付少雄，赵安琪

0 引言

健康中国已提升至国家战略地位，今后15年是推动健康中国建设的战略机遇期[1]。健康中国建设推动了健康信息传播媒介的多元化，2017年移动健康市场用户量已达3亿，健康APP(手机应用程序)已成为用户健康信息搜寻与管理的主要媒介[2-4]。但移动APP 在开展个性化服务时，极易衍生出不规范的用户隐私采集与利用行为，导致用户隐私缺乏安全保障[5]。规范合理的隐私保护政策能有效推动用户、服务提供商和政府监管部门等参与隐私保护技术架构与组织体系建设[5]。

隐私保护政策在第三方APP中表现为“隐私权条款/声明”，是指APP运营商针对用户隐私保护而制定的有关义务、权利与责任的规则[6-7]。隐私保护政策常被纳入“APP服务及许可协议”“网络服务协议”等服务协议范畴中，但独立的隐私保护政策日益普及，如好大夫在线隐私声明、微医隐私权政策等。当前国内外相关研究主要从用户、网络平台、政府监管部门角度分析了网络环境下的用户隐私保护[5-21]，从制定现状、制定内容探究了网络平台用户隐私保护政策[2，22-29]。国内有关健康APP用户隐私保护政策的研究目前处于空白，而健康领域的用户隐私保护亟需得到关注。

基于此，本文以5类(问诊咨询、预约挂号、疾病管理、健康管理、运动健康)具有代表性的20款健康APP的用户隐私保护政策为研究对象，采用内容分析法，基于全国信息安全标准化技术委员会2018年5月实施的《信息安全技术 个人信息安全规范》(以下简称《规范》)的主要维度，从个人信息采集与利用、Cookie及相关技术的提醒、个人信息储存及保护、个人信息共享转让与披露、个人信息处理权益、个人敏感信息处理、未成年信息保护角度解读健康APP的隐私保护政策，为健康APP后续隐私保护政策的制定提供参考，以有效应对健康隐私泄露与滥用等。

1 相关研究

1.1 网络环境下的用户隐私保护

信息隐私是指用户控制其他人交换和使用其个人信息的时间、方式和程度的能力[8]。网络用户隐私保护问题的产生主要是因为网络平台缺乏严格的个人信息监管、审查和安全保障措施，从而造成对用户数据的不当采集、共享、利用或滥用等[9-10]。用户隐私保护受到用户、服务提供商和政府监管部门等多方关注。

网络平台上，用户一方面担心隐私泄露；另一方面为获取个性化服务而轻易提供个人信息，引发隐私悖论[11]。隐私悖论指用户隐私关注与实际隐私行为间的矛盾[12]。隐私悖论成因包括隐私观念转变[13]、环境认知偏差[14]、自我认知不足[15]、风险分析失衡[16]等。隐私悖论与用户隐私关注度紧密相关，隐私关注度决定了用户自我隐私保护的强度[17-19]。隐私关注是指用户对私密事项、个人事项等隐私情境的主观感受与认识。用户隐私关注度会受到平台、性别、文化、年龄、隐私倾向等多维因素影响[17]。其会显著正向影响用户信息安全行为，负向影响用户采纳行为[18]。

对于服务提供商，隐私保护政策能降低用户隐私关注度[19]。首先，服务提供商的隐私保护政策会提升用户对平台的信任感，降低用户隐私焦虑。比如，在网络健康社区中，用户感知到的隐私泄露风险会限制其健康知识共享，阻碍社区的知识交流[20]。而服务提供商隐私保护政策的保护程度、权限水平及告知明确性会显著降低用户隐私风险感知度，从而提升隐私提供意愿[6]；其次，隐私保护政策能保障用户权益，其具备告知功能，维护了用户对个人数据的控制权[5]。此外，用户阅读篇幅居中、表达浅显亲切、内容翔实的隐私保护政策的意愿较高[7]。

对于图书馆机构，网络环境下技术系统的运用存在风险。比如，图书馆中无线射频技术会威胁读者的借阅、身份识别及地理位置信息的安全；网上预借/续借、咨询、数据库检索等服务存在读者信息泄露风险[30]。为此，公共图书馆与高校图书馆皆从读者信息采集目的与类别、利用与共享、保存期限、Cookie技术使用、网站安全机制等方面制定隐私保护政策[31]。但是，当前制定隐私保护政策的图书馆比例仍较低[31]。

