개인정보보호

일부 mHealth 앱의 유해한 데이터 수집 습관을 고려하여 가장 민감한 데이터를 공유할 대상을 선택할 때 신중하게 결정하는 것이 좋습니다.

필 먼캐스터

월 19 2024
 • 
,
5 분. 읽다

오늘날의 디지털 경제에는 거의 모든 것을 위한 앱이 있습니다. 가장 호황을 누리고 있는 분야 중 하나는 의료입니다. 생리 기간 및 가임기 추적기부터 정신 건강 및 마음챙김에 이르기까지 거의 모든 상태에 도움이 되는 모바일 건강(mHealth) 애플리케이션이 있습니다. 실제로 이 시장은 이미 두 자릿수 성장을 경험하고 있으며 가치가 있는 시장입니다. 추정 된 861에 의해 $ 2030 십억

그러나 이러한 앱을 사용하면 귀하가 소유한 가장 민감한 데이터 중 일부를 공유하게 될 수 있습니다. 실제로, GDPR 분류 의료 정보는 "특수 범주" 데이터로 간주됩니다. 이는 공개될 경우 "개인의 기본 권리와 자유에 심각한 위험을 초래할 수 있음"을 의미합니다. 이것이 바로 규제 기관이 조직에 추가 보호 제공을 의무화하는 이유입니다.

안타깝게도 모든 앱 개발자가 사용자의 이익을 최우선으로 생각하거나 사용자를 보호하는 방법을 항상 알고 있는 것은 아닙니다. 데이터 보호 조치를 간과하거나 항상 그렇지 않을 수도 있습니다. 확실히 해 귀하의 개인정보 중 얼마나 많은 부분을 제3자와 공유하는지. 이를 염두에 두고 이러한 앱 사용에 따른 주요 개인 정보 보호 및 보안 위험과 안전을 유지할 수 있는 방법을 살펴보겠습니다.

최고의 건강 앱 개인 정보 보호 및 보안 위험은 무엇입니까?

mHealth 앱 사용 시 발생하는 주요 위험은 불충분한 데이터 보안, 과도한 데이터 공유, 서투른 표현 또는 의도적으로 회피하는 개인 정보 보호 정책의 세 가지 범주로 분류됩니다.

1. 데이터 보안 문제

이는 개발자가 사이버 보안에 대한 모범 사례 규칙을 따르지 않아서 발생하는 경우가 많습니다. 여기에는 다음이 포함될 수 있습니다.

• 더 이상 지원되지 않거나 업데이트를 받지 못하는 앱: 공급업체는 취약점 공개/관리 프로그램을 갖추고 있지 않거나 제품 업데이트에 거의 관심이 없을 수 있습니다. 이유가 무엇이든, 소프트웨어가 업데이트를 받지 못한다면 이는 공격자가 데이터를 훔치기 위해 악용할 수 있는 취약점으로 가득 차 있을 수 있음을 의미합니다.
• 안전하지 않은 프로토콜: 안전하지 않은 통신 프로토콜을 사용하는 앱은 앱에서 해당 데이터가 처리되는 공급자의 백엔드 또는 클라우드 서버로 전송되는 데이터를 해커가 가로챌 위험에 사용자를 노출시킬 수 있습니다.
• 다중 요소 인증(MFA) 없음: 오늘날 대부분의 평판이 좋은 서비스는 로그인 단계에서 보안을 강화하는 방법으로 MFA를 제공합니다. 이것이 없으면 해커는 피싱이나 별도의 위반(다른 앱에서 비밀번호를 재사용하는 경우)을 통해 비밀번호를 알아내고 마치 본인인 것처럼 로그인할 수 있습니다.
• 취약한 비밀번호 관리: 예를 들어 사용자가 공장 기본 비밀번호를 유지하도록 허용하거나 'passw0rd' 또는 '111111'과 같은 안전하지 않은 자격 증명을 설정할 수 있는 앱입니다. 이로 인해 사용자는 크리덴셜 스터핑 및 기타 무차별 대입 시도에 노출되어 계정을 크랙할 수 있습니다.
• 기업 보안: 앱 회사는 자체 데이터 스토리지 환경에 제한된 보안 제어 및 프로세스를 갖추고 있을 수도 있습니다. 여기에는 열악한 사용자 인식 교육, 제한된 맬웨어 방지 및 엔드포인트/네트워크 감지, 데이터 암호화 없음, 제한된 액세스 제어, 취약성 관리 또는 사고 대응 프로세스 없음이 포함될 수 있습니다. 이는 모두 데이터 유출을 겪을 가능성을 높입니다.

