基于内容分析法的健康app用户隐私保护政策发展现状研究

SPECIAL PLANNING 基于内容分析法的健康APP用户隐私保护政策发展现状研究

■ 刘乾坤① 刘昊鹏① 秦子昂① 马骋宇①

【摘 要】目的：目前，个人医疗信息泄露事件越来越多，同时健康APP种类不断增多和逐渐细化，在个人信息保护法律缺乏情形下，如何通过完善健康APP隐私政策来保障用户个人信息安全是值得关注的问题。方法：以安卓商店上15款下载量较大的医疗健康类APP的隐私保护内容为研究对象，运用内容分析法对隐私保护的完整性等方面进行分析。结果：除某款APP外，其余14款APP在隐私政策内容均存在不足。结论：为有效保障用户安全使用健康APP，应当规范隐私政策制定，同时完善隐私政策评价标准和建立健全个人隐私信息保护的法律环境。【关键词】医疗信息 隐私政策 隐私信息 内容分析法 健康APP

中图分类号 R197.3 文献标识码 A DOI 10.19660/j.issn.1671-0592.2019.09.06

Research on users' privacy protection policy of m-health application based on content analysis / LIU Qiankun, LIU Haopeng, QIN Ziang, MA Chengyu// Chinese Hospitals. -2019,23(9):20-23

【Abstract】Objectives: There are more and more personal information disclosure incidents related to medical care, and the types of health applications are increasing and gradually refined. Based on the situations of the absence of laws to protect personal information in China, how to assure the security of users' personal information through the improvement of the privacy policy is concerned. Methods: Take the privacy policy of 15 Apps on the Android App Store as the research objects, and use the content analysis method to analyze the integrity of the privacy policy. Results: Except one App, 14 Apps are deficient in privacy policy. Conclusions: To effectively protect users' safety when use Apps, privacy policy making, its assessment standard and completing relative law about privacy protection.【Key words】health information, privacy policy, private information, content analysis, m-health applicationAuthor's address：School of Public Health, Capital Medical University, No.10, Xitoutiao, You'anmen Wai, Fengtai District, Beijing, 100069, PRC

在“互联网+医疗健康”时代，移动健康应用程序（简称“健康供依据。因此，作者参照《规范》，了解健康APP隐私政策现状以及存在的主要问题，并提出相关建议，为健康APP完善隐私保护政策提供参考。种以内容特征为对象，通过从文本或文献中提取一定文字内容，对其进行客观系统的描述分析，归纳和挖掘潜在规律的方法[3]，用于趋势、共变和因果推理以及比较不同的内容群。本研究对不同APP的隐私保护内容进行分析和比较，去探究目前健康APP隐私政策保护个人信息安全的现状和问题。 APP”）使更多个人医疗健康信息汇入网络，在方便提供个性化医疗健康服务的同时，也增加了信息泄露风险。2017年，亚马逊平台某医疗机构近15万人的血液检验等高敏感信息意外泄露。2018年，美国保险公司Anthem遭受黑客入侵，7900万人的医疗数据遭到泄露[2]。大量医疗信息泄露事件引起政府及社会重视，个人医疗信息的保护逐渐被纳入立法议程。然而，法律可能增加用户对健康APP的信任，但并不代表医疗信息泄露的风险降到最低，仍需要健康APP采取积极的措施来保障用户信息安全。对此，2017年12月，国家标准化管理委员会颁布《信息安全技术个人信息安全规范》（GB/T 35273-2017，简称《规范》），规范了个人信息控制者在信息收集、保存、使用、共享、转让和披露等方面的行为，同时也提供了隐私政策模板，为健康APP完善隐私保护政策提[1]1 对象与方法1.1 研究对象将安卓（Android）应用商店内健康APP分为健康、移动医疗以及互联网医院3类。其中，健康类主要包括运动、睡眠、两性健康、育儿以及慢病管理等，移动医疗类包括医学科普知识、医药、整形、问诊和在线咨询，互联网医院类包括预约挂号和云医院。根据下载量排名各选取前5款APP，以15款（A〜O）APP隐私政策作为研究对象，见表1。2 应用程序内容分析2.1 基本情况15款APP中，A、B、D、F、G和L无独立的隐私文本，其隐私保护存在于软件协议和服务许可中。其中，E和J明确标注了隐私政策最近更新时间。在下载量方面，健康类APP用户下载量较大，互联网医院类较低。根据《规范》要求，个人信息控制者在从事信息处理活动时需要遵循权责一致、目的明确、选择同意、最少够用、确保安全、主体参与、公开透明等原则，仅有J和K明示信息收集与使用原则。为方1.2 研究方法本研究基于内容分析法对典型健康APP隐私文本进行分析。内容分析法是一基金项目：国家社会科学基金青年项目(16CGL066)