对于政府监管部门，2017年6月实施的《中华人民共和国网络安全法》(以下简称《网络安全法》)赋予用户强控制权，应用程序采集与处理用户隐私的各过程皆需得到用户同意，而且在信息泄露等安全事件发生后应及时告知用户。《规范》确立了包括选择同意、主体参与、确保安全等在内的隐私保护原则，强调应用程序采集、存储、共享、利用与转让用户隐私时需征得用户同意，个人敏感信息处理还需获得用户增强式同意[21]。国外也针对用户隐私保护开展了大量立法工作。韩国2011年3月发布《个人信息保护法》，阐述个人信息保护的基本原则、保护基准、主体权益保障、信息自决权等；日本2017年5月实施修订后的《个人信息保护法》，从个人信息获取与利用规则、保存规则、信息提供的遵循事项等方面立法；欧盟2018年5月强制实施的《通用数据保护条例》对欧盟境内机构采集与使用个人信息、欧盟境外机构处理欧盟用户个人信息、非欧盟机构在欧盟境内处理个人信息进行规定。

1.2 网络平台用户隐私保护政策

网络平台用户隐私保护政策是当前国内外研究热点。研究涵盖政府、健康、社交媒体、搜索引擎等各类网络平台，主要采用内容分析法[5，22-26，28]，结合保护动机理论、隐私计算理论、计划行为理论、使用与满足理论等[32]，分析用户隐私保护政策的制定现状、制定内容。本文根据研究对象进行文献梳理，如表1所示。

表1 网络平台用户隐私保护政策

综上所述，网络环境下隐私保护与政策制定研究不断取得进展，但健康APP隐私保护政策研究少，缺乏面向健康APP隐私保护政策文本的专门解读。由于用户健康信息在法律上的敏感属性，健康APP中隐私保护政策对用户健康信息安全与隐私保障起关键作用，隐私保护政策亟需专门研究。

表2 健康APP及其用户隐私保护条款更新时间

2 用户隐私保护政策的内容分析

2.1 研究对象

根据艾媒咨询(iiMedia Research)《2016-2017中国移动医疗健康市场研究报告》[29]，结合国内健康APP用户量、下载排名，本文选取20款健康APP于2018年更新的用户隐私保护条款为内容分析对象，具体见表2。

2.2 用户隐私保护政策

有8款(40%)健康APP具有单独的隐私保护协议或声明等，包括微医、医院就医挂号、翼健康、keep、妙健康、薄荷健康、小米运动和咕咚运动，其余健康APP(60%)隐私保护政策内嵌于“APP服务及许可协议”或“网络服务协议”。

2.2.1 个人信息采集与利用

《规范》指出个人信息是以电子或其他方式记录的、能单独或与其他信息结合的识别或反映特定自然人活动情况的信息[21]。不同健康APP隐隐私保护政策中的个人信息定义具有差异性，如微医指出个人信息包括姓名、身份证件号码、出生日期、住址、个人生物识别信息、联系方式、通信记录、交易信息、征信信息、财产信息等；妙健康将个人信息定义为“任何可用于单独或结合其他信息识别个人身份的信息，或与个人身份相关的隐私信息”。本文主要探究健康APP中对个人信息安全保障的承诺、明确基础与额外服务所需数据种类、明确个人信息采集的用途和原则，详见表3。

表3 个人信息采集与利用

(1)关于隐私安全保障承诺，所有健康APP均表示对个人隐私保护的重视，如薄荷健康承诺以业界成熟的安全标准，采取安全措施保护用户个人信息；(2)关于数据种类，健康APP主要根据服务来划分数据类型，如注册账户时的个人信息，安装产品或服务时的设备信息，开启设备定位功能产生的位置信息；(3)关于个人信息用途，主要用于现有服务改善及新服务设计、满足用户个性化需求、软件认证或管理软件升级等。美柚强调“个人信息还将用于预防、发现、调查欺诈、危害安全、非法或违反与厦门美柚或其他关联公司协议、政策或规则的行为，以保护用户、厦门美柚及相关主体的合法权益”；对个人信息的其他用途，多数健康APP 规定须征得用户同意，如医院就医挂号指出额外收集的个人信息，用户拥有随时收回或给予授权同意的权利；(4)关于个人信息采集与利用原则，多数健康APP没有明确相关原则，只有小米运动明确提出遵循《规范》中的处理原则，包括权责一致原则、目的明确原则、选择同意原则、最少够用原则、确保安全原则、主体参与原则、公开透明原则等。从上述规定看出，健康APP整体上重视对个人信息安全的保护，且明确了个人信息收集的用途，但部分APP对用途的说明不够具体。同时，部分APP没有明确“个人信息”等关键概念，缺乏对信息采集与利用规则的说明。

