日期:[2022年11月24日] -- 智慧生活报 -- 版次:[A1]
健康隐私协议暗藏陷阱?

医疗APP该治“偷窥病”

  近日,某购物APP自行删除用户手机视频引发热议,再次将APP权限及用户隐私保护问题推上风口浪尖。移动互联时代,个人信息被智能手机应用过度违规采集问题屡次被曝光,此前,多款医疗健康类APP就因过度收集个人信息被监管通报。
  在使用医疗健康类APP求医问药需要注意哪些问题?相册、位置、身份证号、通讯录等私密信息,为何在各类应用后台一览无遗,有的数据甚至成了可以买卖的第三方产品?如何堵住个人信息泄露漏洞?记者对此进行了采访。
线上咨询脱发植发商家却相继来电
  95后的王先生就曾因个人信息泄露问题苦恼过。去年年底,他因脱发问题下载了一款医疗健康手机应用,按照流程,他填写了手机号、姓名,并且上传了面部信息以及脱发照片,让医生做初步线上诊断。
  医生给出诊断结果后,提供了治疗方案,但王先生考虑价格较高并未接受,并停止咨询和卸载了该应用。但之后一周,他先后接到了四五个电话,均是不同医美机构询问其有无植发意愿,甚至还有贷款公司问其是否需要借贷,此时的他感觉个人信息被泄露。
  记者在手机应用商店随机下载了一款高评分微整形医美APP,安装后进入界面第一步是注册填写手机号码、所在地等信息,甚至需要选择“魔镜”功能进行面部识别,才能进入咨询界面。
  某互联网软件开发公司技术工程师高雯雯在接受记者采访时表示,一些手机应用收集个人信息的目的,一是为了验证APP各方面合理性,例如,一个新页面放在首页,运营人员会根据收集的行为信息获得反馈,进而调整优化功能;二是为了用数据构建用户画像,进行个性化推荐,此外还可能将信息提供给所需服务的第三方。“现在市场上相当一部分手机应用属于过度收集个人信息。”高雯雯说,制作一款简单APP的成本非常低,任何一家公司花几万元用固有模块拼装修改一下就能开发。但是,如果APP不正规,可能会有第三方接口和插件,数据会直接泄漏给第三方。由于开发成本较低,数据还可能被破库和内部人员贩卖。
与关联服务公司共享用户信息
  今年4月,好医生APP(版本6.1.3)因涉嫌隐私不合规问题,被国家计算机病毒应急处理中心通报。去年8月,禾连健康APP(版本9.2.4)因收集与提供服务无关的个人信息,且存在未经同意向他人提供个人信息等问题被通报。再早之前,工信部就曾通报批评过广东壹号大药坊连锁有限公司旗下的1药网APP私自收集个人信息并共享给第三方等问题。
  企查查数据显示,目前共有超4000个医疗相关APP。高雯雯说,有的APP获取的隐私信息范围大到惊人,远超出国家规定范围。
  记者在所下载APP个人信息使用隐私协议中看到,基本信息、面部特征、个人财产信息、上网记录、常用设备记录均会被收集。在如何共享、转让、公开披露您的个人信息一节中,协议还要求除了在明确同意、法律规定、自行同意的情况下,还会与关联的服务公司共享,其中的服务提供方有小额贷款公司、保险业务公司。
  北京中银律师事务所高级合伙人杨保全在记者采访时表示,消费者下载安装医疗APP的一个原因是出于便捷目的,即去医院之前的自我诊断、用药问询、导诊挂号等。因此,医疗健康类APP相较于其他类型,收集的信息更为隐私,诸如人的身体数据、健康状况以及生理情况等,这些数据也需要更加严格的管理。
进一步明确需要提供的信息范围
  民法典、网络安全法、个人信息保护法等都对个人信息保护做了原则上的规定,但实际上APP违法收集个人信息的问题仍然屡禁不止。杨保全认为,这一方面与应用商店对APP的合规评估不足、相关部门执法力度不够有关,另一方面是由于个人面对隐私侵害往往不会选择诉讼途径。“大部分用户可能没意识到自身权利受到侵害,有的即使意识到了,但考虑到个人力量弱小,诉讼时间金钱成本难以承担,因此只能默认。”杨保全分析说。
  去年5月,在违规收集数据的界定上,国家网信办等多部门联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确了各类APP收集信息的范围,包括问诊挂号类、女性健康类等,有的无须个人信息,即可使用基本功能服务。
  杨保全建议,有关部门应当继续完善对不同类型APP、不同服务需要提供信息的范围界定,比如可将医疗类APP更细致地划分为保健类、问诊类、挂号类等,确保在实践中个人信息保护有法规可依,同时还应开通更加方便的个人举报渠道,确保及时受理、及时处理。相关部门也可以奖励投诉举报的个人消费者,形成积极的社会监督力量。 据《工人日报》

