(quán)利包括個人信息查詢、個人信息更正、個人信息刪除、撤回授權(quán)同意、獲取個人信息副本、投訴管理等，對于未成年人的隱私信息保護(hù)需要有特別的聲明?！秱€人隱私保護(hù)法》強(qiáng)調(diào)，如果遇到自然人死亡的情況，其近親屬為了自身的合法、正當(dāng)利益，可以對死者的相關(guān)個人信息行使查閱、復(fù)制、更正、刪除等權(quán)利，死者生前另有安排的除外。因此，本研究在設(shè)置個人信息權(quán)利評價指標(biāo)時，將信息訪問與修改、個人信息刪除、授權(quán)同意范圍更改、副本獲取、申訴反饋、死者個人信息保護(hù)、未成年保護(hù)納入具體考慮范圍。

2.3 AHP-EWM耦合賦權(quán)

AHP-EWM耦合賦權(quán)主要包括主觀權(quán)重計(jì)算、客觀權(quán)重計(jì)算、耦合3個步驟。

在主觀權(quán)重計(jì)算部分，本研究使用層次分析法(Analytic Hierarchy Process，AHP)[41]?；?.2部分構(gòu)建的指標(biāo)體系生成調(diào)查問卷，參考已有研究的專家人數(shù)設(shè)置[17]，邀請5位隱私保護(hù)研究領(lǐng)域的專家對指標(biāo)進(jìn)行比較打分，并將打分結(jié)果輸入Yaahp10.2生成判斷矩陣進(jìn)行一致性檢驗(yàn)。在一致性檢驗(yàn)全部通過后，通過Yaahp10.2計(jì)算AHP權(quán)重Wj，如表3所示。

在客觀權(quán)重計(jì)算部分，本研究使用熵權(quán)法(Entropy Weight Method，EWM)，即通過指標(biāo)的無序程度來反映指標(biāo)對評價對象的區(qū)分程度[41]。首先，根據(jù)標(biāo)注結(jié)果對指標(biāo)對應(yīng)的數(shù)值利用極值法進(jìn)行預(yù)處理。對于正向指標(biāo)，按照式(4)進(jìn)行預(yù)處理。其中，Mj是指標(biāo)Cj對應(yīng)的標(biāo)注結(jié)果Xij中的最大值，mj是指標(biāo)Cj對應(yīng)的標(biāo)注結(jié)果中的最小值。對于逆向指標(biāo)(如可讀性分?jǐn)?shù)和出現(xiàn)時機(jī))，按照式(5)進(jìn)行處理。然后，對數(shù)據(jù)進(jìn)行無量綱化處理，按照式(6)計(jì)算指標(biāo)Cj下第i個隱私政策樣本的特征比重Pij。第三，將特征比重Pij代入式(7)計(jì)算熵值得到指標(biāo)Cj對應(yīng)的熵值ej，并采用式(8)計(jì)算差異性系數(shù)gj。最后，通過式(9)得到EWM指標(biāo)權(quán)重如表3所示。

(4)

(5)

(6)

(7)

gj=1-ej

(8)

(9)

在耦合部分，采用式(10)對AHP權(quán)重和EWM權(quán)重進(jìn)行耦合，得到指標(biāo)的主客觀綜合權(quán)重W″j。

(10)

由于EWM指標(biāo)中存在指標(biāo)權(quán)重為0的情況，將AHP權(quán)重和EWM權(quán)重相乘后，整體向右平移0.0001再進(jìn)行歸一化處理。表3為指標(biāo)體系與賦權(quán)結(jié)果，對應(yīng)的指標(biāo)名稱如圖1、圖2所示。

