28 Апреля, 2019

Приложения Mental Health могут делиться данными пользователя без четких политик конфиденциальности

Владимир Безмалый

Большинство приложений для борьбы с депрессией и прекращением курения, занимающие лидирующие позиции в мире, обмениваются данными с третьими сторонами, не раскрывая при этом политику конфиденциальности.

Оценка 36 самых популярных приложений по борьбе с депрессией и курением в США и Австралии показала, что большинство этих приложений для здоровья передают данные третьим сторонам, но только 12 рассказали об этой практике в своей политике конфиденциальности.

Исследователи из Australia Black Dog Institute и Beth Israel Deaconess Medical Center (Boston) проанализировали политику конфиденциальности самых популярных приложений, а также передачу зашифрованных и незашифрованных данных в период с апреля по июнь 2018 года.

Они обнаружили, что 69 процентов, или 25 из 36 приложений, включили политику конфиденциальности для пользователей. Из тех, у кого есть политика, 88 процентов четко заявили об основных видах использования для сбора данных. Однако только 16 из этих приложений разделили вторичное использование для обмена данными.

В то же время 92% или 23 из 25 приложений с политикой конфиденциальности, уведомляли пользователей о том, что их данные будут переданы третьей стороне, исследователи обнаружили передачу данных в 33 из 36 проанализированных приложений для здоровья.

Почти половина приложений (17 из 36 (47 процентов)) передавала данные сторонним лицам, но не имела политики конфиденциальности (9 приложений), не раскрывала эту передачу в тексте политики (5 приложений) или явно заявляла, что передачи не будет (3 приложения).

Около 70 процентов приложений положительно указали, что данные будут передаваться рекламодателям, а 61 процент — рекламодателям и аналитическим службам. И только одно приложение прямо заявило, что их данные не будут переданы третьим лицам.

Более 80 процентов публикуют данные в маркетинговых целях только двум сторонним организациям: Google и Facebook. Но только 43% передают данные в Google, а 50% делятся данными с Facebook.

Передача данных сторонним организациям была распространена, встречаясь в 33 из 36 приложений топ-рейтинга (92 процента) для подавления и прекращения курения, но большинство приложений не смогли обеспечить прозрачное раскрытие такой практики.

Кроме того, многие приложения для здравоохранения обозначают себя как оздоровительные инструменты в своих политиках конфиденциальности, чтобы обойти HIPAA и другие нормативные акты, предусматривающие защиту конфиденциальности пациентов.

В последнем отчете JAMA отражены аналогичные результаты  BMJ  , который обнаружил, что большинство всех приложений для здоровья, или 79 процентов, регулярно обмениваются данными с третьими сторонами и далеко не прозрачны в отношении этой практики.

В настоящее время губернатор Нью-Йорка изучает методы сбора данных о состоянии здоровья  Facebook  , следуя докладу Wall Street Journal, в котором показано, что несколько приложений обмениваются данными с платформой социальных сетей и не всегда с согласия пользователя.

Что касается практики использования этих приложений, обсуждаемой в последнем отчете Jama, так это то, что некоторые данные, передаваемые третьим сторонам, носили очень чувствительный характер, включая дневники здоровья и отчеты об употреблении веществ.

Несмотря на то, что исследователи не наблюдали, чтобы эти приложения напрямую обменивались информацией, позволяющей установить личность, трафик, отправляемый сторонним лицам, обычно включал связываемую информацию, такую ??как идентификаторы фиксированных устройств на Android и рекламные идентификаторы на устройствах iOS и Android.

В результате любая передача основных пользовательских данных в сочетании с этими идентификаторами может позволить третьим сторонам генерировать связанные данные о состоянии психического здоровья пользователя.

Пользователи должны знать, что использование якобы автономных приложений для охраны психического здоровья и состояние здоровья, которое это подразумевает, могут быть связаны с другими данными для других целей, таких как маркетинг, ориентированный на психические заболевания.

Исследователи подчеркнули, что поставщики медицинских услуг, предписывающие использование любого приложения для охраны психического здоровья, не должны полагаться на раскрытие информации о конфиденциальности, а должны предполагать, что любые данные будут передаваться сторонним коммерческим организациям, некоторые из которых имеют сомнительные методы обеспечения конфиденциальности.

Оригинал