我國互聯(lián)網(wǎng)醫(yī)院APP的隱私政策評價研究
——基于認知負荷與內(nèi)容合規(guī)雙重視域

張 敏 沈嘉裕 劉華瑋 嚴煒煒*

(1.武漢大學信息資源研究中心，湖北 武漢 430072；2.武漢大學信息管理學院，湖北 武漢 430072)

互聯(lián)網(wǎng)醫(yī)院是通過互聯(lián)網(wǎng)的技術(shù)和手段，遠程為患者提供導診、預約掛號、常見病以及慢性病診療并開具處方和配送藥物的醫(yī)療服務(wù)平臺[1]。當前互聯(lián)網(wǎng)醫(yī)院有政府主導型、大型實體醫(yī)院自建型、互聯(lián)網(wǎng)企業(yè)主導型3種主要類型[2]。國家衛(wèi)生健康委明文規(guī)定，互聯(lián)網(wǎng)醫(yī)院必須依托于實體醫(yī)院，因此互聯(lián)網(wǎng)醫(yī)院也被認為是實體公立醫(yī)療機構(gòu)增設(shè)的第二名稱[3]。2018年，國務(wù)院辦公廳出臺了《關(guān)于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》，隨后我國互聯(lián)網(wǎng)醫(yī)療服務(wù)業(yè)務(wù)量增長顯著。統(tǒng)計數(shù)據(jù)顯示，截至2021年6月，我國互聯(lián)網(wǎng)醫(yī)院數(shù)量已超過1 600家[4]。

移動互聯(lián)技術(shù)的不斷發(fā)展使得互聯(lián)網(wǎng)醫(yī)院應(yīng)用程序(以下簡稱APP)應(yīng)用場景不斷豐富。相較于傳統(tǒng)PC端的醫(yī)療信息系統(tǒng)，互聯(lián)網(wǎng)醫(yī)院APP可向患者提供實時信息服務(wù)，有效解決了傳統(tǒng)醫(yī)院掛號難、排隊難的沉疴，凸顯出方便、快捷、高效等優(yōu)勢。但值得注意的是，患者在就診中產(chǎn)生的海量生物識別、醫(yī)療健康等敏感的個人信息[5]，可能會因商業(yè)數(shù)據(jù)共享不當、遭受黑客攻擊等原因而導致個人健康信息的泄露[6-8]。因此，互聯(lián)網(wǎng)醫(yī)院APP收集、處理、使用患者隱私數(shù)據(jù)的過程是否規(guī)范合法，不僅關(guān)系到患者的個人隱私安全，更影響并制約其本身乃至整個產(chǎn)業(yè)的健康發(fā)展。

應(yīng)用程序隱私政策內(nèi)容反映了服務(wù)商對個人隱私保護的承諾，是研究移動應(yīng)用程序隱私保護情況的極佳材料。本研究選擇互聯(lián)網(wǎng)醫(yī)院APP的隱私政策內(nèi)容為研究樣本，在構(gòu)建互聯(lián)網(wǎng)醫(yī)院移動應(yīng)用程序隱私政策評價體系的基礎(chǔ)上，分析我國互聯(lián)網(wǎng)醫(yī)院APP隱私政策的實施現(xiàn)狀，研究結(jié)論有助于完善互聯(lián)網(wǎng)醫(yī)院移動應(yīng)用程序隱私安全保護機制。

1 文獻綜述

1.1 移動應(yīng)用程序隱私政策評價研究

近年來，學者們在移動應(yīng)用程序隱私保護方面進行了豐富的研究，如表1所示：①在研究場景方面，醫(yī)療健康、電子商務(wù)、社交媒體、移動圖書館等是關(guān)注的重要領(lǐng)域[9-13]；②在研究方法方面，內(nèi)容分析法是較為常用的研究方法，也包括比較分析法、層次分析法、問卷調(diào)查法等社會科學研究常用研究方法。劉嬌等[14]采用比較分析法，對中外應(yīng)用程序隱私保護文本進行了比較研究。張曉娟等[15]采用專家訪談與層次分析法，構(gòu)建了隱私政策評價指標體系。秦克飛[16]采用中文可讀性公式法，通過隱私政策文本的每句平均字數(shù)和難字百分比計算隱私政策文本的可讀性。姚勝譯等[17]借助問卷調(diào)查法與層次分析法，構(gòu)建了應(yīng)用程序隱私政策友好程度評價框架。此外，國外有學者將基于政策文本自動分類的方法引入隱私政策合規(guī)性研究[18-19]。趙楊等[20]運用CNN、RNN、LSTM這3種機器學習算法，構(gòu)建了隱私政策合規(guī)性自動檢測模型，對隱私政策文本進行自動化標注，進而進行合規(guī)性評價；③在研究規(guī)則方面，法律法規(guī)[9,11,15,20]、專家意見[15]、數(shù)據(jù)生命周期[12]以及用戶體驗[21]是制定隱私政策評價體系與評價指標的主要依據(jù)。