表3 指標(biāo)體系與賦權(quán)結(jié)果

3 我國互聯(lián)網(wǎng)醫(yī)院APP隱私政策評價的實(shí)證分析

3.1 隱私政策評價分析

本研究結(jié)合動脈網(wǎng)發(fā)布的互聯(lián)網(wǎng)醫(yī)院行業(yè)報(bào)告、丁香醫(yī)生提供的注冊醫(yī)院名單以及點(diǎn)點(diǎn)數(shù)據(jù)發(fā)布的醫(yī)療類APP名單等，從平臺下載相關(guān)數(shù)據(jù)，并根據(jù)APP名稱、開發(fā)者、實(shí)際功用等進(jìn)行人工篩選，最終獲得64款互聯(lián)網(wǎng)醫(yī)院APP樣本。其中，42款由公立醫(yī)院開發(fā)，12款由地方衛(wèi)生健康機(jī)構(gòu)開發(fā)，5款由事業(yè)單位開發(fā)，3款由民營醫(yī)院開發(fā)，2款由民營企業(yè)開發(fā)。下載上述64款研究樣本所涉及的隱私政策，對文本進(jìn)行人工標(biāo)注，對應(yīng)用程序基于設(shè)置的認(rèn)知負(fù)荷維的指標(biāo)項(xiàng)進(jìn)行標(biāo)注。之后根據(jù)權(quán)重以及標(biāo)注結(jié)果計(jì)算樣本得分，并將其轉(zhuǎn)化為百分制。表4列舉了部分研究樣本的評價結(jié)果。

表4 部分樣本評價結(jié)果

將樣本得分進(jìn)行K-Means聚類，令K值為3，將得分劃分為高、中、低3類，如圖3所示。對聚類結(jié)果進(jìn)行卡方檢驗(yàn)，所得皮爾遜卡方值為21.663，自由度為8。假設(shè)開發(fā)者類型與隱私政策評價得分聚類結(jié)果無關(guān)，由于計(jì)算所得卡方值21.663大于在0.01顯著水平上拒絕假設(shè)所需的卡方值20.09，因此拒絕原假設(shè)，即開發(fā)者類型與隱私政策評價得分聚類結(jié)果是相關(guān)的。圖3展示了不同的開發(fā)者類型對應(yīng)的得分聚類情況的差異。不難看出，地方衛(wèi)生健康機(jī)構(gòu)樣本得分分布相對均衡，公立醫(yī)院樣本得分相對集中于中間層次，民營企業(yè)與民營醫(yī)院樣本結(jié)果中均無較高得分情況出現(xiàn)，事業(yè)單位樣本大部分落在得分較高的類別，說明民營企業(yè)與民營醫(yī)院樣本相較于其他開發(fā)者類別而言存在較大的改進(jìn)空間。

圖3 樣本得分聚類結(jié)果

3.2 認(rèn)知負(fù)荷分析

將樣本標(biāo)注數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，并對內(nèi)在認(rèn)知負(fù)荷維度的5項(xiàng)指標(biāo)依據(jù)開發(fā)者類別求均值，結(jié)果如圖4所示。不難看出，事業(yè)單位樣本在內(nèi)容摘要和目錄索引方面相對完善，文本內(nèi)容的復(fù)雜程度也相對較低，但在教育說明方面有待改善。因此，開發(fā)者可在隱私政策中添加對于專業(yè)術(shù)語的解釋鏈接，并考慮不同受眾的先驗(yàn)知識來降低內(nèi)在認(rèn)知負(fù)荷。公立醫(yī)院以及地方衛(wèi)生健康機(jī)構(gòu)樣本隱私政策在內(nèi)容摘要、目錄索引、教育說明方面有所欠缺。民營醫(yī)院樣本在內(nèi)容摘要、目錄索引、可讀性方面存在欠缺。民營企業(yè)樣本在重點(diǎn)標(biāo)注上相對完善，但在另外4個方面均存在欠缺。

圖4 內(nèi)在認(rèn)知負(fù)荷均值分布情況

對外在認(rèn)知負(fù)荷維度的4項(xiàng)指標(biāo)依據(jù)樣本類別求均值，結(jié)果如圖5所示。在隱私政策的出現(xiàn)時機(jī)方面，按照所需平均步驟由少及多的順序依次為民營企業(yè)、事業(yè)單位和公立醫(yī)院、地方衛(wèi)生健康機(jī)構(gòu)、民營醫(yī)院。閱讀窗口界面全屏?xí)τ脩糸喿x隱私政策的體驗(yàn)產(chǎn)生正向影響[17]。圖5表明，民營企業(yè)、地方衛(wèi)生健康機(jī)構(gòu)以及部分公立醫(yī)院并沒有為用戶提供全屏的閱讀環(huán)境。同時，主動彈出隱私政策的樣本相對較少，尤其是民營醫(yī)院樣本在主動彈出方面比較欠缺。此外，部分事業(yè)單位和公立醫(yī)院并未提供直接內(nèi)部查看隱私政策的途徑，用戶需要跳轉(zhuǎn)到瀏覽器才能查看隱私政策，這無疑增加了用戶在閱讀隱私政策時的外在認(rèn)知負(fù)荷。

