李 為 沈 黎 吳 檠 劉 煒

(華中科技大學(xué)同濟(jì)醫(yī)學(xué)院附屬協(xié)和醫(yī)院計(jì)算機(jī)管理中心 武漢 430021)

1 引言

世界衛(wèi)生組織對(duì)移動(dòng)醫(yī)療(Mobile Health，mHealth)的定義為通過(guò)使用移動(dòng)通信技術(shù)如掌上電腦(Personal Digital Assistant，PDA)、移動(dòng)電話、移動(dòng)式穿戴設(shè)備等無(wú)線設(shè)備提供醫(yī)療信息和服務(wù)[1]。延伸到移動(dòng)互聯(lián)網(wǎng)領(lǐng)域，移動(dòng)醫(yī)療APP是指基于安卓、iOS等移動(dòng)終端系統(tǒng)提供移動(dòng)醫(yī)療健康類服務(wù)的軟件。近年來(lái)隨著“互聯(lián)網(wǎng)+醫(yī)療健康”的發(fā)展和推進(jìn)，各行業(yè)主管部門(mén)、健康醫(yī)療機(jī)構(gòu)、醫(yī)療服務(wù)提供商開(kāi)始通過(guò)移動(dòng)APP提供移動(dòng)醫(yī)療保健服務(wù)。然而移動(dòng)APP網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和標(biāo)準(zhǔn)體系發(fā)布較晚，導(dǎo)致人員安全意識(shí)薄弱、開(kāi)發(fā)流程不規(guī)范等問(wèn)題顯著[2-3]。目前國(guó)內(nèi)學(xué)者針對(duì)移動(dòng)醫(yī)療APP隱私安全進(jìn)行研究，主要聚焦在以下領(lǐng)域：隱私視角下的用戶研究[4]、基于數(shù)據(jù)安全視角的移動(dòng)醫(yī)療APP行業(yè)監(jiān)管[5]、數(shù)據(jù)安全相關(guān)的隱私保護(hù)技術(shù)[6]等,但缺乏移動(dòng)醫(yī)療APP背景下關(guān)于隱私問(wèn)題的實(shí)證研究。本文分析、評(píng)估移動(dòng)醫(yī)療類APP隱私政策可讀性及內(nèi)容，發(fā)現(xiàn)其存在的問(wèn)題，以期為移動(dòng)醫(yī)療APP行業(yè)監(jiān)管、用戶隱私保護(hù)提供參考。

2 資料與方法

2.1 研究對(duì)象

選擇移動(dòng)醫(yī)療類APP時(shí)，以應(yīng)用商店官方數(shù)據(jù)提供商排行榜“蟬大師”作為數(shù)據(jù)源。該排行榜主要基于應(yīng)用商店下載量、關(guān)鍵詞覆蓋率等指標(biāo)建立綜合指數(shù)，計(jì)算移動(dòng)APP獲取搜索流量的能力，能夠反映APP受歡迎程度[7]。研究以“醫(yī)療”為關(guān)鍵詞，檢索獲得移動(dòng)醫(yī)療類APP共247個(gè)。經(jīng)人工篩查和核驗(yàn)抽樣選擇排名前20%的移動(dòng)醫(yī)療類APP約50個(gè)，見(jiàn)表1。

表1 移動(dòng)醫(yī)療類APP樣本情況

2.2 研究方法

2.2.1 可讀性分析 主要是從讀者角度衡量文本閱讀難度。中文文本目前尚無(wú)較為權(quán)威的可讀性計(jì)量指標(biāo)，部分研究者根據(jù)領(lǐng)域、使用場(chǎng)景設(shè)計(jì)不同計(jì)算方法，主要包括陳世敏公式[8]、荊溪昱公式[9]、李萍公式[10]等。根據(jù)移動(dòng)醫(yī)療隱私政策特點(diǎn)，本研究在陳世敏中文可讀性公式基礎(chǔ)上，結(jié)合秦克飛提出的針對(duì)簡(jiǎn)體中文所做的修正[11]，通過(guò)可讀性分?jǐn)?shù)評(píng)估移動(dòng)醫(yī)療APP隱私政策的可讀性。具體計(jì)算公式為：