①首都医科大学公共卫生学院，100069 北京市丰台区右安门外西头条10号

·20· Chinese Hospitals,Sep.2019,Vol.23,No.9

SPECIAL PLANNING 特别策划

便用户理解隐私文本，一般会提供要点目录，研究发现仅G、J和K提供。运营商也无法实时监测用户年龄。例如，G在未成年人注册或使用时，会默认已经征得父母或监护人的同意。2.2.2 信息保存阶段。在信息保存阶段，APP开发商和运营商是主要的信息控制者，在保护用户个人信息安全具有不可推卸的责任。在《规范》隐私政策模板中，开发商和运营商需要提供以下保护措施：防止不当或者未经授权访问、使用信息；采用加密等技术防止恶意攻击；不定期对安全风险进行评估与分析；设立信息安全部门或者专员；制定应急预案，在安全事件发生时，及时告知用户，并上报国家信息安全部门；在信息泄露或者用户合法权益受到侵害时，会承担相应法律责任等。另外，用户虽然在该阶段控制信息受限，但也需要采取主动措施保护个人信息安全，例表1 健康APP隐私文本来源

如，尽量避免把个人账号信息告知他人等。调查发现，除A、B、D、H和O等5款APP缺乏信息保护措施外，其余各APP均含有信息保护措施。其中，开发商和运营商采用防止不当或者未经授权访问、使用信息和采用加密等技术防止恶意攻击等方面的措施较多。在措施完善程度方面，E和J对个人信息的保护相对完整，见表2。除保护措施外，本文还对保存地点和时限进行对比分析。G、J、K和N将收集的个人信息保存在国内服务器上，另外，N的部分信息还会保存在限定区域的卫生计生部门机房内。由于E在境外拥有服务器，信息一般储存在信息收集时的归属地的服务器上。信息保存一般遵循时间最小化原则，尤其个人信息的保存应为个2.2 主要研究内容和结论用户使用健康APP时，个人信息保护与利用覆盖了从信息收集、保存、使用以及共享、转让到披露等信息处理的整个生命周期。在此过程中，运营商与用户间需要通过隐私政策文件，明确彼此间权利与义务关系。因此，本文按照信息处理流程将隐私政策分为5个部分：（1）信息收集阶段；（2）信息保存阶段；（3）信息使用阶段；（4）信息共享、转让和披露阶段；（5）信息咨询与反馈阶段。2.2.1 信息收集阶段。《规范》规定，个人信息收集应当遵循合法、最小化、授权同意以及明示敏感信息等要求。研究结果显示，B、C、D、E、J、K、L和O等8款APP明确界定了个人信息与隐私信息等概念，方便用户了解隐私范围内的信息种类。一般为保障APP正常运转，运营商会向用户端设备发送名称为Cookie的小型数据文件，主要用于追踪用户动态或了解用户偏好，或收集整体用户群体的统计数据。再加上部分APP缺乏脱敏处理，很容易造成用户隐私信息泄露。根据《规范》要求，在使用Cookie工具时，需要向用户说明使用目的，并提供限制使用方法及流程。结果显示，E、F、J和K等4款APP告知使用Cookie技术。其中，F未说明使用目的。同时在限制使用方面，仅J提示能够限制使用，但缺少限制使用的具体指导。未成年人判断能力弱，对其个人信息使用的后果无法做出准确判断。因此，《规范》明确规定≤14周岁儿童的个人信息属于敏感信息，收集≤14周岁儿童信息前，应征得监护人的明示同意；年满14周岁的应征得未成年人或监护人的明示同意。但调查发现，15款APP年龄限定笼统，未对未成年人是否拥有民事行为能力进行细分，缺乏对儿童隐私保护的强调。在信息收集时，8款APP明确表示，未成年人使用或注册时需得到父母或监护人同意，比如：L强调未成年人使用前必须获得父母或监护人的书面同意。然而，父母或监护人知情同意在实际中很难具体操作，同时APP类别 APP 文本名称 健康 A 用户协议-用户个人信息保护 B 用户协议-隐私保护 C 隐私政策 D 用户协议-隐私保护 E 隐私政策 移动医疗 F 软件许可及服务协议-隐私声明 G 用户协议及隐私条款-隐私政策 H 隐私声明 I 隐私声明 J 隐私权政策 互联网医院 K 隐私政策条款 L 软件许可及服务协议-用户个人信息保护 M 个人信息保护政策 N 隐私指引 O 隐私权政策

