健康生活网logo.png健康生活网

健康生活网
健康生活网是中国最大的生物技术、生物科学门户网站。
健康生活网

14%的Android应用隐私政策包含有关数据收集的矛盾

官方Google Play商店中列出的许多Android移动应用程序在有关数据收集做法的隐私权政策中均包含矛盾的语言。

在去年发表的一项学术研究中,研究人员创建了一个名为PolicyLint的工具,该工具分析了11,430个Play商店应用的隐私政策中使用的语言。

他们发现14.2%(1,618个应用程序)包含一项隐私政策,其中包含有关数据收集的逻辑矛盾声明。

例如,隐私政策在某一节中指出,他们不收集个人数据,而只是在随后的部分中与自己相矛盾,在该节中,他们声明他们收集电子邮件或客户名-这些显然是个人可识别的信息。

在某些情况下,应归咎于模板

尽管研究团队无法确定应用程序制造商在其隐私政策中使用矛盾陈述的意图,但研究人员认为,主要目的是误导用户,如果他们花时间阅读政策。

但是,他们也发现了相反的证据。例如,研究小组发现了59个使用在线服务自动生成隐私策略的应用程序。对在线服务的更深入研究发现,自相矛盾的陈述是模板本身的一部分,而不是应用程序制造商的补充。

“我认为我们找到了四五个不同的模板,” IBM Research的本杰明·安多(Benjamin Andow)说,该研究的作者之一。

但是,绝大多数其他隐私策略对于每个应用程序都是唯一的,并且似乎不是意外事件的结果。研究小组表示,在这些情况下,这些应用程序制造商可能会受到欧盟和美国隐私监管机构的罚款。

安道夫说:“自相矛盾可以导致欺骗性陈述的确定,这些陈述可以由欧盟FTC和DPA(数据保护机构)强制执行。”他说,他们的研究可用于追踪GDPR滥用者。

通知供应商

此外,在验证PolicyLint工具准确性的过程中,研究小组还抽取了510条带有矛盾声明的隐私策略样本,并手动验证了它们的正确性。

由于此过程涉及对整个应用程序策略的仔细分析,因此研究团队还着手通知应用程序制造商其不正确的隐私政策。

研究小组从510个应用程序中找到了260个开发人员的联系电子邮件,并通过电子邮件通知了他们。在260个中,有244个收到了电子邮件,因为16个公共联系人电子邮件地址最终变为无效或无法访问。

研究人员说,在他们发送的244封电子邮件中,他们仅收到11封回复,此后,只有三名开发人员更正了他们的政策。

有关详细信息,请参见小组的白皮书“ PolicyLint:调查Google Play上的内部隐私政策矛盾”,该白皮书可从此处或此处以PDF格式下载。

该团队包括北卡罗来纳州立大学,伊利诺伊大学香槟分校和IBM Research的研究人员和学者。

以下是Andow在2019年安全会议上的演讲视频。

该论文的发现与2019年另一项名为“ 关于通知和同意的荒谬性:应用程序隐私政策的矛盾 ”的研究相一致。

这项单独的研究分析了更大的Play商店应用样本,以了解数据收集惯例与隐私权政策中明确披露的内容之间存在不一致之处。

研究小组发现,在他们分析的与第三方服务共享的个人数据的68,051个应用程序中,有10.5%尚未在隐私权政策中声明。此外,在68,051个应用程序中,只有22.2%在其隐私权政策中明确指定了第三方合作伙伴或关联公司,而绝大多数应用程序都隐藏在最终收集到的用户数据所在的位置。

相关推荐