Uprawnienia do danych o zdrowiu na Androidzie: wskazówki i najczęstsze pytania

Na tej stronie znajdziesz szczegółowe wskazówki i odpowiedzi na najczęstsze pytania dotyczące korzystania z uprawnień Androida, które umożliwiają dostęp do poufnych danych dotyczących zdrowia i aktywności fizycznej. Te uprawnienia obejmują między innymi:

A. Uprawnienia Health Connect: Health Connect zapewnia aplikacjom scentralizowany i ustandaryzowany sposób przechowywania i udostępniania danych o zdrowiu i aktywności fizycznej przy zachowaniu prywatności i bezpieczeństwa użytkowników. Umożliwia aplikacjom żądanie dostępu do określonych typów danych zamiast ogólnych uprawnień, co zapewnia większą przejrzystość i kontrolę. Przykłady uprawnień Health Connect:

android.permission.health.READ_HEART_RATE,
android.permission.health.READ_BLOOD_PRESSURE.

Więcej informacji o Health Connect, w tym o pierwszych krokach, znajdziesz na stronie Health Connect dla deweloperów. Szczegółowe informacje o uprawnieniach do danych o zdrowiu znajdziesz w artykule o uprawnieniach do danych o zdrowiu na Androidzie.

B. Czujniki na ciele: Android udostępnia też uprawnienia do bezpośredniego dostępu do danych z czujników na ciele, takich jak pulsoksymetry, monitory tętna i czujniki temperatury skóry. Są to uprawnienia android.permission.BODY_SENSORS, a począwszy od Androida 16, także bardziej szczegółowe uprawnienia android.permission.health.*, np. android.permission.health.READ_HEART_RATE.

Więcej informacji o tej zmianie znajdziesz w artykule o zmianach sposobu działania aplikacji na Androida 16 lub nowszego.

C. Inne odpowiednie uprawnienia to:

konkretne uprawnienia związane ze zdrowiem, takie jak READ_HEALTH_DATA_IN_BACKGROUND i READ_HEALTH_DATA_HISTORY;
standardowe uprawnienia Androida (np. Lokalizacja, Aparat, Mikrofon, Bluetooth, Wykonywanie w tle) używane w aplikacji związanej ze zdrowiem do zbierania lub wnioskowania poufnych informacji o zdrowiu – podlegają one również podstawowym zasadom opisanym tutaj (zgoda użytkownika, minimalizacja danych, ograniczenie celu, bezpieczeństwo) oraz zasadom dotyczącym danych użytkownika.

Dostęp do danych i ich wykorzystanie: wymagania i wskazówki

Dostęp do uprawnień do danych o zdrowiu i korzystanie z tych uprawnień podlega poniższym najważniejszym zasadom. Dotyczą one danych pochodzących z Health Connect, czujników na ciele oraz innych odpowiednich uprawnień związanych ze zdrowiem, aktywnością fizyczną i samopoczuciem. Uzupełniają one wymagania wynikające z zasad dotyczących danych użytkownika i aplikacji związanych ze zdrowiem.

Dostęp aplikacji do danych o zdrowiu i aktywności fizycznej uzyskany dzięki uprawnieniom Androida musi być bezpośrednio związany z zapewnianiem użytkownikowi wyraźnych korzyści w ramach zatwierdzonych przypadków użycia opisanych w tych wytycznych.
Musisz spełnić wszystkie szczegółowe wymagania dotyczące zgody, próśb o uprawnienia w czasie działania oraz powiadomień o zbieraniu danych określone w zasadach Google Play dotyczących danych użytkownika.
Proś tylko o uprawnienia do typów danych, które obsługują oferowane użytkownikom określone funkcje dotyczące zdrowia, i tylko z tych danych korzystaj. Nie proś o większy dostęp niż jest to konieczne.
Zadbaj o to, aby polityka prywatności była wyczerpująca i dokładna, łatwo dostępna z poziomu aplikacji i informacji o aplikacji w Sklepie Play. W polityce musisz jasno wyjaśnić:

jakie dane o zdrowiu i aktywności fizycznej zbiera i z jakich danych korzysta Twoja aplikacja;
jak dane są wykorzystywane, przechowywane i potencjalnie udostępniane (w tym osobom trzecim);
jakie są zasady przechowywania i usuwania danych;
jakie stosujesz praktyki dotyczące bezpieczeństwa.