注：资料来源于各APP，其中M、N、O来源于官网；检索日期：2018年12月31日。

下载量(万） 22000 17000 15000 3551 3027 11000 3949 1810 859 688 318 177 41.7 38.4 24.2

表2 健康APP信息保存措施

防止不当 防止 不定期评 避免收 类别 APP 或未经授 恶意 估与分析安 集无关 权使用 攻击 全风险 信息 健康 A B C √ √ D E √ √ √ √ 移动医疗 F G √ √ H I　 √ J √ √ √ √ 互联网医院 K √ √ L √ √ M √ √ N √ √ O

注：空白为各隐私政策缺失内容，√为隐私政策包含内容。

建立安全部 信息安全 用户 门、安全管理 应急处理 自我制度和流程 预案 保护

√

√

√

√ √ √

√ √

√

√ √ √

√

√

2019年9月第23卷第9期 ·21·

特别策划

SPECIAL PLANNING 人信息控制者实现特定目的所需要的最短时间。结果显示，C、G、J、K和N都在法律或者协议规定有效期内使用个人信息，当用户注销账户时，经过一定期限后系统会删除或者匿名化处理个人信息。2.2.3 信息使用阶段。在信息使用阶段，用户对个人信息具有部分支配权，不限于访问、更正、删除个人信息，改变或撤销授权以及注销账号等权利。研究表明：15款APP中，8款能够访问、更正及删除个人信息，但存在无法更改注册信息的情形；5款能够自主选择个性化推荐、改变或撤销授权；4款能够注销用户账户，见表3。2.2.4 信息共享、转让和披露阶段。相对于信息的收集和保存阶段，共享、转让和披露阶段更涉及个人信息的流动，个人信息的泄露风险也更大。《规范》规定，除在用户授权、法律规定以及其他合理事由时，其他情形下个人信息不得共享、转让或披露。例如：个人信息用于学术研究属于信息共享的合理关联范围，但对外提供时需要去标识化处理。在信息共享方面，除A，其余APP在自身授权、法律规定以及为实现特定功能而与合作伙伴、关联公司共享个人信息，见表4。在信息转让方面，运营商可能会涉及合并、收购等情形，此时，个人信息会作为无形资产进行转移。因此，隐私政策中需要明确告知用户转让与停止运营时个人信息的保护措施。结果显示： C、E、I、J、K、L、M等7款APP在共享、转让个人信息时会与第三方签订保密措施或者以不低于其隐私政策的保密程度保护用户个人信息；J和N更明确表示在超出授权范围时会重新征得用户同意。在信息披露方面 ，用户授权、法律或者行政部门强制规定和用户违规使用以及存在欺诈行为等是个人信息披露的主要情境。同时，为维护国家安全、公共安全及利益，用户自行公开或者公开收集到的合法披露信息属于特殊情形下的信息披露。结果显示：A、G和O等3款APP未告知用户披露情形，见表5。同时，调查发现：C、F、H以及I明确表示不会将个人信息用于商业操作，E和M则表示可能会将匿名信息或者非敏感信息用于商业营销。2.2.5 信息咨询与反馈阶段。在信息咨询与反馈阶段，个人信息控制者需要给出处理个人信息安全问题相关反馈、投诉的渠[4]道，并明确响应处理时限。一般隐私保护政策中，在对隐私信息保护存在疑问或意见、建议，或用户认为自身信息泄露时，运营商需要提供联系方式、地址、邮件或者在线客服等。另外，当与用户存在无法协商解决争议时，也需要给出解决机构信息或者联系方式。结果表明，在15款APP应用中，仅6家提供了联系方式，以电话和邮箱为主，而在响应请求时限方面，14款APP缺失响应时限。在解决不可协商的争议方面，仅J提供了外部争议解决机构（辖区内的法院）。健康APP隐私政策的制定并未严格按照模板进行制定，存在内容缺失或叙述模糊。因此，除在政策文件上强调保护个人信息，更应当促进健康APP隐私政策的规范制定，同时构建隐私政策评价标准机制，此外还需要建立健全个人隐私信息保护法律，以促进用户安全使用健康APP。3.1 促进隐私政策规范制定随着“互联网+医疗健康”发展，更多用户会使用健康APP。但目前健康APP存在过度收集和滥用个人信息情形。因此，需要利用健康APP隐私政策规范运营商行为来提升隐私保护水平。可见性和可读性是隐私政策重要的合规标准，是评价隐私政策完整性的重要内容[5]。在可见性方面，第一，运营商3 完善健康APP个人信息安全对策与建议《规范》虽然已经实施，但多数表3 健康APP用户权利情况

