自2020年初COVID-19大流行开始以来，在缺乏针对SARS-CoV-2病毒的疫苗或药物治疗的情况下，一些研究人员敦促各国政府和全球公共卫生界加快应对以遏制SARS-CoV-2，推动实施综合非药物或非药物干预措施[ 1］．传统上，为遏制流行性或大流行(如流感)而采取的非传染病防控措施包括强制卫生保健专业人员和公民采取个人防护措施(如佩戴口罩)、采取隔离或隔离阳性病例等环境措施[ 2]、保持身体距离、封锁和旅行限制[ 3.］．然而，大流行发生两年多以来，即使在开发出几种疫苗并在全球推广之后，许多国家仍难以有效和高效地实施国家行动纲领。在没有积极的检测、接触者追踪和隔离的情况下，一项早期研究表明，控制COVID-19的唯一方法是间歇性封锁，直到 群体免疫造成了不必要的死亡[ 4］．不幸的是，世界上许多国家的情况似乎都是如此，这些国家的SARS-CoV-2病毒病例出现了惊人的激增。截至2021年4月，该病毒已感染全球> 1.3亿人，夺走了> 280万人的生命[ 5］．npi需要在人力资源和设备方面进行大量投资，并需要一定程度的协调，而这并非在所有情况下都可行。例如，许多低收入和中等收入国家没有资源来执行遏制和检测政策[ 6]或购买大量疫苗。此外，隔离和保持身体距离对依赖日薪生存的弱势群体可能不起作用[ 7］．

接触者追踪是可用于打破病毒传播链的最具成本效益的非传染性疾病药物之一[ 8］．根据世界卫生组织的临时指南，接触者追踪包括系统地识别暴露于确诊阳性病例的个人，隔离他们，跟踪他们以确保快速隔离，最后在他们出现症状时对他们进行检测和治疗[ 9］．只要遵循快速高效的流程，这种方法就能有效控制COVID-19 [ 10］．保证这种效率的一个方法是包括数字技术，特别是基于移动电话的工具，这些工具在世界范围内广泛使用。 11］．去年，一些针对COVID-19应用的系统文献综述提到，接触追踪应用是在大流行背景下用于遏制病毒传播的重要应用类型[ 12- 17］．根据埃博拉疫情的经验[ 18]和H1N1 [ 19， 20.]病毒，数字技术已越来越多地用于支持政府开展人工接触者追踪活动。关于COVID-19接触者追踪移动应用程序的几篇概念性论文和概述[ 21- 27］．关于这一主题也有一些系统的综述[ 28- 30.]，包括一份Cochrane综述[ 30.]和一篇文献综述[ 29]，重点关注数字接触追踪。Cochrane综述分析了流行病中使用的技术，并于2020年5月更新，纳入了新的与covid -19相关的研究。这项检讨显示，这些技术在补充而非取代人工接触追踪活动时最为有效[ 30.］．Jalabneh等人的文献综述[ 29确定了17个可用于追踪接触者的应用程序，并提到使用这些应用程序帮助政府控制疫情。

根据美国疾病控制与预防中心(CDC)的说法，两种主要类型的数字接触追踪工具用于病例管理和近距离追踪或暴露通知应用程序[ 31］．病例管理工具包括应用程序和设备，参与接触者追踪活动的卫生工作者可以使用这些应用程序和设备捕获数据并管理病毒检测人员的接触数据库。当一个人的检测呈阳性时，接触追踪器会采访他们，以回忆他们在何时何地和谁在一起。然后对接触者进行分类，分配给病例经理，由病例经理打电话和通知接触者，提供检测、自我隔离和必要时转诊给卫生保健提供者的选项。这项活动可以手动完成，也可以在纸笔表单上完成，因此该技术可以简化数据输入和管理过程。

接近追踪或暴露通知应用程序是为自愿下载并激活此类应用程序的公民设计的，以协助追踪接触者。这些应用程序依靠蓝牙技术或存储在手机上的基于位置的信息来估计用户之间的距离和持续时间。 12］．手机通过蓝牙交换包含这些信息的字母数字字符串或密钥。这些信息只能存储在手机上(分散式框架)或存储在中央服务器上(集中式框架)，并保留有限的时间[ 12， 32］．根据框架类型的不同，一旦发现阳性病例，用户或中央服务器将其档案标记为阳性，触发网络并敦促他们采取行动，进行检测、自我隔离或寻求卫生保健专业人员的帮助。通过这种方式，暴露通知应用程序可以扩大传统手工接触追踪器的覆盖范围，这些追踪器可能无法识别病例。这些应用程序可以通过病例和接触者的电子自我报告，或使用位置数据或其他功能来识别病例未知的社区接触者，以查看可能接触过病毒，从而减轻公共卫生工作人员的负担。这项研究的重点是接近追踪或暴露通知应用程序，因为这些应用程序是为市民设计的。

