健康APP用戶隱私保護政策調查分析
——以《信息安全技術 個人信息安全規范》為框架

付少雄，趙安琪

0 引言

健康中國已提升至國家戰略地位，今后15年是推動健康中國建設的戰略機遇期[1]。健康中國建設推動了健康信息傳播媒介的多元化，2017年移動健康市場用戶量已達3億，健康APP(手機應用程序)已成為用戶健康信息搜尋與管理的主要媒介[2-4]。但移動APP 在開展個性化服務時，極易衍生出不規范的用戶隱私采集與利用行為，導致用戶隱私缺乏安全保障[5]。規范合理的隱私保護政策能有效推動用戶、服務提供商和政府監管部門等參與隱私保護技術架構與組織體系建設[5]。

隱私保護政策在第三方APP中表現為“隱私權條款/聲明”，是指APP運營商針對用戶隱私保護而制定的有關義務、權利與責任的規則[6-7]。隱私保護政策常被納入“APP服務及許可協議”“網絡服務協議”等服務協議范疇中，但獨立的隱私保護政策日益普及，如好大夫在線隱私聲明、微醫隱私權政策等。當前國內外相關研究主要從用戶、網絡平臺、政府監管部門角度分析了網絡環境下的用戶隱私保護[5-21]，從制定現狀、制定內容探究了網絡平臺用戶隱私保護政策[2，22-29]。國內有關健康APP用戶隱私保護政策的研究目前處于空白，而健康領域的用戶隱私保護亟需得到關注。

基于此，本文以5類(問診咨詢、預約掛號、疾病管理、健康管理、運動健康)具有代表性的20款健康APP的用戶隱私保護政策為研究對象，采用內容分析法，基于全國信息安全標準化技術委員會2018年5月實施的《信息安全技術 個人信息安全規范》(以下簡稱《規范》)的主要維度，從個人信息采集與利用、Cookie及相關技術的提醒、個人信息儲存及保護、個人信息共享轉讓與披露、個人信息處理權益、個人敏感信息處理、未成年信息保護角度解讀健康APP的隱私保護政策，為健康APP后續隱私保護政策的制定提供參考，以有效應對健康隱私泄露與濫用等。

1 相關研究

1.1 網絡環境下的用戶隱私保護

信息隱私是指用戶控制其他人交換和使用其個人信息的時間、方式和程度的能力[8]。網絡用戶隱私保護問題的產生主要是因為網絡平臺缺乏嚴格的個人信息監管、審查和安全保障措施，從而造成對用戶數據的不當采集、共享、利用或濫用等[9-10]。用戶隱私保護受到用戶、服務提供商和政府監管部門等多方關注。

網絡平臺上，用戶一方面擔心隱私泄露；另一方面為獲取個性化服務而輕易提供個人信息，引發隱私悖論[11]。隱私悖論指用戶隱私關注與實際隱私行為間的矛盾[12]。隱私悖論成因包括隱私觀念轉變[13]、環境認知偏差[14]、自我認知不足[15]、風險分析失衡[16]等。隱私悖論與用戶隱私關注度緊密相關，隱私關注度決定了用戶自我隱私保護的強度[17-19]。隱私關注是指用戶對私密事項、個人事項等隱私情境的主觀感受與認識。用戶隱私關注度會受到平臺、性別、文化、年齡、隱私傾向等多維因素影響[17]。其會顯著正向影響用戶信息安全行為，負向影響用戶采納行為[18]。

對于服務提供商，隱私保護政策能降低用戶隱私關注度[19]。首先，服務提供商的隱私保護政策會提升用戶對平臺的信任感，降低用戶隱私焦慮。比如，在網絡健康社區中，用戶感知到的隱私泄露風險會限制其健康知識共享，阻礙社區的知識交流[20]。而服務提供商隱私保護政策的保護程度、權限水平及告知明確性會顯著降低用戶隱私風險感知度，從而提升隱私提供意愿[6]；其次，隱私保護政策能保障用戶權益，其具備告知功能，維護了用戶對個人數據的控制權[5]。此外，用戶閱讀篇幅居中、表達淺顯親切、內容翔實的隱私保護政策的意愿較高[7]。