表1 移動應(yīng)用程序隱私政策評價相關(guān)研究

表1(續(xù))

文獻綜述發(fā)現(xiàn)，我國應(yīng)用程序隱私政策研究的邏輯主線已經(jīng)厘清，并形成了初步的理論知識體系，但同時也存在以下局限：①在研究場景方面，針對互聯(lián)網(wǎng)醫(yī)院APP隱私政策展開系統(tǒng)實證調(diào)研的相對較少；②在研究視角方面，內(nèi)容合規(guī)性[12-14]視角和用戶體驗[16-17]單獨采用較多，特別是內(nèi)容合規(guī)維度，近年來已有學者[20]將機器學習方法引入隱私政策的內(nèi)容合規(guī)評價研究中，而將內(nèi)容合規(guī)維度與認知負荷維度系統(tǒng)結(jié)合起來的研究較少；③在研究方法方面，根據(jù)專家的先驗知識進行AHP主觀權(quán)重設(shè)置的研究較多[17]，但同時結(jié)合主客觀因素設(shè)置權(quán)重的研究較少；④在研究規(guī)則方面，基于用戶體驗的評價指標設(shè)置缺乏統(tǒng)一的理論依據(jù)，致使不同研究對隱私政策的用戶體驗維度的設(shè)置較為零散。如對于隱私政策的可讀性這一評價指標，秦克飛[16]采取定量的中文可讀性公式法衡量隱私政策文本的可讀性，而徐雷等[21]從隱私政策的文本字數(shù)、目錄與重點標注、專業(yè)術(shù)語3個方面評價應(yīng)用程序隱私政策的可讀性。姚勝譯等[17]則從內(nèi)容角度出發(fā)設(shè)置可讀性評價指標體系來考察隱私政策的內(nèi)容是否完整、規(guī)范、合規(guī)。指標設(shè)置理念的差異造成了認知上的分歧，不利于隱私政策評價研究的理論與實踐發(fā)展，而認知負荷理論適用于用戶閱讀應(yīng)用程序隱私政策的場景，可有效解決學者們在用戶體驗評價指標設(shè)置上的分歧。因此，本研究擬基于認知負荷理論和內(nèi)容合規(guī)的角度，構(gòu)建互聯(lián)網(wǎng)醫(yī)院APP的隱私政策評價體系。

1.2 認知負荷理論及其應(yīng)用

認知負荷理論[24]由Sweller J于1988年提出，認知負荷是指個體在完成任務(wù)過程中進行信息加工所需要的認知資源的總量，可細分為內(nèi)在認知負荷、外在認知負荷以及關(guān)聯(lián)認知負荷。其中，內(nèi)在認知負荷是指在具體任務(wù)中必須理解的任務(wù)信息、材料的復雜性與個人知識水平的交互作用所引起的難度。外在認知負荷是指由信息呈現(xiàn)方式產(chǎn)生的，個體將投入多余的信息或與目標無關(guān)的過程中的精力是外在認知負荷的來源。關(guān)聯(lián)認知負荷是指個體致力于構(gòu)建圖式而投入的精力[25]，又稱“相關(guān)認知資源”。由于個體工作記憶資源的總量是有限的，當認知資源被投入與任務(wù)無關(guān)的外在認知負荷時，被投入到與任務(wù)相關(guān)的內(nèi)在負荷的相關(guān)認知資源會相應(yīng)減少。查先進等[26]指出，降低學習者的認知負荷并提升學習效果的途徑包括兩種：一是降低內(nèi)在認知負荷，即改變學習材料或任務(wù)本身的認知難度；二是降低外在認知負荷，即對學習材料或任務(wù)的組織和呈現(xiàn)方式進行改進。

