來源：DIGITIMES/楊步偉

美國的聯邦貿易委會(FTC)宣布新規，若健康App和行動裝置所儲存的使用者個資，在未經許可下分享給外部人士，或是遭到盜用或侵害則須通知消費者。假設企業未遵守新規定，FTC將對違規企業祭出每日4.38萬美元的罰款。

根據TechCrunch和ZDNet報導，FTC也在2021年9月中旬時以表決結果通過了新的規定，並順勢釐清了2009年的《健康資訊外洩通報規則》(Health Breach Notification Rule)，即若企業在未經消費者許可的情況下讓第三方取用使用者個資，則須通知消費者。這項規則已經擴大適用範圍到健康App和裝置，例如是追蹤懷孕、健身或是血糖等個資的App。

對此FTC指出，很多美國人使用App追蹤疾病、診斷、治療、用藥、健身、備孕、睡眠、心理健康和飲食等範疇，顯示《健康資訊外洩通報規則》的重要性更是不言而喻。因此，提供上述服務的廠商應該妥為保護使用者個資。然而，FTC主席Lina Khan認為，企業往往疏於妥為投資在隱私權和個資保護等範疇。更有甚者，數位App採取寬鬆的使用者個資政策，導致使用者的敏感健康資訊容易受到駭客盜用和侵害。

Khan也引用《英國醫學期刊》(British Medical Journal)最近的研究也發現，App往往遭遇各式嚴重問題，包括不安全的使用者個資傳送，以及未經許可將資料分享給廣告主等等。

在新規定上路後，任何推出健康App或連結健康行動裝置而蒐集使用者健康個資的企業，在個資遭洩漏時，必須通知消費者。而《健康資訊外洩通報規則》並未只將「個資侵害」(data breach)定義為「資安入侵」(cybersecurity intrusion)；「未經授權取用個資」(unauthorized access to personal data)，包括在未經使用者同意下分享個資等情事，也須通知消費者。

據了解，近年來已經有不少健康應用程式個資遭到侵害的案例。例如，英國的人工智慧聊天機器人和遠距健康新創公司Babylon Health，在2020年便在「軟體錯誤」後便發生個資遭侵害的問題。而女性生理期追蹤應用程式Flo最近被爆出和第三方分析及行銷服務機構分享使用者個資的情事。

儘管《健康資訊外洩通報規則》要求濫用使用者個資的科技業負起責任，然而更基本的問題在於企業「商品化敏感健康資訊」，即掌握使用者健康資訊的企業可以提供這些資訊廣告主以完善行銷活動，或是用於使用者分析。