Funkcje aplikacji, informacje o niej w Sklepie Play oraz wszelkie oświadczenia w aplikacji związane z dostępem do danych o zdrowiu muszą dokładnie odzwierciedlać sposób postępowania z danymi i przeznaczenie aplikacji.

Musisz wdrożyć skuteczne techniczne, administracyjne i fizyczne środki bezpieczeństwa, aby chronić poufne dane dotyczące zdrowia przed nieuprawnionym dostępem do nich, ich użyciem, ujawnieniem lub zmodyfikowaniem, a także przed ich utratą lub zniszczeniem. Obejmuje to co najmniej szyfrowanie danych w spoczynku i podczas przesyłania, silne kontrole dostępu w systemach oraz bezpieczne metody tworzenia oprogramowania i zarządzanie podatnością na zagrożenia.
Ponosisz wyłączną odpowiedzialność za sprawdzenie i przestrzeganie wszystkich przepisów, rozporządzeń i standardów branżowych związanych z danymi dotyczącymi zdrowia, obowiązujących w odniesieniu do Twojej aplikacji w każdym regionie, w którym jest ona rozpowszechniana. Do tych wymagań należą między innymi:

ustawa HIPAA w Stanach Zjednoczonych dotycząca chronionych informacji zdrowotnych (PHI);
rozporządzenie RODO w Europie dotyczące przetwarzania danych osobowych, w szczególności określonych kategorii danych;
przepisy dotyczące oprogramowania spełniającego funkcję urządzenia medycznego (SaMD), jeśli aplikacja spełnia odpowiednie kryteria;
lokalne przepisy dotyczące prywatności danych i informacji zdrowotnych.

Pełną listę zakazanych sposobów wykorzystania danych o zdrowiu i aktywności fizycznej na Androidzie znajdziesz w sekcji „Niedozwolone sposoby korzystania z danych o zdrowiu i aktywności fizycznej na Androidzie” poniżej.

Zatwierdzone przypadki użycia uprawnień do danych o zdrowiu na Androidzie

Dostęp do poufnych danych o zdrowiu i aktywności fizycznej na podstawie uprawnień na Androidzie jest ściśle ograniczony do aplikacji, które przynoszą użytkownikom wyraźne korzyści w ramach konkretnych, zatwierdzonych przypadków użycia. Zadeklarowane przez Ciebie w Konsoli Play przypadki użycia muszą dokładnie odzwierciedlać funkcje aplikacji, które wymagają dostępu do danych dotyczących zdrowia i aktywności fizycznej.

W tej sekcji znajdziesz szczegółowe opisy i przykłady głównych zatwierdzonych przypadków użycia. Pamiętaj, że przydatność danych z Health Connect lub czujników na ciele może się różnić w zależności od konkretnej funkcji.

Aktywność fizyczna, samopoczucie i wskazówki

Aplikacje, których głównym przeznaczeniem jest pomaganie użytkownikom w śledzeniu, monitorowaniu, analizowaniu i poprawianiu swojej aktywności fizycznej i ogólnego samopoczucia oraz w zarządzaniu aktywnością fizyczną i samopoczuciem, a także aplikacje, w których użytkownicy mogą otrzymywać spersonalizowane wskazówki i porady. Obejmuje to również aplikacje towarzyszące, które synchronizują się z urządzeniami do noszenia i wyświetlają pochodzące z nich dane dotyczące aktywności fizycznej.