認知負荷理論扎根于認知心理，并通過大量實踐不斷擴充其內(nèi)涵，近年來影響力和解釋力在教育心理學[27-28]、信息系統(tǒng)[29]、用戶行為[30]、文本閱讀體驗[31]等研究領(lǐng)域中不斷增強。Wang Q等[32]借助眼動追蹤方法，證實了電商網(wǎng)站設(shè)計的復雜性與用戶的外在認知負荷有關(guān)。王偉偉等[30]基于認知負荷理論，構(gòu)建了基于用戶情緒的感知體驗服務(wù)模型，對某汗糖檢測APP的信息元素進行認知結(jié)構(gòu)的調(diào)整，從而推進產(chǎn)品優(yōu)化。在文本理解領(lǐng)域，牛麗慧等[31]發(fā)現(xiàn)，將科學論文的論證結(jié)構(gòu)外顯化可以降低科研人員的外部認知負荷，促進科研人員理解論文主旨大意的效率。此外，張玥等[33]將認知心理學中的認知負荷理論引入醫(yī)療健康A(chǔ)PP隱私政策閱讀效果研究。上述研究驗證了認知負荷理論在在線文本閱讀理解領(lǐng)域的適用性，因此認為，認知負荷理論適用于用戶閱讀應(yīng)用程序隱私政策的研究場景。

基于上述分析，本研究從認知負荷與隱私政策內(nèi)容合規(guī)的雙重研究視域出發(fā)，結(jié)合《個人隱私保護法》構(gòu)建我國互聯(lián)網(wǎng)醫(yī)院APP隱私政策評價體系，利用AHP-EWM耦合賦權(quán)方法對評價指標進行賦權(quán)。由于機器學習等自動標注方法無法對認知負荷維度的交互友好性等指標(如隱私政策的出現(xiàn)時機與隱私政策的閱讀窗口是否能夠全屏顯示)進行標注，因此本研究通過人工標注的方式，結(jié)合內(nèi)容合規(guī)與認知負荷雙重視角，對國內(nèi)現(xiàn)有的互聯(lián)網(wǎng)醫(yī)院APP隱私政策進行實證研究，豐富了隱私政策的研究范疇，為完善互聯(lián)網(wǎng)醫(yī)院移動應(yīng)用程序隱私安全保護機制提供合理的依據(jù)。

2 我國互聯(lián)網(wǎng)醫(yī)院APP隱私政策評價體系構(gòu)建

2.1 基于認知負荷維度的指標選擇

認知負荷理論認為，應(yīng)降低外在認知負荷，提高相關(guān)認知資源，并且將內(nèi)在認知負荷控制在適量的程度，使個體能進行最有效的認知加工[34]。鑒于此，本研究將影響用戶閱讀互聯(lián)網(wǎng)醫(yī)院APP隱私政策的認知負荷分為外在認知負荷和內(nèi)在認知負荷。其中，外在認知負荷涉及隱私政策的可獲得性以及交互友好性；內(nèi)在認知負荷指隱私政策的易讀性。圖1顯示了認知負荷維的評價結(jié)構(gòu)，各指標含義以及依據(jù)如表2所示。認知負荷維度的指標大多為0～1變量，由人工進行標注，例如，對于指標C2(內(nèi)容摘要)，如果某互聯(lián)網(wǎng)醫(yī)院APP的隱私政策正文中有內(nèi)容摘要，則該指標取值為1，如果沒有內(nèi)容摘要，則該指標取值為0。此外，指標C6可讀性分數(shù)為連續(xù)型變量，由Python程序計算；指標C8(出現(xiàn)時機)是指從下載安裝后第一次打開APP到查看隱私政策所需的點擊數(shù)，該指標由人工進行下載、統(tǒng)計和標注。