许多政府已经根据国际准则开发了数字接触追踪应用程序(例如，世界卫生组织[ 33]，疾控中心[ 31]，或欧洲疾控中心[ 34])、谷歌和Apple曝光通知框架[ 35］．例如，截至2020年5月28日，当我们开始做这个项目时，我们通过在谷歌Play和苹果应用商店中搜索确定了36个应用程序。同一天，标题为 COVID-19应用在维基百科[ 36该应用程序创建于2020年4月1日，包括37个接触追踪应用程序的信息。截至2020年6月15日，已经有68个应用程序，到2020年12月2日，页面上有大约100个应用程序。最近对谷歌Play和苹果应用商店中COVID-19应用程序的回顾发现，截至2020年5月2日，有51个接触追踪应用程序可用[ 13］．在同一时期，麻省理工学院(MIT)的《技术评论》推出了 Covid追踪跟踪器项目( 37目的是监控和评估现有的联系人追踪应用程序。最近发表于2020年7月的一篇文献综述确定了15个国家的17个应用程序[ 29]，而Wen等[ 38]分析了51款应用。

什么时候联系人追踪应用才算有效?根据Ferretti等人的一篇开创性概念论文[ 25，如果至少有60%的人使用联系人追踪应用程序，就可以认为它们是有效的。在2019冠状病毒病(COVID-19)大流行宣布一年多后，一些评论提出了以下问题: 39] ?尽管许多人呼吁评估接触追踪应用程序[ 40在美国，关于联系人追踪应用的普及和有效性的证据很少。Thorneloe等人的范围综述[ 41根据新闻媒体报道的数据，只有10%到20%的人使用了几个应用程序的例子。在接触追踪应用的概述中也出现了类似的数字[ 16基于公开信息提供了14个应用程序的描述性信息。作者主要关注技术特征(例如，集中式或分散式框架，跟踪技术和技术缺陷)以及该国使用应用程序的人口比例，显示出广泛的范围(0.1%和0.1%之间) BlueZone越南和中国的60% 健康码在支付宝和微信上使用)[ 16］．在另一篇概念性论文中，Seto等人[ 42)认为，隐私的概念与具体情况有关，隐私与公共卫生价值之间存在权衡。据我们所知，唯一对接触追踪应用进行全面评估的是一项涉及德国人的纵向研究 Corona-Warn-App［ 43]，是欧洲下载量最高的联系人追踪应用之一，截至2021年3月25日，下载量达2650万次[ 44］．

如何解释这种全球低吸收率?关于德语的研究 Corona-Warn-AppMunzert等人[ 43]报告称，根据用户自述的社会人口统计和行为特征，应用程序的使用率有所不同。例如，应用程序的使用与年龄(≥50岁)、教育、社会经济地位、健康前提条件和其他预防行为(如手卫生和戴口罩)呈正相关。那些在社交网络中报告阳性病例或生活在已知疫情爆发地区的人，应用程序使用率也更高[ 43];在信任国家政府、医疗保健系统和科学的用户中，以及那些拥有强大数字素养但不太关心隐私的用户中，这一比例也更高[ 43］．