Y=0.8×X1+X2

其中Y表示可讀性分?jǐn)?shù)，X1表示每句平均字?jǐn)?shù)，X2表示難字百分比。計(jì)算總字?jǐn)?shù)時(shí)漢字、中文標(biāo)點(diǎn)、英文單詞計(jì)1字；計(jì)算句子數(shù)時(shí)任意兩個(gè)中文標(biāo)點(diǎn)(書(shū)名號(hào)、括號(hào)、引號(hào)不計(jì))之間的內(nèi)容為1句；統(tǒng)計(jì)難字時(shí)參照《現(xiàn)代漢語(yǔ)常用字表》2 500個(gè)常用字[12]，不屬于常用字的漢字計(jì)為難字。最終得到可讀性分?jǐn)?shù)表示具有相當(dāng)于對(duì)應(yīng)年限教育背景的讀者可以理解文本內(nèi)容。此外參考徐雷的研究選擇是否有名詞解釋、是否有目錄、是否標(biāo)記重點(diǎn)內(nèi)容等指標(biāo)進(jìn)行定性評(píng)估[13]。

2.2.2 內(nèi)容分析 主要是對(duì)抽樣APP隱私政策內(nèi)容進(jìn)行標(biāo)注和定性分析。依據(jù)國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》個(gè)人信息保護(hù)政策模板開(kāi)發(fā)基礎(chǔ)編碼指南[14]。包括個(gè)人信息收集使用規(guī)則、個(gè)人信息保護(hù)措施、用戶權(quán)利、兒童信息處理、個(gè)人信息轉(zhuǎn)移、隱私政策更新、服務(wù)提供商聯(lián)系方式7個(gè)方面。在此基礎(chǔ)上基于10%的數(shù)據(jù)集隨機(jī)樣本試點(diǎn)分析，對(duì)編碼指南進(jìn)行修訂，形成最終數(shù)據(jù)采集表單[15]。根據(jù)表單對(duì)所抽取APP隱私政策進(jìn)行分類、內(nèi)容抽取和編碼構(gòu)建數(shù)據(jù)集。整個(gè)編碼過(guò)程由兩名編碼員完成，遇到分歧時(shí)通過(guò)討論解決，直到達(dá)成共識(shí)。最終采用描述性統(tǒng)計(jì)方法對(duì)數(shù)據(jù)集進(jìn)行統(tǒng)計(jì)分析。

3 結(jié)果

3.1 可讀性分析

根據(jù)移動(dòng)醫(yī)療APP隱私政策的可讀性分?jǐn)?shù)分布情況，樣本中可讀性分?jǐn)?shù)最高值是12.48，為醫(yī)護(hù)到家；可讀性分?jǐn)?shù)最低值是8.23，為小豆苗?？勺x性分?jǐn)?shù)平均值為10.39，表示需要接受10.39年教育的人群才能夠理解，其文化水平在我國(guó)相當(dāng)于高中2年級(jí)水平。其中隱私政策的難字百分比均值為0.85%，整體而言難字比例不高。每句平均字?jǐn)?shù)均值為11.95，如果以句號(hào)、驚嘆號(hào)、問(wèn)號(hào)作為1個(gè)完整語(yǔ)句的判斷標(biāo)準(zhǔn)，隱私政策文本平均完整句句長(zhǎng)為68.25字，說(shuō)明隱私政策長(zhǎng)句較多。長(zhǎng)句閱讀時(shí)間長(zhǎng)、內(nèi)容多、層次復(fù)雜，加大了用戶理解的難度，見(jiàn)表2。此外從定性分析中發(fā)現(xiàn)48%的隱私政策提供名詞解釋，但均不涉及健康信息界定。70%的應(yīng)用提供目錄，不具備鏈接到具體頁(yè)面的功能，同時(shí)也未提供具體頁(yè)碼。62%的應(yīng)用標(biāo)記重點(diǎn)內(nèi)容，重點(diǎn)標(biāo)記方式包括加粗、下劃線、標(biāo)紅等。

表2 移動(dòng)醫(yī)療APP隱私政策可讀性分?jǐn)?shù)

