健康数据共享政策要求常见问题解答

本页面详细说明了如何使用 Android 权限来访问敏感的健康与健身数据,并解答了相关常见问题。这些权限包括但不限于:

A.“健康数据共享”相关权限:“健康数据共享”提供了一种集中且标准化的方式,让应用能够存储和共享健康与健身数据,同时保障用户隐私和安全。它允许应用请求访问特定数据类型而不是获取宽泛权限,从而提升信息透明度并增强用户控制力。“健康数据共享”相关权限的示例包括:

  • android.permission.health.READ_HEART_RATE

  • android.permission.health.READ_BLOOD_PRESSURE

如需详细了解“健康数据共享”(包括如何开始使用它),请访问“健康数据共享”开发者页面。如需详细了解健康相关权限,请参阅 Android 健康相关权限

B. 身体传感器:Android 还提供相关权限,以便应用直接访问身体传感器(例如心率监测器、脉搏氧饱和度传感器和体表温度传感器)中的数据。(使用 android.permission.BODY_SENSORS,或者在 Android 16 或更高版本上使用更精细的 android.permission.health.* 权限,例如 android.permission.health.READ_HEART_RATE)。

如需详细了解此次过渡,请参阅行为变更:以 Android 16 或更高版本为目标平台的应用

C. 其他相关权限包括

  • 特定的健康相关权限,例如 READ_HEALTH_DATA_IN_BACKGROUND 和 READ_HEALTH_DATA_HISTORY

  • 健康类应用中用于收集或推断敏感健康信息的标准 Android 权限(例如位置信息、摄像头、麦克风、蓝牙、后台执行)也必须遵守此处列出的核心原则(用户同意、数据最少化、用途限制、安全性)和用户数据政策。

数据访问和使用:要求和指南

在获取和使用健康相关权限时,必须遵循以下关键原则。无论数据来自“健康数据共享”、身体传感器还是其他相关的健康、健身和身心状态权限,这些要求都适用,它们是对用户数据政策和健康类应用政策中所述完整要求的补充。

  1. 您的应用通过 Android 权限获取的健康与健身数据必须严格用于本指南中详述的获批使用情形,并为用户带来明确的实际益处。

  2. 您必须遵守 Google Play 用户数据政策中关于征求用户同意、运行时权限请求和醒目披露声明的所有详细要求。

  3. 仅请求与您面向用户提供的具体健康功能相关的权限和数据类型。勿请求超出必要范围的宽泛访问权限。

  4. 制定并维护全面且准确的隐私权政策,确保它可由用户从您的应用和 Play 商店商品详情中轻松访问,该政策应清楚地说明:

  • 您的应用会收集和访问哪些健康与健身数据。

  • 数据的使用与存储方式以及可能的共享方式(包括与任何第三方共享的情况)。

  • 您的数据保留和删除政策。

  • 您的安全做法。

应用的功能、Play 商店商品详情以及与健康数据访问权限相关的任何应用内披露信息,都必须准确反映您在数据方面的做法和预期用途。

  1. 您必须在技术、管理和物理方面实施稳健的安全措施,以保护敏感健康数据免遭丢失或未经授权的访问/使用/披露/修改/销毁。这些措施至少应包括静态数据和传输中数据的加密、系统中严格的访问权限控制,以及安全的开发做法和漏洞管理。

  2. 对于应用的每个目标分发地区,您都有责任确定并遵守所有与健康数据相关的适用法律、法规和业界标准。包括但不限于以下要求:

  • 美国的《健康保险流通与责任法案》(HIPAA),适用于受保护健康信息 (PHI)。

  • 欧洲的《一般数据保护条例》(GDPR),涉及个人数据处理,尤其是特殊类别数据的处理。

  • 与软件即医疗设备 (SaMD) 相关的法规(如果您的应用符合相关标准)。

  • 当地在数据隐私权和健康信息方面推行的法律。

如需查看 Android 健康与健身数据的禁止用途的完整列表,请参阅下文中的Android 健康与健身数据的禁止用途部分。

Android 健康相关权限的获批使用情形

通过 Android 权限访问敏感健康与健身数据的行为受严格约束,仅限于那些能在已获批准的具体使用情形中为用户带来明确益处的应用。您在 Play 管理中心内声明的使用情形必须准确反映您应用中需要使用健康与健身数据的功能。

本部分详细介绍了已获批准的主要使用情形,并提供了相关示例。请注意,“健康数据共享”或身体传感器中的数据的适用性可能会因具体功能而异。

健身、健康和相关指导

此类应用主要用于帮助用户跟踪、监测、分析、管理和改善身体健康及整体健康状况,或为其提供个性化指导和建议。也包括与穿戴式设备同步并显示其健身指标的配套应用。

这些应用的功能通常涉及汇总来自各种用户来源(应用、穿戴式设备)的数据,以便提供全面视图并分析长期趋势,例如:

  • 在活动期间提供实时反馈(例如使用相关传感器数据监测锻炼强度、心率区间或活动后恢复情况);
  • 跟踪日常活动(例如步数或检测步行/跑步行为);
  • 分析睡眠健康状况和睡眠模式;
  • 通过分析趋势检测潜在疾病的早期迹象(不用于医学诊断);
  • 跟踪营养摄入;
  • 提供引导式锻炼或冥想课程,以及
  • 提供个性化的锻炼或饮食计划。

奖励

此类应用鼓励用户培养并保持健康的习惯、赢得个性化奖励或跟踪健康目标达成进度以换取奖金。

公司健康计划

包括通常由雇主提供的平台,旨在通过健康计划、挑战活动和相关资源促进员工的身心健康。此类平台的功能通常涉及汇总用户已同意分享的活动数据(例如来自各种用户设备/应用的步数),以便参与公司组织的挑战活动,或跟踪员工在雇主赞助的计划中的表现和进展。

医疗护理

此类应用可帮助用户接收和管理临床护理信息,包括:

  • 直接护理:此类应用让用户能够联系医疗服务提供方、管理预约、访问医疗记录和跟踪健康状况
  • 身体状况管理:此类应用专注于管理特定疾病(例如糖尿病、高血压),可能会利用用户数据来量身定制治疗方案、监控进度以及提供相关指导和支持。
  • 跟踪临床测量结果或生命体征(可能包括与病情相关的持续或近乎实时的监测,例如与心血管相关的心率模式、与呼吸或睡眠问题相关的血氧饱和度 [SpO2],或据以评估发烧/康复状况的体表温度)
  • 药物管理:此类应用可帮助用户管理药物、跟踪服药情况并接收提醒,可能会使用用户数据来识别潜在的药物相互作用或提供个性化的药物信息。

例如,糖尿病管理应用(跟踪血糖、胰岛素、饮食、活动)、服药情况跟踪工具,或为用户提供电子健康记录 (EHR) 访问权限的平台。

针对合规性的说明:

  • 医疗设备法规:执行诊断、治疗建议或临床监测功能的应用可能属于软件即医疗设备 (SaMD) 并须遵守严格的法规要求(例如,美国食品药品监督管理局 [FDA] 审核、欧洲产品合规 [CE] 标志/医疗设备法规 [MDR])。开发者须自行负责遵守所有适用的法规。
  • 数据隐私权法律:处理此类数据时,须遵守健康数据隐私权法律,例如美国的《HIPAA》、欧盟的《GDPR》或其他具备等同效力的地区性法律。

人体研究

此类应用让用户有机会捐献自己的数据,并在征得用户同意并采取适当的去标识化措施后,将这些数据用于健康方面的研究。这可能包括专注于特定疾病、公共卫生监控或临床试验受试者招募的应用。这类研究通常已获得机构审查委员会 (IRB) 或伦理委员会 (EC) 的批准,并且会在征得用户同意的情况下开展与健康相关的研究。

注意:如果应用使用通过“健康数据共享”获取的数据执行与健康相关的人体研究,则必须征得参与者的同意;如果参与者是未成年人,则必须征得其父母或监护人的同意。在征求同意时必须说明以下事项:(a) 研究的性质、目的和持续时间;(b) 参与者将经历的流程、承担的风险以及获得的好处;(c) 与数据的机密性和处理方式(包括与第三方的任何共享行为)有关的信息;(d) 可为参与者解答问题的联系人;以及 (e) 退出研究的流程。如果应用使用通过 Health Connect 获取的数据执行与健康相关的人体研究,必须获得满足下列条件的独立委员会的批准:1) 以保障参与者的权利、安全和健康为己任;2) 有权审查、修改和批准人体研究。在提出请求时,必须提供此类批准的证明。

健康融合类游戏

此类游戏利用用户的现实世界身体活动或健康数据直接影响游戏机制、角色成长或游戏内奖励,往往通过汇总的活动指标(例如步数)或检测到的活动状态(步行、跑步)来获取这些数据。例如,使用步数解锁功能的游戏、需要用户进行实际活动的虚拟宠物模拟游戏,或鼓励用户运动的位置游戏。这类应用的主要目的必须是玩游戏,不得充当未受监管的医疗工具。

Android 健康与健身数据的禁止用途

鉴于健康、健身和身心状态数据的敏感性质,为保护用户隐私和安全,我们严格禁止将这些数据用于特定用途。禁止将通过 Android 健康相关权限(包括“健康数据共享”、身体传感器或其他相关权限)访问的数据用于以下任何用途:

商业目的和广告

  • 向第三方(比如广告平台、数据代理商或任何信息转销商)传输或出售用户健康或健身数据。
  • 以投放广告(包括投放个性化广告或针对用户兴趣投放广告)为目的传输、出售或使用用户健康与健身数据。
  • 以确定用户的信誉度或进行贷款为目的传输、出售或使用用户健康与健身数据。
  • 在未让用户知情且未征得用户明确同意的情况下与第三方共享用户的健康数据。