政府的隐私、数据保护和信任问题似乎是值得关注的问题，正如上述范围审查中所报告的[ 41]和Cochrane综述[ 30.］．系统设计文献中的许多概念论文都讨论了隐私问题[ 45- 47]，主要关注追踪技术的使用(例如，基于位置的与蓝牙的对比[ 48])，以及集中与分散框架的使用，敦促一些研究人员开发他们的隐私保护应用程序和框架[ 49］．去中心化模型在设计上是保护隐私的;然而，它们在响应公共卫生系统的需求方面通常效率低下，因为它们依赖于个人用户愿意通知网络，这可能永远不会发生，或者在处理SARS-CoV-2等高传播病毒时可能会出现无法持续的延迟[ 50］．相反，最近的一项模拟研究表明，只有当80%的人口使用这些技术时，中心化模型才能有效[ 51］．然而，集中式模型可能会阻碍那些不信任管理集中式数据库的组织的用户的使用。Ferretti等人在他们的开创性论文中[ 25)认为，支持联系人追踪应用程序的应用程序设计者和政府应该遵循道德原则(例如，慈善、减少痛苦、公平和社会正义)，并遵循透明的做法，以获得公民的信任，促进应用程序的普及。例如，可以通过创建独立的监督咨询委员会、发布应用程序的代码和使用的算法、整合第三方的评估和研究，以及明确传达隐私和数据保护原则来实现透明度。表达这些原则的一种方式是使用应用程序的隐私政策文件，主要应用程序商店要求提供这些文件，并由许多机构推荐，包括隐私信任框架[[ 52];美国联邦贸易委员会[ 53];以及于2018年5月生效的欧盟《通用数据保护条例》(GDPR) [ 54］．对开发人员的一般建议是制作清晰且易于理解的隐私策略文档。确保文档的清晰度和可理解性的一种方法是提供低可读性级别，这在以前被认为是评估应用程序隐私政策的一个因素[ 55];例如，《私隐信任框架》建议阅读等级≤12级，Flesch阅读便利性为45 [ 52］．最近一篇研究接触追踪应用程序的论文[ 56]报告称，文档的透明度被认为是信任应用程序和开发人员的重要因素。

除了学者之间的概念和规范争论之外，公民对隐私的担忧是真实的吗?联系人追踪应用真的侵犯了隐私吗?应用程序背后的开发者或政府是否能够提供关于数据保护和处理的透明和清晰的信息?这些问题的答案并没有出现在现有的关于联系人追踪应用程序的文献中。有一些关于COVID-19应用程序的系统评论提到，接触追踪应用程序是大流行背景下使用的一种类型[ 12- 17］．还有一些关于COVID-19接触追踪应用程序的评论。比如前面提到的麻省理工学院 Covid追踪跟踪器项目( 37]提供了一些关于这些应用的技术基础设施和吸收的描述性信息。COVID-19接触追踪应用程序的其他2个概述[ 12， 16]描述一般漏洞，而不是使用隐私政策文件中包含的信息考虑隐私问题。这些审查并没有对权限和数据保护提供全面、具体的分析[ 16］．COVID-19接触追踪应用程序的最新综述[ 38的会议论文集，重点讨论了41个应用程序样本的用户隐私问题、潜在的数据泄露和其他技术特征。作者提到了透明度在确保被接受方面的作用，但没有调查除了发布源代码之外可以提高透明度的应用程序特性，而发布源代码是一些分析的开源应用程序中存在的一个元素。另一个联系人追踪应用的内容分析[ 57通过用户评论和下载量来研究这些应用的公众看法，解决设计隐私的问题。另一项审查分析了需要哪些权限才能允许跟踪和跟踪，以及应用程序在设计上是否体现了隐私和数据保护原则[ 58］．另一篇评论关注的是在美国开发的应用程序，以及可用性和定性特征[ 59］．最后，另一篇评论着眼于联系人追踪应用程序的可读性。 60而不考虑隐私方面。总之，这些关于联系人追踪应用程序的评论都没有对隐私和数据保护原则进行综合分析。

此外，在2020年4月，我们的研究小组启动了一个项目，几个月后创建了一个全国性的接触追踪应用程序(Ma3an) [ 61]与当地公共卫生部合作。与此项目并行的是，我们搜索应用程序数据库来识别基准应用程序，并将其作为保护隐私的联系人跟踪应用程序的参考。这是促使我们对联系人追踪应用进行全面系统审查的主要动力之一，并将重点放在数据保护和隐私方面。

这项研究旨在以系统的方式识别、绘制和评估全球所有可用的COVID-19接触追踪应用程序。这项研究的具体目标是:(1)识别和绘制现有的接触追踪应用程序;(2)根据所需权限，评估收集的数据类型，以确定对用户隐私的风险;(3)评估隐私政策文件的可读性和内容，以确定这些文件是否透明地传达了关于隐私、数据保护、管理和保留的细节。最后，在实施了一年多的搜索协议、数据提取和评估之后，我们决定是时候响应Colizza等人最近发起的COVID-19接触追踪应用程序评估的呼吁[ 40《自然医学》，2021年2月15日。

