GD19 - Comunique o risco para a privacidade com indicadores de privacidade codificados por cores
Resumo do Problema
Para que os usuários tomem decisões informadas sobre privacidade, as informações devem ser fornecidas de uma forma facilmente compreensível, com comunicação visual das propriedades de privacidade, feedback direto e aproveitamento de conceitos familiares para que os usuários possam alinhar seu comportamento com suas preocupações.
Racional
O entendimento é que fornecer indicadores visuais de nível de risco à privacidade que sejam informativos, simples e fáceis de entender no contexto da tomada de decisões (divulgação de informações, concessão de permissões de aplicativos, etc.) pode ajudar o usuário a tomar decisões informadas sobre privacidade.
Solução
Um indicador de privacidade codificado por cores que resume o nível de risco para a privacidade. Tal código de cores é escolhido como verde (baixo risco), amarelo (risco médio) e vermelho (alto risco) [1][2][4][5][6] ou uma gradação de verde escuro a verde claro, amarelo e laranja a vermelho [3]. A intenção é aproveitar, por exemplo, a metáfora dos semáforos, que é familiar aos usuários.
O indicador de privacidade codificado por cores utilizado por esta diretriz assume que há um cálculo ou avaliação de risco de privacidade subjacente a ele. No entanto, não existe uma solução universal e os trabalhos referenciados por esta diretriz [1-6] adotaram diferentes abordagens, incluindo considerar o contexto [2][3][4][6] ou construir protótipos com indicadores codificados por cores predefinidos, para avaliar as percepções dos usuários sobre o risco de privacidade [3].
Paturi, Kelley e Mazumdar [1] introduziram três categorias de privacidade que eles chamaram de 'grânulos de privacidade' (privacy granules): a localização, a identidade e as pesquisas do usuário. Para representar ameaças a esses grânulos de privacidade, eles usaram as cores vermelho (perigo), verde (segurança) e amarelo (incerto).
Tucker, Tucker e Zheng [2] criaram uma lista de ameaças à privacidade e vincularam as permissões solicitadas pelo Facebook a essas categorias, atribuindo a cada uma um valor de risco. Bal [4] usou a expertise dos pesquisadores para avaliar vários fatores relacionados à privacidade, avaliou o potencial dos aplicativos para extrair informações privadas específicas e agregou essas avaliações para atribuir uma classificação geral de privacidade a cada aplicativo. Kumar et al. [5] projetaram um modelo probabilístico dinâmico baseado na Integridade Contextual e o risco de privacidade é calculado como uma combinação de risco de privacidade instantâneo, risco de privacidade longitudinal e risco de privacidade entre plataformas. Jackson e Wang [6] calcularam o risco de privacidade considerando solicitações de permissão e preocupações de privacidade dos usuários coletadas usando o Mobile Users' Information Privacy Concerns (MUIPC). Ou seja, é necessário um mecanismo para servir de base para a codificação por cores - base de conhecimento, avaliação de especialistas, modelos matemáticos, crowdsourcing e assim por diante.
Como a compreensão dos usuários sobre o significado transmitido pelos ícones é primordial, e não há um conjunto universalmente aceito de ícones de privacidade, dois trabalhos selecionaram os ícones que utilizaram por meio de um estudo de validação com usuários [3][6]. Bock e Momen [3] reconheceram o favoritismo pela barra de etiquetas com descrições escritas. Eles afirmam que "também pode ser considerado amigável para acromatopsia". As barras de etiquetas avaliadas são semelhantes ao componente de pílulas do Bootstrap. Os autores optaram por uma escala ímpar (5) em vez de três para ter uma gradação de risco de 'muito baixo' a 'muito alto', em vez de risco 'baixo, médio e alto'. A decisão sobre o número de graduações da escala dependerá do caso de uso. Exemplo usando Bootstrap:
baixo médio alto
muito baixo baixo médio alto muito alto
Plataformas: computadores pessoais, dispositivos móveis
Diretrizes relacionadas: Aumente a conscientização sobre privacidade comunicando riscos de privacidade, Promova a conscientização do usuário e a tomada de decisão sobre solicitações de permissão/autorização
Exemplo
![Interface de Discrepância de Privacidade <a href="#section6">[6]</a>, Interface Privacy Pal <a href="#section2">[2]</a> e Interface de Grânulos de Privacidade <a href="#section1">[1]</a>](/upcguidelines/media/uploads/guideline_images/thumbnails/uploads/guideline_images/discrepancy-privacypal-priv_IJY986A.jpg)
A interface de discrepância de privacidade (à esquerda) destaca a discrepância entre as preocupações de privacidade do usuário e o risco da solicitação de permissão de cada aplicativo [6]. A interface do Privacy Pal (canto superior direito) ajuda os usuários a visualizar os riscos de privacidade e segurança associados à concessão de permissões a aplicativos de terceiros [2]. No canto inferior direito, interfaces resumidas para grânulos de privacidade [1]. (Ver em tamanho maior)
![Interface de Discrepância de Privacidade <a href="#section6">[6]</a>, Interface Privacy Pal <a href="#section2">[2]</a> e Interface de Grânulos de Privacidade <a href="#section1">[1]</a>](/upcguidelines/media/uploads/guideline_images/discrepancy-privacypal-privacygranules.png)
Casos de uso
- Estimular o comportamento do usuário em contextos onde os usuários precisam de orientação ou lembretes para considerar suas preferências de privacidade.
