保護對用户健康資料的存取
HealthKit 為 iPhone 和 Apple Watch 上的健康和健身資料提供了一個中央儲存庫。HealthKit 也可直接用於健康與健身裝置,如相容的低耗電藍牙(BLE)心率監視器以及許多 iOS 裝置內置的動作協同處理器。所有與健康與健身 App、醫療機構,和健康與健身裝置的 HealthKit 互動都需要用户的許可。此資料會以「未開啟檔案的保護」的「資料保護」類別來儲存。裝置鎖定後 10 分鐘便會捨棄資料存取權限,當用户下次輸入密碼或使用 Face ID 或 Touch ID 來解鎖裝置時,即可再次存取資料。
收集和儲存健康與健身資料
HealthKit 也會收集和儲存管理資料,如 App 的存取權限、連接 HealthKit 的裝置名稱及排程資料(用來在新資料可用時啟動 App)。此資料會以「首次用户認證前的保護」的「資料保護」類別來儲存中。臨時日誌檔會儲存當裝置鎖定時產生的健康記錄(例如當用户運動時)。這些臨時日誌檔會以「未開啟檔案的保護」的「資料保護」類別來儲存。當裝置解鎖時,會將臨時日誌檔輸入主要的健康資料庫中,然後在合併作業完成時刪除。
健康資料可儲存在 iCloud 中。「健康」資料的點對點加密需要 iOS 12 或較新版本及雙重認證。否則,用户的資料仍會在儲存與傳輸期間加密,但不會以點對點加密。用户開啟雙重認證並更新至 iOS 12 或較新版本後,其健康資料會移轉到點對點加密。
如用户以 Finder(macOS 10.15 或較新版本)或 iTunes(macOS 10.14 或較早版本)備份裝置,只有備份經過加密的情況下才會儲存健康資料。
臨床健康記錄
用户可以在「健康」App 內登入支援的健康系統,以取得一份臨床健康記錄。將用户連接到健康系統時,用户需使用 OAuth 2 用户端憑證進行驗證。連線成功後,便會使用 TLS 1.3 受保護的連線直接從醫療機構下載臨床健康記錄資料。下載資料後,臨床健康記錄會安全地與其他健康資料一起儲存。
「健康」資料真實性
儲存在資料庫中的資料包含追蹤每筆資料記錄出處的後設資料。此後設資料包含 App 識別碼,可識別哪個 App 儲存了該記錄。此外,選擇性的後設資料項目可包含記錄的電子簽署副本。此用意是提供記錄(由受信任之裝置所產生)的資料真實性。用於電子簽署的格式為 RFC 5652 中所指定的加密編譯訊息語法(Cryptographic Message Syntax,CMS)。
第三方 App 存取的健康資料
對 HealthKit API 的存取是使用授權來控制,而 App 必須符合資料使用方式的限制。例如,App 不允許將健康資料用於廣吿用途。App 也必須提供私隱權政策給用户,並詳述其對健康資料的使用方式。
App 對健康資料的存取權限是受用户的「私隱」設定所控制。當 App 要求存取健康資料時(類似於「通訊錄」、「相片」和其他 iOS 資料來源),系統會要求用户授予存取權限。然而,使用健康資料時,App 會獲得讀取和寫入資料的獨立存取權,以及各種類型健康資料的獨立存取權限。用户可以在「設定」>「健康」>「資料存取及裝置」中檢視和撤銷他們授予存取健康資料的權限。
如 App 取得寫入資料的權限,便也可讀取其寫入的資料。如 App 取得讀取資料的權限,App 便可讀取所有來源所寫入的資料。然而,App 無法判定其他 App 被授予的存取權限。此外,App 無法確切得知它們是否已獲得健康資料的讀取存取權限。當 App 沒有讀取權時,所有查詢並不會傳回資料,就如同空白資料庫會傳回的相同回應一樣。其設計用意是避免 App 藉由得知用户正在追蹤的資料類型,來推測用户的健康狀態。
用户的「醫療檔案」
「健康」App 可讓用户選擇填寫「醫療檔案」表單,內有發生緊急醫療事故時所需的重要資料。此資料是手動輸入或更新,並不會與健康資料庫中的資料進行同步。
你可點一下鎖定畫面上的「緊急服務」按鈕來檢視「醫療檔案」資料。此資料會使用「無保護」的「資料保護」類別來儲存於裝置上,如此一來無須輸入裝置密碼即可存取。「醫療檔案」是選擇性的功能,可讓用户決定如何同時在安全和私隱考慮上取得平衡。此資料在 iOS 13 或較早版本中會備份在「iCloud 備份」中。在 iOS 14 中,「醫療檔案」會使用 CloudKit 在裝置間同步,並具有與其餘健康資料相同的加密特性。
健康分享
在 iOS 15 中,「健康」App 為用户提供了與其他用户分享「健康」資料的選項。「健康」資料會使用點對點 iCloud 加密在兩位用户之間分享,而 Apple 無法取用透過「健康」分享所傳送的資料。如要使用此功能,傳送的用户和接收的用户都必須執行 iOS 15 或較新版本,並已啟用雙重認證。
用户也可以選擇使用「健康」App 中的「與提供者分享」功能,與他們的醫療保健提供者分享他們的「健康」資料。使用此功能分享的資料僅供用户使用點對點加密所選的醫療機構使用,Apple 並不會維護或取用加密密鑰來解密、檢視或以其他方式取用透過「與提供者分享」功能所分享的「健康」資料。如要進一步了解此服務的設計如何保護用户的「健康」資料,請參閲 Apple 醫療服務組織註冊指南(Apple Registration Guide for Healthcare Organizations)的「保安與私隱」章節。