我们使用了两种主要策略来识别联系人追踪应用:(1)在谷歌Play和苹果应用商店中使用谷歌搜索关键字;(2)扫描通过谷歌搜索识别的5个网站中包含的应用列表。

对于第一个搜索策略，我们应用了以下两个搜索查询:(1)“allintext: covid -19|covid|covid19|冠状病毒和追踪|暴露网站:play.google.com”和(2)“allintext: covid -19|covid|covid19|冠状病毒和追踪|暴露网站:play.google.com”。我们于2020年5月7日进行了初步搜索，并于2020年6月1日、2日和24日几乎每月更新一次;2020年8月18日;2020年11月27日;2021年4月8日;2021年8月7日;2021年10月31日。

第二种搜索策略包括扫描5个包含COVID-19应用程序列表的网页，例如维基百科关于COVID-19应用程序的页面(首次发布于2020年4月1日，最后一次编辑于2021年10月20日)[ 36];麻省理工学院 Covid追踪跟踪器项目(2020年5月7日首次发布，2021年1月25日最后更新)[ 37];欧洲委员会接触者追踪应用程序数据库(最后一次更新于2020年6月10日，后停止更新)[ 65];一篇关于 COVID追踪应用程序综述Android Police(发布于2020年9月1日，最后更新于2020年11月21日)[ 66]，美国有26个州使用谷歌曝光通知系统(ENS)， 37个国际应用使用相同的ENS系统，30个应用不使用ENS框架;和 使用谷歌和苹果COVID-19接触者追踪API的国家列表XDA开发者网站(发布于2020年6月24日，更新于2021年2月25日)[ 67］．所有这些来源最后一次检查是在2021年10月31日。

为了入选，应用程序必须(1)明确针对COVID-19 接触者追踪或 暴露的通知(2)在谷歌Play或苹果应用程序商店上有一个公开的页面，以及(3)在谷歌Play上有关于权限的信息和隐私政策文件。因此，我们排除了为接触追踪而设计的应用程序，这些应用程序不是专门为COVID-19设计的，但提供了关于COVID-19的一般信息 症状跳棋没有提及接触追踪功能。我们还排除了那些只在苹果应用商店有可用页面的应用，因为这些页面不包括谷歌Play中的权限信息。我们还排除了那些隐私政策文件不可用(例如，通过断开的链接)或没有包含与应用程序明确相关的隐私政策的应用程序。

我们遵循了一个多阶段的选择过程。MB通过苹果应用程序商店和微软Excel中的谷歌Play，导出了谷歌搜索结果。MB随后筛选了相关链接，MAD确认了选择。接下来，我们通过讨论解决了所有的分歧。最后，我们在Exodus Privacy数据库中输入了谷歌Play链接[ 68，它是Android应用程序的审计平台。Exodus平台会寻找嵌入式跟踪器(一种用于收集用户数据的软件)和每个应用程序请求的权限。如果连接到Exodus数据库的链接不正常，应用程序就会被排除在外。

选择过程说明在 图1．我们于2020年5月7日将搜索查询应用于谷歌;2020年6月1、2、24日;2020年8月18日;2020年11月27日;2021年4月8日;2021年8月7日;2021年10月31日。我们从谷歌Play中导出了1055条记录，从Microsoft Excel中的Apple App Store中导出了1027条记录。在移除重复链接后，我们筛选了15.64%(165/1055)谷歌Play上的独特应用链接和16.85%(173/1027)苹果app Store上的链接。 In this first screening stage, we excluded 11.5% (19/165) and 25.4% (44/173) of apps from Google Play and the Apple App Store, respectively, that were deemed irrelevant as they were not related to COVID-19. The remaining 88.5% (146/165) and 74.6% (129/173) of apps from Google Play and the Apple App Store, respectively, were assessed for eligibility together with 152 apps from the Wikipedia page [ 3681岁，来自麻省理工学院 Covid追踪跟踪器项目( 37]， 52个来自欧洲委员会联系人追踪应用程序数据库[ 65]， 93 from Android Police页面[ 66]，以及XDA开发者页面中的65个[ 67］．最后，我们排除了未设计用于联系人追踪的应用(52/146,35.6%来自谷歌Play;42/129, 32.6%来自App Store;59/152, 38.8%来自维基百科)。

最终名单包括180个独特的COVID-19接触追踪应用程序，这些应用程序可能有资格接受审查。其中85.6%(154/180)使用谷歌Play链接生成Exodus平台权限报告[ 68]，而76.1%(137/180)有相关的私隐政策文件。总共有14.4%(26/180)的应用程序没有权限报告，要么是因为谷歌播放链接不可用(19/ 26,73%)，要么是因为在分析时它不再可用(7/ 26,27%)。另外4.5%(7/154)的应用程序没有可用的隐私政策文件，11%(17/154)的隐私政策文件不是针对应用程序的。在180个选定的应用程序中，132个(73.3%)包含与权限和隐私政策相关的数据。其中包括截至2021年10月31日所有180个已识别的应用程序的完整列表 多媒体附件1．该列表包含谷歌播放页面和Exodus平台报告的链接。该名单也可从Tableau Public的链接[ 74］．

