Bewertung der Datenschutzabschnitte von Google: Einblicke der Entwickler
Diese Studie analysiert die Erfahrungen von Entwicklern mit Googles Daten-Sicherheitsabschnitten.
― 6 min Lesedauer
Inhaltsverzeichnis
Google hat ein System namens Data Safety Sections (DSS) für App-Entwickler eingeführt, damit sie klare Infos darüber geben, wie sie Daten sammeln und nutzen. Das soll den Nutzern helfen zu verstehen, was mit ihren persönlichen Informationen passiert. Unsere Studie schaut genau hin, wie effektiv dieses System ist, besonders aus der Sicht der Entwickler und ihren Erfahrungen beim Ausfüllen dieser Abschnitte.
Zweck der Studie
Die Hauptziele dieser Studie beinhalten die Analyse, wie Entwickler ihre Datenpraktiken melden, das Beobachten, wie sich diese Berichte im Laufe der Zeit ändern, und das Identifizieren der Herausforderungen, denen Entwickler beim Ausfüllen der DSS-Formulare gegenüberstehen. Wir wollen das Verhältnis zwischen den gemeldeten Praktiken und der tatsächlichen Datennutzung in Apps aufzeigen.
Methodik
Um ein klares Verständnis von den DSS zu bekommen, haben wir eine grosse Anzahl an Apps aus dem Google Play Store untersucht. Wir haben 2 Millionen Apps angeschaut und deren Datenberichte über fast ein Jahr verfolgt. Wir haben Infos über die Anzahl der Apps gesammelt, die DSS hatten, und die Angaben der Entwickler zu ihren Datenpraktiken analysiert.
Datenbeschaffungsprozess
Wir haben Daten durch eine Reihe von Snapshots, die über bestimmte Zeitintervalle gemacht wurden, gesammelt. So konnten wir sehen, wie viele Apps DSS hatten, wie viele ihre Praktiken geändert haben und wie oft Entwickler ihre Einreichungen aktualisiert haben.
Ergebnisse
Vorhandensein von Data Safety Sections
Stand Mai 2023 hatten nur etwa 46,8% der Apps im Google Play Store ihre DSS ausgefüllt. Das zeigt, dass viele Entwickler entweder nicht über die Anforderungen informiert waren oder sich entschieden haben, den Abschnitt nicht auszufüllen. Unter den Apps, die DSS hatten, haben wir verschiedene Muster darüber gefunden, wie die Datenpraktiken gemeldet wurden.
Inkonsistenzen bei der Berichterstattung
Unsere Analyse hat gezeigt, dass viele Entwickler ihre Datenpraktiken inkonsistent berichteten. Einige Apps behaupteten, keine Daten zu teilen, obwohl sie Drittanbieter-Bibliotheken nutzten, die oft Daten sammeln. Das führt zu Verwirrung bei den Nutzern, die sich auf diese Berichte für ihre Datenschutzentscheidungen verlassen.
Unterberichterstattung und Überberichterstattung
Wir fanden Fälle, in denen Entwickler ihre Datenweitergabe-Praktiken unterreporteten. Zum Beispiel wurden viele Apps, die Werbebibliotheken nutzen, als nicht datenweitergebend gemeldet. Auf der anderen Seite überreportierten einige Entwickler ihre Praktiken. Das geschah, als sie mehrere Zwecke für die Datensammlung auswählten, nur um sicherzustellen, dass sie konform waren, selbst wenn diese Zwecke nicht zutrafen.
Veränderungen über die Zeit
Viele Entwickler aktualisierten ihre DSS nach der ersten Einreichung weiter. Fast 40% der Apps aktualisierten ihre DSS mindestens einmal während der Studienzeit. Einige Apps gingen von der Angabe, dass sie keine Daten sammeln, zu dem Bericht über, dass sie das doch tun, während andere das Gegenteil taten. Diese Änderungen zeigen, dass viele Entwickler noch herausfinden, wie sie die Anforderungen erfüllen und ihre Praktiken genau darstellen können.
Perspektiven der Entwickler
Um die Erfahrungen der Entwickler besser zu verstehen, haben wir über 3.500 von ihnen kontaktiert. Sie teilten ihre Gedanken zu den Herausforderungen, die sie beim Ausfüllen der DSS-Formulare hatten.
Herausforderungen der Entwickler
Mangel an Informationen: Viele Entwickler waren unsicher über die Datenpraktiken der Drittanbieter-Bibliotheken, die sie verwendeten. Sie fanden es schwierig, ihre Datenpraktiken genau zu berichten.
Komplexe Formulare: Entwickler äusserten Frustration über die Komplexität der DSS-Formulare. Viele fühlten sich von der Anzahl der Optionen überwältigt und hatten Schwierigkeiten, die richtige Wahl zu treffen.
Sprachbarrieren: Einige Entwickler waren keine Muttersprachler im Englischen und fanden die Sprache in den Formularen schwer verständlich. Das führte zu Fehlern beim Ausfüllen der Formulare.
Verwirrung über Richtlinien: Viele Entwickler berichteten, dass sie über den Überprüfungsprozess für DSS-Einreichungen verwirrt waren. Sie hatten das Gefühl, kein klares Feedback darüber zu bekommen, warum ihre Formulare akzeptiert oder abgelehnt wurden, was Frustration und Unsicherheit verursachte.
