L1E6N0A2

监督自己不断学习

0%

论文积累(隐私)

发表于 更新于
本文字数: 5.1k 阅读时长 ≈ 5 分钟

原文作者:Adam Barth. Anupam Datta. John C. Mitchell. Helen Nissenbaum

原文标题:Privacy and contextual integrity: Framework and applications

原文来源: IEEE Symposium on Security and Privacy, May 2006

摘要

该论文在一个表达和推理个人信息传输规范的逻辑框架中形式化了一些上下文完整性的方面。规范可以是积极的,也可以是消极的,这取决于它们指的是允许或不允许的行为。模型具有足够的表现力,可以很自然地捕捉到立法中发现的许多隐私概念,包括那些在HIPAA、COPPA和GLBA中发现的隐私概念。

构建一个可以描述法律中隐私概念的模型

首次提出contextual integrity是2004年发表的《PRIVACY AS CONTEXTUAL INTEGRITY》,文章表明上下文完整性是隐私的适当基准。该论文的目标是将来自上下文完整性的概念正式化,以便隐私指导方针、政策和期望能够被信息处理系统精确地阐明、比较和执行。

概述

语境完整性是从个人信息传递的角度对隐私的一种哲学解释。它并不是为了完整定义,而是隐私评估代理之间的信息流动(个人和其他实体)。

定义语境完整性的关键:信息规范(informational norms)、适当性(appropriateness)、角色(roles)和传递原则( principles of transmission)。

为了理解隐私,个人信息从一方到另一方的传输(或交流)的规范,称为“informational norms”。信息规范与信息类型有很大的关系。我们建议用”appropriateness“这个术语来表明所讨论的信息类型是否符合相关的”信息规范”。语义完整性中三个相关的实体(角色roles)包括:信息流从谁那里来,信息流向谁,以及信息是关于谁的。传递原则是信息规范规定的规范实体间信息流动的具体约束。其中一项原则是保密,即禁止接收信息的特工在未来与其他人分享信息。此外还有互惠性(确定信息流是双向的)和“甜点”(它决定实体是否应该知道或了解对象Another is dessert, determining that an agent deserves to know or learn something about the subject)传输原理的变化可能是无穷无尽的。

对于transmission principle的理解:conditions under which information may be transferred or collected(在什么条件或限制下,when and why and how)

“We also receive information about your online and offline actions and purchases from thirdparty data providers who have the rights to provide us with your information.”

CI模型介绍

我们的模型由通信代理(agent)组成,它们在上下文中扮演各种角色,并相互发送包含其他代理属性的消息。单个代理的知识发展依赖于它们接收到的消息和计算规则,这些规则使代理能够推断出进一步的属性。

Agents,Attributes,Message

Let P be a set of agents(比如Alice、Bob), and let T be a set of attributes(比如地址和身高).

(p, q, t) :agent p knows the value of attribute t of agent q.(p知道q的t属性值)

我们的计算规则为可能的推论提供一个抽象的表述,使agent能从“邮政地址”计算出“邮政编码”。

(T,t):if Alice knows the value of each attribute in T for Bob, then Alice can compute the value of attribute t for Bob.(如果知道了T属性,就可以知道t属性)

(p1,p2,m):agent p1 is the sender, agent p2 is the recipient, and m is the message being sent.

  • Data Model:

frist

  • Communication Model:

second

Roles, Contexts, and Traces

Let R be a set of roles and C be a partition of R.For example, “teller” is a role in a banking context and “doctor” is a role in a health care context.

The roles are structured by a partial order <R. (角色之间有大小包含关系)
If r1 <R r2, then r1 is a specialization of role r2 and, symmetrically, r2 is a generalization of r1.(例如,精神病医生<R 医生)

agent可以同时处于多个角色的活动状态。角色状态可以从一种状态自由地转换到另一种状态。

(p, r) :we say agent p is active in, or plays, role r.(p是r角色)

Temporal Logic(时序逻辑)

时序运算符用于捕捉传输原理。例如,如果Alice在保密原则下告诉Bob自己的年龄,那么在未来,Bob就不能透露Alice的年龄。

Norms of Transmission

每个规范要么是正的(positive),要么是负的(negative)

例如,假设有一项规范否认公开邮政编码。如果一个agent试图发送包含邮政地址的消息,该消息一定还包含了邮政编码,公式将禁止披露。

原文作者:Shaanan Cohney, Ross Teixeira… Yan Shvartzshnaider, Madelyn Sanfilippo

原文标题:Virtual Classrooms and Real Harms

原文来源: SOUPS 2021

这篇文章以疫情期间的网课平台为切入点,利用CI模型提取参数,中间有一部分是对隐私政策的分析(3.3)得到下面一个分析结果。

![third](F:\Blog\blog\source\_posts\论文积累(隐私)\third.png)

如果我们也缩小面积,比如最近滴滴打车在风口,然后我们以交通出行类app为范围做分析

原文作者:Yan Shvartzshnaider, Noah Apthorpe,Nick Feamster,Helen Nissenbaum

原文标题:Going against the (Appropriate) Flow: A Contextual Integrity Approach to Privacy Policy Analysis

原文来源: AAAI, 2019

摘要

文章提出了一种使用上下文完整性框架分析隐私策略的方法。这种方法允许系统化地检测隐私政策声明中妨碍读者理解和评估公司数据收集实践的问题。这些问题包括缺少上下文细节,语言模糊,以及对所描述的信息传递的大量可能的解释。