表2 互聯(lián)網(wǎng)隱私政策評價體系指標設(shè)置

對于內(nèi)在認知負荷而言，降低與閱讀材料相關(guān)的內(nèi)在認知負荷的方式[35]主要包括使用部分—整體順序、簡化總?cè)蝿?wù)[36]、模塊化呈現(xiàn)、考慮受眾的先驗知識等。本研究主要通過提供內(nèi)容摘要、目錄索引、教育說明、重點標注，以及降低文本內(nèi)容的復雜程度等方式來達到降低內(nèi)在認知負荷的目的?？勺x性是快速量化文本易讀程度的有效指標[16]。在20世紀20年代，教育家們發(fā)現(xiàn)了一種利用詞匯難度和句子長度來預測文章難度的方法——即可讀性公式法，這些公式被廣泛應(yīng)用于新聞、研究、醫(yī)療、法律、保險和工業(yè)等領(lǐng)域的研究，證明了可讀性公式強大的理論和統(tǒng)計有效性[37]。秦琴等[38]以中文可讀性公式中最為權(quán)威的荊溪昱公式為基礎(chǔ)，結(jié)合李萍融合專業(yè)術(shù)語的可讀性計算方法[39]，提出了較為科學的可讀性計算公式，因此，本文的可讀性分數(shù)指標(C6)的設(shè)置借鑒了秦琴等[38]的研究，采用式(1)進行計算?？勺x性分數(shù)屬于逆向指標，即可讀性分數(shù)越高代表文本越復雜，式(1)中的Y表示可讀性分數(shù)，TC表示隱私政策文本的總字數(shù)，AS表示平均句長可通過式(2)中的總字數(shù)(TC)除以總句數(shù)(TS)得到，PK表示專業(yè)詞匯字數(shù)在文本中的占比可通過式(3)中的專業(yè)詞匯的字數(shù)(TK)除以總字數(shù)(TC)得到。

Y=17.5255+0.0024·TC+0.04415·AS-18.3344·(1-PK)

(1)

(2)

(3)

對于外在認知負荷而言，降低外在認知負荷主要是要減少冗余信息，最大限度地呈現(xiàn)直接達到學習目的的內(nèi)容[35]。一般降低外在負荷的方式包括避免注意力分散、圖表使用、提供操作支持等方式。已有研究表明，隱私政策的內(nèi)部可獲得特征、閱讀窗口界面全屏會對用戶閱讀隱私政策的體驗產(chǎn)生正向影響[17]。也有學者[21]通過統(tǒng)計用戶在APP內(nèi)獲取隱私政策的點擊次數(shù)來衡量隱私政策獲取途徑的便捷性。本研究主要通過讓用戶直接在APP內(nèi)部查看、主動彈出隱私政策(指標C7)、減少用戶尋找隱私政策的步驟[21](指標C8)、提供全屏閱讀窗口(指標C9)等方式來達到降低外在認知負荷的目的。

表2(續(xù))

2.2 基于內(nèi)容合規(guī)維度的指標選擇

內(nèi)容合規(guī)維度的關(guān)注重點是隱私政策文本是否依照相關(guān)法規(guī)要求，體現(xiàn)了個人信息處理方對于用戶個人隱私保護的承諾。本研究參考了《信息安全技術(shù) 個人信息安全規(guī)范》(本文中簡稱《規(guī)范》)和《中華人民共和國個人信息保護法》(本文簡稱《個人信息保護法》)選擇內(nèi)容合規(guī)維度的指標。根據(jù)《規(guī)范》要求，APP服務(wù)商需要向用戶提供信息的收集、存儲、使用、共享、安全保障的相關(guān)說明和具體承諾，對于未成年人的隱私信息保護需要有特別的聲明?！秱€人信息保護法》對APP過度收集個人信息、大數(shù)據(jù)殺熟以及非法買賣、泄露個人信息等做出針對性規(guī)范。此外，本研究在政策內(nèi)容合規(guī)維度添加了《個人信息保護法》中提出的跨境數(shù)據(jù)處理和死者信息處理的相關(guān)法規(guī)，如圖2所示。各指標含義以及設(shè)置依據(jù)如表2所示。

圖2 政策內(nèi)容維度評價結(jié)構(gòu)

在信息收集方面，《規(guī)范》確立了選擇同意原則，《個人隱私保護法》指出了個人信息處理明確合理、個人權(quán)益影響最小等具體要求。因此，本研究在設(shè)置信息收集維度的評價指標時，將信息收集范圍與信息收集授權(quán)納入考慮范圍。

在信息存儲方面，《個人隱私保護法》指出，個人信息處理者應(yīng)當向用戶告知個人信息的保存期限、個人信息的保存期限應(yīng)當為實現(xiàn)處理目的所必要的最短時間、當用戶個人信息保存期限屆滿時個人信息處理者應(yīng)當主動刪除個人信息?；ヂ?lián)網(wǎng)醫(yī)院APP存儲的個人信息涉及到醫(yī)療信息等比較敏感的個人信息，為了平衡隱私保護與數(shù)據(jù)利用之間的關(guān)系，通常需要采用數(shù)據(jù)脫敏等操作方法。因此，本研究將存儲期限以及脫敏處理納入考慮范圍。

