健康应用程序和数据隐私：开发人员的最佳实践

近年来，随着人们希望在自己的健康和保健方面发挥更积极的作用，健康应用程序的使用显着增加。然而，虽然这些应用程序可能是有用的工具，但它们也会引发重要的隐私问题。患者将他们的健康数据托付给开发商是一个主要问题，开发商必须认真对待这一问题，否则可能会导致代价高昂的罚款和声誉损失。

想象一下这个场景：您已经构建了一个健康应用程序来帮助用户确定潜在的诊断。您的一位用户担心她的伴侣正在与抑郁症作斗争，因此搜索症状。她浏览可能的诊断并研究治疗方法。她认为这是一种可能性，但现在没有任何进展。

第二天，她看到了一则针对治疗抑郁症的广告。时间有点可疑，所以她做了一点谷歌搜索，发现您的健康应用程序将她的活动和信息发送给了 100 多个第三方，包括广告商。

她删除了您的应用程序，并写了一篇博文，介绍您的应用程序如何试图通过她伴侣的抑郁症获利。成千上万的人读了它，了解到您和许多其他 mHealth 应用程序创建者一样，与收集用户信息的广告技术公司合作，以帮助应用程序使他们的广告“更有价值”。

这是一个假设的场景，但它应该作为一个警示故事。与您之前的许多应用程序开发人员一样，您可能认为用户不关心隐私，或者您不会因为您的应用程序不受 HIPAA保护而违反法规。

但这些都不再是真的了。如果您正在构建健康应用程序，隐私不能成为次要考虑因素。整个应用程序需要将隐私放在首位。否则，您可能会面临罚款、诉讼和失去您正试图帮助的用户的信任。

开发隐私至上的健康应用程序

长期以来，在线健康隐私就像狂野西部一样被对待。这是无法无天的，或者至少是合法的。事实证明，在保护消费者健康隐私方面，HIPAA并不完美。例如，HIPAA 不保护您对健康信息的在线搜索。

大型科技公司似乎一直在测试他们能做什么和不能做什么的界限。Meta 最近被发现从医院接收患者健康数据。此外，活动人士担心谷歌可能会与执法部门共享医疗程序数据，或者数据公司可能会向医疗从业者出售阿片类药物“风险评分” 。

消费者并不总是知道谁在收集有关他们的哪些数据，这不足为奇。根据皮尤研究所的研究，只有不到十分之一的消费者会阅读隐私政策——谁又能责怪他们呢？《华盛顿邮报》的一位记者发现，他长期使用的各种技术的所有隐私政策加起来超过一百万字，估计需要 55 小时才能阅读。

如今，立法机构和科技公司本身的情况都开始发生变化。加利福尼亚州议员 Rebecca Bauer-Kahan 最近提交了一项法案，旨在保护消费者免受出于提供护理以外的目的使用“推断或诊断的心理健康或物质使用障碍”的应用程序的侵害，州长 Gavin Newsom 于 9 月签署了该法案。

Mozilla 基金会等私营部门公司要求加强监管，以保护医疗保健系统之外的患者数据，尽管批评者认为这种努力是虚伪的烟幕。

即便如此，隐私可能开始成为科技公司的竞争优势。苹果公司在与 Facebook 和谷歌的冷战中，通过公司新的广告跟踪政策为消费者赢得了隐私保护。现在，当 iOS 应用程序想要跟踪消费者时，会弹出一条小通知，询问用户是否同意。这使苹果的广告投资回报率下降了 38%，但与消费者产生的商誉可以说可以弥补这些损失。

那是因为舆论正在转变。消费者更加意识到在线数字隐私的价值，他们更加信任采取明显措施保护数字隐私的公司。如果您正在开发健康应用程序，那么将数据隐私放在首位比以往任何时候都更加重要。

如何优先考虑隐私

作为一家健康科技公司的工程高级副总裁，我知道数据是一把双刃剑。您的应用程序必须收集足够多的数据才能对您的用户有用，但您必须尽可能地保护这些数据，因为您公司的声誉、财务和法律地位都处于危险之中。

有两个问题：首先，许多应用程序随意使用其消费者的数据，收集不必要的数据，将其出售给第三方，并且对收集数据的内容和时间不透明。这会导致消费者隐私受到侵蚀，这可能会导致消费者对您的信任度降低，并可能在未来导致诉讼或罚款。

其次，不良行为者喜欢健康数据，因为它很有价值。您对消费者数据越粗心，被黑客入侵的风险就越大。以下是构建健康应用程序的方法，该应用程序可以收集数据，同时仍将隐私和安全放在首位。

遵守法规

法律格局瞬息万变，时至今日，还没有单一的一揽子规则可循。根据您应用的侧重点，您可能需要遵守 FTC 法案、FTC 的健康违规通知规则、HHS 的健康保险流通与责任法案 (HIPAA) 或 FDA 的联邦食品、药品和化妆品法案。

在构建健康应用程序之前和之后，您应该关注有关健康隐私的地方和国家法规。FTC 自己的互动平台是一个很好用的工具。当我们在 Ilumivu 参加 FTC 的流程图测验时，我们确认——正如我们已经知道的那样——我们帮助开发的一些应用程序受到上述法案和规则的拼凑。

此外，由于我们的一些应用程序处理从 13 岁以下儿童收集的数据，因此我们必须遵守儿童在线隐私保护规则和 Gramm-Leach-Bliley 法案保障和隐私规则。

