為什麼雇主發的計步 App 需要存取你的通訊錄?多數情況的誠實答案是:它不需要。比較不誠實的答案,會寫在隱私權政策第十一條附近,包裝成「個人化推薦」。光運動數據本身,揭露的就比多數人想像的多得多——一段連續的步數軌跡可以推估出你住哪、上班在哪、大概什麼時候睡覺。對策很小。打開 App 權限設定,把這個功能用不到的權限通通拿掉。
推銷話術
一個免費的健身手環裝在討喜的盒子裡送來,伴隨著一封電子郵件,談的是社群、身心健康,以及明年健保保費的折扣。這種包裝在不同產業都一致:雇主想要更健康的勞動力,而穿戴裝置是幫你達成目標的工具。人資備忘錄說,這項方案是自願的,參不參加完全由你決定。然而,根據平等就業機會委員會(EEOC)在 2016 年定案的規則,這項折扣最高可達保費的三成。這可不是輕輕推一把。當不參加的代價是同一份保單得多付幾百甚至幾千美元,「自願」這個詞就開始扭曲了。
他們蒐集什麼
裝置會捕捉步數、心率、睡眠時長,有時還有 GPS 軌跡。配套的 App 可能會要求存取你手機的動作感測器、通訊錄和行事曆。隱私權政策——如果你找得到的話——通常會用夠廣泛的語言列出資料類別,涵蓋感測器能測量的任何東西。一組心率紀錄,結合步頻和位置,可以推斷壓力程度、通勤模式,甚至在你還沒跟醫生討論之前,就察覺某種病症的開端。雇主通常看不到原始資料串流。看到的是第三方健康服務商。那家服務商會彙整資料、打分數,然後把摘要送回給雇主:參與率、總步數,或許還有「健康風險」標記。彙總資料和個人資料之間的界線,比行銷說詞暗示的還要薄,尤其是在小辦公室,一個異常值很容易被認出來。
他們沒告訴你的事
EEOC 否決了一項提議,該提議原本可讓員工在證明自己已在醫師照護下時,避免分享醫療資訊。根據電子前線基金會(EFF)的紀錄,該機構的理由是,這類豁免可能會破壞健康促進方案蒐集資料的目的。那個目的不一定是你的健康。許多方案的經濟模式,是靠販售去識別化——或假名化——的資料給保險公司、研究資料仲介或分析公司。聯邦貿易委員會(FTC)已指出,做出隱私承諾的公司,即使是暗示性的承諾,也必須遵守,但執法情況參差不齊。一項 2019 年在二十個 BJ's Wholesale Club 工作場所進行的隨機研究發現,健康促進方案在十八個月內,對健康結果或醫療支出並未產生顯著改善。如果臨床效益這麼薄弱,資料流本身就變成產品了。
歡迎資料袋沒提到的是,同一條資料串流可以把你的步數和心率變異,送進一個為你未來保費定價的風險模型。《健康保險可攜性與責任法》(HIPAA)通常不適用於雇主直接提供的健康促進方案,除非該方案屬於團體健康計畫的一部分,而且即使適用,隱私保護也比多數人以為的窄。FTC 的《健康資料外洩通知規則》涵蓋部分服務商,但只有在資料外洩後才啟動,而不是在資料被販售之前。
你的行動
在你同步裝置之前,先找出隱私權通知。它大概不在 App 裡。去雇主的福利入口網站、服務商的官網,或是跟註冊連結一起寄來的 PDF 檔裡找。留意「販售」、「分享」、「去識別化」和「第三方」這些字眼。如果政策說資料會與「附屬機構」或「合作夥伴」分享,就假設那指的是仲介和分析公司。問你的福利管理員三個問題:誰是資料控管者、哪些具體的資料點會離開服務商的伺服器、以及你是否可以在不失去折扣的情況下,選擇退出資料分享。FTC 給健康 App 開發者的最佳實務指南說,隱私權政策不應從別的 App 複製過來,而且應該能在電腦螢幕上閱讀,不只是在手機上。如果你拿到的政策通不過這項檢驗,就用相應的態度看待這個方案。
如果你決定參加,立刻打開 App 權限設定,把功能不需要的權限全部撤銷。計步器不需要你的通訊錄。睡眠追蹤器不需要你的位置。關閉裝置未在使用時的背景資料蒐集。檢查 App 是否提供應用程式內的隱私儀表板;如果有的話,把每個分享開關都調到最嚴格的設定。折扣可能是真的,但交出一份連續生物特徵紀錄的代價,是用一種不會出現在薪資單上的貨幣支付的。
參考資料
- New EEOC Rules Allow Employers to Pay for Employees’ Health Information — Electronic Frontier Foundation
- Rigorous new study of employee wellness programs suggests they may not be very effective — The Verge
- Health Privacy — Federal Trade Commission
- Mobile Health App Developers: FTC Best Practices — Federal Trade Commission