在信息安全保障方面，《規(guī)范》明確指出，個人信息保護者在制定個人信息保護政策時，需要告知用戶提供個人信息后可能存在的安全風險以及個人信息安全保護措施，必要時可公開數(shù)據(jù)安全和個人信息保護相關(guān)的合規(guī)證明?！秱€人隱私保護法》指出，個人信息處理者應(yīng)對其個人信息處理活動負責，采取必要措施保障所處理的個人信息的安全。因此，本研究將責任承擔、風險告知、保護措施、外部認證、安全事件處置納入考慮范圍。

在信息使用方面，《規(guī)范》明確指出，個人信息控制者在使用個人信息時，不應(yīng)超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因此，本文將信息使用目的告知納入考慮范圍。

在信息共享方面，《規(guī)范》明確指出，個人信息控制者共享、轉(zhuǎn)讓個人信息時，應(yīng)充分重視風險，向個人信息主體告知共享、轉(zhuǎn)讓個人信息的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果，并事先征得個人信息主體的授權(quán)同意。因此，本研究將信息共享對象告知與目的告知納入信息共享維度。此外，互聯(lián)網(wǎng)醫(yī)院APP的數(shù)據(jù)流中，涉及到我國居民的個人身份信息、健康狀況信息、疾病與用藥信息、就醫(yī)信息等與國家總體安全有相關(guān)關(guān)系的敏感信息?！秱€人隱私保護法》明確指出，個人信息處理者如果需要向境外提供個人信息，應(yīng)向用戶告知境外接收方的名稱、聯(lián)系方式、處理目的、處理方式、個人信息的種類，并取得個人的單獨同意。因此，本研究將跨境信息說明納入考慮范圍。

在信息更新方面，根據(jù)《規(guī)范》附錄中提供的個人信息保護政策模板，隱私政策文本需要說明該隱私政策的適用范圍以及更新日期。在個人信息保護政策發(fā)生重大變化時，個人信息處理方需要及時更新個人信息保護政策并通知個人信息主體。此外，當個人信息控制者發(fā)生收購、兼并、重組、破產(chǎn)等變更時，個人信息處理方需要向個人信息主體告知有關(guān)情況，如破產(chǎn)且無承接方，個人信息處理方需要對數(shù)據(jù)做刪除處理。因此，本研究將信息更新說明、控制權(quán)變更說明作為信息更新維度的評價指標。

在個人信息權(quán)利方面，《規(guī)范》明確指出，個人信息權(quán)利包括個人信息查詢、個人信息更正、個人信息刪除、撤回授權(quán)同意、獲取個人信息副本、投訴管理等，對于未成年人的隱私信息保護需要有特別的聲明?！秱€人隱私保護法》強調(diào)，如果遇到自然人死亡的情況，其近親屬為了自身的合法、正當利益，可以對死者的相關(guān)個人信息行使查閱、復制、更正、刪除等權(quán)利，死者生前另有安排的除外。因此，本研究在設(shè)置個人信息權(quán)利評價指標時，將信息訪問與修改、個人信息刪除、授權(quán)同意范圍更改、副本獲取、申訴反饋、死者個人信息保護、未成年保護納入具體考慮范圍。

2.3 AHP-EWM耦合賦權(quán)

AHP-EWM耦合賦權(quán)主要包括主觀權(quán)重計算、客觀權(quán)重計算、耦合3個步驟。

在主觀權(quán)重計算部分，本研究使用層次分析法(Analytic Hierarchy Process，AHP)[41]?；?.2部分構(gòu)建的指標體系生成調(diào)查問卷，參考已有研究的專家人數(shù)設(shè)置[17]，邀請5位隱私保護研究領(lǐng)域的專家對指標進行比較打分，并將打分結(jié)果輸入Yaahp10.2生成判斷矩陣進行一致性檢驗。在一致性檢驗全部通過后，通過Yaahp10.2計算AHP權(quán)重Wj，如表3所示。