對于圖書館機構，網絡環境下技術系統的運用存在風險。比如，圖書館中無線射頻技術會威脅讀者的借閱、身份識別及地理位置信息的安全；網上預借/續借、咨詢、數據庫檢索等服務存在讀者信息泄露風險[30]。為此，公共圖書館與高校圖書館皆從讀者信息采集目的與類別、利用與共享、保存期限、Cookie技術使用、網站安全機制等方面制定隱私保護政策[31]。但是，當前制定隱私保護政策的圖書館比例仍較低[31]。

對于政府監管部門，2017年6月實施的《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)賦予用戶強控制權，應用程序采集與處理用戶隱私的各過程皆需得到用戶同意，而且在信息泄露等安全事件發生后應及時告知用戶。《規范》確立了包括選擇同意、主體參與、確保安全等在內的隱私保護原則，強調應用程序采集、存儲、共享、利用與轉讓用戶隱私時需征得用戶同意，個人敏感信息處理還需獲得用戶增強式同意[21]。國外也針對用戶隱私保護開展了大量立法工作。韓國2011年3月發布《個人信息保護法》，闡述個人信息保護的基本原則、保護基準、主體權益保障、信息自決權等；日本2017年5月實施修訂后的《個人信息保護法》，從個人信息獲取與利用規則、保存規則、信息提供的遵循事項等方面立法；歐盟2018年5月強制實施的《通用數據保護條例》對歐盟境內機構采集與使用個人信息、歐盟境外機構處理歐盟用戶個人信息、非歐盟機構在歐盟境內處理個人信息進行規定。

1.2 網絡平臺用戶隱私保護政策

網絡平臺用戶隱私保護政策是當前國內外研究熱點。研究涵蓋政府、健康、社交媒體、搜索引擎等各類網絡平臺，主要采用內容分析法[5，22-26，28]，結合保護動機理論、隱私計算理論、計劃行為理論、使用與滿足理論等[32]，分析用戶隱私保護政策的制定現狀、制定內容。本文根據研究對象進行文獻梳理，如表1所示。

表1 網絡平臺用戶隱私保護政策

綜上所述，網絡環境下隱私保護與政策制定研究不斷取得進展，但健康APP隱私保護政策研究少，缺乏面向健康APP隱私保護政策文本的專門解讀。由于用戶健康信息在法律上的敏感屬性，健康APP中隱私保護政策對用戶健康信息安全與隱私保障起關鍵作用，隱私保護政策亟需專門研究。

表2 健康APP及其用戶隱私保護條款更新時間

2 用戶隱私保護政策的內容分析

2.1 研究對象

根據艾媒咨詢(iiMedia Research)《2016-2017中國移動醫療健康市場研究報告》[29]，結合國內健康APP用戶量、下載排名，本文選取20款健康APP于2018年更新的用戶隱私保護條款為內容分析對象，具體見表2。

2.2 用戶隱私保護政策

有8款(40%)健康APP具有單獨的隱私保護協議或聲明等，包括微醫、醫院就醫掛號、翼健康、keep、妙健康、薄荷健康、小米運動和咕咚運動，其余健康APP(60%)隱私保護政策內嵌于“APP服務及許可協議”或“網絡服務協議”。

2.2.1 個人信息采集與利用

《規范》指出個人信息是以電子或其他方式記錄的、能單獨或與其他信息結合的識別或反映特定自然人活動情況的信息[21]。不同健康APP隱隱私保護政策中的個人信息定義具有差異性，如微醫指出個人信息包括姓名、身份證件號碼、出生日期、住址、個人生物識別信息、聯系方式、通信記錄、交易信息、征信信息、財產信息等；妙健康將個人信息定義為“任何可用于單獨或結合其他信息識別個人身份的信息，或與個人身份相關的隱私信息”。本文主要探究健康APP中對個人信息安全保障的承諾、明確基礎與額外服務所需數據種類、明確個人信息采集的用途和原則，詳見表3。

