心理健康应用程序的隐私危险

数位治疗师指南：心理健康应用的隐私隐患

发表于2023年10月16日 由 Julia Olech

超过20的美国人面临心理健康问题，但只有60的人能获得所需的治疗和照护。为了填补日益增长的市场空缺，各种心理健康应用应运而生，提供情绪追踪、压力管理工具等服务。尽管它们的普及程度使得2022年的市场价值高达52亿美元，但许多应用在隐私方面却存在严重隐患。

我们的研究发现，大多数心理健康应用侵犯用户信任，利用个人隐私，使所有脆弱数据面临风险。像 BetterHelp、TalkSpace 和 Youper 这样的治疗应用，成为了最大的数据采集机器，它们的隐私政策往往模糊、基本或者甚至具误导性。

我们对2023年流行治疗应用的隐私政策进行了深入检查，并分析了它们如何将您的数据置于风险之中。我们将解释一些难以理解的术语，并分享保护您个人信息的建议。

目录心理健康应用的隐私陷阱令人担忧的隐私保护缺乏BetterHelp 超过100万的Google Play下载Talkspace 超过500000的Google Play下载Better Stop Suicide 超过10000的Google Play下载Cerebral 超过100000的Google Play下载Youper 超过100万的Google Play下载心理健康应用实际收集哪些数据？数据收集所带来的主要风险心理健康应用中的人工智能及其对隐私问题的影响虚拟现实治疗：心理学的未来还是隐私噩梦？如何在寻求情感支持时保护您的隐私在数字福祉中优先考虑您的隐私

心理健康应用的隐私陷阱

一些研究表明，超过80的测试应用收集了您最私密的数据，包括心理健康状况的症状。更糟糕的是，许多应用甚至在未获得您同意或知情的情况下将这些信息与第三方交换。

我们也对此进行了调查。我们列出了医疗和健康网站经常推荐的治疗应用，并通过检查高下载量来验证它们的受欢迎程度。我们在它们2023年的隐私政策中发现的内容比预想的要糟糕得多，广泛的数据收集仅仅是网络冰山的一角。

大规模的数据收集和分发之所以可能，是因为心理健康应用并非受许可的医疗平台，因此不受HIPAA健康保险可携带性与责任法案的约束。美国联邦法律也没有监管心理健康应用如何处理您的数据，使它们对数据拥有完全的控制权。尽管FDA可以审查和批准平台，但不会保证应用的数据安全性。

虽然使用像 VPN for PC 或移动设备这样的工具可以保护您的位置和元数据，但它无法保护您自愿提供的信息。这就是为什么您使用的应用应具备可靠的隐私政策，而不应收集VPN所无法保护的数据。

令人担忧的隐私保护缺乏

大多数心理健康应用都是隐私梦魇

如今，约有20000个心理健康应用可供选择，因此选择余地很大。尽管《福布斯》发现大约77的治疗应用有隐私政策，但它们往往使用晦涩的语言，不易理解，保护用户隐私的内容和用于市场数据收集的内容混为一谈。这使得它们可以在明面上隐匿不当做法，而我们发现它们确实这样做。

BetterHelp 超过100万的Google Play下载

我们发现BetterHelp的隐私政策写得相当妥当，然而因法律术语的隐蔽性，数据利用和虚假承诺往往隐藏在其后。警示信号非常微妙。例如，BetterHelp明确表示它会跟踪您的IP地址，这可以揭示您的位置，但事实上并没有说明其目的。这种不透明的做法也适用于您所有其他数据，包括您的地址、与治疗师填写的工作表和日记条目。

BetterHelp故意没有明确说明是否出售您的数据

对于“你们出售我的数据吗”这个问题，BetterHelp含糊其辞地表示他们“没有为数据而收费”。虽然公司或许没有直接收费，但他们仍可能与合作伙伴或第三方分享您的细节。

即使BetterHelp不出售您的数据，如果受到传票，他们仍可能交出您的个人信息。这意味着他们可以轻松访问、查看和读取您的文件，包括大多数如果不是全部信息。这是因为BetterHelp仅对某些文本进行了加密，并且没有声明是否使用了端到端加密技术。没有这种加密保护，您的信息可能会被解密并保存在公司的服务器上，使他们可以轻松查看您与平台共享的所有内容。