在客觀權(quán)重計算部分，本研究使用熵權(quán)法(Entropy Weight Method，EWM)，即通過指標的無序程度來反映指標對評價對象的區(qū)分程度[41]。首先，根據(jù)標注結(jié)果對指標對應(yīng)的數(shù)值利用極值法進行預處理。對于正向指標，按照式(4)進行預處理。其中，Mj是指標Cj對應(yīng)的標注結(jié)果Xij中的最大值，mj是指標Cj對應(yīng)的標注結(jié)果中的最小值。對于逆向指標(如可讀性分數(shù)和出現(xiàn)時機)，按照式(5)進行處理。然后，對數(shù)據(jù)進行無量綱化處理，按照式(6)計算指標Cj下第i個隱私政策樣本的特征比重Pij。第三，將特征比重Pij代入式(7)計算熵值得到指標Cj對應(yīng)的熵值ej，并采用式(8)計算差異性系數(shù)gj。最后，通過式(9)得到EWM指標權(quán)重如表3所示。

(4)

(5)

(6)

(7)

gj=1-ej

(8)

(9)

在耦合部分，采用式(10)對AHP權(quán)重和EWM權(quán)重進行耦合，得到指標的主客觀綜合權(quán)重W″j。

(10)

由于EWM指標中存在指標權(quán)重為0的情況，將AHP權(quán)重和EWM權(quán)重相乘后，整體向右平移0.0001再進行歸一化處理。表3為指標體系與賦權(quán)結(jié)果，對應(yīng)的指標名稱如圖1、圖2所示。

表3 指標體系與賦權(quán)結(jié)果

3 我國互聯(lián)網(wǎng)醫(yī)院APP隱私政策評價的實證分析

3.1 隱私政策評價分析

本研究結(jié)合動脈網(wǎng)發(fā)布的互聯(lián)網(wǎng)醫(yī)院行業(yè)報告、丁香醫(yī)生提供的注冊醫(yī)院名單以及點點數(shù)據(jù)發(fā)布的醫(yī)療類APP名單等，從平臺下載相關(guān)數(shù)據(jù)，并根據(jù)APP名稱、開發(fā)者、實際功用等進行人工篩選，最終獲得64款互聯(lián)網(wǎng)醫(yī)院APP樣本。其中，42款由公立醫(yī)院開發(fā)，12款由地方衛(wèi)生健康機構(gòu)開發(fā)，5款由事業(yè)單位開發(fā)，3款由民營醫(yī)院開發(fā)，2款由民營企業(yè)開發(fā)。下載上述64款研究樣本所涉及的隱私政策，對文本進行人工標注，對應(yīng)用程序基于設(shè)置的認知負荷維的指標項進行標注。之后根據(jù)權(quán)重以及標注結(jié)果計算樣本得分，并將其轉(zhuǎn)化為百分制。表4列舉了部分研究樣本的評價結(jié)果。

表4 部分樣本評價結(jié)果

將樣本得分進行K-Means聚類，令K值為3，將得分劃分為高、中、低3類，如圖3所示。對聚類結(jié)果進行卡方檢驗，所得皮爾遜卡方值為21.663，自由度為8。假設(shè)開發(fā)者類型與隱私政策評價得分聚類結(jié)果無關(guān)，由于計算所得卡方值21.663大于在0.01顯著水平上拒絕假設(shè)所需的卡方值20.09，因此拒絕原假設(shè)，即開發(fā)者類型與隱私政策評價得分聚類結(jié)果是相關(guān)的。圖3展示了不同的開發(fā)者類型對應(yīng)的得分聚類情況的差異。不難看出，地方衛(wèi)生健康機構(gòu)樣本得分分布相對均衡，公立醫(yī)院樣本得分相對集中于中間層次，民營企業(yè)與民營醫(yī)院樣本結(jié)果中均無較高得分情況出現(xiàn)，事業(yè)單位樣本大部分落在得分較高的類別，說明民營企業(yè)與民營醫(yī)院樣本相較于其他開發(fā)者類別而言存在較大的改進空間。