表3 個人信息采集與利用

(1)關于隱私安全保障承諾，所有健康APP均表示對個人隱私保護的重視，如薄荷健康承諾以業界成熟的安全標準，采取安全措施保護用戶個人信息；(2)關于數據種類，健康APP主要根據服務來劃分數據類型，如注冊賬戶時的個人信息，安裝產品或服務時的設備信息，開啟設備定位功能產生的位置信息；(3)關于個人信息用途，主要用于現有服務改善及新服務設計、滿足用戶個性化需求、軟件認證或管理軟件升級等。美柚強調“個人信息還將用于預防、發現、調查欺詐、危害安全、非法或違反與廈門美柚或其他關聯公司協議、政策或規則的行為，以保護用戶、廈門美柚及相關主體的合法權益”；對個人信息的其他用途，多數健康APP 規定須征得用戶同意，如醫院就醫掛號指出額外收集的個人信息，用戶擁有隨時收回或給予授權同意的權利；(4)關于個人信息采集與利用原則，多數健康APP沒有明確相關原則，只有小米運動明確提出遵循《規范》中的處理原則，包括權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、確保安全原則、主體參與原則、公開透明原則等。從上述規定看出，健康APP整體上重視對個人信息安全的保護，且明確了個人信息收集的用途，但部分APP對用途的說明不夠具體。同時，部分APP沒有明確“個人信息”等關鍵概念，缺乏對信息采集與利用規則的說明。

2.2.2 Cookie、Web Beacon及相關技術的提醒

Cookie 技術利用向設備發送的小型數據文件跟蹤用戶的使用痕跡，將其存儲在用戶本地終端上，而網絡信標(Web Beacon)可采集用戶信息行為并記錄到Cookie 中。這類網絡隱形追蹤技術均增加了隱私泄露的風險。本文主要探究健康APP隱私保護政策中對Cookie、Web Beacon及相關技術的提醒。

9 個健康APP(春雨醫生、健康之路、健康160、醫院就醫掛號、微糖、抗癌衛士、有品-PICOOC、悅動圈、咕咚運動)的隱私保護政策或用戶協議中，沒有提及Cookie、Web Beacon等相關技術，如表4所示。對于網絡隱形追蹤技術類型，多數健康APP均在隱私保護政策中提及所使用技術的種類，可劃分為Cookie、像素標簽、Web Beacon等；對于網絡隱形追蹤技術作用，健康APP主要通過Cookie記住用戶身份從而簡化注冊登錄步驟，分析用戶使用習慣以優化廣告推送等，還會提供非個人信息給廣告商以分析產品使用情況。除APP自身放置的隱形追蹤裝置，還有廣告商放置的Cookies等，其主要作用是收集非個人身份信息，分析用戶廣告興趣或評估廣告服務效果等；對于第三方的網絡隱形追蹤技術，健康APP 均明確聲明不受其平臺協議約束，不對第三方的Cookies 或Web Beacon承擔責任；對于采集個人信息的技術模式，僅少數健康APP 詳細說明了隱形追蹤裝置采集模式，如薄荷健康發送給用戶的電子郵件中含有鏈接，點擊鏈接后，用戶操作記錄將會被跟蹤；對于明確拒絕或禁止追蹤技術的操作指引，薄荷健康提供了最為詳細的操作指引：清除計算機上保存的所有Cookie，通過瀏覽器相關設置阻止Cookie 追蹤，退訂寄信名單從而防止活動被網站信標和像素標簽追蹤，啟用網絡瀏覽器的“Do Not Track”功能。除了提供操作指引外，APP 還會提醒用戶，如果停用Cookie 或Web Beacon，會影響到服務的正常使用和體驗效果。