您可能认为这不是大问题，因为您可以请求公司删除您的数据。然而，事实并非如此简单：您必须与公司进行漫长的来回沟通，才能要求他们从系统中删除您的个人信息。否则，BetterHelp会将您的数据保存10年，并随意与他人交换。

Talkspace 超过500000的Google Play下载

Talkspace的情况也不乐观。它的隐私政策显示它收集了大量高度侵入性的数据。它对数据处理的定义模糊不清，但提到“使用”和“转让”您的数据却未说明去向和用途。文件虽然表示这是为了提供更好的服务，但并未提到可能涉及的任何第三方合作伙伴。

Talkspace收集您可能识别身份的医疗数据

虽然Talkspace遵循HIPAA的规定，但它仍记录您医疗数据的多个部分，包括公司精神科医生处方的药物。该应用也将这些信息与各种医疗专业人员和治疗师交换，但并未说明这些数据是否经过去标识化处理，或是否受保护以防重新识别。

如果它收集了如此多的数据，您可能认为Talkspace拥有令人印象深刻的安全性但事实并非如此。隐私政策简要提到该应用采取“商业上合理的措施”来保护您，但这可能意味着任何事情。在缺乏加密、日志记录、定期安全测试等行业标准功能的情况下，应用将您的数据置于泄漏和违规的风险之中。

Talkspace还保留在未通知的情况下更改隐私政策的权利。这意味着您有责任定期检查潜在的更新。如果您没有这样做，您可能在不知情的情况下同意了有关数据隐私的重大变化，这令人无法接受，同时剥夺了您对数据处理的同意权。

Better Stop Suicide 超过10000的Google Play下载

Better App Company负责的应用如Better Stop Suicide，其隐私政策极为模糊。它并未具体说明所收集或处理的数据，但表示将仅与可信的合作伙伴分享您的数据，而不是陌生人听起来似乎是好事，然而我们找不到任何关于这些合作伙伴的信息，以及他们在您心理健康之旅中扮演的角色，除了“提升您的体验”。

另一个令人担忧的方面是频繁使用“可能”和“也许”等措辞，暗示推测而非具体政策。这给了公司很大的自由裁量权去决定实际如何使用您的数据。

例如，以下这段话：“这可能是您的电子邮件地址、姓名、账单地址、家庭住址等，主要是提供产品/服务所需的信息，或提升您与我们的客户体验。”

阅读这段声明以及许多类似的声明让我们对数据收集的真实状况产生了更多疑问。该应用会收集您的详细信息吗？会收集更多数据吗，是什么类型的？整个隐私政策都以相同的风格撰写，这令我们感到担忧，因为这让Better Stop Suicide可以随意收集其认为有价值的数据并使用。

您有权删除您的数据，但仅在未说明的情况下

这种模糊的做法还延伸到您对自己数据的权利。Better Stop Suicide 仅在特定情况下允许您删除您的详细信息，并未说明其具体情况。您可以从理论上请求公司限制其数据收集、处理或存储，但他们并不一定会倾听。

Cerebral 超过100000的Google Play下载

Cerebral的隐私政策引发严重关切，尤其考虑到公司处理的敏感医疗数据。

它要求您输入许多信息，这感觉极其侵入和不必要。该应用需要您的完整医疗历史，包括处方和实验室结果、社会安全号码、情感和身体特征。其中还包括在会话过程中收集您的音频、图像和视频，因此任何有权访问您文件的人都能迅速识别您。

Cerebral在保护所收集信息方面也做得不够。事实上，公司积极与合作伙伴、广告商、社交媒体平台及其他第三方交换您的资料。就在2023年早些时候，Cerebral承认与Facebook、TikTok及其他社交媒体巨头共享了310万用户的私人数据。

您可以选择退出定向广告但Cerebral表示这可能无效！

除此之外，Cerebral明确表示它使用您的数据进行定制广告，但您可以选择退出。问题是？公司并不保证这样做会生效，表示他们不知道机制的准确性。这可能使得该应用在未征得您同意的情况下，持续与广告商交换数据。

Youper 超过100万的Google Play下载

Youper的隐私政策明确说明了应用收集的数据类型，如登录信息、使用数据和设备详细信息。更具侵入性的是，Youper是一个AI聊天机器人，这要求它存储您与其分享的所有信息，以便为您进行诊断并提供适当的治疗。