- Descoberta/download/instalação/atualização/interfaces de detalhes de aplicativos.
- Qualquer interface de requisição de permissões ou autorização.
Vantagens
- Aproveita esquemas codificados por cores familiares aos usuários e pode promover melhor alinhamento dos comportamentos de privacidade do usuário com suas preocupações. Ele também fornece feedback direto para que os usuários possam modificar as permissões para corresponder aos seus níveis de preocupação com a privacidade [6].
Atributo(s) de Privacidade
A transparência [7] é o principal atributo da privacidade, uma vez que este mecanismo envolve a distribuição proativa de informações aos usuários, promovendo a comunicação visualmente acessível do nível de risco para a privacidade e ajudando os usuários a tomarem decisões informadas sobre sua privacidade.
Outros atributos de privacidade relacionados:
Controle
A comunicação do nível de risco à privacidade potencializa o controle, permitindo que os usuários tomem decisões autodeterminadas sobre o compartilhamento de seus dados pessoais.
Referências
[1] Anand Paturi, Patrick Gage Kelley, and Subhasish Mazumdar. Introducing privacy threats from ad libraries to android users through privacy granules. Proceedings of NDSS Workshop on Usable Security (USEC’15). Internet Society. Vol. 1. No. 2. 2015. http://dx.doi.org/10.14722/usec.2015.23008
[2] Rachel Tucker, Carl Tucker and Jun Zheng. Privacy Pal: Improving Permission Safety Awareness of Third Party Applications in Online Social Networks. In: IEEE. 2015 IEEE 17th International Conference on High Performance Computing and Communications, 2015 IEEE 7th International Symposium on Cyberspace Safety and Security, and 2015 IEEE 12th International Conference on Embedded Software and Systems. [S.l.], 2015. p. 1268–1273. https://doi.org/10.1109/HPCC-CSS-ICESS.2015.83
[3] Sven Bock and Nurul Momen (2020). Nudging the user with privacy indicator: a study on the app selection behavior of the user. In: Proceedings of the 11th Nordic Conference on Human-Computer Interaction: Shaping Experiences, Shaping Society. [S.l.: s.n.], 2020. p. 1–12. https://doi.org/10.1145/3419249.3420111
[4] Gökhan Bal (2014). Designing privacy indicators for smartphone app markets: A new perspective on the nature of privacy risks of apps. In: Proceedings of the 20th Americas Conference on Information Systems, AMCIS 2014. [S.l.: s.n.], 2014. https://aisel.aisnet.org/amcis2014/MobileComputing/GeneralPresentations/6
[5] Abhishek Kumar, Tristan Braud, Young D. Kwon, and Pan Hui (2020). Aquilis: Using contextual integrity for privacy protection on mobile devices. Proceedings of the ACM on Interactive, Mobile, Wearable and Ubiquitous Technologies, ACM New York, NY, USA, v. 4, n. 4, p. 1–28, 2020. https://doi.org/10.1145/3432205
[6] Corey Brian Jackson and Yang Wang. Addressing the privacy paradox through personalized privacy notifications. Proceedings of the ACM on interactive, mobile, wearable and ubiquitous technologies, ACM New York, NY, USA, v. 2, n. 2, p. 1–25, 2018. https://doi.org/10.1145/3214271
[7] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288