首先,比较了剑桥分析公司(Cambridge Analytica)丑闻发生前后Facebook的隐私政策版本。我们的分析表明,更新后的政策仍然存在根本性的模糊性,限制了读者对Facebook数据收集做法的理解。

其次,通过141名众包工作者,成功将17家公司的48条隐私政策节选的CI注释众包。这表明,普通用户能够可靠地识别隐私政策声明中的上下文信息,众包可以帮助我们的CI分析方法扩展到更多的隐私政策声明。

Introduction

论文使用CI模型,检测干扰读者理解隐私策略中描述的信息收集实践能力的特定类型的歧义。主要是识别并注释隐私策略中描述的信息流的上下文参数,识别出信息流不完整、参数膨胀和模糊的阻碍阅读的语句。基于一组一致的CI参数分析隐私策略还允许在策略版本之间以及不同公司的许多策略之间进行无缝和严格的比较。(有了模型之后不仅可以描述隐私政策,对其进行分析,还可以在不同的隐私政策之间进行对比)

CI模型的应用

我们可以在隐私策略文本中使用带注释的信息流和参数进行各种分析,包括但不限于以下内容。

  • 比较不同版本的隐私政策(get an aggregated view across different privacy policies)

  • 识别不完整的信息流:识别未指定信息流的隐私声明可以揭示隐私策略中有问题的部分。

  • 诊断模糊语句:那些用户难以理解的信息流

  • 识别CI参数膨胀:当单个信息流包含两个或多个相同类型的语义不同的CI参数时,就会出现CI参数膨胀

    ![fourth](F:\Blog\blog\source\_posts\论文积累(隐私)\fourth.png)

将所有信息流限制为5元组的形式看上去是使得可读性变差,但是这样可以提高机器可解释性,并允许用户界面通过自动解析、过滤和分类隐私策略声明,为“不同的受众提供不同的通知。

总结

文章提出了一种基于上下文完整性理论的隐私政策分析方法,用于检测隐私政策使读者难以评估所描述的实践是否尊重或违反隐私规范的特定方式。

我们在两个场景中演示了该方法的效用:

  • Facebook的隐私政策在剑桥事件之前和之后差别。

    分析表明,更新后的政策描述流动比之前的版本的更多信息,但更新没有改善的百分比流包含模糊的语言,省略参数,或者通过包含几个相同类型的参数来允许许多可能的解释。

  • 非专业用户可以帮助扩展CI分析方法。

    成功地众包来自17家公司的48项隐私政策节选的注释。

原文作者:Ashwini Rao, Florian Schaub, Norman Sadeh, Alessandro Acquisti, Ruogu Kang

原文标题:Expecting the Unexpected: Understanding Mismatched Privacy Expectations Online

原文来源:SOUPS,2016

摘要

由于用户不阅读隐私政策,他们对在线服务数据实践的期望可能与服务的实际数据实践不匹配。不匹配可能会导致用户暴露在意想不到的隐私风险中,例如在不知情的情况下与在线服务共享个人信息。
减轻隐私风险的一种方法是在隐私政策之外,提供简化的隐私通知,强调意外的数据实践。然而,识别用户期望和服务实践之间的不匹配是一项挑战。论文提出并验证了一种研究web用户隐私期望和识别与隐私政策中规定的实践不匹配的实用方法。我们对240名参与者和16个网站进行了一项用户研究,确定了在收集、共享和删除数据方面的不匹配。我们将讨论我们的结果对设计可用的隐私通知、服务提供商以及公共政策的影响。

Introduction

对信息流动的期望可能因社会背景和信息类型而异。

  • 信息类型:在银行网站上收集金融信息可能比收集健康信息更受期待。

  • 社会背景:隐私期望进一步受到个人的个人、社会和文化背景,以及对社会角色的期望和其他界定隐私领域的边界的影响。

    例如,根据他们的技术知识,一些用户可能期望他们访问的网站可以根据他们的IP地址推断出他们的大致位置。对另一些人来说,对它们位置的推断可能完全出乎意料。

主要贡献:

  • 提出了一种实用的方法来确定用户的期望和服务的数据实践之间的不匹配。

    将用户的期望与从带有手动注释的网站隐私政策中提取的网站数据实践进行了比较。

  • 制定了关于哪些数据实践可能是不期待的,这些数据应该在隐私通知中进行强调。

Method

目标是识别用户关于网站数据实践的隐私期望与网站在其隐私政策中披露的实践之间的不匹配。

隐私期望:用户认为一个网站“将”做什么或正在做什么,而不是他们更期待这个网站“应该”做什么

user study

16个网站(以网页类型((health,finance, dictionary))和知名度高低作为自变量),240个参加者。我们设计了一份问卷来衡量用户对8个收集数据实践(4种信息类型收集或没有帐户),8个共享数据实践(为核心或其他目的共享的4种信息类型)和一个删除数据实践的期望

  • 收集

    • 没有登录/没有账户之前,会收集哪些信息
    • 登录/有账户后,会收集哪些信息

  • 共享

    • 仅为了提供用户请求的服务收集什么信息(核心目的)

    • 与提供用户请求的服务无关的目的收集什么信息(其他目的,例如广告)

  • 删除

    • 参与者是否希望网站允许用户删除全部、部分或全部数据。

  • 四类信息

    • 联系信息(邮箱,邮编)
    • 财务信息(银行卡号,信用卡信息,消息记录)
    • 健康信息(保险信息,用药信息)
    • 位置信息(从哪里访问的网页)

结果

six

强调意想不到的做法可以减轻用户的负担,促进更知情的隐私决策