Youper未具体说明用于保护您数据的安全措施

此外，Youper还提到它无法保证将您的数据100安全。公司承诺实施“适当且合理的”安全措施但我们不太确定这意味着什么。因此，你只能希望这些措施足够强大，能够防范持久的网络攻击、诈骗和其他未授权三方对您与机器人之间的私人会话的入侵。

幸运的是，Youper似乎并未与第三方如广告商分享您的数据。隐私政策中提到的唯一数据共享与可能的合并或公司资产交换有关。尽管它并非完全可信，Youper在保护您的数据方面似乎比其他一些应用稍好。

心理健康应用实际收集哪些数据？

您可能会分享很多个人信息。

我们发现，BetterHelp、Talkspace、Better Stop Suicide、Cerebral、Youper及许多其他应用积极监控并存储您的心理健康信息。这包括您的日记条目、情绪追踪、医疗症状、处方药物，甚至完整的聊天记录。未经保护或同意的这一切收集都可能导致意外的或恶意的误用。

当然，数据收集的深度取决于您使用的应用。情绪追踪器或冥想应用可能不会收集较多数据，而像BetterHelp和Talkspace这样的应用往往会要求您填写问卷，获取更多个人信息，如地址、出生日期、性取向和医疗历史，迫使您分享更多脆弱的数据。

许多心理健康应用还会收集您的元数据。这是一种描述您如何与平台互动的信息，例如您登录的时间、会话持续多长，以及您最常使用的功能。尽管似乎不那么令人担忧，您的元数据可以帮助公司建立更完整的个人画像，尤其是在与您分享的数据结合时。

数据收集所带来的主要风险

由于心理健康应用收集大量极具个人隐私的数据，这让您面临多种隐私风险，包括：

数据泄露 被泄露的心理健康数据可能对个人和社会产生严重影响，从而引发其他问题。

身份盗用 恶意黑客可以利用您的心理健康信息，创建更完整的个人资料，以实施复杂的身份诈骗。

广告和第三方共享 许多应用将您的敏感数据分享给合作伙伴和广告商以获取收益，从而向您定制广告。

数据不准确 心理健康应用分析您的数据，但误解可能导致不准确的建议或干预。

长期存储 许多应用并未披露存储您的数据的时间或存储的安全性，增加了数据在泄漏或违约中的风险。

情感操控 对您心理状态的详细了解使您面临广告、政治活动或其他目的的情感操控风险。

与其他服务的整合 一些心理健康应用会将您的账户与日历、智能家居设备及其他服务链接，使他人能创建更为细致的个人数字资料以供剥削。

个人生活中的污名化 不幸的是，许多心理健康问题带有偏见，因此泄露此类数据可能导致保险公司或雇主滥用、歧视和污名化的风险。

心理健康应用中的人工智能及其对隐私问题的影响

在其核心，人工智能仍处于起步阶段，尤其是在处理人类情感方面。因此，带有AI的心理健康应用在很大程度上依赖于其信息数据库和您的用户输入来提供正确的治疗。这创造了许多隐私和安全问题，而许多开发者并未明确告知您。

当您与AI分享您的信息时，系统会立即记录您的数据并将其发送到一个共同的数据库，以供多台计算机学习。通常，不仅仅是一个应用可以访问这些信息该公司正在开发的其他应用也可能会看到这些数据。这意味着您最脆弱的信息可能在任何时候、任何地方被再次暴露。

心理健康聊天机器人是最大的偷数据机器。由于它们模仿面谈的对话，可能促使您分享最深层的思想和感受，就像您对待人类治疗师一样。然后，它们收集各种数据，包括您未曾与他人分享的信息，如自杀想法或抑郁症状。

在许多情况下，心理健康应用承诺在存储数据之前进行匿名处理。然而，人工智能系统通常能够重新识别您的信息，并将其与您关联，有时甚至没有任何人工干预。事实上，研究表明，计算机可以重新识别9998的在线信息，使任何有权访问服务器的人都能了解您分享的任何内容。

由于需求旺盛，许多AI系统开发过快，释放了潜在的软件漏洞。这使它们容易受到更初级罪犯的网络攻击。只需获得系统的入侵权限，他们就能获取大量您的数据。接着，他们可以利用这些数据进行网络骚扰、诈骗、欺诈和跟踪。