Funkcje często obejmują agregację danych z różnych źródeł danych o użytkownikach (aplikacje, urządzenia do noszenia) w celu uzyskania całościowego obrazu i analizy długoterminowych trendów. Dotyczy to np. tych funkcji:

dostarczanie informacji zwrotnych w czasie rzeczywistym podczas aktywności (np. monitorowanie intensywności ćwiczeń, stref tętna lub czasu regeneracji po ćwiczeniach za pomocą odpowiednich danych z czujników);
śledzenie codziennej aktywności (np. liczenie kroków lub wykrywanie spacerów/biegania);
analizowanie jakości i wzorców snu;
wykrywanie wczesnych oznak potencjalnej choroby dzięki analizie trendów (nieprzeznaczone do diagnozowania medycznego);
śledzenie odżywiania;
podawanie wskazówek podczas ćwiczeń lub sesji medytacji;
udostępnianie spersonalizowanych planów treningowych lub żywieniowych.

Nagrody

Aplikacje zachęcające użytkowników do wdrażania i utrzymywania zdrowych nawyków, stosujące spersonalizowane zachęty lub śledzące postępy w realizacji celów związanych ze zdrowiem w zamian za nagrody finansowe.

Wellness dla firm

Obejmuje platformy oferowane zazwyczaj przez pracodawców w celu promowania zdrowia pracowników za pomocą programów wellness, wyzwań i zasobów. Funkcja ta często polega na agregowaniu danych o aktywności (np. liczby kroków z różnych urządzeń lub aplikacji użytkownika), jeśli użytkownik wyraził na to zgodę, w celu udziału w wyzwaniach firmowych lub śledzenia postępów w ramach programu sponsorowanego przez pracodawcę.

Opieka medyczna

Aplikacje, które ułatwiają użytkownikom otrzymywanie opieki klinicznej i zarządzanie nią, obejmują te obszary działania:

Opieka bezpośrednia: aplikacje pozwalające użytkownikom na kontakt z podmiotami medycznymi, zarządzanie wizytami, dostęp do dokumentacji medycznej i monitorowanie stanu zdrowia.
Zarządzanie stanem zdrowia: aplikacje ułatwiające zarządzanie konkretnymi chorobami (np. cukrzycą lub nadciśnieniem). Mogą one wykorzystywać dane użytkownika, aby personalizować plany leczenia, sprawdzać postępy oraz zapewniać dostęp do materiałów edukacyjnych i pomocy.
Śledzenie pomiarów klinicznych lub parametrów życiowych – potencjalnie obejmujące monitorowanie (ciągłe lub w czasie zbliżonym do rzeczywistego) parametrów związanych ze stanem zdrowia, np. wzorców tętna w przypadku chorób układu sercowo-naczyniowego, SpO2 w przypadku problemów z oddychaniem lub snem albo temperatury skóry w przypadku gorączki lub oceny stanu powrotu do zdrowia).
Zarządzanie lekami: aplikacje, które pomagają użytkownikom zarządzać lekami, śledzić pory ich przyjmowania i otrzymywać przypomnienia, potencjalnie korzystając z danych użytkownika w celu identyfikowania potencjalnych interakcji leków lub dostarczania spersonalizowanych informacji o lekach.

Mogą to być na przykład aplikacje do zarządzania cukrzycą (śledzenia poziomu glukozy we krwi, insuliny, diety i aktywności), aplikacje pomagające przestrzegać zaleceń dotyczących przyjmowania leków, a także platformy zapewniające użytkownikom dostęp do elektronicznych danych o stanie zdrowia (EHR).

Uwagi dotyczące zgodności z przepisami:

Przepisy dotyczące urządzeń medycznych: aplikacje wykonujące diagnostykę, podające zalecenia dotyczące leczenia lub prowadzące monitorowanie kliniczne mogą kwalifikować się jako oprogramowanie pełniące funkcję urządzenia medycznego (SaMD) i podlegać ścisłym wymogom regulacyjnym (np. FDA w Stanach Zjednoczonych, oznaczenie CE/MDR w Europie). Za przestrzeganie wszystkich obowiązujących przepisów odpowiada wyłącznie deweloper.
Przepisy dotyczące prywatności danych: obsługa tego typu danych wymaga przestrzegania przepisów dotyczących prywatności danych zdrowotnych, takich jak HIPAA w Stanach Zjednoczonych, RODO w Unii Europejskiej lub równoważnych.