访问、更 改变或撤 注销

类别 APP 正、删除 销授权 账号 健康 A √ B C √ √ D E √ √移动医疗 F √ G √ √ √ H I J √ √ √　 互联网医院 K √ √ √ L √ M √ N O

注：空白为各隐私政策缺失内容，√为隐私政策包含内容。

停止运 营告知 约束信息系 获取信统自动决策 息副本

√

√

√　

√

表4 健康APP 信息共享情况

自身 法律 实现特 寻求健康

类别 APP 授权 规定 定功能 帮助的建议 健康 A B √ √ C √ √ √ D √ √ √ E √　移动医疗 F √ √ √ √ G √ √ √ H √ √ √ √ I √ √ J √ √互联网医院 K √ √ √ √ L √ √ M √ √ N √ O √ √ √

注：空白处为各隐私政策缺失内容，√为隐私政策中包含内容。

学术 研究

处理您与他人 的纠纷或争议

√

√√

√

√

·22· Chinese Hospitals,Sep.2019,Vol.23,No.9

SPECIAL PLANNING 特别策划

表5 健康APP信息转让与披露情形 信息转让 类别 APP 自身 合并与 授权 收购等 健康 A B C √ D √ E √ √ 移动医疗 F G H I　 √ J √ √ 互联网医院 K √ √ L M N √ O