虚拟现实治疗：心理学的未来还是隐私噩梦？

如果人工智能仍处于起步阶段，那么虚拟现实VR则处于更早的发展阶段。直到最近，您只能在治疗师的指导下在专业环境中使用这项新技术。这意味着所有用于心理健康治疗的应用都必须遵循严格的HIPAA患者保密性和数据保护法律。

然而，随着VR头戴设备每年以创纪录的数量销售，越来越多的开发者在流行的虚拟平台上发布心理健康应用。这些应用与您在手机或电脑上获得的应用没有太大区别，但它们的数据收集往往更为侵入性。这是因为VR头戴设备需要比手持设备更为亲密的细节来工作。

虚拟体验需要大量的数据以确保流畅运行。

当您戴上VR头戴设备时，设备会映射您的环境、解析您的手势，并在虚拟世界中模拟您的动作。它会捕捉诸如声音、眼动、瞳孔大小、身高、心跳甚至脑活动等细节。在VR头戴设备上可用的心理健康应用可以轻松访问这些数据，用于确保顺畅的虚拟体验，同时也可用于自身利益。

如此大规模的数据收集，加上您分享的心理健康信息，构成了严重的隐私风险。在恶意使用者手中，这可能促成复杂的身份盗用、信用卡欺诈，甚至基于空间理解策划未授权的财产侵入。因此，确保VR心理健康应用的隐私和安全不仅是明智的选择，更是迫在眉睫的任务。

如何在寻求情感支持时保护您的隐私

关注您的心理和数字健康！

1 找到注重隐私的心理健康应用

尽管大多数心理健康应用以某种方式使您的隐私面临风险，您仍然可以找到可靠和值得信赖的选项。在我们的调查中，我们对Wysa和PTSD Coach的隐私政策印象深刻，它们表现得比我们调查的其他应用更为小心。

2 仅通过官方商店或网站下载应用

网络攻击者通常会创建伪造的应用和网站，以诱使您在设备上下载恶意软件。寻找安全的心理健康应用的最佳方法是使用官方应用商店。这也让您可以浏览用户评论，以便根据其他用户的亲身体验来检查该服务的质量。

3 使用一次性电子邮件和安全密码注册

在注册心理健康应用时，使用一次性电子邮件来保护您的主要账户免受垃圾邮件、潜在威胁和数据泄露的影响。结合强大的密码，这种方法可以提供额外的安全性和隐私保护。

4 阅读隐私政策和条款及条件

不要盲目接受条款和条件，快速浏览一下所有法律条款。这将让您对可能发生的事情以及可以期待的隐私保护有一个大概了解。法律术语可能难以理解，但如果您将其复制并粘贴到ChatGPT中请求总结，您将更轻松地了解整体内容。

5 选择不使用cookie、广告和分析

在深度使用其功能之前，请花时间在应用的设置中关闭分析和cookie。这些收集了最微小数据的功能，主要用于市场营销和个性化广告与您的健康没有任何助益。

6 调整应用的隐私和安全设置

在选择不使用数据分析后，检查可用的应用设置，看看是否可以进一步限制数据侵入。这包括访问您的摄像头或麦克风的权限、位置共享和可选的诊断。大多数心理健康应用在运行时并不需要这些，因此不会妨碍您的体验。

7 限制您共享的个人信息

某些信息您必须共享，而另一些则不是必需的。一般来说，如果您不需要透露某些信息，请保持私密。甚至可以使用假名和地址，因为并不总是必要的，以促进同样的治疗，但可能会提高您的网络隐私。

8 不要连接其他账户，如Facebook或Google

许多应用允许您使用社交媒体账户或Google进行注册。虽然这很方便，但会将这些平台链接在一起，让它们随意交换数据，通常未征得您的同意。这意味着您的Facebook更新可能会影响您在心理健康应用中看到的广告，反之亦然。

在数字福祉中优先考虑您的隐私

在缺乏联邦法律和HIPAA规定的情况下，心理健康应用可以对您的数据随心所欲地处理。至少80的应用未达到隐私保护的行业标准。它们被指控收集可识别的脆弱数据、即便您删除账号后仍存储这些数据，甚至与多个第三方分享您的文件。

小熊苹果加速器

作为用户，保持信息灵通和警惕是您防御的第一道防线。在您继续拥抱数字解决方案以改善心理健康时，务必确保您的数字福祉不会将您的现实安全置于风险之中。