Badania z udziałem ludzi

Aplikacje, które umożliwiają użytkownikom dobrowolne przekazywanie swoich danych na potrzeby badań medycznych oraz stosują odpowiednie procedury uzyskiwania zgody i przeprowadzania deidentyfikacji. Mogą to być aplikacje skupiające się na konkretnych schorzeniach, śledzeniu zdrowia publicznego lub naborze do badań klinicznych. Badania te są zwykle zatwierdzane przez odpowiednią komisję bioetyczną w celu uzyskania zgody użytkownika na prowadzenie badań medycznych.

Uwaga: aplikacje służące do prowadzenia badań związanych ze zdrowiem osób, korzystające z danych uzyskanych przez Health Connect, muszą uzyskać zgodę od uczestników, a w przypadku osób nieletnich – od ich rodziców lub opiekunów. Taka zgoda musi zawierać te informacje: (a) charakter, cel i czas trwania badania; (b) procedury, ryzyko i korzyści dla uczestnika; (c) informacje na temat poufności danych i postępowania z nimi (w tym udostępniania ich osobom trzecim); (d) dane osoby kontaktowej, do której uczestnicy mogą kierować pytania; (e) proces rezygnacji z udziału w badaniu. Aplikacje służące do prowadzenia badań związanych ze zdrowiem osób, korzystające z danych uzyskanych przez Health Connect, muszą być zatwierdzone przez niezależny organ, który: 1) ma za zadanie chronić prawa, bezpieczeństwo i zdrowie uczestników; 2) ma uprawnienia do kontrolowania, modyfikowania i zatwierdzania badań z udziałem osób. Deweloper musi dysponować dowodem takiej zgody i przedstawić go na żądanie.

Gry związane ze zdrowiem

Gry, w których mechanika rozgrywki, rozwój postaci lub nagrody w grze są bezpośrednio uzależnione od rzeczywistej aktywności fizycznej użytkownika lub danych dotyczących jego samopoczucia, często uzyskiwanych za pomocą zbiorczych danych o aktywności (np. liczby kroków) lub wykrytych stanów aktywności (chodzenia, biegania). Przykłady to gry, które używają liczby kroków do odblokowywania funkcji, symulatory wirtualnych zwierzątek wymagające aktywności użytkownika lub gry na podstawie lokalizacji zachęcające do ruchu. Głównym celem aplikacji musi być granie. Aplikacja nie może działać jako niepodlegające regulacjom prawnym narzędzie medyczne.

Niedozwolone sposoby korzystania z danych o zdrowiu i aktywności fizycznej na Androidzie

Ze względu na poufny charakter danych o aktywności fizycznej i samopoczuciu niektóre sposoby ich wykorzystania są surowo zabronione – ma to na celu ochronę prywatności i bezpieczeństwa użytkowników. Korzystanie z danych uzyskanych za pomocą uprawnień do danych o zdrowiu na Androidzie (w tym Health Connect, czujników ciała lub innych odpowiednich uprawnień) do dowolnego z tych celów jest zabronione:

Wykorzystywanie komercyjne i reklama

przekazywanie lub sprzedawanie danych o zdrowiu i aktywności fizycznej użytkownika osobom trzecim, na przykład platformom reklamowym, brokerom danych czy jakimkolwiek innym podmiotom zajmującym się handlem informacjami;
przekazywanie, sprzedawanie lub wykorzystywanie danych o zdrowiu i aktywności fizycznej użytkownika do wyświetlania reklam, w tym reklam spersonalizowanych i opartych na zainteresowaniach;
przekazywanie, sprzedawanie lub wykorzystywanie danych o zdrowiu i aktywności fizycznej użytkownika do określenia zdolności kredytowej lub na inne potrzeby związane z udzielaniem pożyczek;
udostępnianie danych dotyczących zdrowia osobom trzecim bez wyraźnej, świadomej zgody użytkownika.

