1對象與方法

1.1 研究對象

將安卓（Android）應用商店內健康APP分為健康、移動醫療以及互聯網醫院3類。其中，健康類主要包括運動、睡眠、兩性健康、育兒以及慢病管理等，移動醫療類包括醫學科普知識、醫藥、整形、問診和在線咨詢，互聯網醫院類包括預約掛號和云醫院。根據下載量排名各選取前5款APP，以15款（A～O）APP隱私政策作為研究對象，見表1。

表1健康APP隱私文本來源

注：資料來源于各APP，其中M、N、O來源于官網；檢索日期：2018年12月31日。

1.2 研究方法

本研究基于內容分析法對典型健康APP隱私文本進行分析。內容分析法是一種以內容特征為對象，通過從文本或文獻中提取一定文字內容，對其進行客觀系統的描述分析，歸納和挖掘潛在規律的方法，用于趨勢、共變和因果推理以及比較不同的內容群。本研究對不同APP的隱私保護內容進行分析和比較，去探究目前健康APP隱私政策保護個人信息安全的現狀和問題。

2應用程序內容分析

2.1基本情況

15款APP中，A、B、D、F、G和L無獨立的隱私文本，其隱私保護存在于軟件協議和服務許可中。其中，E和J明確標注了隱私政策最近更新時間。在下載量方面，健康類APP用戶下載量較大，互聯網醫院類較低。

根據《規范》要求，個人信息控制者在從事信息處理活動時需要遵循權責一致、目的明確、選擇同意、最少夠用、確保安全、主體參與、公開透明等原則，僅有J和K明示信息收集與使用原則。為方便用戶理解隱私文本，一般會提供要點目錄，研究發現僅G、J和K提供。

2.2主要研究內容和結論

用戶使用健康APP時，個人信息保護與利用覆蓋了從信息收集、保存、使用以及共享、轉讓到披露等信息處理的整個生命周期。在此過程中，運營商與用戶間需要通過隱私政策文件，明確彼此間權利與義務關系。因此，本文按照信息處理流程將隱私政策分為5個部分：（1）信息收集階段；（2）信息保存階段；（3）信息使用階段；（4）信息共享、轉讓和披露階段；（5）信息咨詢與反饋階段。

2.2.1信息收集階段。《規范》規定，個人信息收集應當遵循合法、最小化、授權同意以及明示敏感信息等要求。研究結果顯示，B、C、D、E、J、K、L和O等8款APP明確界定了個人信息與隱私信息等概念，方便用戶了解隱私范圍內的信息種類。

一般為保障APP正常運轉，運營商會向用戶端設備發送名稱為Cookie的小型數據文件，主要用于追蹤用戶動態或了解用戶偏好，或收集整體用戶群體的統計數據。再加上部分APP缺乏脫敏處理，很容易造成用戶隱私信息泄露。根據《規范》要求，在使用Cookie工具時，需要向用戶說明使用目的，并提供限制使用方法及流程。結果顯示，E、F、J和K等4款APP告知使用Cookie技術。其中，F未說明使用目的。同時在限制使用方面，僅J提示能夠限制使用，但缺少限制使用的具體指導。

未成年人判斷能力弱，對其個人信息使用的后果無法做出準確判斷。因此，《規范》明確規定≤14周歲兒童的個人信息屬于敏感信息，收集≤14周歲兒童信息前，應征得監護人的明示同意；年滿14周歲的應征得未成年人或監護人的明示同意。但調查發現，15款APP年齡限定籠統，未對未成年人是否擁有民事行為能力進行細分，缺乏對兒童隱私保護的強調。在信息收集時，8款APP明確表示，未成年人使用或注冊時需得到父母或監護人同意，比如：L強調未成年人使用前必須獲得父母或監護人的書面同意。然而，父母或監護人知情同意在實際中很難具體操作，同時APP運營商也無法實時監測用戶年齡。例如，G在未成年人注冊或使用時，會默認已經征得父母或監護人的同意。

2.2.2信息保存階段。在信息保存階段，APP開發商和運營商是主要的信息控制者，在保護用戶個人信息安全具有不可推卸的責任。在《規范》隱私政策模板中，開發商和運營商需要提供以下保護措施：防止不當或者未經授權訪問、使用信息；采用加密等技術防止惡意攻擊；不定期對安全風險進行評估與分析；設立信息安全部門或者專員；制定應急預案，在安全事件發生時，及時告知用戶，并上報國家信息安全部門；在信息泄露或者用戶合法權益受到侵害時，會承擔相應法律責任等。另外，用戶雖然在該階段控制信息受限，但也需要采取主動措施保護個人信息安全，例如，盡量避免把個人賬號信息告知他人等。