圖5 外在認(rèn)知負(fù)荷均值圖

3.3 內(nèi)容合規(guī)性分析

本研究對樣本內(nèi)容合規(guī)性的各指標(biāo)所對應(yīng)的值進(jìn)行標(biāo)準(zhǔn)化處理，并針對不同樣本類別求均值。如圖6展示了分析結(jié)果，主要呈現(xiàn)出如下3個特點(diǎn)。

圖6 合規(guī)性評價結(jié)果

首先，部分互聯(lián)網(wǎng)醫(yī)院APP的安全認(rèn)證和責(zé)任明確方面存在諸多漏洞。主要表現(xiàn)為，用戶隱私安全的責(zé)任承擔(dān)部門尚未得到清晰的界定，通過權(quán)威機(jī)構(gòu)認(rèn)證的安全措施說明也較少，在民營企業(yè)和民營醫(yī)院樣本中甚至出現(xiàn)沒有任何權(quán)威機(jī)構(gòu)認(rèn)證說明的情況。也有部分APP表現(xiàn)優(yōu)異，如“廈門大學(xué)附屬第一醫(yī)院”根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》通過了三級等保評審，同時與監(jiān)管機(jī)構(gòu)、第三方測評機(jī)構(gòu)建立了良好的協(xié)調(diào)溝通機(jī)制，及時抵御并處置各類信息安全威脅，為用戶信息安全提供全方位保障。

其次，部分互聯(lián)網(wǎng)醫(yī)院APP在信息共享目的告知、跨境信息說明方面存在不足。主要表現(xiàn)為，樣本中明確說明信息共享或公開的類型與目的的樣本數(shù)占總樣本數(shù)的60.9%，樣本中明確說明用戶個人信息跨境傳輸情況的僅占比46.9%。

最后，我國大部分互聯(lián)網(wǎng)醫(yī)院APP在副本獲取以及死者個人信息保護(hù)方面表現(xiàn)不佳。主要表現(xiàn)為，僅有6.25%的隱私政策樣本明確表明，用戶能獲取其存儲在應(yīng)用的個人信息副本，所有樣本對于死者個人信息保護(hù)均無相關(guān)說明。隨著《個人信息保護(hù)法》的實(shí)施，未來上述現(xiàn)象有望得到改善。

4 總結(jié)與討論

本研究基于認(rèn)知負(fù)荷與內(nèi)容合規(guī)性雙重分析視角，構(gòu)建了互聯(lián)網(wǎng)醫(yī)院APP隱私政策評價指標(biāo)體系，對我國主流互聯(lián)網(wǎng)醫(yī)院APP隱私政策展開實(shí)證分析，并依據(jù)評價結(jié)果提出可供參考的意見和建議。主要研究結(jié)論如下：

首先，我國互聯(lián)網(wǎng)醫(yī)院APP應(yīng)優(yōu)化內(nèi)容設(shè)計(jì)和功能設(shè)計(jì)?；ヂ?lián)網(wǎng)醫(yī)院APP開發(fā)者可通過提供內(nèi)容摘要、目錄索引、教育說明、重點(diǎn)標(biāo)注，降低文本內(nèi)容的復(fù)雜程度來降低內(nèi)在認(rèn)知負(fù)荷，通過讓用戶直接在應(yīng)用程序內(nèi)部查看隱私政策、主動彈出隱私政策、減少用戶尋找隱私政策的步驟、提供全屏閱讀窗口來降低外在認(rèn)知負(fù)荷。此外，可針對特殊人群(如老年用戶等)開發(fā)隱私政策的音頻版本、大字版本等。

