Oprávnění související se zdravotními údaji v systému Android: pokyny a časté dotazy

Na této stránce najdete podrobné pokyny a odpovědi na časté dotazy ohledně používání oprávnění Android, která mají přístup k citlivým údajům o zdraví a fitness. Mezi tato oprávnění patří mimo jiné:

A. Oprávnění Health Connect: Health Connect poskytuje centralizovaný a standardizovaný způsob, jak můžou aplikace ukládat a sdílet údaje o zdraví a fitness a zároveň zajistit soukromí a zabezpečení uživatelů. Aplikace můžou žádat o přístup ke konkrétním typům dat, nikoli o obecná oprávnění, což podporuje větší transparentnost a kontrolu. Příklady oprávnění Health Connect:

android.permission.health.READ_HEART_RATE
android.permission.health.READ_BLOOD_PRESSURE
[NEW] android.permission.health.READ_ALCOHOL_CONSUMPTION; READ_MENSTRUAL_CYCLE_PHASE; READ_SYMPTOM_COUGH (Poznámka: Oprávnění pro příznaky jsou podrobná, neexistuje oprávnění ALL_SYMPTOMS)

Další informace o platformě Health Connect, včetně informací o tom, jak začít, najdete na stránce Health Connect pro vývojáře. Podrobnosti o oprávněních pro přístup ke zdravotním údajům najdete v tomto článku.

B. Tělesné senzory: Android také poskytuje oprávnění k přístupu k datům přímo z tělesných senzorů, jako jsou snímače tepové frekvence, pulzní oxymetry a senzory teploty kůže. (Umožňuje to oprávnění android.permission.BODY_SENSORS, případně od Androidu 16 podrobnější oprávnění android.permission.health.*, jako je android.permission.health.READ_HEART_RATE.)

Další informace o přechodu najdete v článku Změny chování: Aplikace, které cílí na Android 16 nebo novější.

C. Další relevantní oprávnění:

Konkrétní oprávnění související se zdravím, jako je READ_HEALTH_DATA_IN_BACKGROUND a READ_HEALTH_DATA_HISTORY
Na standardní oprávnění systému Android (například poloha, fotoaparát, mikrofon, Bluetooth, spuštění na pozadí), která jsou v rámci zdravotní aplikace používána ke shromažďování nebo odvození citlivých zdravotních údajů, se vztahují také zde uvedené základní principy (souhlas uživatele, minimalizace dat, omezení účelu, zabezpečení) a zásady pro údaje o uživatelích.

Přístup k datům a jejich použití: požadavky a pokyny

Přístup ke zdravotním oprávněním a jejich používání se řídí následujícími základními principy. Tyto požadavky platí bez ohledu na to, zda data pocházejí ze služby Health Connect, tělesných senzorů nebo jiných relevantních oprávnění pro zdraví, fitness a kvalitu života, a doplňují požadavky zásad pro údaje o uživatelích a zdravotní aplikace.

Přístup aplikace k datům o zdraví a fitness získaný prostřednictvím oprávnění Android musí být přímo spojen s poskytováním jasné výhody pro uživatele v rámci schválených případů použití popsaných v těchto pokynech.
Musíte splňovat všechny podrobné požadavky na souhlas, žádosti o oprávnění po spuštění a oznámení na viditelném místě uvedené v zásadách pro údaje o uživatelích služby Google Play.
Žádejte pouze o oprávnění a typy dat, které podporují konkrétní vámi nabízené zdravotní funkce pro uživatele. Nežádejte o širší přístup, než je nezbytné. Aplikace (zejména agenti umělé inteligence a víceúčelové nástroje), které podporují širokou škálu zdrojů dat, by měly před žádostí o přístup (výzvy k udělení oprávnění) pomocí rozhraní Matchmaking API zjistit, které zdroje dat jsou v zařízení k dispozici.
Udržujte úplné a přesné zásady ochrany soukromí, které jsou snadno dostupné z aplikace a záznamu v Obchodu Play a které jasně vysvětlují:

Jaké údaje o zdraví a fitness aplikace shromažďuje a jak k nim přistupuje
Jak se data používají, ukládají a potenciálně sdílejí (včetně sdílení se třetími stranami)
Vaše zásady pro uchovávání a mazání dat
Vaše postupy v oblasti zabezpečení

Funkce aplikace, záznam v Obchodu Play a veškerá oznámení v aplikaci související s přístupem ke zdravotním údajům musí přesně odpovídat vašim postupům s daty a zamýšlenému použití.