Nieautoryzowane lub niebezpieczne aplikacje

Przekazywanie, sprzedawanie lub wykorzystywanie danych o zdrowiu i aktywności fizycznej użytkownika na potrzeby innej usługi lub innego produktu, które mogą kwalifikować się jako urządzenie medyczne. Jest to dozwolone tylko wtedy, gdy aplikacja urządzenia medycznego jest zgodna ze wszystkimi obowiązującymi przepisami – dotyczy to m.in. uzyskania od odpowiednich organów regulacyjnych (np. FDA w Stanach Zjednoczonych) niezbędnych zezwoleń lub zatwierdzeń umożliwiających zgodne z przeznaczeniem wykorzystanie danych o zdrowiu i aktywności fizycznej. Jednocześnie wymagane jest uzyskanie od użytkownika świadomej zgody na takie wykorzystanie danych.
Przekazywanie, sprzedawanie lub wykorzystywanie danych użytkownika o stanie zdrowia i aktywności fizycznej w jakimkolwiek celu lub w jakikolwiek sposób, jeśli ma to związek z poufnymi informacjami zdrowotnymi podlegającymi konkretnym przepisom dotyczącym prywatności (np. chronionymi informacjami zdrowotnymi (PHI) zgodnie z ustawą HIPAA), chyba że takie działanie zainicjował użytkownik i jest ono zgodne ze wszystkimi obowiązującymi przepisami i regulacjami prawnymi.
Nie wolno używać danych o zdrowiu i aktywności fizycznej do tworzenia aplikacji, środowisk lub działań (ani włączać tych danych do takich aplikacji, środowisk lub działań), w przypadku których można oczekiwać, że użycie danych o zdrowiu lub błąd w ich użyciu lub przetwarzaniu może doprowadzić do czyjejś śmierci, obrażeń lub innych szkód osobistych lub też szkód w środowisku bądź zniszczenia mienia.
Do danych zebranych dzięki uprawnieniom do danych o zdrowiu na Androidzie nie wolno uzyskiwać dostępu za pomocą aplikacji bez interfejsu graficznego. Aplikacje muszą wyświetlać łatwo rozpoznawalną ikonę w panelu aplikacji, ustawieniach aplikacji na urządzeniu, ikonach powiadomień itp.
Nie wolno używać interfejsów API danych o zdrowiu i aktywności fizycznej w przypadku aplikacji, które synchronizują dane między niezgodnymi urządzeniami lub platformami.
Nie wolno używać uprawnień do danych o zdrowiu na Androidzie do łączenia się z aplikacjami, usługami lub funkcjami skierowanymi wyłącznie do dzieci.

Jak poprosić o dostęp do danych na podstawie uprawnień do danych o zdrowiu i aktywności fizycznej?

Zapoznaj się z odpowiednimi zasadami: poznaj zatwierdzone przypadki użycia i wymagania dotyczące dostępu do danych o zdrowiu i aktywności fizycznej użytkownika oraz ich udostępniania i ochrony. Więcej informacji znajdziesz w zasadach dotyczących uprawnień do danych o zdrowiu na Androidzie oraz we wskazówkach podanych na tej stronie.
Poproś o uprawnienia w Konsoli Play: podczas przesyłania aplikacji w Konsoli Play poproś o określone uprawnienia dostępu do typów danych, których Twoja aplikacja potrzebuje do obsługi swoich funkcji.

Przesyłając prośbę o uprawnienia, pamiętaj o tych kwestiach:

W każdej prośbie jasno i szczegółowo wyjaśnij, jak Twoja aplikacja będzie używać danych na korzyść użytkownika.
Jeśli Twoja aplikacja nie wymaga określonych typów danych, nie możesz prosić o dostęp do nich.
W opisie aplikacji podaj jak najwięcej szczegółów dotyczących celu prośby o dostęp do danych.
Poproś o dostęp do minimalnego zakresu potrzebnych typów danych. Dla każdej prośby podaj uzasadniony przypadek użycia.

