智能应用 影音
科政中心
12/16 Research产业趋势论坛

FTC新规 健康App未经消费者许可不得分享个资

FTC新规 健康App未经消费者许可不得分享个资

美国的联邦贸易委会(FTC)宣布新规,若健康App和移动设备所储存的使用者个资,在未经许可下分享给外部人士,或是遭到盗用或侵害则须通知消费者。假设企业未遵守新规定,FTC将对违规企业祭出每日4.38万美元的罚款。

根据TechCrunch和ZDNet报导,FTC也在2021年9月中旬时以表决结果通过了新的规定,并顺势厘清了2009年的《健康信息外泄通报规则》(Health Breach Notification Rule),即若企业在未经消费者许可的情况下让第三方取用使用者个资,则须通知消费者。这项规则已经扩大适用范围到健康App和装置,例如是追踪怀孕、健身或是血糖等个资的App。

对此FTC指出,很多美国人使用App追踪疾病、诊断、治疗、用药、健身、备孕、睡眠、心理健康和饮食等范畴,显示《健康信息外泄通报规则》的重要性更是不言而喻。因此,提供上述服务的厂商应该妥为保护使用者个资。然而,FTC主席Lina Khan认为,企业往往疏於妥为投资在隐私权和个资保护等范畴。更有甚者,数码App采取宽松的使用者个资政策,导致使用者的敏感健康信息容易受到黑客盗用和侵害。

Khan也引用《英国医学期刊》(British Medical Journal)最近的研究也发现,App往往遭遇各式严重问题,包括不安全的使用者个资传送,以及未经许可将数据分享给广告主等等。

在新规定上路後,任何推出健康App或连结健康移动设备而蒐集使用者健康个资的企业,在个资遭泄漏时,必须通知消费者。而《健康信息外泄通报规则》并未只将「个资侵害」(data breach)定义为「网安入侵」(cybersecurity intrusion);「未经授权取用个资」(unauthorized access to personal data),包括在未经使用者同意下分享个资等情事,也须通知消费者。

据了解,近年来已经有不少健康应用程序个资遭到侵害的案例。例如,英国的人工智能聊天机器人和线上健康新创公司Babylon Health,在2020年便在「软件错误」後便发生个资遭侵害的问题。而女性生理期追踪应用程序Flo最近被爆出和第三方分析及行销服务机构分享使用者个资的情事。

尽管《健康信息外泄通报规则》要求滥用使用者个资的科技业负起责任,然而更基本的问题在於企业「商品化敏感健康信息」,即掌握使用者健康信息的企业可以提供这些信息广告主以完善行销活动,或是用於使用者分析。

  •     按赞加入DIGITIMES智能医疗粉丝团
更多关键字报导: 美国联邦贸易委员会 个资 App