3.2 內(nèi)容分析

3.2.1 隱私信息收集 隱私信息收集分析包括對(duì)收集信息的功能、目的、內(nèi)容的分析。功能分析研究結(jié)果顯示72%的應(yīng)用列舉了所有需要收集個(gè)人信息的業(yè)務(wù)功能。在描述收集個(gè)人信息內(nèi)容時(shí)，60%的應(yīng)用分別使用“例如” “等”以及省略號(hào)這些概括性詞語(yǔ)或符號(hào)。目的分析中發(fā)現(xiàn)52%的應(yīng)用需要通過(guò)所收集信息進(jìn)行用戶畫(huà)像，80%的應(yīng)用需要根據(jù)數(shù)據(jù)改進(jìn)功能，66%的應(yīng)用需要對(duì)用戶信息進(jìn)行分析和研究，78%的應(yīng)用需要利用用戶數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)或模型算法訓(xùn)練，66%的應(yīng)用則為了廣告服務(wù)或商品推廣而收集用戶數(shù)據(jù)。此外56%的應(yīng)用提出為了安全保障而使用或整合用戶信息以判斷用戶賬號(hào)風(fēng)險(xiǎn)，檢測(cè)及防范安全事件。根據(jù)所收集內(nèi)容分析結(jié)果，國(guó)家標(biāo)準(zhǔn)將敏感信息定義為財(cái)產(chǎn)信息、健康生理信息、生物識(shí)別信息和身份信息，結(jié)果顯示所有APP均涉及收集用戶的敏感信息。其中86%的應(yīng)用會(huì)收集個(gè)人身份信息；28%的應(yīng)用表示會(huì)收集用戶生物識(shí)別信息，如用戶指紋或面容等數(shù)據(jù)；64%的應(yīng)用明確表示需要收集用戶銀行卡或支付寶等信息。

3.2.2 隱私信息共享、公開(kāi)與轉(zhuǎn)讓 結(jié)果顯示樣本中所有移動(dòng)醫(yī)療APP均具備與第3方共享信息的功能，其中70%的隱私政策提到共享信息范圍，而僅有42%的應(yīng)用具體描述共享信息內(nèi)容。此外70%的應(yīng)用提及共享前會(huì)對(duì)個(gè)人信息做去標(biāo)識(shí)化處理，62%的移動(dòng)醫(yī)療APP明確在共享前會(huì)與第3方簽訂用戶信息保密協(xié)議。96%的移動(dòng)醫(yī)療APP提到公開(kāi)披露用戶個(gè)人信息的條款。84%的移動(dòng)醫(yī)療APP表示存在個(gè)人信息轉(zhuǎn)讓的情況，在得到用戶授權(quán)同意或涉及服務(wù)提供商合并、收購(gòu)或破產(chǎn)清算時(shí)會(huì)轉(zhuǎn)讓用戶個(gè)人信息。

3.2.3 隱私信息保護(hù) 94%的移動(dòng)醫(yī)療隱私政策聲明對(duì)用戶個(gè)人信息會(huì)采取一定保護(hù)措施；80%的應(yīng)用明確描述所采取具體措施或技術(shù)，例如在用戶瀏覽器與服務(wù)器交換數(shù)據(jù)時(shí)采取安全套接層協(xié)議(Secure Sockets Layer，SSL)加密保護(hù)、使用超文本傳輸安全協(xié)議(Hyper Text Transfer Protocol Secure，HTTPS)安全瀏覽方式、對(duì)用戶數(shù)據(jù)進(jìn)行加密等；僅34%的應(yīng)用明確指出其通過(guò)的安全認(rèn)證，見(jiàn)表3。

表3 移動(dòng)醫(yī)療APP安全認(rèn)證情況

3.2.4 用戶權(quán)利 結(jié)果顯示80%的移動(dòng)醫(yī)療APP明確提出用戶享有訪問(wèn)、更正、刪除個(gè)人信息以及改變應(yīng)用內(nèi)授權(quán)同意范圍的權(quán)利。24%的APP表示用戶可以選擇推廣或廣告信息的偏好。僅20%的APP指出用戶可以通過(guò)應(yīng)用獲得個(gè)人信息副本。

3.2.5 政策更新及聯(lián)系方式 研究結(jié)果顯示72%的移動(dòng)醫(yī)療APP標(biāo)識(shí)隱私政策的更新時(shí)間，但只有8%的APP標(biāo)識(shí)更新內(nèi)容，30%的應(yīng)用具備歷史政策查閱入口。此外86%的移動(dòng)醫(yī)療APP提供聯(lián)系方式，其中44%的APP明確給出專門(mén)處理個(gè)人信息安全問(wèn)題的反饋渠道。