圖3 樣本得分聚類結(jié)果

3.2 認知負荷分析

將樣本標注數(shù)據(jù)進行標準化處理，并對內(nèi)在認知負荷維度的5項指標依據(jù)開發(fā)者類別求均值，結(jié)果如圖4所示。不難看出，事業(yè)單位樣本在內(nèi)容摘要和目錄索引方面相對完善，文本內(nèi)容的復雜程度也相對較低，但在教育說明方面有待改善。因此，開發(fā)者可在隱私政策中添加對于專業(yè)術(shù)語的解釋鏈接，并考慮不同受眾的先驗知識來降低內(nèi)在認知負荷。公立醫(yī)院以及地方衛(wèi)生健康機構(gòu)樣本隱私政策在內(nèi)容摘要、目錄索引、教育說明方面有所欠缺。民營醫(yī)院樣本在內(nèi)容摘要、目錄索引、可讀性方面存在欠缺。民營企業(yè)樣本在重點標注上相對完善，但在另外4個方面均存在欠缺。

圖4 內(nèi)在認知負荷均值分布情況

對外在認知負荷維度的4項指標依據(jù)樣本類別求均值，結(jié)果如圖5所示。在隱私政策的出現(xiàn)時機方面，按照所需平均步驟由少及多的順序依次為民營企業(yè)、事業(yè)單位和公立醫(yī)院、地方衛(wèi)生健康機構(gòu)、民營醫(yī)院。閱讀窗口界面全屏會對用戶閱讀隱私政策的體驗產(chǎn)生正向影響[17]。圖5表明，民營企業(yè)、地方衛(wèi)生健康機構(gòu)以及部分公立醫(yī)院并沒有為用戶提供全屏的閱讀環(huán)境。同時，主動彈出隱私政策的樣本相對較少，尤其是民營醫(yī)院樣本在主動彈出方面比較欠缺。此外，部分事業(yè)單位和公立醫(yī)院并未提供直接內(nèi)部查看隱私政策的途徑，用戶需要跳轉(zhuǎn)到瀏覽器才能查看隱私政策，這無疑增加了用戶在閱讀隱私政策時的外在認知負荷。

圖5 外在認知負荷均值圖

3.3 內(nèi)容合規(guī)性分析

本研究對樣本內(nèi)容合規(guī)性的各指標所對應(yīng)的值進行標準化處理，并針對不同樣本類別求均值。如圖6展示了分析結(jié)果，主要呈現(xiàn)出如下3個特點。

圖6 合規(guī)性評價結(jié)果

首先，部分互聯(lián)網(wǎng)醫(yī)院APP的安全認證和責任明確方面存在諸多漏洞。主要表現(xiàn)為，用戶隱私安全的責任承擔部門尚未得到清晰的界定，通過權(quán)威機構(gòu)認證的安全措施說明也較少，在民營企業(yè)和民營醫(yī)院樣本中甚至出現(xiàn)沒有任何權(quán)威機構(gòu)認證說明的情況。也有部分APP表現(xiàn)優(yōu)異，如“廈門大學附屬第一醫(yī)院”根據(jù)《信息系統(tǒng)安全等級保護基本要求》通過了三級等保評審，同時與監(jiān)管機構(gòu)、第三方測評機構(gòu)建立了良好的協(xié)調(diào)溝通機制，及時抵御并處置各類信息安全威脅，為用戶信息安全提供全方位保障。

其次，部分互聯(lián)網(wǎng)醫(yī)院APP在信息共享目的告知、跨境信息說明方面存在不足。主要表現(xiàn)為，樣本中明確說明信息共享或公開的類型與目的的樣本數(shù)占總樣本數(shù)的60.9%，樣本中明確說明用戶個人信息跨境傳輸情況的僅占比46.9%。

最后，我國大部分互聯(lián)網(wǎng)醫(yī)院APP在副本獲取以及死者個人信息保護方面表現(xiàn)不佳。主要表現(xiàn)為，僅有6.25%的隱私政策樣本明確表明，用戶能獲取其存儲在應(yīng)用的個人信息副本，所有樣本對于死者個人信息保護均無相關(guān)說明。隨著《個人信息保護法》的實施，未來上述現(xiàn)象有望得到改善。

4 總結(jié)與討論

本研究基于認知負荷與內(nèi)容合規(guī)性雙重分析視角，構(gòu)建了互聯(lián)網(wǎng)醫(yī)院APP隱私政策評價指標體系，對我國主流互聯(lián)網(wǎng)醫(yī)院APP隱私政策展開實證分析，并依據(jù)評價結(jié)果提出可供參考的意見和建議。主要研究結(jié)論如下：

