Bewertung der CCPA-Konformität bei Android-Apps
Studie bewertet, wie gut Android-Apps Kaliforniens Datenschutzgesetz einhalten.
― 6 min Lesedauer
Inhaltsverzeichnis
Das California Consumer Privacy Act (CCPA) ist ein Gesetz, das den Einwohnern von Kalifornien mehr Kontrolle über ihre persönlichen Informationen gibt. Dieses Gesetz gilt für Unternehmen, die persönliche Daten über Verbraucher sammeln. Es verlangt von diesen Unternehmen, dass sie offen über ihre Datenpraktiken sind und auf Anfragen von Verbrauchern bezüglich ihrer persönlichen Informationen reagieren. Unsere Studie hat untersucht, wie gut Android-App-Entwickler die Regeln des CCPA befolgt haben.
Überblick über den CCPA
Der CCPA trat am 1. Januar 2020 in Kraft. Ziel ist es, den Einwohnern von Kalifornien mehr Rechte in Bezug auf ihre Daten zu geben. Dazu gehört, zu wissen, welche persönlichen Informationen gesammelt werden, wie sie verwendet werden und mit wem sie geteilt werden. Das Gesetz betrifft Unternehmen mit erheblichem Einkommen, solche, die Daten von vielen Verbrauchern sammeln, und solche, die stark auf den Verkauf persönlicher Daten angewiesen sind.
Unternehmen müssen klare Datenschutzhinweise bereitstellen und den Verbrauchern ermöglichen, Zugriff auf ihre Daten zu beantragen. Dies wird als "Recht auf Wissen" bezeichnet. Das bedeutet, Verbraucher können Unternehmen fragen, welche Daten sie haben, wie sie verwendet werden und ob sie mit anderen geteilt werden.
Bedeutung von Datenschutzhinweisen
Der CCPA verlangt von Unternehmen, Datenschutzrichtlinien zu haben, die ihre Praktiken zur Datensammlung und -weitergabe erklären. Diese Richtlinien müssen detailliert darstellen, welche Arten von persönlichen Informationen gesammelt werden, wie sie verwendet werden und die Kategorien von Dritten, mit denen die Daten geteilt werden.
Verbraucher sollten diese Richtlinien leicht lesen und verstehen können, damit sie informierte Entscheidungen über ihre Daten treffen können. Wenn Verbraucher Vertrauen haben, dass ihre Daten verantwortungsvoll behandelt werden, sind sie eher bereit, mit Unternehmen zu interagieren.
Verbraucherrechte unter dem CCPA
Die Einwohner von Kalifornien haben mehrere Rechte gemäss dem CCPA. Sie können:
- Wissen, welche persönlichen Daten Unternehmen über sie sammeln.
- Anfordern, dass Unternehmen die gesammelten persönlichen Daten offenlegen.
- Bitten, dass Unternehmen ihre persönlichen Informationen löschen.
- Ablehnen, dass ihre persönlichen Daten verkauft werden.
- Nicht diskriminiert werden, weil sie ihre Datenschutzrechte ausüben.
Diese Rechte sollen Verbraucher empowern und ihnen mehr Kontrolle über ihre Informationen geben.
Methodologie der Studie
Um zu verstehen, wie gut Android-Apps die CCPA-Vorgaben erfüllen, haben wir uns auf eine Auswahl beliebter Apps im Google Play Store konzentriert. Wir haben 109 Apps getestet, um zu sehen, ob sie genaue Datenschutzhinweise bereitstellen und korrekt auf Verbraucheranfragen zu persönlichen Informationen reagieren.
Wir haben zwei Hauptbereiche untersucht:
- Netzwerkverkehr: Wir haben die tatsächlichen Daten überwacht, die von den Apps gesammelt und übertragen wurden, um zu sehen, ob sie mit dem übereinstimmten, was in ihren Datenschutzrichtlinien angegeben war.
- Verifizierbare Verbraucheranfragen (VCRs): Wir haben Anfragen an App-Entwickler gesendet, in denen wir um spezifische persönliche Informationen gebeten haben, wie es der CCPA erlaubt, und ihre Antworten analysiert.
Ergebnisse: Einhaltung des CCPA
Offenlegungen der Datenschutzrichtlinien
Von den 109 untersuchten Apps hatten viele Datenschutzrichtlinien. Allerdings boten nicht alle klare und vollständige Informationen über ihre Datenpraktiken. Viele Apps sammelten Daten, die in ihren Datenschutzhinweisen nicht erwähnt wurden. Zum Beispiel fanden wir heraus, dass:
- Identifikatoren: Etwa 80 % der Apps gaben nicht an, dass sie Identifikatoren wie Geräte-IDs sammelten.
- Geolokalisierungsdaten: Rund 30 % der Apps erwähnten nicht, dass sie Geolokalisierungsdaten sammelten.
- Sensorische Daten: Ungefähr 26 % der Apps gaben nicht an, dass sie sensorische Daten wie Beschleunigungsmesser- oder Gyroskopwerte sammelten.
Das zeigt, dass eine beträchtliche Anzahl von Apps die Anforderungen des CCPA in Bezug auf Transparenz nicht vollständig erfüllt.
Antworten auf Anfragen
Als wir verifizierbare Verbraucheranfragen an App-Entwickler sendeten, erhielten wir gemischte Antworten. Von den 69 Entwicklern, die antworteten, boten fast alle einige spezifische persönliche Daten an, aber viele erfüllten nicht alle CCPA-Anforderungen. Konkret:
- 39 % der Apps teilten Geräteidentifikatoren, aber nur ein kleiner Prozentsatz gab detaillierte Informationen darüber, welche Daten gesammelt worden waren.
