DOI: https://doi.org/10.1038/s41746-025-01757-1
PMID: https://pubmed.ncbi.nlm.nih.gov/40517175
تاريخ النشر: 2025-06-14
المؤلف: Cailbhe Doherty وآخرون
الموضوع الرئيسي: الخصوصية والأمان وحماية البيانات
نظرة عامة
تدرس الدراسة سياسات الخصوصية لـ 17 شركة رائدة في تصنيع التكنولوجيا القابلة للارتداء، باستخدام إطار جديد يتضمن 24 معيارًا عبر سبعة أبعاد: الشفافية، أغراض جمع البيانات، تقليل البيانات، التحكم وحقوق المستخدم، مشاركة البيانات مع أطراف ثالثة، أمان البيانات، وإخطار الانتهاكات. تكشف النتائج أن تقييمات المخاطر العالية كانت شائعة في تقارير الشفافية (76%) وإفصاح الثغرات (65%)، بينما لوحظت تقييمات المخاطر المنخفضة لسياسة الهوية (94%) والوصول إلى البيانات (71%). ومن الجدير بالذكر أن Xiaomi وWyze وHuawei أظهرت أعلى درجات المخاطر التراكمية، بينما احتلت Google وApple وPolar أدنى الدرجات. تشير هذه النتائج إلى وجود تناقضات كبيرة في إدارة البيانات داخل الصناعة وتؤكد الحاجة الملحة إلى تعزيز معايير الخصوصية المحددة للقطاع.
لقد ساهم الاعتماد العالمي السريع للأجهزة القابلة للارتداء، مع تجاوز الشحنات 543 مليون وحدة في عام 2024، في جمع البيانات البيومترية بشكل مستمر، مما يمكّن المستخدمين من مراقبة مقاييس الصحة المختلفة في الوقت الفعلي. يمكن أن تعزز هذه البيانات السلوكيات الصحية وتدعم المبادرات الصحية العامة من خلال توفير رؤى حول اتجاهات النشاط البدني ومخاطر الأمراض. ومع ذلك، فإن انتشار جمع البيانات البيومترية يطرح أيضًا مخاطر كبيرة، بما في ذلك خروقات الأمن السيبراني، وسوء استخدام البيانات، والتمييز المحتمل. تؤكد الدراسة على الطبيعة ذات الحدين للتكنولوجيا القابلة للارتداء، مع تسليط الضوء على فوائدها المحتملة لإدارة الصحة الفردية والصحة العامة، فضلاً عن التحديات الكبيرة المتعلقة بالخصوصية والأخلاقيات التي تقدمها.
الطرق
في هذه الدراسة، أنشأنا إطارًا مخصصًا للخصوصية وأمان البيانات لتقييم ممارسات الشركات المصنعة للتكنولوجيا القابلة للارتداء. تم تصميم هذا الإطار لمعالجة القضايا الأخلاقية والقانونية والشفافية التي تنشأ في سياق جمع بيانات المستخدمين واستخدامها وحمايتها. من خلال استخدام هذا الإطار، هدفنا إلى تقييم كيفية تعامل هذه الشركات مع المعلومات الحساسة للمستخدمين بشكل منهجي، مما يبرز المجالات التي تحتاج إلى تحسين في ممارسات الخصوصية داخل الصناعة.
النتائج
في هذه الدراسة، قمنا بتحليل سياسات الخصوصية لـ 17 شركة مصنعة للأجهزة القابلة للارتداء لتقييم مخاطر الخصوصية عبر سبعة أبعاد و24 معيارًا. استخدمت الغالبية العظمى من هذه الشركات سياسة خصوصية عالمية واحدة، مكملة بإضافات محددة للولايات القضائية لمناطق مثل الاتحاد الأوروبي وكاليفورنيا وكندا. أظهرت السياسات التي تم تقييمها تباينًا كبيرًا في الطول، بمتوسط 6,113 كلمة (SD = 2,300)، مع أطول سياسة من WHOOP بــ 12,125 كلمة وأقصر سياسة من Apple بــ 4,408 كلمات. تراوحت التحديثات الأخيرة لهذه السياسات بين مايو 2023 وأبريل 2025، مما يشير إلى تكرار تحديثات متنوعة بين الشركات المصنعة.