Funkce aplikace, záznam v Obchodu Play a veškerá oznámení v aplikaci související s přístupem ke zdravotním údajům musí přesně odpovídat vašim postupům s daty a zamýšlenému použití. Pokud aplikace zapisuje metadata UDI (jedinečný identifikátor zařízení) k označení původu dat, musíte zajistit jejich přesnost a pravost. Aplikace, které čtou data UDI, nesou výhradní odpovědnost za ověření těchto identifikátorů v příslušných regulačních databázích a za posouzení klinické vhodnosti dat pro své funkce.
Musíte implementovat robustní technická, administrativní a fyzická bezpečnostní opatření k ochraně citlivých zdravotních údajů před neoprávněným přístupem, použitím, zveřejněním, úpravou, ztrátou nebo zničením. Jedná se minimálně o šifrování dat při uložení i při přenosu, silné řízení přístupu ve vašich systémech a bezpečné postupy vývoje a správu chyb.
Nesete výhradní odpovědnost za znalost a dodržování všech příslušných zákonů, předpisů a oborových standardů týkajících se zdravotních údajů ve všech oblastech, kde je vaše aplikace distribuována. Patří sem mimo jiné tyto požadavky:

Zákon HIPAA v USA pro chráněné zdravotní údaje (PHI)
Nařízení GDPR v Evropě týkající se zpracování osobních údajů, zejména zpracování zvláštních kategorií údajů
Předpisy týkající se softwaru jako zdravotnického zařízení (SaMD), pokud aplikace splňuje příslušná kritéria
Místní právní předpisy na ochranu údajů a zdravotních informací

Úplný seznam zakázaných použití dat o zdraví a kondici v systému Android najdete níže v sekci Zakázaná použití dat o zdraví a fitness v systému Android.

Schválené případy použití oprávnění pro přístup k zdravotním údajům v zařízeních Android

Přístup k citlivým údajům o zdraví a kondici prostřednictvím oprávnění Android je přísně omezen na aplikace, které uživatelům přinášejí jasný užitek v rámci konkrétních schválených případů použití. Deklarované případy použití v Play Console musí přesně odpovídat funkcím aplikace, které vyžadují údaje o zdraví a fitness.

V této sekci najdete podrobné popisy a příklady primárních schválených případů použití. Vhodnost dat z Health Connect nebo tělesných senzorů se může lišit v závislosti na konkrétní funkci.

Fitness, wellness a koučování

Aplikace, které jsou určeny k tomu, aby uživatelům pomohly sledovat, měřit, analyzovat, spravovat a zlepšovat jejich fyzickou kondici, celkové zdraví nebo získat personalizované vedení a pokyny. Patří sem i doprovodné aplikace, které synchronizují a zobrazují fitness metriky z nositelných zařízení.

Funkce často zahrnují agregaci dat z různých zdrojů (aplikace, nositelná zařízení) za účelem získání holistického pohledu a analýzy dlouhodobých trendů, například:

Poskytování zpětné vazby v reálném čase během aktivit (jako je sledování intenzity cvičení, zón srdečního tepu nebo zotavení po aktivitě pomocí relevantních dat ze senzorů)
Sledování denní aktivity (například počtu kroků nebo detekce chůze/běhu)
Analýza zdravého spánku a spánkových vzorců
Zjišťování časných příznaků potenciální nemoci prostřednictvím analýzy trendů (není určeno k lékařské diagnostice)
Sledování výživy a životního stylu (například konzumace alkoholu)
Sledování historických fází menstruačního cyklu (například folikulární, luteální) pro kontext wellness
Řízená cvičení nebo meditační relace
Poskytování personalizovaných tréninkových plánů nebo jídelních plánů

Odměny

Aplikace, které uživatele vybízejí k osvojení a udržování zdravých návyků, přizpůsobují jim motivační pobídky nebo sledují pokroky při dosahování zdravotních cílů výměnou za finanční odměny.

Zdravý životní styl pro firmy

Zahrnuje platformy, které obvykle nabízejí zaměstnavatelé za účelem podpory zdraví zaměstnanců prostřednictvím wellness programů, výzev a zdrojů. Funkce často zahrnuje agregaci údajů o aktivitě (například počtu kroků z různých uživatelských zařízení/aplikací), ke kterým byl udělen souhlas, za účelem účasti v firemních výzvách nebo sledování pokroku v rámci programu sponzorovaného zaměstnavatelem.