表4 Cookie、Web Beacon及相關技術的提醒

健康 APP 對 Cookie、Web Beacon 等相關網絡隱形追蹤技術的提醒匱乏，較少說明采集個人信息模式。大部分APP 沒有提供有效拒絕或禁止隱形追蹤技術的操作指引，其操作指引往往簡單，如僅告知用戶可通過瀏覽器設置取消Cookie。

2.2.3 個人信息儲存及保護

健康APP為保障基礎服務，皆會在用戶同意的情況下存儲個人信息，如微醫、翼健康指出在用戶許可下行使個人信息存儲權限。根據《規范》《中華人民共和國電子商務法》第31條，健康APP具有對存儲的個人信息進行保護的責任。首先，APP應具備防范外部侵入的能力，即技術架構的穩定性和安全性；其次，APP應采取措施防止個人信息被損壞、泄露與篡改等，涉及員工建設、組織管理、制度設計等多方面；再次，設立專門團隊或部門以切實推動企業履行個人信息保護職責[18]。為此，本文分析了健康APP隱私保護政策中個人信息儲存及保護的條款。

部分健康APP明確了對個人信息儲存及保護的義務，如微醫基于數據生命周期進行信息安全管理體系建設，對信息系統進行ISO27001、公安部三級保護等認證；少數健康APP在隱私政策中明確保護隱私安全所采用的技術架構，如翼健康在服務器和瀏覽器間交換數據時采用 SSL(Secure Socket Layer)協議進行加密處理、采用HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)安全瀏覽協議等；部分健康APP強調了員工建設與組織管理的重要性，如薄荷健康舉辦隱私保護培訓課程，增強員工隱私保護認知；除小米運動外，多數健康APP未組建面向隱私保護的專門團隊或部門。

2.2.4 個人信息共享、轉讓與披露

健康APP在對個人信息進行共享、轉讓與披露時，應在隱私保護政策中明確其目的、個人信息類型、接受個人信息的第三方，以及需要承擔的法律責任。為此，本文分析了健康APP隱私保護政策中個人信息共享、轉讓與披露的條款。

經過調研，較少健康APP明確了個人信息共享、轉讓與披露的目的、種類及第三方。但部分健康APP 指出了需承擔的法律責任，如健康之路、高血壓大夫在注冊協議中指出，如與第三方合作提供健康增值服務，第三方同意承擔與健康之路相同的隱私保護責任，則默認用戶同意將自身注冊資料等提供給第三方。大多數健康APP強調非必要情況不會向外界披露個人信息，如春雨醫生在《用戶聲明》中指出“除非法律另有規定或得到用戶授權，本站不會向外界披露隱私信息。”

微醫、翼健康等健康APP在隱私保護政策中將個人敏感信息界定為包括個人生物識別信息、身份證件號碼、財產信息、銀行賬號、交易信息、行蹤軌跡、14歲以下(含)兒童的個人信息等。而歐盟《通用數據保護條例》聲明中與健康相關的個人敏感信息主要包括基因數據、生物識別數據、性取向/性生活/健康相關數據等[29]。對于個人敏感信息處理，我國《規范》指出敏感信息的非法處理會導致身心健康、個人名譽、歧視待遇等問題[21]。因此，對個人敏感信息應進行加密處理[21]。經過調研，多數健康APP并未明確個人敏感信息的范疇，且未在隱私保護政策中專門設置針對敏感信息保護的條款。僅少數健康APP強調會避免用戶敏感信息公開，如平安好醫生指出公開咨詢內容或病歷資料時會將用戶敏感信息隱去。

