Comunique o risco para a privacidade com indicadores de privacidade codificados por cores

Resumo do Problema

Para que os usuários tomem decisões informadas sobre privacidade, as informações devem ser fornecidas de uma forma facilmente compreensível, com comunicação visual das propriedades de privacidade, feedback direto e aproveitamento de conceitos familiares para que os usuários possam alinhar seu comportamento com suas preocupações.

Racional

O entendimento é que fornecer indicadores visuais de nível de risco à privacidade que sejam informativos, simples e fáceis de entender no contexto da tomada de decisões (divulgação de informações, concessão de permissões de aplicativos, etc.) pode ajudar o usuário a tomar decisões informadas sobre privacidade.

Solução

Um indicador de privacidade codificado por cores que resume o nível de risco para a privacidade. Tal código de cores é escolhido como verde (baixo risco), amarelo (risco médio) e vermelho (alto risco) [1][2][4][5][6] ou uma gradação de verde escuro a verde claro, amarelo e laranja a vermelho [3]. A intenção é aproveitar, por exemplo, a metáfora dos semáforos, que é familiar aos usuários.

O indicador de privacidade codificado por cores utilizado por esta diretriz assume que há um cálculo ou avaliação de risco de privacidade subjacente a ele. No entanto, não existe uma solução universal e os trabalhos referenciados por esta diretriz [1-6] adotaram diferentes abordagens, incluindo considerar o contexto [2][3][4][6] ou construir protótipos com indicadores codificados por cores predefinidos, para avaliar as percepções dos usuários sobre o risco de privacidade [3].
Paturi, Kelley e Mazumdar [1] introduziram três categorias de privacidade que eles chamaram de 'grânulos de privacidade' (privacy granules): a localização, a identidade e as pesquisas do usuário. Para representar ameaças a esses grânulos de privacidade, eles usaram as cores vermelho (perigo), verde (segurança) e amarelo (incerto). Tucker, Tucker e Zheng [2] criaram uma lista de ameaças à privacidade e vincularam as permissões solicitadas pelo Facebook a essas categorias, atribuindo a cada uma um valor de risco. Bal [4] usou a expertise dos pesquisadores para avaliar vários fatores relacionados à privacidade, avaliou o potencial dos aplicativos para extrair informações privadas específicas e agregou essas avaliações para atribuir uma classificação geral de privacidade a cada aplicativo. Kumar et al. [5] projetaram um modelo probabilístico dinâmico baseado na Integridade Contextual e o risco de privacidade é calculado como uma combinação de risco de privacidade instantâneo, risco de privacidade longitudinal e risco de privacidade entre plataformas. Jackson e Wang [6] calcularam o risco de privacidade considerando solicitações de permissão e preocupações de privacidade dos usuários coletadas usando o Mobile Users' Information Privacy Concerns (MUIPC). Ou seja, é necessário um mecanismo para servir de base para a codificação por cores - base de conhecimento, avaliação de especialistas, modelos matemáticos, crowdsourcing e assim por diante.

Como a compreensão dos usuários sobre o significado transmitido pelos ícones é primordial, e não há um conjunto universalmente aceito de ícones de privacidade, dois trabalhos selecionaram os ícones que utilizaram por meio de um estudo de validação com usuários [3][6]. Bock e Momen [3] reconheceram o favoritismo pela barra de etiquetas com descrições escritas. Eles afirmam que "também pode ser considerado amigável para acromatopsia". As barras de etiquetas avaliadas são semelhantes ao componente de pílulas do Bootstrap. Os autores optaram por uma escala ímpar (5) em vez de três para ter uma gradação de risco de 'muito baixo' a 'muito alto', em vez de risco 'baixo, médio e alto'. A decisão sobre o número de graduações da escala dependerá do caso de uso. Exemplo usando Bootstrap:

baixo médio alto
muito baixo baixo médio alto muito alto

Plataformas: computadores pessoais, dispositivos móveis

Diretrizes relacionadas: Promova a conscientização do usuário e a tomada de decisão sobre solicitações de permissão/autorização, Aumente a conscientização sobre privacidade comunicando riscos de privacidade

Exemplo

Interface de Discrepância de Privacidade <a href="#section6">[6]</a>, Interface Privacy Pal <a href="#section2">[2]</a> e Interface de Grânulos de Privacidade <a href="#section1">[1]</a>

A interface de discrepância de privacidade (à esquerda) destaca a discrepância entre as preocupações de privacidade do usuário e o risco da solicitação de permissão de cada aplicativo [6]. A interface do Privacy Pal (canto superior direito) ajuda os usuários a visualizar os riscos de privacidade e segurança associados à concessão de permissões a aplicativos de terceiros [2]. No canto inferior direito, interfaces resumidas para grânulos de privacidade [1]. (Ver em tamanho maior)

Casos de uso
  • Estimular o comportamento do usuário em contextos onde os usuários precisam de orientação ou lembretes para considerar suas preferências de privacidade.
  • Descoberta/download/instalação/atualização/interfaces de detalhes de aplicativos.
  • Qualquer interface de requisição de permissões ou autorização.
Vantagens

  • Aproveita esquemas codificados por cores familiares aos usuários e pode promover melhor alinhamento dos comportamentos de privacidade do usuário com suas preocupações. Ele também fornece feedback direto para que os usuários possam modificar as permissões para corresponder aos seus níveis de preocupação com a privacidade [6].