首先，我國互聯(lián)網(wǎng)醫(yī)院APP應(yīng)優(yōu)化內(nèi)容設(shè)計和功能設(shè)計?；ヂ?lián)網(wǎng)醫(yī)院APP開發(fā)者可通過提供內(nèi)容摘要、目錄索引、教育說明、重點標注，降低文本內(nèi)容的復雜程度來降低內(nèi)在認知負荷，通過讓用戶直接在應(yīng)用程序內(nèi)部查看隱私政策、主動彈出隱私政策、減少用戶尋找隱私政策的步驟、提供全屏閱讀窗口來降低外在認知負荷。此外，可針對特殊人群(如老年用戶等)開發(fā)隱私政策的音頻版本、大字版本等。

其次，我國互聯(lián)網(wǎng)醫(yī)院APP應(yīng)強化安全責任管理。監(jiān)管部門可針對互聯(lián)網(wǎng)醫(yī)院建立相應(yīng)的隱私安全保護技術(shù)安全認證機制，強制要求互聯(lián)網(wǎng)醫(yī)院APP在正式上線之前通過技術(shù)安全認證，并要求其隱私政策中需明確注明安全認證情況?；ヂ?lián)網(wǎng)醫(yī)院APP開發(fā)方應(yīng)在隱私政策說明中將責任明確落實到具體的部門與相應(yīng)負責人，避免發(fā)生隱私安全事故后出現(xiàn)不同部門“踢皮球”的情況。此外，互聯(lián)網(wǎng)醫(yī)院APP開發(fā)方應(yīng)與監(jiān)管機構(gòu)、第三方測評機構(gòu)定期協(xié)調(diào)溝通，在技術(shù)、制度上形成用戶隱私保護的良性機制。

第三，我國互聯(lián)網(wǎng)醫(yī)院APP應(yīng)健全跨境數(shù)據(jù)流動監(jiān)管制度。監(jiān)管部門應(yīng)定期調(diào)研評估互聯(lián)網(wǎng)醫(yī)院，梳理數(shù)據(jù)跨境的業(yè)務(wù)場景和評估數(shù)據(jù)跨境的安全系數(shù)，對于不合理的跨境數(shù)據(jù)傳輸情況應(yīng)及時予以制止?；ヂ?lián)網(wǎng)醫(yī)院APP開發(fā)方對于合理的業(yè)務(wù)流程中的跨境數(shù)據(jù)可進行脫敏處理以保障信息安全。

最后，我國互聯(lián)網(wǎng)醫(yī)院APP應(yīng)加強死者個人信息保護?；ヂ?lián)網(wǎng)醫(yī)院APP開發(fā)方在設(shè)置隱私政策時應(yīng)充分考慮死者個人信息保護，在用戶下載應(yīng)用程序時讓其自主選擇如果發(fā)生意外情況，親屬對其在互聯(lián)網(wǎng)醫(yī)院APP中生成的個人信息的查閱、復制、更正、刪除等管理權(quán)限。

本研究運用認知負荷理論對APP隱私政策的用戶閱讀體驗評價維度進行了完善，可有效解決學者們在用戶體驗評價指標設(shè)置上的分歧，具有一定的理論價值。認知負荷理論起源于心理學，經(jīng)過30年的發(fā)展，該理論已日趨成熟，并在信息系統(tǒng)用戶行為等領(lǐng)域得到很好的發(fā)展。但遺憾的是，該理論目前在APP隱私政策評價領(lǐng)域的應(yīng)用較少。本文以認知負荷理論為視角，不僅豐富了認知負荷理論的內(nèi)涵，也拓寬了隱私政策評價研究的視角，為今后的研究提供了新的思路。

在實踐方面，本研究的實證分析結(jié)果驗證了所構(gòu)建的互聯(lián)網(wǎng)醫(yī)院APP評價指標體系的實用性。研究結(jié)論不僅有助于信息監(jiān)管部門對互聯(lián)網(wǎng)醫(yī)院移動應(yīng)用程序進行監(jiān)管，也有助于互聯(lián)網(wǎng)醫(yī)院應(yīng)用程序的開發(fā)方對其隱私保護條款進行自查調(diào)整。受制于數(shù)據(jù)可獲得性和平臺監(jiān)管等客觀因素，本研究存在一定的研究局限。未來的研究將拓展樣本范疇，采集更多APP的隱私政策并進行對比研究。在評價指標設(shè)置方面，隨著我國個人信息保護領(lǐng)域法律法規(guī)的不斷完善，未來研究將拓寬APP隱私政策評價的指標維度設(shè)置。