2.2.5 個人信息處理權益

《網絡安全法》第43條和《規范》賦予信息主體對信息支配及控制的權利。為此，本文對健康APP隱私保護政策中是否明確信息主體的注銷權、刪除權、撤銷權，以及撤回同意的權益進行調查。如表5所示，45%健康APP在隱私保護政策中明確用戶個人信息處理權益，如醫院就醫掛號指出用戶可隨時注銷賬號，根據用戶要求刪除個人信息，用戶可自行清除或修訂個人信息，在客戶端未征得用戶同意違規處理個人信息、注銷賬號等情況下，用戶有權提出個人信息刪除的請求；咕咚運動則在用戶注銷賬戶時停止使用并刪除用戶個人信息。由于55%的健康APP未提及用戶注銷、清除其個人信息及生成數據的權益，亟需在后續隱私保護條款中給予用戶個人信息自決權。例如，平安好醫生指出用戶一旦接受協議，則主動將其在本客戶端發表的所有信息內容，全部獨家且不可撤銷地轉讓給平安好醫生，并未提及用戶注銷、清除個人信息的權益。此外，匿名化處理也是健康APP常用的信息處理模式，如好大夫在線指出當服務終止后，用戶注冊信息及行為數據皆會匿名處理。

表5 用戶個人信息處理權益

2.2.6 未成年人信息保護

第42次《中國互聯網絡發展狀況統計報告》數據表明，0～19歲網民占21.8%，未成年人比例不斷擴大[33]。作為網絡使用的重要主體，未成年人通過健康APP進行健康信息搜尋時，其隱私安全也面臨濫用風險。為此，本文對隱私保護政策中未成年人信息保護條款進行分析。

大部分健康APP將未滿18周歲的公民定義為未成年人，醫院就醫掛號將未滿14周歲的任何人定義為“兒童”，keep 則強調“未成年人”的定義應考慮適用的法律以及各國家和地區的文化慣例，具體如表6所示。6個健康APP(健康之路、健康160、微糖、抗癌衛士、有品-PICOOC、悅動圈)沒有在其隱私保護政策或用戶協議提及未成年個人信息保護相關內容。健康APP對未成年人的個人信息保護主要體現在4 方面：一是強調對未成年人個人信息保護的重視；二是要求未成年人在使用或者創建賬戶前，需征得監護人許可；三是僅在法律允許且征得父母或監護人明確同意后才披露未成年人個人信息；四是如果在不知情情況下，未經父母或監護人同意收集了未成年人個人信息，發現后會立刻刪除。未成年個人隱私保護政策應根據健康APP 特征進行個性化的條款制定。

表6 未成年人隱私保護政策

3 建議

3.1 隱私保護法規的完善

為防范個人信息過度采集與濫用，我國制定了相關隱私保護法律，但分散于《民法總則》第111條、《網絡安全法》第40-45條、《電子商務法》第23條，未形成面向隱私保護的系統性法律。對隱私保護法規，工業和信息化部(以下簡稱“工信部”)于2013年7月頒布的《電信和互聯網用戶個人信息保護規定》屬部門規章，部門規章的罰款額度最高為3萬元，不利于預防和懲處有關違法行為，且頒布時間較早，未涉及未成年人信息保護等方面。而《規范》未明確相關違規處罰措施，現有健康APP的隱私保護政策多數未達到個人信息安全的規范標準。對此，我國應完善隱私保護方面的立法，適當加大處罰力度。歐盟《通用數據保護條例》規定，違規企業罰金可達2千萬歐元或全球營業額的4%，以保障用戶隱私權益。對于圖書館領域，根據《中華人民共和國公共圖書館法》第43條，即公共圖書館應保護讀者隱私信息，不得出售或非法向他人提供個人信息。圖書館界應界定圖書館個人信息保護范疇，明確讀者隱私保護的獎懲機制，確保信息處理過程中用戶的隱私權益。