这180款应用覆盖了全球5大洲90个不同国家的152个地理单位(国家或地区、州或省、县、领土或城市)。大多数应用来自美洲(53/180,29.4%)、亚洲(53/180,29.4%)和欧洲(46/180,25.6%)。非洲大陆有6.1%(11/180)的应用程序，大洋洲有5%(9/180)，4.4%(8/180)的应用程序覆盖多个大洲或为覆盖不同国家而开发。世界地图 图2代表COVID-19接触追踪应用程序的全球分布。泡沫越大，每个国家的应用程序数量就越多。

美国的应用绝对数量最高，有20%(36/180)是针对不同州开发的。这个数字还不包括1.1%(2/180)的应用程序，这些应用程序来自美国关岛( 关岛Covid警报)及波多黎各( 拉斯特拉病毒)．1.1%(2/180)的应用程序( Care19警报而且 Care19日记)覆盖了北达科他州、南达科他州和怀俄明州。应用数量第二高的国家是澳大利亚(6/180,3.3%)。德国、英国、印度和菲律宾各占2.8% (5/180);巴西和意大利各占2.2% (4/180);法国、马来西亚、墨西哥、尼泊尔、俄罗斯、新加坡、南非和西班牙各占1.7% (3/180);加拿大、伊朗、荷兰、阿曼、瑞士和阿拉伯联合酋长国各占1.1%(2/180)。

大多数联系人追踪应用程序由政府赞助(132/180,73.3%)，其次是私人组织(28/180,15.6%)和非营利组织(14/180,7.8%)。少数应用程序涉及多个利益相关者，包括私人财团、非营利组织和政府组织(6/180,3.3%)。

中提供了包含权限数据的154个应用程序的列表 多媒体附件2(tab 1) 表2，我们根据安装数量报告应用程序样本的基本描述信息。截至2021年10月8日，根据谷歌Play安装类别，这154款应用的总安装量为2.645亿次(平均安装量为170万次)，安装量从1000万到1亿次不等。安装最多的应用程序是 AarogyaSetu由印度国家信息中心eGov移动应用部门开发。安装最少的应用程序是 Aggie-COVID-19它是为新墨西哥大学设计的。大多数应用的安装次数在10万到100万次之间(106/ 154,68.8%)，大约三分之一的安装次数低于10万次(48/ 154,31.2%)。

大多数应用程序是由政府(116/ 154,75.3%)、私人组织(17/ 154,11%)、非营利组织(11/ 154,7.1%)和多利益相关者联盟(10/ 154,6.5%)开发的。在赞助者的类型和安装类别的数量之间没有发现显著的关联。基于120款拥有有效App Store页面的应用的子样本，谷歌Play的平均评分为3.5 (SD 0.7)，苹果App Store的平均评分为3.6 (SD 0.9)。谷歌Play上的平均评论数为26,412条(SD为143,803)，App Store上的平均评论数为5120条(SD为28,826)。

谷歌Play上的平均评论数量与安装数量显著相关( F_3.= 5.04; P<措施;η²=0.07)，安装次数≥100万次的应用比安装次数在10万到50万次之间的应用获得更多评论，并且比安装次数<10万次的应用获得更多评论。我们在苹果App Store上也发现了类似的差异( F_3.= 3.59; P= .02点;η²= 0.05);在这种情况下，安装次数低于10万次的应用和安装次数在50万至100万次之间的应用的平均评分明显更高。

通过Exodus平台自动权限提取识别的权限类型在 多媒体在154个具有有效权限数据的应用中，有94种不同类型的权限，其中17种(18%)是危险或特殊权限。

在正常权限中，所有应用程序中使用的权限为 互联网，有全面的网络接入(154/154, 100%)。超过一半的应用程序使用的权限是 查看网络连接(150/154, 97.4%); 唤醒锁，防止手机休眠(142/154, 92.2%); 在前台运行(137/154, 89%); 启动时运行(131/154, 85.1%);蓝牙相关权限为 与蓝牙设备配对(118/154, 76.6%)。最常使用的危险许可是 访问精确位置(GPS和基于网络的)，大约有一半的应用程序(73/ 154,47.4%)使用了该应用程序。大约三分之一的样本使用的其他危险权限 访问大致位置(基于网络)(57/154, 37%), 拍摄照片和视频(51/154, 33.1%) 修改或删除SD卡的内容(44/154, 28.6%)。平均每个应用程序收集了9个权限(IQR 10，范围2-44)。只有0.6%(1/154)的应用程序收集了2个权限( 跟踪Taguig,菲律宾)，只有0.6%(1/154)收集了44个权限( Shlonik、科威特);46.1%(71/154)的应用程序需要较少的权限。