調查發現，除A、B、D、H和O等5款APP缺乏信息保護措施外，其余各APP均含有信息保護措施。其中，開發商和運營商采用防止不當或者未經授權訪問、使用信息和采用加密等技術防止惡意攻擊等方面的措施較多。在措施完善程度方面，E和J對個人信息的保護相對完整，見表2。

表2 健康APP信息保存措施

注：空白為各隱私政策缺失內容，√為隱私政策包含內容。

除保護措施外，本文還對保存地點和時限進行對比分析。G、J、K和N將收集的個人信息保存在國內服務器上，另外，N的部分信息還會保存在限定區域的衛生計生部門機房內。由于E在境外擁有服務器，信息一般儲存在信息收集時的歸屬地的服務器上。信息保存一般遵循時間最小化原則，尤其個人信息的保存應為個人信息控制者實現特定目的所需要的最短時間。結果顯示，C、G、J、K和N都在法律或者協議規定有效期內使用個人信息，當用戶注銷賬戶時，經過一定期限后系統會刪除或者匿名化處理個人信息。

2.2.3信息使用階段。在信息使用階段，用戶對個人信息具有部分支配權，不限于訪問、更正、刪除個人信息，改變或撤銷授權以及注銷賬號等權利。研究表明：15款APP中，8款能夠訪問、更正及刪除個人信息，但存在無法更改注冊信息的情形；5款能夠自主選擇個性化推薦、改變或撤銷授權；4款能夠注銷用戶賬戶，見表3。

表3 健康APP用戶權利情況

注：空白為各隱私政策缺失內容，√為隱私政策包含內容。

2.2.4信息共享、轉讓和披露階段。相對于信息的收集和保存階段，共享、轉讓和披露階段更涉及個人信息的流動，個人信息的泄露風險也更大。《規范》規定，除在用戶授權、法律規定以及其他合理事由時，其他情形下個人信息不得共享、轉讓或披露。例如：個人信息用于學術研究屬于信息共享的合理關聯范圍，但對外提供時需要去標識化處理。

在信息共享方面，除A，其余APP在自身授權、法律規定以及為實現特定功能而與合作伙伴、關聯公司共享個人信息，見表4。在信息轉讓方面，運營商可能會涉及合并、收購等情形，此時，個人信息會作為無形資產進行轉移。因此，隱私政策中需要明確告知用戶轉讓與停止運營時個人信息的保護措施。結果顯示：C、E、I、J、K、L、M等7款APP在共享、轉讓個人信息時會與第三方簽訂保密措施或者以不低于其隱私政策的保密程度保護用戶個人信息；J和N更明確表示在超出授權范圍時會重新征得用戶同意。在信息披露方面，用戶授權、法律或者行政部門強制規定和用戶違規使用以及存在欺詐行為等是個人信息披露的主要情境。同時，為維護國家安全、公共安全及利益，用戶自行公開或者公開收集到的合法披露信息屬于特殊情形下的信息披露。結果顯示：A、G和O等3款APP未告知用戶披露情形，見表5。同時，調查發現：C、F、H以及I明確表示不會將個人信息用于商業操作，E和M則表示可能會將匿名信息或者非敏感信息用于商業營銷。

表4 健康APP 信息共享情況

注：空白處為各隱私政策缺失內容，√為隱私政策中包含內容。

表5 健康APP信息轉讓與披露情形

注：空白為各隱私政策缺失內容，√為隱私政策包含內容。

2.2.5信息咨詢與反饋階段。在信息咨詢與反饋階段，個人信息控制者需要給出處理個人信息安全問題相關反饋、投訴的渠道，并明確響應處理時限。一般隱私保護政策中，在對隱私信息保護存在疑問或意見、建議，或用戶認為自身信息泄露時，運營商需要提供聯系方式、地址、郵件或者在線客服等。另外，當與用戶存在無法協商解決爭議時，也需要給出解決機構信息或者聯系方式。