3.2 隱私保護政策法規的底層實施

隱私權有關政策法案制定后，應著力保障政策法案的底層實施。整體來看，健康APP皆設置有隱私保護政策，但對隱私保護的力度具有差異性，多數健康APP未嚴格按照《規范》制定隱私保護政策，存在個人信息保護權益缺失、個人信息采集與利用規則模糊等問題。相較于將隱私保護政策內嵌于用戶協議中，單獨制定隱私保護政策的APP在個人信息保護各維度的闡述更詳細，且保護力度更強。對此，工信部網絡安全管理局、國家互聯網信息辦公室等監管部門應推動健康APP 隱私保護政策的單獨制定，確保APP 隱私權政策與現行法律法規的匹配。隱私權政策實施應促使個人信息在用戶明示同意的基礎上推動信息服務的優化。此外，圖書館領域實施的《中國圖書館員職業道德準則(試行)》中僅指出“維護讀者權益，保守讀者秘密”，但未制定隱私保護細則，不利于底層實施，可從數據主體權利、數據保護原則、數據控制者/處理者義務角度細化。此外，個人信息作為大數據時代的重要信息資源，政策應在有效保護隱私的基礎上，促進個人信息資源的合理利用。

3.3 機構隱私保護組織與制度建設

健康APP要保持用戶粘性與信任，需加強隱私保護制度與組織建設。首先，相較于其他類型APP，如地圖類APP(高德地圖個人信息保護部門)、電商類APP(淘寶個人信息保護部門)等，健康APP較少設立單獨的隱私團隊或部門因此需要加強企業隱私保護組織的建設；其次，可設立隱私保護相關獎勵，推廣成熟的隱私保護模式。比如，小米安全和隱私團隊發布的小米IoT安全守護計劃，單項隱私漏洞修復獎金可高達50 萬。此外，對于隱私保護制度，隱私保護政策落實離不開企事業單位內部制度的完善，而員工隱私保護意識淡薄、員工利用個人信息非法牟利等是用戶隱私泄露的主要原因。企事業單位應著力完善隱私保護制度，如與涉及用戶隱私的工作人員簽訂保密協議；明確信息安全事故的懲處機制；定期開展隱私保護課程與考核等。在圖書館信息共享工作開展的背景下，應明確圖書館個人信息共享的目的、信息類型，規定需要用戶明示同意的信息處理類型，以及未經用戶同意可處理的信息類型與情境。圖書館應對接受個人信息的第三方資質進行審核，明示個人信息處理過程中雙方法律責任。圖書館領域可將訪問控制、數字水印、消息摘要、身份認證、個人隱私偏好平臺(Platform for Privacy Preferences，P3P 協議)等技術標準制度化。

3.4 未成年人隱私保護政策法規的細化

未成年人信息保護是國內健康APP隱私保護政策的薄弱環節，相關政策主要強調未成年人在家長或監護人的指導下閱讀隱私保護政策和采納服務，未細化未成年人隱私保護政策。對比國外健康APP，以Fitbit為例，其專門制定了兒童(13歲或管轄區同等年齡標準以下)賬戶隱私保護政策，政策中說明了收集的信息類型，且明確了收集信息的用途，包括幫助孩子聯系家庭賬戶內的用戶。此外，Fitbit還指出了信息分享范圍，以及如何訪問和刪除兒童個人信息。《中華人民共和國未成年人保護法》規定任何組織或個人不得私自查看或披露未成年隱私，健康APP應根據條例細化隱私保護政策中的未成年人隱私保護措施，包括未成年人隱私采集的種類、用途等。對于圖書館領域，當前《中華人民共和國公共圖書館法》尚未針對未成年人隱私保護制定專門政策，為此，應明確對未成年人信息使用、共享、轉讓或披露的條件。具體而言，結合美國圖書館協會(American Library Association，ALA)的《圖書館權利法案》，圖書館應保障未成年人隱私權，為未成年人提供隱私不受侵犯的物理環境，同時為使用的信息資源保密。此外，圖書館員不應泄露未成年人的個人信息及借閱信息，包括監護人、學校管理者等。