危险权限的平均比例为13% (IQR为21%，范围为0%-63%)。共有39%(60/154)的应用程序没有使用任何危险权限，0.6%(1/154)的应用程序报告使用了最危险的权限( 电晕的手表，卡纳塔克省，印度)。

此外，Exodus平台提取了大约30种不同的跟踪器( 多媒体谷歌Firebase Analytics是最常用的跟踪器(80/154,51.9%)，其次是谷歌CrashLytics的崩溃报告(48/154,31.2%)。虽然有些应用程序有分析和应用统计信息跟踪器，但其他应用程序的跟踪器用于分析用户(如Facebook登录、Segment、AltBeacon和DOV-E)或用于广告(谷歌AdMob;6/154, 3.9%)。平均而言，每个应用程序使用1个跟踪器(IQR 2，范围0-11)。尽管41.6%(64/154)的应用程序没有使用任何跟踪器，0.6%(1/154)的应用程序使用最多的跟踪器( 公民SafePass)．

根据权限和跟踪器的数量和类型，平均权限累积风险评分为16 (IQR 26，范围4-74)。在154个应用程序中，有2个(1.3%)得分最低 跟踪Taguig(菲律宾)和 击败COVID直布罗陀- 1人(0.6%)得分最高 Shlonik(科威特)。大约五分之一的样本(40/ 154,26%)获得了第二和第三低的许可累积风险得分(得分为6:23 / 154,14.9%;7分:17/154,11%)。

85.7%(132/154)的应用程序可以提取隐私政策数据，14.3%(22/154)的应用程序没有有效的隐私政策链接或文件。包含每个应用程序的隐私政策数据提取的电子表格可在 多媒体附件4．

在可读性方面，隐私文件要求的中位数等级为12 (IQR 3，范围7-23)。我们在隐私政策文件中找到了最低级别的 阻止电晕(奥地利) 区域签到(澳大利亚北领地)和最高级别的政策文件 台湾社交距离应用程序。

大多数隐私政策文件都是 困难或 很难读懂(81/132, 61.4%)，约三分之一是 相当难读(47/132, 35.6%)。只有3%(4/132)的应用程序有 标准或平均阅读水平。除了 阻止电晕而且 领土登记，其他两个应用程序是 COVID警报(南非)和 COVID警报(加拿大)。

根据隐私策略检查表项的示例分布如图所示 表3．隐私方面的显著优势包括大多数政策文件明确说明了何时收集个人标识符(116/132,87.9%)以及收集什么类型的数据以及收集多长时间(100/132,75.8%)。此外，隐私政策文件提到，这些数据是通过个人识别号码或密码来保护的(78/ 132,59.1%)。然而，大多数应用程序收集或部分收集了个人身份信息(89/132,67.4%)。数据管理的其他局限性包括大多数隐私政策没有明确解释应用程序如何工作的部分(86/132,65.2%)，没有说明或解释应用程序或服务器如何加密数据，或没有描述数据交换的过程(105/132,79.5%)。

在使用的法律框架方面，大多数政策文件提到他们遵守GDPR或其他国家层面的立法数据保护框架(82/ 132,62.1%)。被遗忘权的另一个显著优势是，大多数政策文件都声明，用户有权删除应用程序或其个人资料(90/132,68.2%)。但是，少数政策中提到了修改或编辑个人资料的权利(50/132,37.9%)。

根据私隐政策检查表，平均私隐透明度指数为56 (SD 22，范围5-95)，略高于中位数50，可被视为中等水平。在132个应用程序中，4个(3%)的隐私透明指数最低 区域签到(澳大利亚); 巴德赫特市- COVID-19/灾害应对而且 Bharatpur Metropolitan|COVID-19响应系统(都来自尼泊尔);而且 另一方面，一个etas(澳大利亚)- 1(0.8%)的隐私透明指数最高 爱尔兰COVID追踪- 5个(3.8%)的隐私透明指数(90/100)排名第二 Corona-Warn-App(德国)、 NHS COVID-19应用程序(联合王国;2个版本，一个飞行员版本和一个国家版本)， SwissCovid(瑞士), 保护苏格兰．