4 結(jié)論

4.1 隱私政策可讀性較低

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(China Internet Network Information Center，CNNIC)第47次互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示，截至2020年12月網(wǎng)民學(xué)歷結(jié)構(gòu)中具有初中及以下學(xué)歷人數(shù)占比59.6%，具有高中、中專及以上學(xué)歷占比40.4%[16]。對(duì)照結(jié)果中需要讀者文化水平達(dá)到高中2年級(jí)的要求，顯然其難度超過(guò)了大多數(shù)網(wǎng)友水平，可讀性較低。文本長(zhǎng)句較多、結(jié)構(gòu)層次復(fù)雜，無(wú)形之中造成讀者理解障礙。此外移動(dòng)醫(yī)療APP隱私政策缺乏對(duì)健康信息術(shù)語(yǔ)、名詞的范圍說(shuō)明和意義解釋，所提供輔助讀者理解的形式功能簡(jiǎn)單、結(jié)構(gòu)單一，缺少表格、圖片等表達(dá)形式，所提供目錄僅提取1級(jí)標(biāo)題，缺乏頁(yè)碼和導(dǎo)航功能，并沒(méi)有提高移動(dòng)醫(yī)療APP隱私政策可讀性，最終可能導(dǎo)致讀者誤解信息，從而影響到用戶的健康信息行為[17]。

4.2 用戶知情同意權(quán)受到侵犯

在個(gè)人醫(yī)療數(shù)據(jù)利用中，所謂知情是指數(shù)據(jù)主體對(duì)數(shù)據(jù)利用中收集、分析以及共享各環(huán)節(jié)都明確了解；所謂同意則涉及數(shù)據(jù)主體自主權(quán)，數(shù)據(jù)利用者不得以引誘、哄騙甚至欺詐的方式征得同意[18]。研究中大多數(shù)移動(dòng)醫(yī)療APP在描述所收集信息時(shí)運(yùn)用概括性詞語(yǔ)，并沒(méi)有完全列舉所收集信息內(nèi)容，并且相當(dāng)一部分APP未說(shuō)明需要收集信息的功能，在數(shù)據(jù)收集環(huán)節(jié)用戶知情權(quán)受到侵犯。此外絕大多數(shù)移動(dòng)醫(yī)療APP在用戶首次登錄時(shí)選擇是否同意隱私政策，并未直接顯示政策內(nèi)容，用戶可以選擇不閱讀而直接同意。這在一定程度上促使用戶跳過(guò)閱讀過(guò)程，妨害用戶同意權(quán)，該情形下即使用戶點(diǎn)擊同意也并不能證明用戶具備理解、接受、承擔(dān)隱私條款的能力。

4.3 移動(dòng)互聯(lián)網(wǎng)絡(luò)安全等級(jí)保護(hù)不足

國(guó)家衛(wèi)生健康委員會(huì)在《關(guān)于加強(qiáng)全民健康信息標(biāo)準(zhǔn)化體系建設(shè)的意見(jiàn)》中指出要完善醫(yī)療衛(wèi)生行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)。網(wǎng)絡(luò)安全等級(jí)保護(hù)明確提出移動(dòng)互聯(lián)安全的擴(kuò)展要求，其中包括移動(dòng)應(yīng)用管控、移動(dòng)應(yīng)用軟件開(kāi)發(fā)等重要內(nèi)容[19]。但移動(dòng)醫(yī)療APP對(duì)該政策的執(zhí)行力度遠(yuǎn)遠(yuǎn)不夠，絕大多數(shù)沒(méi)有取得任何信息安全相關(guān)的權(quán)威認(rèn)證，未按照網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求開(kāi)展網(wǎng)絡(luò)安全保護(hù)工作。

4.4 健康信息共享缺乏保障

2021年8月20日發(fā)布的《中華人民共和國(guó)個(gè)人信息保護(hù)法》明確指出個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息時(shí)，應(yīng)當(dāng)向個(gè)人告知接收方名稱、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類。而絕大多數(shù)移動(dòng)醫(yī)療APP在其隱私政策中沒(méi)有明確指出共享的第3方名稱，也沒(méi)有提到具體共享內(nèi)容，這意味著用戶無(wú)法獲知個(gè)人信息流向。此外存在不少應(yīng)用共享時(shí)未與共享方簽訂保密協(xié)議，也未對(duì)共享數(shù)據(jù)做任何處理，違反了《個(gè)人信息保護(hù)法》中關(guān)于個(gè)人信息處理者有義務(wù)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施的要求，這將直接導(dǎo)致健康信息共享過(guò)程缺乏安全保障。