Aby zobaczyć, jak zarządzać uprawnieniami do danych o zdrowiu i aktywności fizycznej, obejrzyj ten film.

Przykłady dobrego uzasadnienia:

Prośba o uprawnienia: dostęp do danych o aktywności fizycznej.
Uzasadnienie: „Nasza aplikacja tworzy spersonalizowane plany treningowe. Dane o aktywności fizycznej pozwalają nam dostosować rekomendacje do bieżącego poziomu aktywności użytkowników, co ułatwia im dbanie o kondycję”.
Prośba o uprawnienia (czujniki na ciele): android.permission.health.READ_HEART_RATE
Uzasadnienie: „Nasza aplikacja umożliwia monitorowanie tętna w czasie rzeczywistym podczas treningów, aby użytkownik mógł otrzymywać informacje zwrotne i dostosowywać intensywność treningu”.

Przykład niepełnego uzasadnienia:

Prośba o uprawnienia: dostęp do danych o aktywności fizycznej.
Uzasadnienie: „Wymagane do działania aplikacji”. To uzasadnienie jest zbyt ogólne i nie zawiera konkretnych informacji.

Opisz zasady dotyczące prywatności i bezpieczeństwa danych: opracuj politykę prywatności zgodnie z tymi wymogami:
Określ zasady zbierania, wykorzystywania i udostępniania danych w aplikacji. Podaj szczegółowe informacje o tym, jakie dane są gromadzone oraz jak są one wykorzystywane i przechowywane. Wskaż, jak użytkownik może zarządzać swoimi danymi i jak wyglądają zasady dotyczące udostępniania danych.
Opisz środki bezpieczeństwa stosowane w celu ochrony danych użytkowników – takie jak szyfrowanie, kontrola dostępu i regularna kontrola bezpieczeństwa.

Wszystkie żądania dostępu do danych dotyczących zdrowia i aktywności fizycznej oraz danych z czujników na ciele będą sprawdzane, tak aby użycie tych danych wrażliwych było zgodne z zatwierdzonymi przypadkami użycia.

Co się stanie, jeśli moja prośba zostanie uznana za niepełną lub odrzucona?

Jeśli Twoja prośba będzie niepełna lub zostanie odrzucona, otrzymasz informację zwrotną w Konsoli Play. Najczęstsze przyczyny odrzucenia:

brak jasnego uzasadnienia dotyczącego żądanych uprawnień;
niezgodność z zatwierdzonymi przypadkami użycia;
niewystarczające informacje o zbieraniu, wykorzystywaniu i udostępnianiu danych.

Deweloperzy mogą uzupełnić swoje prośby o dodatkowe informacje i wyjaśnienia, a następnie przesłać je ponownie.

Czy zasady dotyczące uprawnień do danych o zdrowiu i aktywności fizycznej obowiązują w przypadku aplikacji na Wear OS?

Tak. Zasady dotyczące uprawnień do danych o zdrowiu i aktywności fizycznej dotyczą wszystkich aplikacji, które żądają dostępu do opisanych powyżej uprawnień do danych dotyczących zdrowia, aktywności fizycznej i samopoczucia, w tym aplikacji na WearOS. Deweloperzy muszą przestrzegać zasad Health Connect niezależnie od typu urządzenia oraz spełniać m.in. wymagania dotyczące dostępu do danych, ich wykorzystania i ochrony prywatności.

Jakie są wytyczne dotyczące interfejsu uprawnień i próśb o dostęp do danych dotyczących zdrowia i aktywności fizycznej?

Aby zadbać o wygodę użytkowników, skup się na odpowiednim wyświetlaniu danych o zdrowiu i aktywności fizycznej w aplikacji. Wyjaśnij, dlaczego aplikacja potrzebuje dostępu do poszczególnych typów danych, i przedstaw informacje w uporządkowany, przystępny sposób. Szczegółowe informacje znajdziesz w wytycznych dotyczących interfejsu Health Connect.

Czy to było pomocne?

Jak możemy ją poprawić?