表示应用程序特征的连续变量、权限累积风险分数、可读性和隐私透明指数之间的相关性如 表4．在这两个应用商店中，应用的平均评分之间存在较小的显著相关性( r= 0.21; P= .02点;116/154, 75.3%)。同样地，谷歌Play和苹果应用商店中报告的评级数量之间也存在更大且更显著的相关性( r= 0.87; P<措施;116/154(75.3%)，这反过来又与安装数量显著相关(谷歌Play评级: r= 0.96; P<措施;150/154, 97.4%;苹果App Store评分: r= 0.90; P<措施;120/154, 77.9%)。这一发现与研究结束时报告的方差分析相一致 应用特征部分。许可累积风险评分与苹果应用商店的平均评分呈小的负相关( r=−0.20; P= .03点;120/154, 77.9%)，说明评分越低，用户隐私风险越大。隐私透明度指数与权限累积风险评分呈负相关( r=−0.25; P<措施;132/154, 85.7%)，说明数据风险越高，相关政策文件的透明度指数越低。

图3是显示“权限累积风险评分”与“私隐透明度指数”之间关系的地图截图。该地图可在Tableau Public上公开获取[ 74］．

本文首次系统回顾了全球开发的COVID-19接触追踪应用程序，探讨了这些应用程序的数据保护和隐私方法。此外，我们还评估了应用程序请求的权限的数量和类型，以及隐私政策文件关于数据保护规则的透明度。这项系统审查旨在(1)识别和映射现有的联系人追踪应用程序，(2)通过评估所请求的权限类型和数量来评估对用户隐私的潜在风险，以及(3)评估相关隐私政策文件的可读性和透明度。

我们采用了系统的搜索、选择和识别过程，使用不同的来源[ 62］．这种系统方法使我们能够识别覆盖90个国家的180个COVID-19接触追踪应用程序。在这180个应用程序中，154个(85.6%)有提取权限数据的有效链接，132个(73.3%)有可以分析的隐私政策文件。我们的搜索策略使我们生成的样本比最近与covid -19相关的应用程序审计报告的样本大得多[ 13， 29， 38］．此外，我们分析的应用程序的选择比MIT中包含的应用程序更广泛 Covid追踪跟踪器项目( 37]，目前有81个应用程序。到目前为止，最新的信息来源是维基百科 COVID-19应用页面( 36该网站列出了152款应用。尽管随着越来越多的政府开始开展数字接触追踪工作，COVID-19接触追踪应用程序的数量可能会随着时间的推移而增长，但一些研究人员认为，考虑到大流行的演变，现在这种势头已经过时了。在缺乏零covid -19战略的情况下，缓解战略和疫苗接种运动可能优先于接触者追踪和其他非传染性疾病行动[ 75］．尽管如此，我们希望这一审查将激发公共卫生和全球卫生界的兴趣，他们可能希望为扩大和维护应用程序数据库作出贡献，该数据库已可在Tableau public上访问[ 74］．

为了实现第二个目标，我们分析了谷歌Play网页上的公开信息，并使用Exodus平台扫描仪提取了这些信息[ 68］．这种客观的评估和数据提取使我们能够系统地识别和分类权限类型及其对用户隐私的相对风险。我们开发了一个权限累积风险评分来限定风险级别，考虑到一些危险的权限和侵入性跟踪器的存在。在这项研究中包含的154个应用程序样本中，权限和跟踪器的数量和类型存在广泛的变化，这表明没有单一的方法可以保护应用程序的隐私。与Azad等人的结论一致[ 58]，许多应用程序收集的权限似乎超过了所需，其中一些可能会侵犯用户的隐私。尽管应用程序的权限数量和类型各不相同，但似乎有些政府对收集更多数据特别感兴趣。一方面，大多数应用程序都要求一些非危险的权限，比如允许完全网络访问，防止设备休眠，以及要求配对蓝牙设备。使用蓝牙技术进行接触追踪似乎无处不在[ 58， 76]并被认为是一种保护隐私的方法[ 45， 48， 51];然而，一些应用程序包含非常侵入性的权限或需要持续的互联网连接，这可能不是所有时候都可用，使实时曝光通知变得困难或不切实际[ 77］．

