Schutz junger Nutzer: Ein Datenschutz-Audit von Online-Diensten
Eine Analyse, wie Online-Dienste mit der Datensicherheit von Kindern umgehen.
― 5 min Lesedauer
Inhaltsverzeichnis
Online-Dienste, die sich an Kinder und Teenager richten, müssen bestimmte Gesetze einhalten, um ihre Privatsphäre zu schützen. Dazu gehören das Children's Online Privacy Protection Act (COPPA) und der California Consumer Privacy Act (CCPA). COPPA hat das Ziel, die Informationen von Kindern unter 13 Jahren zu schützen, während CCPA einige dieser Schutzmassnahmen auf Nutzer unter 16 Jahren ausweitet. Beide Gesetze verlangen von den Diensten, wie sie Persönliche Informationen sammeln und nutzen.
In dieser Arbeit schauen wir uns an, wie diese Gesetze beliebte Online-Dienste betreffen, die von Kindern und Teenagern genutzt werden. Wir haben eine Methode entwickelt, um die Datenschutzpraktiken dieser Dienste zu analysieren. Unser Ziel ist es zu sehen, wie sie mit den Daten verschiedener Altersgruppen umgehen, bevor und nachdem Nutzer ihr Alter oder ihre Zustimmung angeben.
Methoden
Unsere Prüfmethodik untersucht die Daten, die von den Diensten gesammelt werden, und wie sie diese Daten teilen. Wir haben eine Art Analyse verwendet, die verschiedene Nutzergruppen vergleicht. Diese Analyse konzentriert sich auf die Informationen, die von jungen Nutzern im Vergleich zu erwachsenen Nutzern geteilt werden, sowie auf die Daten, die gesammelt werden, wenn Nutzer abgemeldet sind, im Vergleich zu denen, die angemeldet sind.
Wir haben auch eine Methode entwickelt, um verschiedene Arten von Daten zu klassifizieren, die von diesen Diensten gesammelt werden. Diese Klassifizierung hilft, mehr Arten von Informationen zu identifizieren als die bestehenden Methoden. Mithilfe eines grossen Sprachmodells haben wir die Genauigkeit und Abdeckung der Identifizierung von Datentypen verbessert, sodass wir neue Formen von möglicherweise sensiblen Daten finden konnten.
Datensammlung
Wir haben unsere Methode bei beliebten Online-Diensten getestet, die ein breites Publikum ansprechen, einschliesslich Kinder und Teenager. Diese Dienste ermöglichen es Nutzern, Konten einzurichten und fragen während des Anmeldeprozesses nach dem Alter des Nutzers. Die Dienste, die wir untersucht haben, umfassen bekannte Apps wie Roblox, Minecraft, TikTok, YouTube, Duolingo und Quizlet.
Wir haben Daten auf drei Hauptarten gesammelt:
- Account Creation Trace: Informationen während des Kontoeinrichtungsprozesses sammeln, einschliesslich Altersangabe und Zustimmung zu Datenschutzrichtlinien.
- Logged-In Trace: Daten sammeln, während Nutzer in ihren Konten angemeldet sind.
- Logged-Out Trace: Informationen sammeln, während Nutzer nicht angemeldet sind, was passiert, bevor eine Zustimmung gegeben wird.
Für jeden dieser Spuren haben wir nach ausgehenden Datenanforderungen gesucht, um zu sehen, wie Dienste mit Nutzerinformationen basierend auf ihrem Alter umgehen.
Ergebnisse
In unserer Analyse der Netzwerkverkehrsdaten haben wir über 440.000 ausgehende Anfragen mit Tausenden von einzigartigen Datentypen gefunden, die übertragen werden. Wir haben mehrere besorgniserregende Praktiken festgestellt, wie Dienste die Daten junger Nutzer behandeln.
Datensammlung vor Zustimmung
Alle Dienste, die wir untersucht haben, sammelten persönliche Informationen, selbst wenn Nutzer abgemeldet waren. Das deutet darauf hin, dass sie Daten sammelten, bevor sie das Alter des Nutzers kannten oder eine angemessene Zustimmung einholten. Dienste sollten keine persönlichen Informationen sammeln, bis sie sich über das Alter des Nutzers im Klaren sind und die Zustimmung erhalten haben.
Mangel an Differenzierung
Wir haben festgestellt, dass viele Dienste ihre Datensammlungspraktiken nicht basierend auf dem Alter des Nutzers änderten. Die Datenverarbeitung für Kinder und Jugendliche unterschied sich nicht sonderlich von der für Erwachsene. Das ist alarmierend, da die Gesetze unterschiedliche Behandlungen basierend auf dem Alter verlangen.
Unstimmigkeiten in den Datenschutzrichtlinien
Wir haben die von uns beobachteten Datenpraktiken mit den Datenschutzrichtlinien jedes Dienstes verglichen. In vielen Fällen stimmten die tatsächlichen Praktiken zur Datensammlung und -weitergabe nicht mit dem überein, was in den Datenschutzrichtlinien beschrieben war. Diese Inkonsistenz ist besorgniserregend, da sie Nutzer und Eltern über die Verwendung ihrer Daten in die Irre führen kann.