■相关
《个人信息保护法》实施一年效果如何?还存在哪些问题?
《中华人民共和国个人信息保护法》自2021年11月1日起施行,至今已满一年,目前,个人信息保护相关法律实施效果如何?还存在哪些问题?如何进一步增强个人信息安全感?记者采访了有关专家。
持续完善规则制度
《个人信息保护法》实施一年来,有关部门出台了相关法规细则,监管力度不断加强,个人信息保护意识显著提升,相关企业滥用个人信息等问题得到很大改善。据最高检公布的最新数据,2018年以来,全国检察机关以侵犯公民个人信息罪批捕16459人、起诉33417人。其中,2022年1月份至9月份批捕1199人、起诉6223人,较2018年同期分别下降47.2%、上升87.9%。
  与此同时,还有一些问题依然存在。比如,作为平台注册用户,消费者是否有权要求平台披露收集的个人信息及相关处理情况?日前,广东省高级人民法院发布一批个人信息保护典型案例,其中周某某诉某电子商务公司个人信息保护纠纷案的裁判结果对此给出肯定答案。
  周某某曾致电和发送邮件给该公司相关部门,希望平台披露收集到的他的本人信息,无果。为此,周某某诉至法院维权。广州市中级人民法院生效判决认为,周某某要求平台向其披露个人信息,实质是主张个人信息查阅、复制权。个人信息查阅、复制权是个人重要的法定权利,依法应予充分保障。法院最后依法判决该公司提供其收集的周某某相关个人信息及其处理相关情况供周某某查阅、复制。“在电子商务领域,个人的商品浏览记录、购物记录、关注记录、加购信息、订单信息等消费者行为信息,与个人人格利益息息相关,属于个人信息,应加以保护。”北京互联网法院综合审判三庭法官助理张亚光表示。
规范落实还需细化
“个人信息保护问题具有侵权行为较为隐蔽不易发现、当事人在发现个人信息被侵犯后难以举证、被侵害人数较多等特点。此类案件被诉主体主要集中在网络平台和应用软件、电商平台等。”北京市海淀区人民法院法官助理秦婧然表示。
  对上述企业而言,如何更好贯彻落实个人信息保护法规定?最常见的方式就是发布隐私政策。但对于平台发布的隐私政策,用户会仔细阅读吗?“不读,直接点同意。”网购消费比较多的殷女士说,因为不点同意就不能使用APP。与殷女士一样,为了便利,很少有人会认真阅读平台所谓“隐私政策”,而是选择直接同意。“每个人都要提高警惕,培养对个人信息‘非必要不提供’的意识。若网络服务者因用户不提供非必要信息而拒绝提供服务,可优先选择与平台方进行反馈并沟通,维护自身合法权益。同时,网络服务提供者个人信息保护意识逐步增强,但规范落实仍需细化。”张亚光表示。
  中国互联网协会研究中心副主任、北京师范大学博士生导师吴沈括认为,健康可持续发展的数字生态,在于社会各单位包括公共部门、私营部门有关网络治理、数据治理的组织管理体系、组织管理架构的完善,以及社会公众的数字素养的提升。在网络空间和数据资源的利用层面,需要进一步提升数字化意识以及必要的数字技能。
加大监管处罚力度
  北京市消费者协会于9月份公布的调查报告显示,七成多受访者认为仍然存在大数据“杀熟”现象,六成多受访者表示有过被大数据“杀熟”经历,有近半(47.68%)受访者选择自认倒霉,只有极个别(4.95%)受访者选择通过司法途径维权。这说明大部分受访者能够认识到大数据“杀熟”行为侵犯了消费者合法权益,但选择依法维权的人并不多。
  北京市中闻律师事务所律师李亚表示,取证难、成本高、意识低等因素导致选择拿起法律武器维权的用户只占少部分。“执法方面,存在执行力度不严、处罚力度较轻的情况,而且由于技术困难等原因导致监管力度不足,因此需要进一步加大监管和处罚的力度,让个人信息保护法真正长出‘牙齿’。”李亚说。 据《经济日报》