2.2.2 Cookie、Web Beacon及相关技术的提醒

Cookie 技术利用向设备发送的小型数据文件跟踪用户的使用痕迹，将其存储在用户本地终端上，而网络信标(Web Beacon)可采集用户信息行为并记录到Cookie 中。这类网络隐形追踪技术均增加了隐私泄露的风险。本文主要探究健康APP隐私保护政策中对Cookie、Web Beacon及相关技术的提醒。

9 个健康APP(春雨医生、健康之路、健康160、医院就医挂号、微糖、抗癌卫士、有品-PICOOC、悦动圈、咕咚运动)的隐私保护政策或用户协议中，没有提及Cookie、Web Beacon等相关技术，如表4所示。对于网络隐形追踪技术类型，多数健康APP均在隐私保护政策中提及所使用技术的种类，可划分为Cookie、像素标签、Web Beacon等；对于网络隐形追踪技术作用，健康APP主要通过Cookie记住用户身份从而简化注册登录步骤，分析用户使用习惯以优化广告推送等，还会提供非个人信息给广告商以分析产品使用情况。除APP自身放置的隐形追踪装置，还有广告商放置的Cookies等，其主要作用是收集非个人身份信息，分析用户广告兴趣或评估广告服务效果等；对于第三方的网络隐形追踪技术，健康APP 均明确声明不受其平台协议约束，不对第三方的Cookies 或Web Beacon承担责任；对于采集个人信息的技术模式，仅少数健康APP 详细说明了隐形追踪装置采集模式，如薄荷健康发送给用户的电子邮件中含有链接，点击链接后，用户操作记录将会被跟踪；对于明确拒绝或禁止追踪技术的操作指引，薄荷健康提供了最为详细的操作指引：清除计算机上保存的所有Cookie，通过浏览器相关设置阻止Cookie 追踪，退订寄信名单从而防止活动被网站信标和像素标签追踪，启用网络浏览器的“Do Not Track”功能。除了提供操作指引外，APP 还会提醒用户，如果停用Cookie 或Web Beacon，会影响到服务的正常使用和体验效果。

表4 Cookie、Web Beacon及相关技术的提醒

健康 APP 对 Cookie、Web Beacon 等相关网络隐形追踪技术的提醒匮乏，较少说明采集个人信息模式。大部分APP 没有提供有效拒绝或禁止隐形追踪技术的操作指引，其操作指引往往简单，如仅告知用户可通过浏览器设置取消Cookie。

2.2.3 个人信息储存及保护

健康APP为保障基础服务，皆会在用户同意的情况下存储个人信息，如微医、翼健康指出在用户许可下行使个人信息存储权限。根据《规范》《中华人民共和国电子商务法》第31条，健康APP具有对存储的个人信息进行保护的责任。首先，APP应具备防范外部侵入的能力，即技术架构的稳定性和安全性；其次，APP应采取措施防止个人信息被损坏、泄露与篡改等，涉及员工建设、组织管理、制度设计等多方面；再次，设立专门团队或部门以切实推动企业履行个人信息保护职责[18]。为此，本文分析了健康APP隐私保护政策中个人信息储存及保护的条款。

部分健康APP明确了对个人信息储存及保护的义务，如微医基于数据生命周期进行信息安全管理体系建设，对信息系统进行ISO27001、公安部三级保护等认证；少数健康APP在隐私政策中明确保护隐私安全所采用的技术架构，如翼健康在服务器和浏览器间交换数据时采用 SSL(Secure Socket Layer)协议进行加密处理、采用HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)安全浏览协议等；部分健康APP强调了员工建设与组织管理的重要性，如薄荷健康举办隐私保护培训课程，增强员工隐私保护认知；除小米运动外，多数健康APP未组建面向隐私保护的专门团队或部门。

2.2.4 个人信息共享、转让与披露

健康APP在对个人信息进行共享、转让与披露时，应在隐私保护政策中明确其目的、个人信息类型、接受个人信息的第三方，以及需要承担的法律责任。为此，本文分析了健康APP隐私保护政策中个人信息共享、转让与披露的条款。

