Quyền riêng tư

Do thói quen thu thập dữ liệu không lành mạnh của một số ứng dụng mHealth, bạn nên cẩn thận khi chọn người mà bạn chia sẻ một số dữ liệu nhạy cảm nhất của mình

Phil Muncaster

19 Mar 2024
 • 
,
5 phút đọc

Trong nền kinh tế kỹ thuật số ngày nay, hầu như mọi thứ đều có ứng dụng. Một lĩnh vực đang bùng nổ hơn hầu hết là chăm sóc sức khỏe. Từ công cụ theo dõi kinh nguyệt và khả năng sinh sản đến sức khỏe tâm thần và chánh niệm, đều có các ứng dụng sức khỏe di động (mHealth) sẵn có để trợ giúp hầu hết mọi tình trạng. Trên thực tế, đây là một thị trường đã có mức tăng trưởng hai con số và được coi là có giá trị ước tính 861 tỷ đô la vào năm 2030.

Nhưng khi sử dụng những ứng dụng này, bạn có thể chia sẻ một số dữ liệu nhạy cảm nhất mà bạn sở hữu. Trên thực tế GDPR phân loại thông tin y tế là dữ liệu “danh mục đặc biệt”, nghĩa là nó có thể “tạo ra rủi ro đáng kể đối với các quyền và quyền tự do cơ bản của cá nhân” nếu bị tiết lộ. Đó là lý do tại sao các cơ quan quản lý bắt buộc các tổ chức phải cung cấp các biện pháp bảo vệ bổ sung cho nó.

Thật không may, không phải tất cả các nhà phát triển ứng dụng đều quan tâm đến lợi ích tốt nhất của người dùng hoặc luôn biết cách bảo vệ họ. Họ có thể tiết kiệm các biện pháp bảo vệ dữ liệu hoặc không phải lúc nào họ cũng có thể làm sáng tỏ về lượng thông tin cá nhân của bạn mà họ chia sẻ với bên thứ ba. Với ý nghĩ đó, chúng ta hãy xem xét các rủi ro chính về quyền riêng tư và bảo mật khi sử dụng các ứng dụng này cũng như cách bạn có thể giữ an toàn.

Các rủi ro bảo mật và quyền riêng tư hàng đầu của ứng dụng sức khỏe là gì?

Rủi ro chính của việc sử dụng ứng dụng mHealth thuộc ba loại: bảo mật dữ liệu không đầy đủ, chia sẻ dữ liệu quá mức và các chính sách quyền riêng tư được diễn đạt kém hoặc cố tình lảng tránh.

1. Những lo ngại về bảo mật dữ liệu

Những điều này thường xuất phát từ việc các nhà phát triển không tuân theo các quy tắc thực hành tốt nhất về an ninh mạng. Chúng có thể bao gồm:

• Các ứng dụng không còn được hỗ trợ hoặc không nhận được bản cập nhật: Nhà cung cấp có thể không có chương trình quản lý/tiết lộ lỗ hổng bảo mật hoặc ít quan tâm đến việc cập nhật sản phẩm của họ. Dù lý do là gì đi nữa, nếu phần mềm không nhận được bản cập nhật, điều đó có nghĩa là phần mềm đó có thể chứa nhiều lỗ hổng mà kẻ tấn công có thể khai thác để đánh cắp dữ liệu của bạn.
• Giao thức không an toàn: Các ứng dụng sử dụng giao thức liên lạc không an toàn có thể khiến người dùng gặp nguy cơ bị tin tặc chặn dữ liệu của họ khi truyền từ ứng dụng đến máy chủ đám mây hoặc hệ thống phụ trợ của nhà cung cấp, nơi dữ liệu được xử lý.
• Không xác thực đa yếu tố (MFA): Hầu hết các dịch vụ uy tín hiện nay đều cung cấp MFA như một cách để tăng cường bảo mật ở giai đoạn đăng nhập. Nếu không có nó, tin tặc có thể lấy được mật khẩu của bạn thông qua lừa đảo hoặc vi phạm riêng biệt (nếu bạn sử dụng lại mật khẩu trên các ứng dụng khác nhau) và đăng nhập như thể họ là bạn.
• Quản lý mật khẩu kém: Ví dụ: các ứng dụng cho phép người dùng giữ mật khẩu mặc định của nhà sản xuất hoặc đặt thông tin xác thực không an toàn như “passw0rd” hoặc “111111”. Điều này khiến người dùng có nguy cơ bị nhồi thông tin xác thực và các nỗ lực bạo lực khác nhằm bẻ khóa tài khoản của họ.
• Bảo mật doanh nghiệp: Các công ty ứng dụng cũng có thể áp dụng các quy trình và biện pháp kiểm soát bảo mật hạn chế trong môi trường lưu trữ dữ liệu của riêng họ. Điều này có thể bao gồm việc đào tạo nhận thức người dùng kém, khả năng chống phần mềm độc hại và khả năng phát hiện điểm cuối/mạng bị hạn chế, không mã hóa dữ liệu, kiểm soát quyền truy cập hạn chế và không có quy trình quản lý lỗ hổng hoặc ứng phó sự cố. Tất cả những điều này đều làm tăng khả năng họ có thể bị vi phạm dữ liệu.