Lékařská péče

Aplikace, které uživatelům pomáhají získat a spravovat klinickou péči, včetně těchto typů:

Přímá péče: Aplikace, které uživatelům umožňují kontaktovat poskytovatele zdravotní péče, spravovat schůzky, přistupovat k lékařským záznamům a sledovat zdravotní stav.
Léčba zdravotních potíží: Aplikace určené k léčbě konkrétních zdravotních potíží (například diabetes, hypertenze), včetně zaznamenávání klinických příznaků (například kašel, horečka, nevolnost) ke sledování průběhu, poskytování plánů léčby, sledování zlepšení a poskytování relevantních informací a podpory.
Sledování klinických měření nebo vitálních funkcí (potenciálně včetně nepřetržitého nebo téměř v reálném čase probíhajícího sledování relevantního pro daný stav, jako jsou vzorce srdečního tepu v kontextu kardiovaskulárních onemocnění, SpO2 v případě problémů s dýcháním nebo spánkem nebo teplota kůže k posouzení horečky či zotavení).
Řízení podávání léčiv: Aplikace, které uživatelům pomáhají správně užívat léky a sledovat dodržování léčby (například formou připomenutí) a mohou využívat údaje o uživatelích ke zjištění možných interakcí léků nebo k poskytování personalizovaných informací o lécích.

Jedná se například o aplikace ke správě diabetu (měření glykemie, inzulinu, stravy, aktivity), měřiče dodržování léčby nebo platformy poskytující uživatelům přístup k elektronickým zdravotním záznamům.

Poznámky k dodržování zásad:

Předpisy pro lékařská zařízení: Aplikace, které provádějí diagnostiku, doporučení léčby nebo klinické sledování, můžou být považovány za software jako zdravotnické zařízení (SaMD) a podléhat přísným regulačním požadavkům (například FDA v USA, označení CE/MDR v Evropě). Za dodržování všech platných předpisů nese odpovědnost výhradně vývojář.
Právní předpisy na ochranu soukromí: Nakládání s tímto typem dat vyžaduje dodržování právních předpisů na ochranu zdravotních údajů, jako je zákon HIPAA v USA, GDPR v EU nebo ekvivalentní předpisy.

Výzkum na lidských subjektech

Aplikace, které uživatelům umožňují darovat data do studií zdravotního výzkumu (s příslušným souhlasem a opatřeními k deidentifikaci). Může se jednat o aplikace zaměřené na konkrétní onemocnění, sledování veřejného zdraví nebo nábor do klinických studií. Tyto studie obvykle schvaluje institucionální kontrolní komise nebo etická komise a zdravotní výzkum probíhá se souhlasem uživatelů.

Poznámka: Aplikace, které s využitím údajů získaných prostřednictvím služby Health Connect provádějí výzkum týkající se zdraví lidí, musí získat souhlas účastníků nebo (v případě nezletilých osob) jejich rodičů či zákonných zástupců. Takový souhlas musí zahrnovat a) povahu, účel a dobu trvání výzkumu, b) postupy, rizika a přínosy pro účastníka, c) informace o důvěrnosti a nakládání s údaji (včetně případného sdílení se třetími stranami), d) kontakt pro dotazy účastníků a e) postup odstoupení od smlouvy. Aplikace, které s využitím údajů získaných prostřednictvím služby Health Connect provádějí výzkum týkající se zdraví lidí, musí být schváleny nezávislou komisí, jejímž cílem je 1) chránit práva, bezpečnost a blaho účastníků a 2) která má pravomoc kontrolovat, upravovat a schvalovat výzkum týkající se lidí. Na požádání je nutné předložit doklad o takovémto schválení.

Hry integrované se zdravím

Hry, ve kterých jsou herní mechanismy, postup postavy nebo herní odměny přímo ovlivněny fyzickou aktivitou nebo údaji o zdraví uživatele ve skutečném světě, často přístupnými prostřednictvím agregovaných metrik aktivity (například počtu kroků) nebo zjištěných stavů aktivity (chůze, běh). Jedná se například o hry, které k odemknutí funkcí používají počítání kroků, simulátory virtuálních mazlíčků vyžadující aktivitu uživatele nebo hry založené na poloze, které podporují pohyb. Primárním účelem musí zůstat herní zážitek. Aplikace nesmí fungovat jako neregulovaný lékařský nástroj.

