Implemente notificações de privacidade multivisualização personalizáveis pelo usuário
Resumo do Problema
As interfaces de notificação de privacidade de visualização única fornecem poucas informações para ajudar os usuários a compreenderem os riscos à sua privacidade.
Racional
Uma interface de notificação de privacidade com múltiplas possibilidades de visualização pode ajudar os usuários a entenderem melhor as informações de privacidade, de acordo com seus interesses e conhecimentos.
Solução
Um mecanismo de notificação de privacidade multivisualização personalizável pelo usuário, as quais fornecem notificações personalizadas que ajudam os usuários a obter as informações necessárias sobre os riscos à sua privacidade.
Fung, Rashidi e Motti [1] introduziram um novo modelo de multivisualização para notificações de permissão que melhoram a compreensão do usuário e a tomada de decisões em relação às permissões de aplicativos.
O modelo de multivisualização incorpora a Teoria de Controle para garantir consistência através de visualizações adaptadas a diferentes níveis de conhecimento do usuário. Foi desenvolvida uma cadeia de unidades de controle, cada uma responsável por produzir uma das interfaces de visualização. Ele adapta a apresentação dos riscos à privacidade com base nos níveis de conhecimento dos usuários, oferecendo interfaces personalizadas considerando propriedades de granularidade, complexidade e equidade de compreensão. Essas interfaces variam desde registros detalhados de atividades de aplicativos para usuários experientes até avaliações de risco simplificadas para novatos. Além disso, o modelo incorpora um sistema de preferência do usuário, permitindo que os indivíduos selecionem ou recebam automaticamente as visualizações que melhor correspondam ao seu nível de compreensão e conforto. Além da apresentação de informações, a solução sugere recomendações práticas ao usuário, fornecendo uma abordagem diferenciada para o gerenciamento de permissões de aplicativos. As ações variam desde a simples negação de permissão até a desinstalação do aplicativo, dependendo do nível de risco avaliado do aplicativo. Esta abordagem abrangente informa os usuários sobre potenciais riscos de privacidade e capacita-os com insights acionáveis para proteger a sua privacidade de forma eficaz.
Quando combinadas com escolhas de privacidade [2], um aspecto importante a ser considerado caso a caso é quais ações serão (bloquear/negar/desinstalar, por exemplo) recomendadas aos usuários em cada visualização.
Plataformas: computadores pessoais, dispositivos móveis
Diretrizes relacionadas: Aumente a conscientização sobre privacidade comunicando riscos de privacidade
Exemplo
Os detalhes da exibição da notificação de privacidade são reduzidos da esquerda para o canto inferior direito, considerando diferentes opções de visualização do usuário [1]. (Ver em tamanho maior)
Casos de uso
- Implementação de interface de notificação de risco de privacidade para aplicativos instalados em dispositivos.
- Implementação de interface de notificação de risco de privacidade para diferentes níveis de especialização.
- Implementação de notificação de privacidade multivisualização personalizável pelo usuário.
Vantagens
- A consistência entre as visualizações projetadas é crítica, portanto, incorporar a Teoria de Controle para regular a consistência das visualizações em diferentes níveis de conhecimento do usuário visa garantir que, apesar da diversidade na apresentação das informações, a mensagem principal permaneça consistente, auxiliando na interpretação precisa e na tomada de decisão informada. Os usuários podem escolher a visualização que mais conseguem entender e com a qual se sentem mais confortáveis [1].
- A solução fornece insights acionáveis ao recomendar ações específicas (como bloquear, negar, desinstalar) com base no nível de risco avaliado de um aplicativo. Essa abordagem não apenas informa os usuários sobre riscos potenciais, mas também os orienta sobre como mitigar esses riscos, aprimorando a segurança do usuário e a proteção da privacidade [1].
Desvantagens
- A eficácia do modelo multivisualização depende muito de usuários se engajando ativamente e entendendo as diferentes visualizações e ações recomendadas. Há uma possibilidade de que os usuários não invistam tempo para explorar e alternar entre visualizações, reduzindo o impacto geral do sistema na tomada de decisões de privacidade e segurança. Apesar da intenção de atender a diferentes níveis de experiência do usuário, há um risco de sobrecarga de informações, particularmente para usuários que podem achar que múltiplas visualizações e recomendações detalhadas de ações sobrecarregam. Isso pode levar à fadiga de decisão, onde os usuários podem optar por escolhas mais simples, mas menos seguras [1].