ومن الجدير بالذكر أن شركات مثل Garmin وWithings وGoogle حافظت على أرشيفات أو سجلات إصدارات متاحة، حيث وثقت Garmin ستة تحديثات من 2020 إلى 2025 ووفرت Withings 12 تحديثًا منذ 2017. في المقابل، كانت بعض الشركات المصنعة، مثل Coros، تفتقر إلى تواريخ إصدارات واضحة أو توقيتات آخر تعديل. تشير التحليلات إلى أن دورة المراجعة النموذجية لسياسات الخصوصية تحدث تقريبًا كل 9-15 شهرًا، على الرغم من أن بعض الشركات، مثل Garmin وWithings، تظهر تحديثات أكثر تكرارًا، بينما نادرًا ما تقوم شركات أخرى بمراجعة وثائقها المتاحة للجمهور. يتوفر سجل شامل للإصدارات في مستودعنا المؤرشف للجمهور.
المناقشة
تقيّم قسم المناقشة من ورقة البحث سياسات الخصوصية للشركات الرائدة في تصنيع التكنولوجيا القابلة للارتداء، كاشفة عن تباين كبير في ممارسات الخصوصية وأمان البيانات. كانت موثوقية التقييم بين المقيمين عالية (89.3%)، مع إظهار معايير محددة توافقًا ممتازًا، خاصة في جمع البيانات والاحتفاظ بها. ومع ذلك، تم تحديد مخاطر ملحوظة، خاصة فيما يتعلق بتقارير الشفافية (76% تم تصنيفها كمخاطر عالية)، وإفصاح الثغرات (65% مخاطر عالية)، وإخطار الانتهاكات (59% مخاطر عالية). أظهرت شركات مثل Xiaomi وWyze وHuawei أعلى تقييمات للمخاطر، بينما أظهرت Apple وGoogle ممارسات خصوصية قوية، حيث حصلت على معظم تقييمات المخاطر المنخفضة.
صنفت تحليل المجموعات الشركات المصنعة إلى ثلاث مجموعات بناءً على ملفات مخاطر الخصوصية: الشركات الرائدة في الصناعة (Apple وGoogle)، الشركات المتوسطة الأداء (مثل Fitbit وGarmin)، وتلك التي تعاني من نقص كبير (مثل Xiaomi وWyze). كما سلطت الدراسة الضوء على الفجوات الإقليمية، حيث تواجه الشركات في منطقة آسيا والمحيط الهادئ مخاطر خصوصية أعلى مقارنة بنظيراتها في أمريكا الشمالية وأوروبا. تؤكد النتائج على الحاجة الملحة إلى أطر تنظيمية مستهدفة تعالج التحديات الفريدة التي تطرحها التكنولوجيا القابلة للارتداء، مما يبرز أهمية الشفافية التشغيلية، والتحكم من قبل المستخدم، وحماية الخصوصية القوية لحماية البيانات الصحية الحساسة. تشمل التوصيات للتحسين توحيد سياسات الخصوصية، وتعزيز آليات التحكم من قبل المستخدم، وضمان أن تكون الافتراضات المتعلقة بالخصوصية مصممة لحماية الخصوصية.
DOI: https://doi.org/10.1038/s41746-025-01757-1
PMID: https://pubmed.ncbi.nlm.nih.gov/40517175
Publication Date: 2025-06-14
Author(s): Cailbhe Doherty et al.