Desvantagens

  • Os estudos foram conduzidos em um ambiente controlado, e o comportamento real de instalação dos usuários em cenários do mundo real pode diferir [1][6].

Avisos de Privacidade

O principal objetivo de um aviso de privacidade é informar os usuários sobre o tratamento de dados pessoais. Considerando o espaço de design para avisos de privacidade [7], esta diretriz pode ser aplicada às seguintes dimensões:

  • Sob demanda
    A recomendação proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando eles procuram ativamente informações de privacidade, como por exemplo, em painéis de privacidade ou interfaces de configurações de privacidade.
  • Dependente do contexto
    Esta recomendação pode ser usada para apresentar um aviso de privacidade acionado por uma mudança no contexto, como uma mudança de localização ou compartilhamento de dados.
  • No momento oportuno
    A recomendação proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando uma prática de dados estiver ativa (dados sendo coletados, usados ou compartilhados, por exemplo). Segundo os autores do espaço de design para avisos de privacidade, os avisos just-in-time precedem a coleta de dados, muitas vezes perto dos campos de entrada de dados ou com diálogos resumidos, reduzindo as interrupções do usuário.
  • Na configuração
    A recomendação proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando eles estiverem usando o sistema pela primeira vez ou prestes a se envolverem em um compartilhamento de dados, para que possam estar cientes do nível de risco.

  • Desacoplado
    Esta recomendação pode ser aplicada a avisos de privacidade desacoplados de escolhas de privacidade.
  • Não-bloqueante
    Esta recomendação pode ser utilizada com controles não bloqueantes (opções de privacidade [7]), fornecendo opções de controle sem forçar a interação do usuário.
  • Bloqueante
    Esta diretriz pode ser combinada com controles (opções de privacidade) bloqueantes, exigindo que os usuários tomem decisões ou deem consentimento com base nas informações do aviso.

  • Visual
    Esta recomendação se aplica a um aviso visual, utilizando recursos visuais como cores, texto e ícones.

  • Secundário
    This guideline can be applied to secondary channels if the primary channel does not have or has a limited user interface.
  • Primário
    Esta recomendação pode ser aplicada à mesma plataforma ou dispositivo com o qual o usuário está interagindo.
  • Público
    Esta recomendação pode ser aplicada à avisos de privacidade públicos.

Transparência

A transparência [8] é o principal atributo da privacidade, uma vez que este mecanismo envolve a distribuição proativa de informações aos usuários, promovendo a comunicação visualmente acessível do nível de risco para a privacidade e ajudando os usuários a tomarem decisões informadas sobre sua privacidade. Outros atributos de privacidade relacionados:

A comunicação do nível de risco à privacidade potencializa o controle, permitindo que os usuários tomem decisões autodeterminadas sobre o compartilhamento de seus dados pessoais.


Referências

[1] Anand Paturi, Patrick Gage Kelley, and Subhasish Mazumdar. Introducing privacy threats from ad libraries to android users through privacy granules. Proceedings of NDSS Workshop on Usable Security (USEC’15). Internet Society. Vol. 1. No. 2. 2015. http://dx.doi.org/10.14722/usec.2015.23008

[2] Rachel Tucker, Carl Tucker and Jun Zheng. Privacy Pal: Improving Permission Safety Awareness of Third Party Applications in Online Social Networks. In: IEEE. 2015 IEEE 17th International Conference on High Performance Computing and Communications, 2015 IEEE 7th International Symposium on Cyberspace Safety and Security, and 2015 IEEE 12th International Conference on Embedded Software and Systems. [S.l.], 2015. p. 1268–1273. https://doi.org/10.1109/HPCC-CSS-ICESS.2015.83

[3] Sven Bock and Nurul Momen (2020). Nudging the user with privacy indicator: a study on the app selection behavior of the user. In: Proceedings of the 11th Nordic Conference on Human-Computer Interaction: Shaping Experiences, Shaping Society. [S.l.: s.n.], 2020. p. 1–12. https://doi.org/10.1145/3419249.3420111

[4] Gökhan Bal (2014). Designing privacy indicators for smartphone app markets: A new perspective on the nature of privacy risks of apps. In: Proceedings of the 20th Americas Conference on Information Systems, AMCIS 2014. [S.l.: s.n.], 2014. https://aisel.aisnet.org/amcis2014/MobileComputing/GeneralPresentations/6

[5] Abhishek Kumar, Tristan Braud, Young D. Kwon, and Pan Hui (2020). Aquilis: Using contextual integrity for privacy protection on mobile devices. Proceedings of the ACM on Interactive, Mobile, Wearable and Ubiquitous Technologies, ACM New York, NY, USA, v. 4, n. 4, p. 1–28, 2020. https://doi.org/10.1145/3432205

[6] Corey Brian Jackson and Yang Wang. Addressing the privacy paradox through personalized privacy notifications. Proceedings of the ACM on interactive, mobile, wearable and ubiquitous technologies, ACM New York, NY, USA, v. 2, n. 2, p. 1–25, 2018. https://doi.org/10.1145/3214271

[7] Florian Schaub, Rebecca Balebako, Adam L Durity, and Lorrie Faith Cranor (2015). A Design Space for Effective Privacy Notices. In: Symposium on Usable Privacy and Security (SOUPS 2015). [S.l.: s.n.], p. 1–17. https://www.usenix.org/system/files/conference/soups2015/soups15-paper-schaub.pdf

[8] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288