此外，一些应用程序需要读写权限才能访问手机存储和使用QR码的摄像头，这种方法似乎适用于某些类型的离线自检动作，以进行数字联系人追踪。 77］．其他应用程序需要访问麦克风、GPS定位和手机身份，以便政府进行联系人追踪和网络暴露通知操作。虽然从公共健康的角度来看，这种方法是有效的，但这种方法可能会产生一些普遍的隐私问题。我们的研究结果显示，许可累积风险评分与苹果应用商店中所选应用的平均评分呈负相关，这可能表明用户不喜欢这些应用的设计或可用性，或者不信任这些应用，表达了较低的评分[ 78］．

大多数应用程序(81/132,61.4%)包含非常难以阅读的隐私政策，这表明只有受过教育的用户才能理解所呈现的信息。这一发现与一些评估接触追踪应用隐私政策可读性的研究一致[ 60]以及其他健康领域的应用程序，如心理健康[ 71， 79]、健康与健身[ 63]，以及年轻一代的总体健康状况[ 54， 55］．

在透明度方面，在被识别的180个联系人追踪应用中，24个(13.3%)没有提供有效的隐私政策文件链接，或者包含指向非该应用特定政策文件的链接。尽管没有多少用户可能会在安装应用之前或之后阅读隐私政策，但如果没有这样的文件，就会引发对开发者透明度、疏忽或无能的担忧[ 79］．另一个值得注意的发现是权限累积风险评分和隐私透明度指数之间的反比关系，这表明，通过应用程序权限侵犯隐私的风险越高，策略文件的透明度水平越低。虽然我们的关系是建立在我们 专家评估对于文档和权限数据，数据是有意义的。数据表明，一些开发人员可能会收集不必要的数据，而不觉得有必要与用户沟通。 80］．

随着全球对政府的信任似乎在下降，联系人追踪应用程序将遵循一个真正去中心化的框架，并基于透明和开放的原则。 25］．在分析的132份隐私政策文件中，大多数(81/132,61.4%)在定制的隐私透明度指数中获得了高于平均水平的评级。大多数政策文件表明，这些应用程序收集了个人识别码。虽然它提供了有关数据管理的有用信息，但这表明，真正保护隐私和完全匿名的联系人追踪方法在现实生活中可能是不可实现的[ 49］．尽管如此，保护隐私的应用程序(即那些权限累积风险评分较低的应用程序)在苹果应用程序商店中评分较高。他们的隐私政策文件具有更高的隐私透明度指数，这表明透明度和隐私可以与积极的应用评价相结合，这可能意味着更好的用户粘性和持续使用。

这是首次对COVID-19接触追踪应用程序进行系统审查和评估，结合了隐私风险评估和隐私政策的透明度和可读性。本研究的一个基本优势是方法论方法遵循了选择、数据提取和分析的特定协议。另一个优势是全球154个应用程序收集的数据的可用性。本研究的局限性包括使用定制的措施来量化风险水平(许可累积风险评分)和透明度水平(隐私透明指数)。虽然这些工具需要正式的验证，但我们试图通过完成一系列训练和评估评分者之间的一致性和可靠性指标来最大限度地减少潜在的主观性和错误，以在评估应用程序时建立良好的一致性水平。另一个限制是使用了谷歌Play生成的数据，因为一些应用程序仅为iOS开发，因此没有包括在研究中。不幸的是，iOS应用商店不包括应用程序所需权限的信息;这是由于iOS和Android之间不同的软件架构。另一个限制与移动应用市场的极端波动及其特点有关。在对市场进行了大约一年的监测后，我们提供了截至2021年10月31日所有可用的联系人追踪应用程序的全球快照。 Considering that the pandemic is still ongoing, existing contact-tracing apps might disappear, new ones could be developed, or different technological solutions could be adopted to provide exposure notifications (eg, merging databases or aligning data exchange protocols between European or US states). This would imply that the existing apps might have different software permissions and privacy policies. Our database provides a historical classification of contact-tracing apps that were developed over more than a year, and we made such a list of apps available from the Tableau link.

COVID-19接触追踪应用程序开发人员应在遵循隐私保护框架和收集个人信息之间找到平衡，以满足公共卫生机构的需求，以确保对手动接触追踪工作提供有效和实际的支持。开发人员应该减少收集的数据量，并将其与联系人追踪的唯一目的联系起来。它们还应加大力度，使隐私政策文件更易于获取和阅读，并提供必要的信息，以促进人们对政府和机构抗击COVID-19的信任。更好、更有用的数字接触追踪应用程序将帮助政府更有效地开展接触追踪工作。