在不知道PII有风险的情况下不要同意隐私政策

专家和用户都明白在安装软件之前阅读隐私政策的重要性。然而,在点击“accept”按钮之前阅读策略的人并不多,这是可以理解的。

早在2012年,两位隐私专家——阿莱西亚·m·麦克唐纳博士(Dr. Aleecia M. McDonald)和洛里·费斯·克兰诺博士(Dr. Lorrie Faith Cranor,见TechRepublic的这篇文章)就曾试图确定,如果阅读所有的在线隐私政策,成本会是多少。每年的总额超过7800亿美元。更重要的是,那些有足够勇气尝试阅读隐私政策的人很快就会明白,理解法律术语是徒劳的,除非他们碰巧是律师。

除了感觉焦虑和阅读隐私政策的货币损失,同意隐私政策,特别是与安全软件相关的政策旨在防止漏出的专有信息,不了解政策的内容可能会给安全软件的开发者许可漏出个人身份信息(PII)它应该保护。

参见:信息安全政策(Tech Pro Research)

为了保护敏感的用户数据,安全软件通常需要对被保护的数据进行广泛的访问。独立IT安全测试公司AV-TEST的通信主管奥拉夫•波尔谢(Olaf Pursche)在这份白皮书中写道:

AV-TEST的用户遇到过他们觉得滥用用户信仰的例子。AV-TEST的IT安全专家Anett Hoppe对26个安全平台进行了测试,重点关注了安全软件的访问控制。特别是:

Hoppe和她在AV-TEST的同事得出了以下结论。Pursche指出,“我们只评估了24项隐私政策,因为其中两项安全措施根本不包括任何政策——既不在制造商的网站上,也不在程序安装期间。”

假设比需要更多的访问权限:“在几乎每一个隐私政策审查中,制造商都假定了大量的数据访问权限,而这些数据本不应该是使用安全软件应用程序所必需的,”Pursche写道。为了公平起见,Pursche补充说,根据制造商的声明,它们(额外的访问权)服务于产品优化的目的。

收集的数据比要求的要多:av测试白皮书建议研究的隐私政策允许安全软件开发人员收集个人数据,包括姓名、电子邮件地址和付款细节。然而,相同的制造商收集额外的PII(包括电话号码),Pursche认为这些PII对于安全包的有效运行不是必需的,但是对于向用户介绍额外的产品是有用的。

收集用户生物特征数据:Pursche和AV-TEST的其他人不知道的原因,安全软件公司收集数字指纹和其他物理属性。Pursche补充道,“关于用户性别、职业、种族和性取向的信息是如何被用来帮助追踪恶意软件的,这可能很难解释。”

Hoppe在她的研究中发现,一些已安装的安全包需要访问以下应用程序和软件来跟踪用户活动:

收集用户统计数据:24项隐私政策中有10项允许安全程序的开发人员收集“用户统计数据”。那么问题就变成了“用户统计”这个术语指的是什么数据?“然而,在这里收集哪些数据并没有明确的定义,比如它是否涉及安全程序本身的使用、设备的使用,或者收集完全不同的数据,”Pursche写道。“在这个领域,以及在其他许多方面,所有制造商的隐私政策规范都非常模糊。”

现在是2016年,我们不知道谁有我们的个人数据(ZDNet)

Hoppe建议用户在注册和配置产品时,要考虑到数据保护问题,而不是安全程序提供商创建简单的隐私策略。“这从用户安装过程中的个人信息开始——通常情况下,注册表上的所有字段都不是必需的,只是出于习惯才填写的,”Hoppe继续说。此外,用户至少应该快速阅读隐私政策。只有了解这些术语,用户才能确定地址簿或私人照片是否真的应该上传到制造商的服务器上。”

栏目推荐