2. Chia sẻ dữ liệu quá mức

Thông tin sức khỏe của người dùng (PHI) có thể bao gồm các chi tiết rất nhạy cảm về các bệnh lây truyền qua đường tình dục, việc sử dụng chất gây nghiện hoặc các tình trạng bị kỳ thị khác. Những thứ này có thể được bán hoặc chia sẻ cho các bên thứ ba, bao gồm cả các nhà quảng cáo để tiếp thị và quảng cáo được nhắm mục tiêu. Trong số các ví dụ được ghi nhận bởi Mozilla là các nhà cung cấp mHealth:

• kết hợp thông tin về người dùng với dữ liệu được mua từ các nhà môi giới dữ liệu, các trang truyền thông xã hội và các nhà cung cấp khác để xây dựng hồ sơ nhận dạng hoàn chỉnh hơn,
• không cho phép người dùng yêu cầu xóa dữ liệu cụ thể,
• sử dụng những suy luận được đưa ra về người dùng khi họ trả lời bảng câu hỏi đăng ký, trong đó đặt ra những câu hỏi tiết lộ về xu hướng tính dục, trầm cảm, bản dạng giới và hơn thế nữa,
• cho phép cookie phiên của bên thứ ba xác định và theo dõi người dùng trên các trang web khác để phân phát quảng cáo có liên quan,
• cho phép ghi phiên, theo dõi chuyển động của chuột, cuộn và gõ của người dùng.

3. Chính sách bảo mật không rõ ràng

Một số nhà cung cấp mHealth có thể không thẳng thắn về một số biện pháp bảo mật ở trên, sử dụng ngôn ngữ mơ hồ hoặc che giấu hoạt động của họ trong bản in nhỏ của Điều khoản & Điều kiện. Điều này có thể mang lại cho người dùng cảm giác sai lầm về bảo mật/quyền riêng tư.

Luật nói gì

• GDPR: Luật bảo vệ dữ liệu hàng đầu của Châu Âu khá rõ ràng về các tổ chức xử lý PHI danh mục đặc biệt. Các nhà phát triển cần tiến hành đánh giá tác động đến quyền riêng tư, tuân theo các nguyên tắc về quyền xóa và giảm thiểu dữ liệu, đồng thời thực hiện “các biện pháp kỹ thuật phù hợp” để đảm bảo “các biện pháp bảo vệ cần thiết” được thực hiện để bảo vệ dữ liệu cá nhân.
• HIPAA: Các ứng dụng mHealth do nhà cung cấp thương mại cung cấp cho cá nhân sử dụng không được HIPAA bảo vệ vì nhà cung cấp không phải là “thực thể được bảo hiểm" hoặc "đối tác kinh doanh.” Tuy nhiên, một số - và yêu cầu phải có các biện pháp bảo vệ hành chính, vật chất và kỹ thuật thích hợp, cũng như các biện pháp bảo vệ hàng năm. Phân tích rủi ro.
• CCPA và CMIA: Cư dân California có hai bộ luật bảo vệ an ninh và quyền riêng tư của họ trong bối cảnh mHealth: Đạo luật bảo mật thông tin y tế (CMIA) và Đạo luật quyền riêng tư của người tiêu dùng California (CCPA). Những nhu cầu này tiêu chuẩn cao về bảo vệ dữ liệu và sự đồng ý rõ ràng. Tuy nhiên, chúng chỉ áp dụng cho người dân California.

Thực hiện các bước để bảo vệ quyền riêng tư của bạn

Mỗi người sẽ có khẩu vị rủi ro khác nhau. Một số người sẽ thấy sự cân bằng giữa dịch vụ/quảng cáo được cá nhân hóa và quyền riêng tư là điều họ sẵn sàng thực hiện. Những người khác có thể không bận tâm nếu một số dữ liệu y tế bị vi phạm hoặc bán cho bên thứ ba. Đó là về việc tìm kiếm sự cân bằng phù hợp. Nếu bạn lo lắng, hãy xem xét những điều sau:

• Thực hiện nghiên cứu của bạn trước khi tải xuống. Xem những gì người dùng khác nói và liệu có bất kỳ dấu hiệu cảnh báo nào từ những người đánh giá đáng tin cậy hay không
• Giới hạn những gì bạn chia sẻ qua các ứng dụng này và cho rằng bất cứ điều gì bạn nói đều có thể được chia sẻ
• Không kết nối ứng dụng với các tài khoản mạng xã hội của bạn hoặc sử dụng chúng để đăng nhập. Điều này sẽ hạn chế những dữ liệu nào có thể được chia sẻ với các công ty này
• Không cấp quyền cho ứng dụng để truy cập vào máy ảnh, vị trí của thiết bị, v.v.
• Giới hạn theo dõi quảng cáo trong cài đặt quyền riêng tư của điện thoại
• Luôn sử dụng MFA khi được cung cấp và tạo mật khẩu mạnh, duy nhất
• Giữ ứng dụng ở phiên bản mới nhất (an toàn nhất)

Kể từ khi Roe vs Wade bị lật tẩy, cuộc tranh luận về quyền riêng tư của mHealth đã chuyển sang một hướng đáng lo ngại. Một số đã gióng lên hồi chuông cảnh báo dữ liệu từ máy theo dõi kinh nguyệt có thể được sử dụng để truy tố những phụ nữ tìm cách phá thai. Đối với ngày càng nhiều người đang tìm kiếm các ứng dụng mHealth tôn trọng quyền riêng tư, số tiền đặt cược không thể cao hơn.