Ändernde Anforderungen: Entwickler wiesen darauf hin, dass Google seine Datenschutzrichtlinien häufig ändert, was es ihnen erschwert, Schritt zu halten. Diese ständige Entwicklung führte zu Schwierigkeiten, sicherzustellen, dass ihre DSS den aktuellen Vorschriften entsprachen.
Verhaltensweisen der Entwickler beim Ausfüllen der DSS-Formulare
Entwickler haben verschiedene Strategien entwickelt, um mit den Herausforderungen umzugehen, denen sie gegenüberstanden. Einige dieser Verhaltensweisen beinhalteten:
Auswahl alternativer Optionen: Wenn Entwickler keine passende Option fanden, wählten sie oft eine alternative, die ihre Praktiken nicht genau widerspiegelte.
Übertreibung der Datensammlung: Einige Entwickler glaubten, dass Google nur nach Datenpraktiken schaute, die explizit genannt wurden. Sie dachten, es sei sicherer, alle möglichen gesammelten Daten aufzulisten, auch wenn diese nicht auf ihre App zutrafen.
Verwendung älterer Formulare: Einige Entwickler versuchten, frühere Versionen ihrer Formulare zu verwenden, die akzeptiert worden waren, auch wenn diese Beschreibungen nicht mehr mit ihren aktuellen Datenhandhabungspraktiken übereinstimmten.
Empfehlungen zur Verbesserung
Basierend auf den beobachteten Herausforderungen schlagen wir mehrere Empfehlungen vor, um das Entwicklerlebnis mit DSS zu verbessern:
Verbesserung der Bildungsressourcen: Entwicklern bessere Ressourcen zur Verfügung stellen, die erklären, wie man DSS-Formulare ausfüllt und Datenpraktiken versteht. Echte Beispiele und Tutorials wären hilfreich.
Angebot mehrsprachiger Unterstützung: Ressourcen in verschiedenen Sprachen bereitstellen, damit Entwickler weltweit Zugang zu den Richtlinien haben und diese verstehen können.
Vereinfachung der DSS-Formulare: Die Formulare vereinfachen, um die Komplexität zu reduzieren. Klarere Sprache und weniger Optionen würden den Prozess für Entwickler einfacher machen.
Bereitstellung konsistenter Rückmeldungen: Sicherstellen, dass Entwickler klares Feedback zu ihren DSS-Einreichungen erhalten. Das würde ihnen helfen zu verstehen, warum Formulare akzeptiert oder abgelehnt werden und wie sie sich in Zukunft verbessern können.
Unterstützung für Drittanbieter-Bibliotheken: Mehr Transparenz über die Datenpraktiken von Drittanbieter-Bibliotheken schaffen. Das würde Entwicklern helfen, genau zu berichten, wie diese Bibliotheken mit Benutzerdaten umgehen.
Regelmässige Entwicklerkonsultationen: Fortlaufende Diskussionen mit Entwicklern fördern, um Einblicke in ihre Erfahrungen zu gewinnen. Dieses Feedback wäre wertvoll für zukünftige Verbesserungen des Datenschutzlabel-Systems.
Fazit
Unsere Studie hebt die Komplexitäten und Herausforderungen hervor, denen Entwickler gegenüberstehen, während sie die Data Safety Sections von Google umsetzen. Obwohl viele Apps sich langsam an die Anforderungen anpassen, können die bestehenden Inkonsistenzen und Verwirrungen das Vertrauen der Nutzer in die Datenschutzerklärungen der Apps untergraben. Durch Schritte zur Verbesserung der Bildungsressourcen, Vereinfachung der Formulare und Bereitstellung klarerer Rückmeldungen kann Google ein effektiveres Umfeld für Entwickler und Nutzer schaffen und letztendlich die Datensicherheit im gesamten App-Ökosystem fördern.
Durch unsere Ergebnisse hoffen wir, zu einem besseren Verständnis der aktuellen Landschaft der Datenschutzpraktiken in Apps beizutragen und Verbesserungen zu fördern, die allen beteiligten Akteuren zugutekommen.
Titel: Unpacking Privacy Labels: A Measurement and Developer Perspective on Google's Data Safety Section
Zusammenfassung: Google has mandated developers to use Data Safety Sections (DSS) to increase transparency in data collection and sharing practices. In this paper, we present a comprehensive analysis of Google's Data Safety Section (DSS) using both quantitative and qualitative methods. We conduct the first large-scale measurement study of DSS using apps from Android Play store (n=1.1M). We find that there are internal inconsistencies within the reported practices. We also find trends of both over and under-reporting practices in the DSSs. Next, we conduct a longitudinal study of DSS to explore how the reported practices evolve over time, and find that the developers are still adjusting their practices. To contextualize these findings, we conduct a developer study, uncovering the process that app developers undergo when working with DSS. We highlight the challenges faced and strategies employed by developers for DSS submission, and the factors contributing to changes in the DSS. Our research contributes valuable insights into the complexities of implementing and maintaining privacy labels, underlining the need for better resources, tools, and guidelines to aid developers. This understanding is crucial as the accuracy and reliability of privacy labels directly impact their effectiveness.
Autoren: Rishabh Khandelwal, Asmit Nayak, Paul Chung, Kassem Fawaz
Letzte Aktualisierung: 2023-06-13 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2306.08111
Quell-PDF: https://arxiv.org/pdf/2306.08111
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.