其次，我國互聯(lián)網(wǎng)醫(yī)院APP應(yīng)強(qiáng)化安全責(zé)任管理。監(jiān)管部門可針對互聯(lián)網(wǎng)醫(yī)院建立相應(yīng)的隱私安全保護(hù)技術(shù)安全認(rèn)證機(jī)制，強(qiáng)制要求互聯(lián)網(wǎng)醫(yī)院APP在正式上線之前通過技術(shù)安全認(rèn)證，并要求其隱私政策中需明確注明安全認(rèn)證情況?；ヂ?lián)網(wǎng)醫(yī)院APP開發(fā)方應(yīng)在隱私政策說明中將責(zé)任明確落實(shí)到具體的部門與相應(yīng)負(fù)責(zé)人，避免發(fā)生隱私安全事故后出現(xiàn)不同部門“踢皮球”的情況。此外，互聯(lián)網(wǎng)醫(yī)院APP開發(fā)方應(yīng)與監(jiān)管機(jī)構(gòu)、第三方測評機(jī)構(gòu)定期協(xié)調(diào)溝通，在技術(shù)、制度上形成用戶隱私保護(hù)的良性機(jī)制。

第三，我國互聯(lián)網(wǎng)醫(yī)院APP應(yīng)健全跨境數(shù)據(jù)流動監(jiān)管制度。監(jiān)管部門應(yīng)定期調(diào)研評估互聯(lián)網(wǎng)醫(yī)院，梳理數(shù)據(jù)跨境的業(yè)務(wù)場景和評估數(shù)據(jù)跨境的安全系數(shù)，對于不合理的跨境數(shù)據(jù)傳輸情況應(yīng)及時予以制止。互聯(lián)網(wǎng)醫(yī)院APP開發(fā)方對于合理的業(yè)務(wù)流程中的跨境數(shù)據(jù)可進(jìn)行脫敏處理以保障信息安全。

最后，我國互聯(lián)網(wǎng)醫(yī)院APP應(yīng)加強(qiáng)死者個人信息保護(hù)。互聯(lián)網(wǎng)醫(yī)院APP開發(fā)方在設(shè)置隱私政策時應(yīng)充分考慮死者個人信息保護(hù)，在用戶下載應(yīng)用程序時讓其自主選擇如果發(fā)生意外情況，親屬對其在互聯(lián)網(wǎng)醫(yī)院APP中生成的個人信息的查閱、復(fù)制、更正、刪除等管理權(quán)限。

本研究運(yùn)用認(rèn)知負(fù)荷理論對APP隱私政策的用戶閱讀體驗(yàn)評價維度進(jìn)行了完善，可有效解決學(xué)者們在用戶體驗(yàn)評價指標(biāo)設(shè)置上的分歧，具有一定的理論價值。認(rèn)知負(fù)荷理論起源于心理學(xué)，經(jīng)過30年的發(fā)展，該理論已日趨成熟，并在信息系統(tǒng)用戶行為等領(lǐng)域得到很好的發(fā)展。但遺憾的是，該理論目前在APP隱私政策評價領(lǐng)域的應(yīng)用較少。本文以認(rèn)知負(fù)荷理論為視角，不僅豐富了認(rèn)知負(fù)荷理論的內(nèi)涵，也拓寬了隱私政策評價研究的視角，為今后的研究提供了新的思路。

在實(shí)踐方面，本研究的實(shí)證分析結(jié)果驗(yàn)證了所構(gòu)建的互聯(lián)網(wǎng)醫(yī)院APP評價指標(biāo)體系的實(shí)用性。研究結(jié)論不僅有助于信息監(jiān)管部門對互聯(lián)網(wǎng)醫(yī)院移動應(yīng)用程序進(jìn)行監(jiān)管，也有助于互聯(lián)網(wǎng)醫(yī)院應(yīng)用程序的開發(fā)方對其隱私保護(hù)條款進(jìn)行自查調(diào)整。受制于數(shù)據(jù)可獲得性和平臺監(jiān)管等客觀因素，本研究存在一定的研究局限。未來的研究將拓展樣本范疇，采集更多APP的隱私政策并進(jìn)行對比研究。在評價指標(biāo)設(shè)置方面，隨著我國個人信息保護(hù)領(lǐng)域法律法規(guī)的不斷完善，未來研究將拓寬APP隱私政策評價的指標(biāo)維度設(shè)置。