经过调研，较少健康APP明确了个人信息共享、转让与披露的目的、种类及第三方。但部分健康APP 指出了需承担的法律责任，如健康之路、高血压大夫在注册协议中指出，如与第三方合作提供健康增值服务，第三方同意承担与健康之路相同的隐私保护责任，则默认用户同意将自身注册资料等提供给第三方。大多数健康APP强调非必要情况不会向外界披露个人信息，如春雨医生在《用户声明》中指出“除非法律另有规定或得到用户授权，本站不会向外界披露隐私信息。”

微医、翼健康等健康APP在隐私保护政策中将个人敏感信息界定为包括个人生物识别信息、身份证件号码、财产信息、银行账号、交易信息、行踪轨迹、14岁以下(含)儿童的个人信息等。而欧盟《通用数据保护条例》声明中与健康相关的个人敏感信息主要包括基因数据、生物识别数据、性取向/性生活/健康相关数据等[29]。对于个人敏感信息处理，我国《规范》指出敏感信息的非法处理会导致身心健康、个人名誉、歧视待遇等问题[21]。因此，对个人敏感信息应进行加密处理[21]。经过调研，多数健康APP并未明确个人敏感信息的范畴，且未在隐私保护政策中专门设置针对敏感信息保护的条款。仅少数健康APP强调会避免用户敏感信息公开，如平安好医生指出公开咨询内容或病历资料时会将用户敏感信息隐去。

2.2.5 个人信息处理权益

《网络安全法》第43条和《规范》赋予信息主体对信息支配及控制的权利。为此，本文对健康APP隐私保护政策中是否明确信息主体的注销权、删除权、撤销权，以及撤回同意的权益进行调查。如表5所示，45%健康APP在隐私保护政策中明确用户个人信息处理权益，如医院就医挂号指出用户可随时注销账号，根据用户要求删除个人信息，用户可自行清除或修订个人信息，在客户端未征得用户同意违规处理个人信息、注销账号等情况下，用户有权提出个人信息删除的请求；咕咚运动则在用户注销账户时停止使用并删除用户个人信息。由于55%的健康APP未提及用户注销、清除其个人信息及生成数据的权益，亟需在后续隐私保护条款中给予用户个人信息自决权。例如，平安好医生指出用户一旦接受协议，则主动将其在本客户端发表的所有信息内容，全部独家且不可撤销地转让给平安好医生，并未提及用户注销、清除个人信息的权益。此外，匿名化处理也是健康APP常用的信息处理模式，如好大夫在线指出当服务终止后，用户注册信息及行为数据皆会匿名处理。

表5 用户个人信息处理权益

2.2.6 未成年人信息保护

第42次《中国互联网络发展状况统计报告》数据表明，0～19岁网民占21.8%，未成年人比例不断扩大[33]。作为网络使用的重要主体，未成年人通过健康APP进行健康信息搜寻时，其隐私安全也面临滥用风险。为此，本文对隐私保护政策中未成年人信息保护条款进行分析。

大部分健康APP将未满18周岁的公民定义为未成年人，医院就医挂号将未满14周岁的任何人定义为“儿童”，keep 则强调“未成年人”的定义应考虑适用的法律以及各国家和地区的文化惯例，具体如表6所示。6个健康APP(健康之路、健康160、微糖、抗癌卫士、有品-PICOOC、悦动圈)没有在其隐私保护政策或用户协议提及未成年个人信息保护相关内容。健康APP对未成年人的个人信息保护主要体现在4 方面：一是强调对未成年人个人信息保护的重视；二是要求未成年人在使用或者创建账户前，需征得监护人许可；三是仅在法律允许且征得父母或监护人明确同意后才披露未成年人个人信息；四是如果在不知情情况下，未经父母或监护人同意收集了未成年人个人信息，发现后会立刻删除。未成年个人隐私保护政策应根据健康APP 特征进行个性化的条款制定。

表6 未成年人隐私保护政策

3 建议

3.1 隐私保护法规的完善

为防范个人信息过度采集与滥用，我国制定了相关隐私保护法律，但分散于《民法总则》第111条、《网络安全法》第40-45条、《电子商务法》第23条，未形成面向隐私保护的系统性法律。对隐私保护法规，工业和信息化部(以下简称“工信部”)于2013年7月颁布的《电信和互联网用户个人信息保护规定》属部门规章，部门规章的罚款额度最高为3万元，不利于预防和惩处有关违法行为，且颁布时间较早，未涉及未成年人信息保护等方面。而《规范》未明确相关违规处罚措施，现有健康APP的隐私保护政策多数未达到个人信息安全的规范标准。对此，我国应完善隐私保护方面的立法，适当加大处罚力度。欧盟《通用数据保护条例》规定，违规企业罚金可达2千万欧元或全球营业额的4%，以保障用户隐私权益。对于图书馆领域，根据《中华人民共和国公共图书馆法》第43条，即公共图书馆应保护读者隐私信息，不得出售或非法向他人提供个人信息。图书馆界应界定图书馆个人信息保护范畴，明确读者隐私保护的奖惩机制，确保信息处理过程中用户的隐私权益。