- A aplicação da Teoria de Controle para garantir a consistência da visualização adiciona uma camada de complexidade ao design e à implementação do sistema. Isso poderia potencialmente aumentar o tempo de desenvolvimento e os recursos necessários, tornando desafiador adaptar e dimensionar [1].
Avisos de Privacidade
O principal objetivo de um aviso de privacidade é informar os usuários sobre o tratamento de dados pessoais. Considerando o espaço de design para avisos de privacidade [3] , esta recomendação pode ser aplicada às seguintes dimensões:
- Periódico
De acordo com [2], "lembretes periódicos de práticas de dados podem ajudar ainda mais os usuários a manter a consciência dos fluxos de informações sensíveis à privacidade". Esta recomendação pode ser usada em tais cenários, permitindo aos usuários reavaliar os seus riscos de privacidade. A frequência de exibição desses avisos periódicos depende do caso de uso.
- No momento oportuno
A recomendação proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando uma prática de dados estiver ativa (dados sendo coletados, usados ou compartilhados, por exemplo).
De acordo com [2], os avisos de momento oportuno (just-in-time) precedem a coleta de dados, muitas vezes perto dos campos de entrada ou com diálogos de resumo, reduzindo as interrupções do usuário.
Outra situação é quando os aplicativos solicitam acesso a informações sensíveis, o que deve ser acompanhado por um aviso de privacidade de momento oportuno [2].
- Sob demanda
A diretriz proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando eles buscam ativamente informações de privacidade, por exemplo, em painéis ou interfaces de configurações de privacidade.
- Dependente do contexto
Esta diretriz pode ser usada para apresentar um aviso de privacidade aos usuários, acionado por uma mudança de contexto, como uma mudança de localização ou compartilhamento de dados.
- Na configuração
A diretriz proposta pode ser usada para apresentar um aviso de privacidade aos usuários quando eles estiverem prestes a se envolver em uma situação de compartilhamento de dados, como concessão de permissão, para que eles possam escolher o nível de informação que desejam ver para tomar decisões informadas.
- Desacoplado
Esta diretriz pode ser aplicada a avisos de privacidade desacoplados de opções de privacidade.
- Bloqueante
Esta diretriz pode ser combinada com controles (opções de privacidade) bloqueantes, exigindo que os usuários tomem decisões ou deem consentimento com base nas informações do aviso.
- Não-bloqueante
Esta recomendação pode ser utilizada com controles não bloqueantes, fornecendo opções de controle (opções de privacidade) sem forçar a interação do usuário.
- Visual
Esta é a modalidade de visualização de notificação de privacidade projetada, combinando recursos visuais como cores, texto e ícones.
- Secundário
As mesmas interfaces projetadas podem ser usadas para um aplicativo ou site complementar para fornecer um aviso de privacidade.
- Primário
Este é o caso da interface projetada, pois é um aplicativo para smartphone. No entanto, também pode ser usado em outras plataformas, como desktops.
Transparência
Transparência [4] é o principal atributo de privacidade. A diretriz se concentra principalmente em garantir que os usuários possam obter informações claras e acessíveis sobre como seus dados pessoais são manipulados. Ao oferecer múltiplas visualizações com níveis variados de detalhes, a diretriz visa fornecer uma distribuição proativa de informações, permitindo que os usuários tomem decisões informadas. Outros atributos de privacidade relacionados:
A comunicação do nível de risco de privacidade potencializa o controle, permitindo que os usuários tomem decisões autodeterminadas sobre o compartilhamento de seus dados pessoais.
Referências
[1] Carol Fung, Bahman Rashidi, and Vivian Genaro Motti (2019). Multi-View Permission Risk Notification for Smartphone System. J. Wirel. Mob. Networks Ubiquitous Comput. Dependable Appl. 10.1 (2019): 42-57. https://isyou.info/jowua/papers/jowua-v10n1-3.pdf
[2] Yuanyuan Feng, Yaxing Yao, and Norman Sadeh (2021). A Design Space for Privacy Choices: Towards Meaningful Privacy Control in the Internet of Things. In CHI Conference on Human Factors in Computing Systems (CHI ’21), May 8–13, 2021, Yokohama, Japan. ACM, New York, NY, USA, 16 pages. https://doi.org/10.1145/3411764.3445148
[3] Florian Schaub, Rebecca Balebako, Adam L Durity, and Lorrie Faith Cranor (2015). A Design Space for Effective Privacy Notices. In: Symposium on Usable Privacy and Security (SOUPS 2015). [S.l.: s.n.], p. 1–17. https://www.usenix.org/system/files/conference/soups2015/soups15-paper-schaub.pdf
[4] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288