虽然使用 API 保留用户数据本身并没有错,但这确实意味着所有周期输入数据都会离开移动设备,并存储在设备外由应用程序监管的外部服务器上。与设备内本地存储相比,设备外(非本地)数据存储的意义在于,这些数据不仅掌握在用户及其物理设备手中,还由应用程序开发人员存储和处理。如果遵守执法传票意味着应用程序交出其拥有的关于其某个用户的所有数据,那么这可能意味着应用程序交出其所要求的 商店 周期数据。如果数据存储在本地且仅存储在设备上,则应用程序将无法访问有关其用户的健康数据,因此也无法交出执法部门可能正在寻找的数据。
虽然最据保存在设备本地,但有些用户可能认为这是一个艰难的选择,因为他们需要将数据备份到设备之外的帐户,以便在丢失手机或更换设备时可以访问(当数据本地存储在设备时,这意味着如果设备被盗或丢失,数据将无法恢复)。在回应我们的调查结果时,Flo 声称他们使用 API 而不是仅限设备存储的原因是,低端 Android 设备(例如“健康素养较低地区”的个人使用的设备)的性质需要服务器驱动的功能,以便 Flo 的应用程序在这些低端设备上以最佳方式运行。虽然这绝对是一个重要的考虑因素,但根据用户的选择,区分可通过 API 提供的功能和基于设备的功能将很有帮助,并且仅将后者与敏感数据的处理相关联。无论如何,用户可以选择使用 Flo 的匿名模式而不是此默认模式,该模式仍将用户数据存储在 Flo 服务器上,但不会存储任何个人标识符,因此记录的数据难以连接或链接到任何用户。
存储个人标识符是一个值得思考的隐私话题,相比之下,我们看到一个案例(WomanLog),尽管用户尚未创建帐户,却被分配了一个唯一ID(“clientKey”)。虽然我们在没有帐户的情况下输入了经期流量和症状信息,但我们的输入会被同步到这个唯一ID。根据定义,这样的ID并非个人信息,但如果它可以用来追溯到拥有该特定ID的唯一用户,则可能被视为个人信息。即使用户尚未为自己创建帐户,如果他们的输入数据可以链接到唯一标识符,他们仍然可能被识别,并且他们的经期模式可以被追踪。
- Board index
- All times are UTC
- Delete cookies
- Contact us