Primary Topic: Privacy, Security, and Data Protection
Overview
The study investigates the privacy policies of 17 leading wearable technology manufacturers, employing a novel rubric with 24 criteria across seven dimensions: transparency, data collection purposes, data minimization, user control and rights, third-party data sharing, data security, and breach notification. The findings reveal that high-risk ratings were prevalent in transparency reporting (76%) and vulnerability disclosure (65%), while low-risk ratings were noted for identity policy (94%) and data access (71%). Notably, Xiaomi, Wyze, and Huawei exhibited the highest cumulative risk scores, whereas Google, Apple, and Polar ranked the lowest. These results indicate significant inconsistencies in data governance within the industry and emphasize the urgent need for enhanced, sector-specific privacy standards.
The rapid global adoption of wearable devices, with shipments surpassing 543 million units in 2024, has facilitated continuous biometric data collection, enabling users to monitor various health metrics in real-time. This data can promote healthier behaviors and support public health initiatives by providing insights into physical activity trends and disease risks. However, the proliferation of biometric data collection also poses substantial risks, including cybersecurity breaches, data misuse, and potential discrimination. The study underscores the dual-edged nature of wearable technology, highlighting both its potential benefits for individual health management and public health, as well as the significant privacy and ethical challenges it presents.
Methods
In this study, we established a customized privacy and data security rubric to evaluate the practices of consumer wearable technology manufacturers. This framework was designed to address the ethical, legal, and transparency issues that arise in the context of user data collection, utilization, and safeguarding. By employing this rubric, we aimed to systematically assess how these manufacturers handle sensitive user information, thereby highlighting areas for improvement in privacy practices within the industry.
Results
In this study, we analyzed the privacy policies of 17 wearable device manufacturers to assess privacy risks across seven dimensions and 24 criteria. The majority of these companies utilized a single global privacy policy, supplemented by jurisdiction-specific addenda for regions such as the EU, California, and Canada. The evaluated policies exhibited significant variability in length, averaging 6,113 words (SD = 2,300), with the longest policy from WHOOP at 12,125 words and the shortest from Apple at 4,408 words. The most recent updates to these policies ranged from May 2023 to April 2025, indicating diverse update frequencies among manufacturers.
Notably, companies like Garmin, Withings, and Google maintained accessible archives or version logs, with Garmin documenting six updates from 2020 to 2025 and Withings providing 12 updates since 2017. In contrast, some manufacturers, such as Coros, lacked explicit version histories or last-modified timestamps. The analysis suggests that the typical revision cycle for privacy policies occurs approximately every 9-15 months, although certain firms, like Garmin and Withings, exhibit more frequent updates, while others rarely revise their publicly available documentation. A comprehensive version log is accessible in our publicly archived repository.
Discussion
The discussion section of the research paper evaluates the privacy policies of leading wearable technology manufacturers, revealing significant variability in privacy and data security practices. The overall inter-rater reliability for the evaluation was high (89.3%), with specific criteria showing excellent agreement, particularly in data collection and retention. However, notable risks were identified, especially concerning transparency reporting (76% rated as High Risk), vulnerability disclosure (65% High Risk), and breach notification (59% High Risk). Companies like Xiaomi, Wyze, and Huawei exhibited the highest risk ratings, while Apple and Google demonstrated strong privacy practices, receiving the most Low Risk ratings.
Cluster analysis categorized manufacturers into three groups based on privacy risk profiles: industry leaders (Apple and Google), mid-tier performers (e.g., Fitbit and Garmin), and those with significant deficiencies (e.g., Xiaomi and Wyze). The study also highlighted regional disparities, with companies in the Asia-Pacific region facing higher privacy risks compared to their North American and European counterparts. The findings underscore the urgent need for targeted regulatory frameworks that address the unique challenges posed by wearable technologies, emphasizing the importance of operational transparency, user control, and robust privacy protections to safeguard sensitive health data. Recommendations for improvement include standardizing privacy policies, enhancing user control mechanisms, and ensuring that privacy defaults are privacy-protective by design.