卡耐基梅隆大学(Carnegie Mellon University)开发的一种新的自动分析系统显示,一款手机应用程序声称将向第三方收集或分享用户的个人信息,但这种做法往往与该应用程序的实际行为不符。

分析近18000流行的免费应用程序从谷歌玩商店发现近一半缺乏一个隐私政策,尽管71%的人似乎是处理个人身份信息,因此需要解释下加利福尼亚等州法律在线隐私保护法案(CalOPPA)。

即使是那些有政策的应用程序,也经常会有不一致的地方。例如,多达41%的这些应用程序可能在收集位置信息,17%可能在没有在隐私政策中声明的情况下与第三方共享这些信息。

“总的来说,每个应用程序显示出1.83个可能的不一致性,这是一个很大的数字,”CMU软件研究所的计算机科学教授Norman Sadeh说。他补充说,这种差异的数量对于隐私研究人员来说并不奇怪,“但如果你和其他人交谈,他们可能会说‘天哪!’”

Sebastian Zimmeck是一名博士后,他与Sadeh一起设计并实施了这个系统,他将于11月17日至19日在弗吉尼亚州阿灵顿举行的AAAI秋季隐私和语言技术研讨会上发表他们的发现。

一些联邦和州的法律要求移动应用程序有隐私政策,比如针对收集儿童个人身份信息的移动应用程序的《儿童在线隐私保护法》(COPPA)。然而,CalOPPA要求任何收集个人身份信息的移动应用程序都有隐私政策,无论这些应用是针对儿童还是成人。特拉华州也有类似的法律。这些州的法律实际上起到了最低的隐私门槛的作用,因为应用程序发布者通常不会销售特定于州的应用程序。

Sadeh的小组正在与加州司法部长办公室合作,使用其系统的定制版本来检查是否符合CalOPPA,并评估CalOPPA和“不跟踪”立法的有效性。

Sadeh强调:“仅仅因为自动化系统发现应用程序中可能存在隐私要求不一致的情况,并不意味着一定存在问题。”

这是可能的,当系统寻找隐私政策未能找到,因为系统目前看着app store,公司的网站以及扫描应用程序的代码。也有可能当分析应用程序的源代码可能做出错误的假设如何处理个人信息的代码。

Sadeh说:“这就是为什么在采取任何强制或纠正措施之前,需要由人来验证自动化系统的发现。”

然而,大大超过一百万个应用程序已经在谷歌玩和数量与日俱增,这样一个系统可以帮助开发人员发现问题与他们的应用程序之前销售和可以帮助发现违反法律对监管者和隐私维权人士一个更易于管理的任务。

该自动系统使用自然语言处理和机器学习来分析隐私政策的文本。然后检查该应用程序的计算机代码,看看它的行为是否表明它分享了个人信息,因此应该有一个隐私政策。它还会检查app的数据收集和共享行为是否符合现有的隐私政策。

这种方法比任何人工检查都要快得多。例如,两年前,由26个国际隐私执法机构共同努力,在一周时间内对1200个应用程序进行了审查。相比之下,卡耐基梅隆大学(Carnegie Mellon)的系统可以在31小时左右(每个应用程序大约6秒)内查看近18000个应用程序。

“只要有几个服务器,我们就能每月扫描谷歌游戏商店里所有的免费应用程序,”Sadeh说。

然而,系统地审查那些被自动化系统标记的应用程序仍然需要大量人力。相反,该系统可以用来给应用程序打分,帮助监管机构关注那些看起来最糟糕的应用程序。这可能会导致向开发人员发送信件或电子邮件要求澄清。

Sadeh说:“有些差异是意料之中的,因为并不是所有的开发者都精于隐私保护。”

例如,一个常见的错误是创建一个使用谷歌地图的应用程序,但在相关的隐私政策中没有提到位置信息的处理。

“无论何时你使用谷歌地图,”他指出,“你都在有效地与谷歌共享个人信息。”