5 建議

5.1 改善并提高隱私政策可讀性，加強(qiáng)用戶理解

隱私條款是用戶能夠明確獲知移動(dòng)醫(yī)療APP個(gè)人隱私信息處理策略的有效來(lái)源，是服務(wù)提供商與用戶交互、獲取用戶信任的橋梁，不應(yīng)人為設(shè)置障礙。從結(jié)構(gòu)編排上，隱私政策需按照國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》進(jìn)行編排設(shè)計(jì)，盡可能采用規(guī)范、清晰的框架結(jié)構(gòu)。從語(yǔ)言運(yùn)用上減少非常用字、專業(yè)詞匯、模糊表達(dá)的使用，盡量不要使用過(guò)長(zhǎng)完整句表達(dá)，降低用戶閱讀難度。從輔助閱讀上，對(duì)于含義復(fù)雜、內(nèi)容豐富的內(nèi)容采用名詞解釋、重點(diǎn)標(biāo)記、圖表等形式加強(qiáng)用戶對(duì)文本的理解。從內(nèi)容指引上，設(shè)置目錄索引提高導(dǎo)航性，通過(guò)點(diǎn)擊目錄標(biāo)題能夠?qū)崿F(xiàn)跳轉(zhuǎn)到相應(yīng)內(nèi)容，便于用戶閱讀。

5.2 落實(shí)隱私保護(hù)相關(guān)法律法規(guī)，建立行業(yè)審查機(jī)制，保護(hù)用戶權(quán)利

國(guó)家已出臺(tái)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，通過(guò)立法形式強(qiáng)調(diào)信息安全和個(gè)人隱私保護(hù)的重要性。同時(shí)國(guó)家衛(wèi)生健康委員會(huì)也強(qiáng)調(diào)建立以網(wǎng)絡(luò)安全等級(jí)保護(hù)為核心的醫(yī)療衛(wèi)生行業(yè)安全認(rèn)證體系。但從結(jié)果看移動(dòng)醫(yī)療服務(wù)提供商并未完全按照法律要求和行業(yè)準(zhǔn)則執(zhí)行。因此應(yīng)進(jìn)一步在移動(dòng)醫(yī)療行業(yè)加大相關(guān)法律法規(guī)和網(wǎng)絡(luò)安全等級(jí)保護(hù)認(rèn)證的執(zhí)行力度，并將執(zhí)行情況作為應(yīng)用市場(chǎng)準(zhǔn)入的標(biāo)準(zhǔn)和依據(jù)，嚴(yán)格對(duì)上架應(yīng)用的資質(zhì)審查。對(duì)于隱私政策設(shè)置不符合要求、非法侵犯用戶知情同意權(quán)和隱私權(quán)的移動(dòng)醫(yī)療應(yīng)用，責(zé)令其下架整改。同時(shí)建立隱私政策整改、執(zhí)行情況的監(jiān)督機(jī)制，杜絕隱私安全風(fēng)險(xiǎn)，保護(hù)用戶合法權(quán)利。

5.3 加強(qiáng)健康信息共享過(guò)程中隱私信息保護(hù)

隨著醫(yī)療大數(shù)據(jù)的發(fā)展以及互聯(lián)互通的深度應(yīng)用，移動(dòng)醫(yī)療應(yīng)用除了現(xiàn)階段與軟件服務(wù)提供商進(jìn)行集成及數(shù)據(jù)交互外，將來(lái)可能會(huì)與醫(yī)院信息系統(tǒng)、區(qū)域醫(yī)療信息平臺(tái)等進(jìn)行對(duì)接。如果按照移動(dòng)醫(yī)療服務(wù)提供商目前關(guān)于健康信息共享?xiàng)l款設(shè)置共享策略，患者隱私數(shù)據(jù)在跨系統(tǒng)、跨平臺(tái)、跨業(yè)務(wù)流通時(shí)將面臨巨大挑戰(zhàn)。因此移動(dòng)醫(yī)療服務(wù)提供商除了進(jìn)一步明確所有共享數(shù)據(jù)的內(nèi)容和范圍外，還需對(duì)其進(jìn)行安全處理，保障數(shù)據(jù)流動(dòng)過(guò)程中不被盜取、篡改，并通過(guò)保密協(xié)議明確共享方之間的職責(zé)，做到所有共享行為可追溯、可管控、可追究。