Teilen von identifizierbaren Daten
Mehrere Dienste haben identifizierbare Nutzerdaten ohne angemessene Offenlegung an Dritte weitergegeben. Dazu gehört das Teilen persönlicher Identifikatoren und anderer sensibler Informationen, was gegen die Vorschriften von COPPA und CCPA verstösst.
Plattformunterschiede
Wir haben auch untersucht, wie Dienste Daten auf verschiedenen Plattformen (wie Mobil-Apps im Vergleich zu Websites) verwalten. Wir haben festgestellt, dass Mobil-Apps oft mehr Daten mit Drittanbieterdiensten teilen als ihre Website-Pendants. Dieser Unterschied deutet darauf hin, dass es möglicherweise an Konsistenz in der Anwendung der Datenschutzrichtlinien über verschiedene Plattformen fehlt.
Diskussion
Unsere Ergebnisse heben erhebliche Probleme bei der Verwaltung der Privatsphäre von Kindern und Jugendlichen durch Online-Dienste hervor. Die Tatsache, dass sie sensible Daten sammeln und weitergeben, ohne auf die Altersverifizierung oder Zustimmung zu warten, verstösst gegen gesetzliche Standards.
Implikationen für Dienstanbieter
Online-Dienste müssen ihre Datenpraktiken neu bewerten, um die Einhaltung von COPPA und CCPA sicherzustellen. Dazu gehört, transparent zu sein, welche Daten gesammelt werden, wie sie verwendet werden und mit wem sie geteilt werden.
Empfehlungen zur Verbesserung
Wir empfehlen, dass Dienstanbieter robustere Datenschutzrichtlinien und -praktiken implementieren, die speziell auf junge Nutzer ausgerichtet sind. Sie sollten sicherstellen, dass die Datensammlung erst nach der Einholung angemessener Zustimmung und der Verifizierung des Nutzungsalters beginnt. Verbesserte Datenschutzschulungen für Entwickler und klarere Kommunikation mit Nutzern können ebenfalls dazu beitragen, die Online-Sicherheit zu erhöhen.
Fazit
Die Privatsphäre von Kindern und Jugendlichen ist im aktuellen Zustand der Online-Dienste nicht ausreichend geschützt. Unsere Analyse hat zahlreiche Mängel bei beliebten Apps und Websites aufgedeckt, was zu potenziellen Verletzungen etablierter Datenschutzgesetze führen könnte. Dienstanbieter müssen Massnahmen ergreifen, um junge Nutzer vor Datenmissbrauch zu schützen und die Einhaltung gesetzlicher Standards sicherzustellen.
Unsere Arbeit dient als Aufruf zum Handeln für sowohl Dienstanbieter als auch Aufsichtsbehörden, die Praktiken von Online-Diensten, die sich an ein jüngeres Publikum richten, zu überprüfen. Wir sind entschlossen, unsere Prüfmethoden und Ergebnisse zur Verfügung zu stellen, um diese wichtige Diskussion über Online-Privatsphäre voranzutreiben.
Zukünftige Richtungen
Blick nach vorn, hoffen wir, unsere Prüfmethodik zu verfeinern, während sich die Technologie verändert. Verbesserte Automatisierungs- und maschinelles Lernen-Techniken könnten effizientere Wege zur Analyse von Datensammlungspraktiken bieten. Wir glauben, dass unser Rahmen auch auf andere Online-Dienste und neue Technologien anwendbar ist, sobald sie entstehen.
Indem wir verantwortungsvollere Datenpraktiken fördern, können wir eine sicherere Online-Umgebung für Kinder und Jugendliche schaffen.
Titel: DiffAudit: Auditing Privacy Practices of Online Services for Children and Adolescents
Zusammenfassung: Children's and adolescents' online data privacy are regulated by laws such as the Children's Online Privacy Protection Act (COPPA) and the California Consumer Privacy Act (CCPA). Online services that are directed towards general audiences (i.e., including children, adolescents, and adults) must comply with these laws. In this paper, first, we present DiffAudit, a platform-agnostic privacy auditing methodology for general audience services. DiffAudit performs differential analysis of network traffic data flows to compare data processing practices (i) between child, adolescent, and adult users and (ii) before and after consent is given and user age is disclosed. We also present a data type classification method that utilizes GPT-4 and our data type ontology based on COPPA and CCPA, allowing us to identify considerably more data types than prior work. Second, we apply DiffAudit to a set of popular general audience mobile and web services and observe a rich set of behaviors extracted from over 440K outgoing requests, containing 3,968 unique data types we extracted and classified. We reveal problematic data processing practices prior to consent and age disclosure, lack of differentiation between age-specific data flows, inconsistent privacy policy disclosures, and sharing of linkable data with third parties, including advertising and tracking services.
Autoren: Olivia Figueira, Rahmadi Trimananda, Athina Markopoulou, Scott Jordan
Letzte Aktualisierung: 2024-06-10 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2406.06473
Quell-PDF: https://arxiv.org/pdf/2406.06473
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.