Zakázané použití dat o zdraví a fitness v systému Android

Vzhledem k citlivé povaze dat o zdraví, kondici a kvalitě života jsou některá použití přísně zakázána, aby bylo chráněno soukromí a bezpečnost uživatelů. Používání dat přístupných prostřednictvím oprávnění pro přístup ke zdravotním údajům v systému Android (včetně Health Connect, tělesných senzorů nebo jiných relevantních oprávnění) k některému z následujících účelů je zakázáno:

Komerční využití a inzerce

Přenos nebo prodej údajů o zdraví nebo kondici uživatelů třetím stranám, jako jsou reklamní platformy, zprostředkovatelé dat nebo přeprodejci informací.
Přenos, prodej nebo používání údajů o zdraví a kondici uživatelů k zobrazování reklam, včetně personalizované nebo zájmově orientované reklamy.
Přenos, prodej nebo používání údajů o zdraví a kondici uživatelů ke zjištění úvěruschopnosti, způsobilosti pro pojištění, vhodnosti pro zaměstnání nebo k poskytování úvěrů.
Sdílení zdravotních údajů se třetími stranami bez výslovného informovaného souhlasu uživatele.
Veřejné zobrazování nebo sdílení citlivých údajů na sociálních sítích bez výslovného souhlasu uživatele.

Neautorizované nebo nebezpečné aplikace

Přenos, prodej nebo používání údajů o zdraví a kondici uživatelů s jakýmkoli produktem nebo službou, které lze kvalifikovat jako zdravotnické zařízení, pokud aplikace zdravotnického zařízení nesplňuje všechny platné předpisy, včetně získání nezbytných povolení nebo schválení od příslušných regulačních úřadů (například FDA v USA) pro zamýšlené použití údajů o zdraví a kondici a uživatel k tomu neposkytl výslovný souhlas.
Přenos, prodej nebo používání údajů o zdraví a kondici uživatelů k jakémukoli účelu nebo jakýmkoli způsobem, který se týká citlivých zdravotních údajů regulovaných konkrétními nařízeními o ochraně soukromí (například chráněných zdravotních údajů podle zákona HIPAA), pokud ho neinicioval uživatel a není v souladu se všemi příslušnými právními předpisy.
Nepoužívejte údaje o zdraví a fitness k vývoji ani k zahrnutí do aplikací, prostředí nebo aktivit, u kterých by se přiměřeně dalo očekávat, že by použití nebo selhání údajů o zdraví mohlo vést ke smrti, újmě na zdraví nebo poškození životního prostředí či majetku.
Nepřistupujte k údajům získaným prostřednictvím oprávnění pro zdraví v systému Android pomocí aplikací bez grafické vrstvy. Aplikace musí mít jasně identifikovatelnou ikonu na liště aplikací, v nastavení aplikací v zařízení, na ikonách oznámení apod.
Nepoužívejte rozhraní API pro údaje o zdraví a kondici s aplikacemi, které synchronizují data mezi nekompatibilními zařízeními nebo platformami.
Nepoužívejte oprávnění pro přístup k zdraví v zařízení Android k připojení k aplikacím, službám nebo funkcím, které jsou zaměřeny výhradně na děti.

Jak můžu požádat o přístup k datům z oprávnění pro zdraví a fitness?

Seznamte se s příslušnými zásadami: Prostudujte si schválené případy použití a požadavky na přístup k údajům o zdraví a kondici uživatelů, jejich sdílení a ochranu. Další informace najdete v zásadách pro oprávnění Health Connect by Android a pokynech uvedených na této stránce.
Požádejte v Play Console o oprávnění: Při odesílání aplikace v Play Console požádejte o konkrétní oprávnění pro typy dat, které aplikace ke svým funkcím potřebuje.

