《个人信息保护法》实施一周年之际,CCIA数据安全工作委员会发起《个保法》实施“大家谈”专题工作,通过委员会内及推荐专家征文等形式,畅谈对《个保法》实施的观点,鼓励委员单位以汇总案例、解读条款、分享经验、提出建议等方式,各抒己见,为推进《个保法》进一步深入实施贡献力量。
(本文基于发表于信息安全顶级会议USENIX Security 2022的论文How Are Your Zombie Accounts? Understanding Users’ Practices and Expectations on Mobile App Account Deletion整理)
2021年11月正式实施的《个人信息保护法》中明确规定了数据主体享有个人信息删除权,与GDPR中的被遗忘权类似,赋予用户删除其个人信息的合法权力。其中账号注销作为删除权的一种行使方式,也一直备受关注。日前,南开大学网络空间安全学院的研究人员聚焦移动App账号注销,调研了目前中国和美国用户对于账号注销功能的认识和实践现状,并结合用户期待为账号注销设计提出了若干改进建议。论文内容简介如下:
一、背景介绍
生活中,很多用户会忘记注销那些再也不用的App账号,导致僵尸账号激增,从而带来严重的信息安全和隐私后果。例如一些火爆一时却热度不再的网络平台(如Myspace和Google+),虽然用户可能不再使用甚至完全遗忘,但这些僵尸账号仍会将用户个人信息长期保存,增加个人信息泄露(如被黑客拖库)和被非法贩卖的风险。此外,注销的流程缺乏标准的实践准则,部分手机App甚至找不到注销选项。2021年,苹果公司要求从 2022 年 6 月 30 日开始,App Store 中所有允许用户创建新账号的App都必须提供一种让用户删除账号的方式。更令人担忧的是,近期不法分子甚至利用用户对账号注销的不理解进行诈骗,打着“注销网贷账号”、“影响征信”的名号恐吓大学毕业青年人群,造成直接经济损失。
本工作首次对移动App的账号注销方式进行了系统评估,试图了解用户对移动应用账号注销的认识和实践。具体而言,本工作首先对60款热门App进行测试,通过模拟真实的账号注销过程,提出了移动应用程序账号注销的全视图模型;基于此模型,对两个国家的647名参与者(美国279个,中国368个)进行了在线调查,并对20名参与者进行了现场采访,以探讨当前用户对账号注销的意识、做法和期望。(注:下文中提到的“账号删除”和“账号注销”含义一致。)
二、App注销的实现状况
基于对60款国内外热门App的评估,账号注销过程主要包含四个要素:注销操作、注销条件、注销效果和注销时间,如下图所示。
1.注销操作
注销操作包括找到账号注销入口和完成注销两个步骤。据实验统计,仅有56.6%的App将注销入口设计在用户相对容易找到的“账号设置”或“设置”页面下;16.6%的App账号注销入口位于常见问题解答或帮助中心,需要用户按照指南逐步获得账号删除选项;18%的App不支持App内用户自助账号。完成注销步骤主要包含:通知(65%,34/52)、身份验证(42%,22/52)和原因收集(31%,16/52)。平均而言,App需要用户点击6.14次才能完成此过程,其中4.01次点击是为了找到账号注销选项。
2.注销条件
注销条件由App厂商设置,用于验证账号是否处于可以删除的状态,大多数写在隐私政策或帮助中心中。测试中8%的应用程序需要用户在删除账号之前进行一些预处理。例如,微博要求用户在注销账号前首先解除与支付宝账号的绑定。
3.注销效果
账号删除的效果主要是指要处理的数据类型和处理方法(包括删除和匿名化)。测试的60个app中,仅34个在相关注销说明中声明了要删除的数据类型;其中,账号信息被提及最多(27/34),只有11个应用明确表明将删除电子邮件和电话号码等个人信息。除了删除,在测试的应用程序中,58%(30/52)提到将使用匿名技术来处理用户的相关信息。
4.注销时间
注销时间是指从厂商响应用户的删除请求到完成数据删除过程所需的时间。法律对此中缺乏明确的规范和要求,例如,GDPR指出“企业必须在45个工作日内响应您的请求”,但未指定厂商完成删除的预期时间范围。测试中仅有22个的应用程序告知了用户注销时间,时间从“立刻”到“一年”不等(平均14.75天)。
三、用户态度
基于对App的实证测试结果,我们涉及了问卷和访谈调研了用户对于账号注销概念的理解、实践以及期待。实验中收集647分有效问卷结果和20组访谈记录,调研结果将依次回答以下三个研究问题:
1、必要性和意识:账号删除在人们的日常生活中是否有必要,用户是否意识到可以通过账号删除来保护数据?