未经授权或不安全的应用

  • 通过可能会被认定为医疗设备的任何产品或服务传输、出售或使用用户健康与健身数据,除非相应医疗设备应用遵守所有适用的法规,包括已事先获得相关监管机构(例如美国 FDA)的必要官方许可或批准,藉此表明自身可将用户的健康与健身数据用于预期用途并已就这类用途征得用户明确同意。
  • 出于任何目的或通过任何方式传输、出售或使用涉及受特定隐私权法规约束的敏感健康信息(例如《HIPAA》所述的受保护健康信息)的用户健康与健身数据,除非相应行为是由用户发起且符合所有此类适用法律法规。
  • 如果可以合理预见到,在应用、环境或活动中使用健康与健身数据或出现相关故障可能会导致人员伤亡、个体损害、环境破坏或财产损失,则不得将健康数据用于开发此类应用、环境或活动,也不得将其纳入此类应用、环境或活动中。
  • 不得使用无头应用访问通过 Android 健康相关权限获取的数据。应用必须在应用托盘、设备配套应用的设置界面、通知图标等位置显示清晰可辨的图标。
  • 如果应用在不兼容的设备和平台之间同步数据,则不得搭配健康与健身数据 API 使用。
  • 不得使用 Android 健康相关权限连接到仅面向儿童提供的应用、服务或功能。

如何请求访问通过健康与健身权限获取的数据?

  1. 查看相关政策:查看并了解获批使用情形,以及针对访问、共享和保护用户健康与健身数据的要求。如需了解详情,请参阅 Android 健康相关权限政策以及本页面中提及的指南。
  2. 在 Play 管理中心内请求获取权限:在 Play 管理中心内提交应用时,开发者应请求获取与应用功能所需数据类型对应的特定权限。

请求获取权限时,请谨记:

  • 对于请求获取的每项权限,都要提供清晰详细的理由,说明您的应用将如何使用相应数据为用户带来好处。
  • 如果您的应用不需要访问特定数据类型,则不得请求访问这些数据类型。
  • 尽可能详细地表明请求获取访问权限的目的。
  • 尽可能仅请求必需数据类型的访问权限,越少越好,并且应为每项请求提供一个有效的用途。

如需获取与管理健康与健身权限有关的直观指南,您不妨观看这个实用视频

充足理由的示例:

  • 请求获取的权限:访问身体活动数据。
  • 理由:“我们的应用提供个性化的锻炼计划。通过访问身体活动数据,我们可以根据用户的当前活动水平量身定制建议,从而提升他们的健身体验。”
  • 请求获取的权限(身体传感器):android.permission.health.READ_HEART_RATE
  • 理由:“我们的应用会在锻炼期间实时监测心率,以便向用户提供反馈,帮助用户调整锻炼强度。”

不充足理由的示例:

  • 请求获取的权限:访问身体活动数据。
  • 理由:“应用功能所需。”(理由过于宽泛,缺乏具体说明)
  1. 阐明隐私权和安全性方面的做法:提供全面的隐私权政策,并且该政策应:
  2. 简要介绍应用在数据收集、使用和共享方面的做法。详细说明应用会收集哪些数据、如何使用和存储这些数据,以及用户控件和数据共享做法。
  3. 阐明为保护用户数据而实施的安全举措,例如加密、访问权限控制和定期安全评估。

所有针对健康与健身权限以及身体传感器权限的访问权限请求都将接受审核,以确保此类敏感数据的使用符合获批使用情形。

如果我的请求不详尽或被拒,会怎么样?

如果您的请求不详尽或被拒,您会通过 Play 管理中心收到反馈。被拒的常见原因包括:

  • 未针对所请求的权限提供明晰理由。
  • 与已获批准的使用情形不符。
  • 未详细说明在数据收集、使用和共享方面的做法。

开发者可以修改并重新提交其请求,并附上更多信息或说明。

“健康与健身权限”政策是否适用于 WearOS 应用?

是的,“健康与健身权限”政策适用于请求获取上述健康、健身和身心状态数据权限的所有应用,包括专为 WearOS 设计的应用。无论使用什么类型的设备,开发者都必须确保遵守“健康数据共享”相关政策,包括遵守数据访问、使用和隐私权方面的要求。

对于健康与健身权限和数据请求,相应的界面指南是什么?

为了提供顺畅可靠的用户体验,请着重考虑如何在应用内显示健康与健身数据。说明为何要访问每种所需的数据类型,并以井然有序、易于理解的格式呈现相关信息。如需了解详情,请参阅“健康数据共享”界面指南

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单
15446384453097709070
true
搜索支持中心
true
true
true
true
true
92637
false
false
false
false