Při žádání o oprávnění se řiďte následujícími pokyny:

U každého požadovaného oprávnění uveďte jasné a podrobné zdůvodnění, jak bude aplikace data využívat ve prospěch uživatele.
Přístup k vysoce citlivým kategoriím, jako je reprodukční zdraví (například READ_MENSTRUAL_CYCLE_PHASE), užívání návykových látek (například READ_ALCOHOL_CONSUMPTION), klinické vitální funkce (například READ_BLOOD_PRESSURE, READ_SKIN_TEMPERATURE) a symptomy nahlášené uživatelem (například READ_SYMPTOM_COUGH), podléhá zvýšené kontrole. Musíte prokázat, že tyto konkrétní datové body jsou nezbytné pro funkci určenou uživatelům (například sledování plodnosti nebo správu chronických onemocnění).
Pokud aplikace přístup k určitým typům dat nevyžaduje, nesmíte o přístup k těmto typům dat žádat.
Co nejpodrobněji zdokumentujte účel žádostí o přístup.
Žádejte o co nejmenší počet typů dat a každou žádost co nejlépe zdůvodněte.

Vizuální průvodce správou oprávnění pro zdraví a fitness je k dispozici v tomto videu.

Příklady dobrého zdůvodnění:

Požadované oprávnění: Přístup k údajům o fyzické aktivitě.
Zdůvodnění: „Aplikace poskytuje personalizované tréninkové plány. Přístup k údajům o fyzické aktivitě umožňuje přizpůsobovat doporučení podle aktuální úrovně aktivity uživatelů a lépe jim tak pomáhat se zlepšováním kondice.“
Požadované oprávnění (tělesné senzory): android.permission.health.READ_HEART_RATE
Zdůvodnění: „Aplikace umožňuje během cvičení sledovat srdeční tep v reálném čase, aby uživatel měl k dispozici zpětnou vazbu a mohl upravit intenzitu cvičení.“

Příklad neúplného zdůvodnění:

Požadované oprávnění: Přístup k údajům o fyzické aktivitě.
Zdůvodnění: „Je potřeba pro funkce aplikace.“ (Toto zdůvodnění je příliš obecné a nekonkrétní.)

Popište postupy v oblasti ochrany soukromí a zabezpečení: Poskytněte komplexní zásady ochrany soukromí, které splňují následující požadavky:
Poskytují přehled o tom, jak aplikace shromažďuje, používá a sdílí data. Je potřeba zahrnout podrobnosti o typu shromažďovaných dat, způsobu jejich používání a ukládání, uživatelských ovládacích prvcích a postupech sdílení dat.
Popisují bezpečnostní opatření implementovaná k ochraně údajů o uživatelích, jako jsou šifrování, řízení přístupu a pravidelné bezpečnostní audity.

U všech žádostí o přístup k oprávněním pro zdraví a fitness a tělesným senzorům se bude kontrolovat, jestli je použití těchto citlivých údajů v souladu se schválenými případy použití.

Co se stane, když žádost nebude úplná nebo bude zamítnuta?

Pokud žádost nebude úplná nebo bude zamítnuta, budeme vás o tom prostřednictvím Play Console informovat. Běžné důvody zamítnutí:

Chybí jasné zdůvodnění požadovaných oprávnění.
Neshoda se schválenými případy použití.
Žádost o hromadný seznam oprávnění, když to není nutné.
Nedostatečné podrobnosti o postupech shromažďování, používání a sdílení dat.

Vývojáři mohou své žádosti upravit a odeslat znovu s dalšími informacemi nebo vysvětleními.

Vztahují se zásady pro oprávnění v oblasti zdraví a fitness na aplikace pro Wear OS?

Ano, zásady oprávnění v oblasti zdraví a fitness se vztahují na všechny aplikace, které žádají o přístup k výše popsaným oprávněním v oblasti zdraví, fitness a kvality života, včetně aplikací pro Wear OS. Vývojáři musí zajistit soulad se zásadami platformy Health Connect bez ohledu na typ zařízení, a to včetně dodržování požadavků na přístup k datům, jejich používání a ochranu soukromí.

Jaké jsou pokyny ohledně uživatelského rozhraní pro žádosti o oprávnění a data v oblasti zdraví a fitness?

Abyste pro uživatele zajistili plynulý a spolehlivý uživatelský dojem, zaměřte se na to, jak ve své aplikaci zobrazujete data o zdraví a fitness. Vysvětlete účel přístupu k jednotlivým typům dat a prezentujte informace v uspořádaném a snadno srozumitelném formátu. Podrobné informace najdete v pokynech k uživatelskému rozhraní pro Health Connect.

Pomohly vám tyto informace?

Jak bychom článek mohli vylepšit?