3.2 隐私保护政策法规的底层实施

隐私权有关政策法案制定后，应着力保障政策法案的底层实施。整体来看，健康APP皆设置有隐私保护政策，但对隐私保护的力度具有差异性，多数健康APP未严格按照《规范》制定隐私保护政策，存在个人信息保护权益缺失、个人信息采集与利用规则模糊等问题。相较于将隐私保护政策内嵌于用户协议中，单独制定隐私保护政策的APP在个人信息保护各维度的阐述更详细，且保护力度更强。对此，工信部网络安全管理局、国家互联网信息办公室等监管部门应推动健康APP 隐私保护政策的单独制定，确保APP 隐私权政策与现行法律法规的匹配。隐私权政策实施应促使个人信息在用户明示同意的基础上推动信息服务的优化。此外，图书馆领域实施的《中国图书馆员职业道德准则(试行)》中仅指出“维护读者权益，保守读者秘密”，但未制定隐私保护细则，不利于底层实施，可从数据主体权利、数据保护原则、数据控制者/处理者义务角度细化。此外，个人信息作为大数据时代的重要信息资源，政策应在有效保护隐私的基础上，促进个人信息资源的合理利用。

3.3 机构隐私保护组织与制度建设

健康APP要保持用户粘性与信任，需加强隐私保护制度与组织建设。首先，相较于其他类型APP，如地图类APP(高德地图个人信息保护部门)、电商类APP(淘宝个人信息保护部门)等，健康APP较少设立单独的隐私团队或部门因此需要加强企业隐私保护组织的建设；其次，可设立隐私保护相关奖励，推广成熟的隐私保护模式。比如，小米安全和隐私团队发布的小米IoT安全守护计划，单项隐私漏洞修复奖金可高达50 万。此外，对于隐私保护制度，隐私保护政策落实离不开企事业单位内部制度的完善，而员工隐私保护意识淡薄、员工利用个人信息非法牟利等是用户隐私泄露的主要原因。企事业单位应着力完善隐私保护制度，如与涉及用户隐私的工作人员签订保密协议；明确信息安全事故的惩处机制；定期开展隐私保护课程与考核等。在图书馆信息共享工作开展的背景下，应明确图书馆个人信息共享的目的、信息类型，规定需要用户明示同意的信息处理类型，以及未经用户同意可处理的信息类型与情境。图书馆应对接受个人信息的第三方资质进行审核，明示个人信息处理过程中双方法律责任。图书馆领域可将访问控制、数字水印、消息摘要、身份认证、个人隐私偏好平台(Platform for Privacy Preferences，P3P 协议)等技术标准制度化。

3.4 未成年人隐私保护政策法规的细化

未成年人信息保护是国内健康APP隐私保护政策的薄弱环节，相关政策主要强调未成年人在家长或监护人的指导下阅读隐私保护政策和采纳服务，未细化未成年人隐私保护政策。对比国外健康APP，以Fitbit为例，其专门制定了儿童(13岁或管辖区同等年龄标准以下)账户隐私保护政策，政策中说明了收集的信息类型，且明确了收集信息的用途，包括帮助孩子联系家庭账户内的用户。此外，Fitbit还指出了信息分享范围，以及如何访问和删除儿童个人信息。《中华人民共和国未成年人保护法》规定任何组织或个人不得私自查看或披露未成年隐私，健康APP应根据条例细化隐私保护政策中的未成年人隐私保护措施，包括未成年人隐私采集的种类、用途等。对于图书馆领域，当前《中华人民共和国公共图书馆法》尚未针对未成年人隐私保护制定专门政策，为此，应明确对未成年人信息使用、共享、转让或披露的条件。具体而言，结合美国图书馆协会(American Library Association，ALA)的《图书馆权利法案》，图书馆应保障未成年人隐私权，为未成年人提供隐私不受侵犯的物理环境，同时为使用的信息资源保密。此外，图书馆员不应泄露未成年人的个人信息及借阅信息，包括监护人、学校管理者等。