在我们的在线调查中,大多数参与者表示愿意采取行动保护他们的个人数据(89%),并且不希望在停止使用某app后,应用厂商继续使用这些收集的用户数据(95%)。然而,我们发现相当一部分参与者(75%)保留了那些确认不会再次使用的app账号,这表明用户存在账号注销的使用场景和需求,但用户的做法与其对数据保护的愿望相矛盾。35/647的用户表明曾经或正在经历因没有及时注销账号带来的困扰,包括无意间“继承”别人的账号、不断的广告推销等。
2、实践与理解:有多少用户进行过账号注销,他们如何理解账号注销这个功能?
在线调查显示,超过一半的参与者(55%)有成功删除账号的经验(美国66%略高于中国的46%);大约三分之一的参与者由于缺乏账号删除意识从未尝试删除账号。值得注意的是,账号删除操作的不友好设计阻止了相当数量的参与者进行账号删除(15%)。此外,我们发现有账号删除经验的参与者更倾向于阅读账号删除相关说明,但大多数人通常不理解或不相信账号删除的真正效果。
3、感受和期望:现有的移动应用程序中的账号删除设计是否符合用户的期望?
根据在线调查和线下访谈结果,大多数参与者(70%)表示他们在删除账号的过程中感到不便,尤其是难以找到的入口点和复杂的操作步骤。实验中用户平均需要13.04次点击才能找到注销入口(而厂商的设计为4.01次)。他们认为现有的账号删除设计不能满足他们的期望,其中简化删除操作的呼声最高。
四、改进建议
1.提高用户意识
我们的研究表明尽管用户不愿意让厂商继续使用他们遗留的僵尸账号中的个人数据,账号注销这个功能其实并没有被高效的使用。因此,媒体应加强宣传,账号注销是实施删除权和保护个人数据的重要方式。除了宣传,应用程序和系统设计师还可以添加弹出式通知,提醒用户行使他们的删除权。例如,当用户尝试卸载app时,移动终端系统可以设计一种善意的账号删除提醒机制。另外,账号自动回收功能可能是解决僵尸账号问题的另一种有用方法。不过,根据问卷结果,部分用户反对账号自动回收,他们希望厂商能够提醒他们删除账号,但在没有用户明确许可的情况下不要删除账号。
2.简化账号删除操作
账号删除操作的简单设计可能会鼓励用户更好地行使删除权。三次点击即可到达的统一点击路径设置会很有帮助,例如,“设置->账号安全->账号注销”。另一方面,由于账号删除是一项安全敏感的功能,因此操作设计应兼顾可用性和安全性。
3.提高注销效果的透明度
我们的结果显示,超过一半的用户没有正确理解删除账号的效果。一个可能的原因是不同应用程序的删除说明不明确且不统一。例如,微信的隐私政策描述“在合理期限内删除或匿名您的个人信息”,具体要删除的数据、要匿名的数据和期限都没有明确说明。此外,我们的调查和其他研究表明,用户很少阅读和理解整个隐私政策。因此,厂商不仅应该提供标准和详细的账号删除说明,还需要一个用户友好的界面来显示。向用户发送一封电子邮件或其他通知来具体说明厂商对用户数据所进行的处理,可以帮助用户更好地理解账号删除。
4.用户自定义的删除设置
研究结果显示,不同的参与者可能对账号删除有不同的期望,例如删除是否应立即生效,账号申请删除后是否可继续使用,账号删除申请是否可以撤回等。因此,应用程序供应商应该更好地为用户提供选择的灵活性,以满足更多用户的期望,而不是采取自己的各种实施方式,并使流程复杂化以留住消费者。此外,我们发现用户期望更全面的功能,包括删除完成后收到通知、本地备份账号数据、仅用户可撤回的账号删除等。
5.增强用户的信心
在调研过程中我们发现参与者对账号数据是否会被厂商真正删除表示怀疑。根据当前的商业技术架构,很难从用户客户端验证删除效果,因此我们认为这种担心是合理的。在实验中,研究人员也确认发生了账号删除后个人信息仍然被利用的情况:在测试过程开始时使用了一部新的智能手机和一个新的手机号码,但当实验结束即所有的应用程序账号都已被删除后,研究人员依旧会继续接收来自测试App发送的推广信息和电话。除了政府的严格监督之外,可信执行环境、远程认证和隐私计算等先进的技术落地将有助于更可信地管理数据和提高用户信心,尤其是让用户通过技术机制来确保数据被删除。
投稿人简介:南开大学网络空间安全学院助理研究员 贾岩,主要研究方向包括物联网安全与隐私、漏洞挖掘、应用安全、用户侧安全等。
个人主页:
https://cyber.nankai.edu.cn/2021/0323/c13840a490663/page.htm
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。