結果表明，在15款APP應用中，僅6家提供了聯系方式，以電話和郵箱為主，而在響應請求時限方面，14款APP缺失響應時限。在解決不可協商的爭議方面，僅J提供了外部爭議解決機構（轄區內的法院）。

3完善健康APP個人信息安全對策與建議

《規范》雖然已經實施，但多數健康APP隱私政策的制定并未嚴格按照模板進行制定，存在內容缺失或敘述模糊。因此，除在政策文件上強調保護個人信息，更應當促進健康APP隱私政策的規范制定，同時構建隱私政策評價標準機制，此外還需要建立健全個人隱私信息保護法律，以促進用戶安全使用健康APP。

3.1促進隱私政策規范制定

隨著“互聯網+醫療健康”發展，更多用戶會使用健康APP。但目前健康APP存在過度收集和濫用個人信息情形。因此，需要利用健康APP隱私政策規范運營商行為來提升隱私保護水平。

可見性和可讀性是隱私政策重要的合規標準，是評價隱私政策完整性的重要內容。在可見性方面，第一，運營商需要在顯著位置顯示隱私政策，同時保證在點擊時能夠有效跳轉到隱私政策。第二，標題需包含“隱私”字眼，但不限于“隱私政策”“隱私聲明”“隱私權保護”“隱私權指示”“個人隱私信息保護”等。

在可讀性方面，第一，隱私政策須擁有動態性，同時隱私政策需要提供要點目錄，方便用戶了解隱私政策內容。第二，在信息處理時需要遵循目的明確、選擇同意、最少夠用等原則。例如，在收集階段，根據自身服務特征詳細說明信息收集種類、目的和方式，并告知用戶是否使用Cookie等。第三，運營商需告知用戶避免過量授權，同時給予正確的下載網址或商店。并根據自身服務針對老年人和未成年人進行安全知識科普。第四，用戶擁有訪問、更正、刪除和注銷賬號的權利，隱私政策需注明具體操作流程。第五，在共享和使用個人信息時，需要去標識或匿名化處理，做到無法識別個人信息主體。

3.2完善隱私政策評價標準

隱私政策可操作性同樣是健康APP個人信息保護中重要環節。但目前缺乏完善的評價和監管標準，即使隱私文本完整，也無法確保落實隱私條款。因此，第一，國家和互聯網健康行業應當構建可行的隱私政策指標評價體系，成立專門的個人信息保護機構，定期對隱私政策規范性和操作性做出評價。第二，國家和行業除監管治理惡意程序外，需將技術標準運用到檢測APP系統安全和穩定性等基礎環節。第三，健康APP的運營商可能受經濟利益驅使，出于好奇心理或僅因觸手可及，泄露系統內個人醫療數據。因此，需要定期檢查內部人員操作權限、離職保密協議的簽訂以及信息安全的培訓與考核，同時設立個人信息安全專職部門和專員，以應對信息安全事件發生。

3.3建立健全個人隱私信息保護法律環境

雖然規范的隱私政策可以提高開發商和運營商以及用戶的信息安全保護意識，也可為開發商和運營商提供操作指引，但隱私政策的制定和實施離不開個人隱私信息保護法律環境。相對于美國的《消費者隱私保護法案》和歐盟的《通用數據保護條例》，我國頒布的《規范》缺乏強制性，在個人信息保護方面指導性較差。因此，國家需要建立健全個人隱私信息保護法律。第一，應當建立個人信息保密等級，將敏感信息和一般信息進行區分。敏感信息應當征得用戶的明確同意，一般信息可以相對弱化用戶同意請求，但都要盡量去標識化處理，阻斷與特定個人的關聯。第二，個人信息收集在法律上一般需要遵循正當、合法、必要原則。但健康APP種類繁多，且不斷朝著細化分類發展，用戶無法判斷某些信息是否必要，因此在法律上需要界定個人信息的收集種類是否必要。第三，用戶信息處理階段對個人信息的控制受限，且與運營商和開發商間存在信息不對稱。在發生信息安全事件時，用戶無法及時得知自身信息是否泄露及泄露嚴重程度。因此，需要在法律中明確規定開發商和運營商應當存在取證倒置義務，確保在安全事件發生后保護用戶的合法權益。

來源：節選自《中國醫院》雜志2019年9月刊，摘要和參考文獻略。
作者：劉乾坤、劉昊鵬、秦子昂、馬騁宇
作者單位：首都醫科大學公共衛生學院