- Viele Entwickler hatten Schwierigkeiten, die Kategorien von Dritten klar darzustellen, mit denen persönliche Informationen geteilt wurden.
Die Antworten zeigten, dass viele Entwickler bereit waren, Daten bereitzustellen, aber oft ihre Antworten nicht vollständig mit den Anforderungen des CCPA übereinstimmten.
Herausforderungen für Entwickler
Unsere Ergebnisse hoben mehrere Herausforderungen hervor, mit denen App-Entwickler bei der Einhaltung des CCPA konfrontiert sind:
Verständnis der CCPA-Anforderungen: Viele Entwickler haben möglicherweise nicht vollständig verstanden, was notwendig ist, um den CCPA einzuhalten. Diese Unklarheit kann zu unzureichenden Datenschutzrichtlinien und unvollständigen Antworten auf Verbraucheranfragen führen.
Technische Einschränkungen: Einige Apps haben möglicherweise nicht die technische Infrastruktur, um die Verarbeitung von Verbraucheranfragen zu unterstützen. Entwickler müssen in Systeme investieren, die es ihnen ermöglichen, Anfragen zu persönlichen Daten effektiv zu verfolgen und zu beantworten.
Verschiedene Ansätze zur Datensammlung: Apps verwenden oft Drittanbieterdienste, die die Verwaltung von Daten komplizieren können. Dies kann zu Inkonsistenzen in dem führen, was in Datenschutzrichtlinien angegeben ist, im Vergleich dazu, was tatsächlich passiert.
Empfehlungen zur Verbesserung
Um die Einhaltung des CCPA zu verbessern, schlagen wir mehrere Schritte vor, die Entwickler und Regulierungsbehörden unternehmen könnten:
Für Entwickler
Klarere Datenschutzrichtlinien: Entwickler sollten daran arbeiten, ihre Datenschutzrichtlinien verständlicher und umfassender zu gestalten. Sie müssen klar angeben, welche Daten gesammelt werden und wie sie verwendet werden.
Schulung und Ressourcen: Die Bereitstellung von Schulungen für Entwickler zu Datenschutzgesetzen und Best Practices kann ihnen helfen, ihre Verpflichtungen besser zu verstehen.
Investitionen in Technologie: Entwickler sollten in Technologien investieren, die ihnen helfen, die Datensammlungspraxis genauer zu verfolgen, um sicherzustellen, dass sie effektiv auf Verbraucheranfragen reagieren können.
Für Regulierungsbehörden
Leitfäden für Entwickler: Regulierungsbehörden sollten klarere Leitlinien zu den Verpflichtungen des CCPA anbieten, einschliesslich Beispielen für Best Practices.
Durchsetzung: Eine verstärkte Durchsetzung des CCPA kann helfen, sicherzustellen, dass Unternehmen das Gesetz einhalten und den Verbrauchern notwendige Schutzmassnahmen bieten.
Fazit
Der CCPA zielt darauf ab, den Verbrauchern mehr Kontrolle über ihre persönlichen Daten zu geben. Unsere Studie zeigt jedoch, dass viele Android-App-Entwickler Schwierigkeiten haben, die Anforderungen zu erfüllen. Während einige Apps zufriedenstellende Datenschutzrichtlinien bieten und auf Verbraucheranfragen reagieren, gibt es eine erhebliche Anzahl, die wichtige Informationen nicht offenlegt.
Um sicherzustellen, dass die Verbraucherrechte tatsächlich geschützt sind, müssen sowohl Entwickler als auch Regulierungsbehörden zusammenarbeiten, um Transparenz und die Einhaltung des CCPA zu verbessern. Durch die Verbesserung von Bildung und Ressourcen können wir eine vertrauenswürdigere digitale Umgebung schaffen, in der Verbraucher sich bezüglich ihrer Datensicherheit wohlfühlen.
Titel: Lessons in VCR Repair: Compliance of Android App Developers with the California Consumer Privacy Act (CCPA)
Zusammenfassung: The California Consumer Privacy Act (CCPA) provides California residents with a range of enhanced privacy protections and rights. Our research investigated the extent to which Android app developers comply with the provisions of the CCPA that require them to provide consumers with accurate privacy notices and respond to "verifiable consumer requests" (VCRs) by disclosing personal information that they have collected, used, or shared about consumers for a business or commercial purpose. We compared the actual network traffic of 109 apps that we believe must comply with the CCPA to the data that apps state they collect in their privacy policies and the data contained in responses to "right to know" requests that we submitted to the app's developers. Of the 69 app developers who substantively replied to our requests, all but one provided specific pieces of personal data (as opposed to only categorical information). However, a significant percentage of apps collected information that was not disclosed, including identifiers (55 apps, 80%), geolocation data (21 apps, 30%), and sensory data (18 apps, 26%) among other categories. We discuss improvements to the CCPA that could help app developers comply with "right to know" requests and other related regulations.
Autoren: Nikita Samarin, Shayna Kothari, Zaina Siyed, Oscar Bjorkman, Reena Yuan, Primal Wijesekera, Noura Alomar, Jordan Fischer, Chris Hoofnagle, Serge Egelman
Letzte Aktualisierung: 2023-04-03 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2304.00944
Quell-PDF: https://arxiv.org/pdf/2304.00944
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.
Referenz Links
- https://www.tandfonline.com/doi/full/10.1080/17441056.2020.1839228
- https://www.randomlists.com/
- https://pypi.org/project/Faker/0.7.4/
- https://docs.google.com/spreadsheets/d/1HDptqyJCiwbWvVHVWKU8KMURGBf88k3j4wVItns-vU8/edit?usp=sharing
- https://colab.research.google.com/drive/14n0mNofRINEv3lXkEUD7J_UmYig-eUHv?usp=sharing