最后，除了联邦法律，您还必须确认您的州法律。我建议研究全国州议会会议，了解哪些法律适用于您所在的州。我说“终于”，但研究真的没有尽头。法律改变。确保您了解最新信息，因为如果 FTC 发现您违反法律，他们不会以无知为借口。

我建议您在公司负担得起时尽快聘请一名合规官——违规的风险是值得的。大多数技术人员对这些规定不够熟悉，而且无论如何，您都希望让他们自由地做他们最擅长的事情。

保持透明

还记得我之前谈到的那些冗长、晦涩的隐私政策吗？不要那样。相反，要尽可能主动和清楚地了解您如何使用和存储用户数据。

不要只告诉人们您正在收集数据——还要告诉他们原因。例如，与其告诉用户您的应用想要访问他们的联系人，不如考虑这样的消息：“MyApp 想要收集您的联系人信息，以便我们可以向他们发送有关您活动的更新。”这让用户对他们允许的内容以及他们允许或不允许的原因有了更知情的同意。

最后，确保用户在下载应用程序时了解您将收集哪些数据，然后在您收集这些数据时再次通知他们。这称为“及时”通知。例如，如果您需要在他们记录数据时知道他们的位置，请考虑在他们打开应用程序时显示通知。

重视安全

如果您的用户将宝贵且敏感的健康数据托付给您，则您需要在代码的每个级别构建安全性。在启动您的 mHealth 应用程序之前测试您的安全措施和控制。适当地评估和更新您的安全预防措施。在您的 SDLC 中构建安全测试，以便在每个版本中测试围绕数据和代码的控制。

一项测试 mHealth 应用程序安全性的研究的作者创建了名为 BProxy 的软件，该软件测试了七个常见的安全问题。软件清单是一个很好的概念，可以确保您超越标准。根据这项研究，在 53 款最受欢迎的健康应用程序中，整整 40% 的应用程序都存在严重的安全问题。

您还应该在静止和传输过程中使用强加密：即，存储时安全，移动时安全。加密静态数据意味着当您的客户数据被存储时，它不会以纯文本形式存储。即使坏人成功侵入您的数据库或获取数据，他们也无法读取它，因为它是加密的。

至于“传输中”，有时您必须在 A 点和 B 点之间发送数据。例如，您的应用程序可能会将用户症状发送到一个单独的数据仓库，在那里将分析这些症状以获得最有可能的诊断。数据在您的应用程序和潜在的第三方之间移动之前应该被加密。

这种加密很难编码，所以如果您遇到困难，请不要妥协。使用现成的工具来保护数据，或引入一些外部帮助。

不要出售客户数据

如今出售客户数据是一个冒险的前景。认真考虑是否需要出售数据。如果你决定出售，至少要给消费者选择退出的权利。许多健康应用程序将消费者数据输送给广告商以获利。虽然今天这??样做是合法的，但将来可能会改变。另外，如上所述，如今的消费者更注重保护他们的健康隐私，因此这种策略可能是短视的。

限制访问和权限

您正在构建哪种健康应用程序？它真正需要什么权限才能运行？许多健康应用程序请求访问不相关的信息，例如联系电话或位置。如果您确实需要该访问权限，请构建安全专家所说的“最小权限”，即最大限度地减少传输数据所需的访问权限的行为。

例如，Android 设备需要位置权限才能访问蓝牙设备。我们遵守该要求，同时通过让消费者非常清楚地了解“为什么”来优先考虑客户隐私。

内置删除选项

这个很简单让用户可以随时出于任何原因删除您的应用程序收集的所有数据。这会增加消费者对您的信心，是优先考虑消费者隐私的最佳做法。

这是最佳做法，但也是 GDPR 和 CCPA 的要求。如果您还没有这样做，您应该很快就会需要这样做。

去识别化数据

如果您的应用程序符合 HIPAA 法规，则对数据进行去识别化处理或从健康数据中删除个人标识符是一项法律要求。这些数据包括过去、现在或未来可能的医疗状况、接受的任何医疗保健服务以及可能与个人相关联的通用标识符。一个典型的例子是医院账单。

即使您的应用程序不受 HIPAA 法规的约束，数据去标识化也是一个值得遵循的好做法。HHS批准了两种广受好评的方法来对数据进行去标识化处理：专家确定和安全港。

专家确定意味着您让专家告诉您，一些随机人员或第三方提供商通过您收集的数据识别出某个人的风险很小。HSS 在某种程度上将专家定义为“对普遍接受的统计和科学原则和方法具有适当知识和经验的人，以提供无法单独识别的信息”。该专家还需要记录他们是如何确定这一点的。

安全港更直接一些。这意味着您从 HHS 列出的 18 个关键标识符的数据中剥离。我不会在这里一一列举，但有几个例子包括姓名、地址、电子邮件、SSN 和生物识别数据。

超越自我

法规和消费者期望在不断变化。本文是一个起点，但不是权威指南。除了这七个技巧之外，您还可以做更多的事情。

查看 FTC 的移动健康应用程序开发指南。我还建议阅读加利福尼亚州司法部关于所有类型移动应用程序隐私的建议，因为在撰写本文时，该州拥有全国最严格的措施。此外，您还可以利用专家提供的免费且低成本的隐私和安全资源，例如 Open Web Application Security Project关于要避免的 10 大移动应用程序安全风险的指南。

最后，超越最低限度。如果您的应用不属于 HIPAA 的规定，您仍然应该遵守这些规定。如果您的应用程序确实属于 HIPAA，请不要一字不差地遵循它们。采取额外的安全和隐私措施。

消费者理应获得更好的隐私权，同时立法和法规也在跟进。把它交给他们是你的工作和责任。