注：空白为各隐私政策缺失内容，√为隐私政策包含内容。

自身 授权 √√ √ √ √ √ √

信息披露 法律强 制规定

特殊情形下披露违规与欺 维护国家及公 自行 收集的合法诈行为 众安全和利益 公开 披露信息

√

√√ √ √ √

√ √

√

√√ √ √ √ √　

√√ √√√√

√ √

√ √

需要在显著位置显示隐私政策，同时保证在点击时能够有效跳转到隐私政策。第二，标题需包含“隐私”字眼，但不限于“隐私政策”“隐私声明”“隐私权保护”“隐私权指示”“个人隐私信息保护”等。在可读性方面，第一，隐私政策须拥有动态性，同时隐私政策需要提供要点目录，方便用户了解隐私政策内容。第二，在信息处理时需要遵循目的明确、选择同意、最少够用等原则。例如，在收集阶段，根据自身服务特征详细说明信息收集种类、目的和方式，并告知用户是否使用Cookie等。第三，运营商需告知用户避免过量授权，同时给予正确的下载网址或商店。并根据自身服务针对老年人和未成年人进行安全知识科普。第四，用户拥有访问、更正、删除和注销账号的权利，隐私政策需注明具体操作流程。第五，在共享和使用个人信息时，需要去标识或匿名化处理，做到无法识别个人信息主体。运用到检测APP系统安全和稳定性等基础环节。第三，健康APP的运营商可能受经济利益驱使，出于好奇心理或仅因触手可及，泄露系统内个人医疗数据。因此，需要定期检查内部人员操作权限、离职保密协议的签订以及信息安全的培训与考核，同时设立个人信息安全专职部门和专员，以应对信息安全事件发生。安全事件时，用户无法及时得知自身信息是否泄露及泄露严重程度。因此，需要在法律中明确规定开发商和运营商应当存在取证倒置义务，确保在安全事件发生后保护用户的合法权益。参考文献

[1] 新浪网.亚马逊服务器泄露47GB数据15万病人信息曝光[EB/OL]. (2017-10-11)[2019-03-22].http://tech.sina.com.cn/i/2017-10-11/doc-ifymrqmq3883357.shtml.

[2] 健康界.病人隐私HIPAA：盘点2018年典型违规案例[EB/OL]. (2018-12-31)[2019-03-22].https://www.cn-healthcare.com/articlewm/20181231/content-1043926.html.[3] 邹菲.内容分析法的理论与实践研究[D].武汉：武汉大学,2004.

[4] 海鲲.个人信息法律保护的理论与实践[D].上海:复旦大学,2005.

[5] 屈喜凤.大数据背景下用户的网络隐私顾虑实证研究：基于保护动机理论视角[D].广州:广东工业大学,2016.

[6] 何培育,王潇睿.智能手机用户隐私安全保障机制研究[J].情报理论与实践,2018,41(10): 40-46.

[7] 韩旭至.个人信息类型化研究[J].重庆邮电大学学报（社会科学版),2017,29(4):64-70.[8] 项定宜.论个人信息商业利用的合法要件[J]. 商业经济研究,2016(24):117-118.

3.3 建立健全个人隐私信息保护法律环境虽然规范的隐私政策可以提高开发商和运营商以及用户的信息安全保护意识，也可为开发商和运营商提供操作指引，但隐私政策的制定和实施离不开个人隐私信息保护法律环境。相对于美国的《消费者隐私保护法案》和欧盟的《通用数据保护条例》，我国颁布的《规范》缺乏强制性，在个人信息保护方面指导性较差[6]。因此，国家需要建立健全个人隐私信息保护法律。第一，应当建立个人信息保密等级，将敏感信息和一般信息进行区分[7]。敏感信息应当征得用户的明确同意，一般信息可以相对弱化用户同意请求[8]，但都要尽量去标识化处理，阻断与特定个人的关联。第二，个人信息收集在法律上一般需要遵循正当、合法、必要原则。但健康APP种类繁多，且不断朝着细化分类发展，用户无法判断某些信息是否必要，因此在法律上需要界定个人信息的收集种类是否必要。第三，用户信息处理阶段对个人信息的控制受限，且与运营商和开发商间存在信息不对称。在发生信息3.2 完善隐私政策评价标准隐私政策可操作性同样是健康APP个人信息保护中重要环节。但目前缺乏完善的评价和监管标准，即使隐私文本完整，也无法确保落实隐私条款。因此，第一，国家和互联网健康行业应当构建可行的隐私政策指标评价体系，成立专门的个人信息保护机构，定期对隐私政策规范性和操作性做出评价。第二，国家和行业除监管治理恶意程序外，需将技术标准通信作者

马骋宇：首都医科大学公共卫生学院副教授

E-mail：machengyu@hotmail.com

[收稿日期 2019-05-03](责任编辑 王远美)

2019年9月第23卷第9期 ·23·