2. 과도한 데이터 공유

사용자의 건강 정보(PHI)에는 성병, 약물 첨가 또는 기타 낙인이 찍힌 상태에 대한 매우 민감한 세부 정보가 포함될 수 있습니다. 이는 마케팅 및 타겟 광고를 위한 광고주를 포함한 제3자에게 판매되거나 공유될 수 있습니다. 예시 중에서 Mozilla가 언급한 mHealth 제공업체는 다음과 같습니다.

• 사용자 정보를 데이터 브로커, 소셜 미디어 사이트 및 기타 제공업체에서 구매한 데이터와 결합하여 보다 완전한 신원 프로필을 구축합니다.
• 사용자가 특정 데이터의 삭제를 요청하는 것을 허용하지 않습니다.
• 사용자가 성적 지향, 우울증, 성 정체성 등에 관해 공개적인 질문을 하는 가입 설문지를 작성할 때 사용자에 대해 추론을 사용합니다.
• 관련 광고를 제공하기 위해 다른 웹사이트에서 사용자를 식별하고 추적하는 제3자 세션 쿠키를 허용합니다.
• 사용자 마우스 움직임, 스크롤 및 입력을 모니터링하는 세션 기록을 허용합니다.

3. 불명확한 개인정보 보호정책

일부 모바일 헬스 제공업체는 모호한 언어를 사용하거나 작은 글씨의 T&C에 자신의 활동을 숨기는 등 위의 개인정보 보호 관행 중 일부에 대해 솔직하지 않을 수 있습니다. 이는 사용자에게 보안/개인 정보 보호에 대한 잘못된 인식을 줄 수 있습니다.

법이 말하는 것

• GDPR : 유럽의 주요 데이터 보호법은 특수 범주 PHI를 처리하는 조직에 대해 매우 명확합니다. 개발자는 개인 정보 보호 영향 평가를 수행하고, 삭제 권한 및 데이터 최소화 원칙을 따르고, 개인 데이터를 보호하기 위해 "필요한 보호 장치"가 내장되어 있는지 확인하기 위한 "적절한 기술적 조치"를 취해야 합니다.
• HIPAA: 상업용 공급업체가 개인용으로 제공하는 모바일 헬스 앱은 HIPAA의 적용을 받지 않습니다.적용 대상" 또는 "동료.” 그러나 일부 경우에는 적절한 관리적, 물리적, 기술적 보호 조치가 마련되어 있어야 하며 연간 위험 분석.
• CCPA 및 CMIA: 캘리포니아 주민은 모바일 헬스 환경에서 자신의 보안과 개인정보를 보호하는 두 가지 법률, 즉 의료정보기밀유지법(CMIA)과 캘리포니아 소비자 개인정보 보호법(CCPA)을 보유하고 있습니다. 이들은 요구한다 높은 수준의 데이터 보호 및 명시적인 동의. 그러나 이는 캘리포니아 주민에게만 적용됩니다.

귀하의 개인정보를 보호하기 위한 조치를 취하는 중입니다.

사람마다 위험 선호도가 다를 것입니다. 어떤 사람들은 개인화된 서비스/광고와 개인 정보 보호 사이에서 자신이 원하는 균형을 찾을 것입니다. 일부 의료 데이터가 침해되거나 제3자에게 판매되더라도 다른 사람들은 신경 쓰지 않을 수 있습니다. 적절한 균형을 찾는 것입니다. 걱정된다면 다음을 고려해보세요.

• 다운로드하기 전에 조사해 보세요. 다른 사용자의 의견과 신뢰할 수 있는 리뷰어의 위험 신호가 있는지 확인하세요.
• 이러한 앱을 통해 공유하는 내용을 제한하고 귀하가 말하는 모든 내용이 공유될 수 있다고 가정하세요.
• 앱을 소셜 미디어 계정에 연결하거나 이를 사용하여 로그인하지 마세요. 이렇게 하면 해당 회사와 공유할 수 있는 데이터가 제한됩니다.
• 앱에 권한을 부여하지 마세요 장치의 카메라, 위치 등에 액세스합니다.
• 휴대폰의 개인 정보 보호 설정에서 광고 추적을 제한하세요
• 제공되는 경우 항상 MFA를 사용하고 강력하고 고유한 비밀번호를 생성하세요.
• 앱을 최신(가장 안전한) 버전으로 유지하세요.

Roe 대 Wade 판결이 뒤집힌 이후 모바일 헬스 개인정보 보호에 대한 논쟁은 우려스러운 방향으로 바뀌었습니다. 일부 경보를 울렸어 생리 기간 추적기의 데이터는 임신을 중단하려는 여성을 기소하는 데 사용될 수 있습니다. 개인 정보 보호를 존중하는 mHealth 앱을 찾는 사람들이 점점 더 많아지고 있어 그 위험은 이보다 더 높을 수 없습니다.