论文笔记: PTPDroid:Detecting Violated User Privacy Disclosures to Third-Parties of Android Appss
16. PTPDroid: Detecting Violated User Privacy Disclosures to Third-Parties of Android Apps16.1 论文信息 作者:Zeya Tan, Wei Song 年份:2023年 会议:ICSE 研究机构:南京理工大学 主要内容:提出了一种实体敏感的流到策略一致性检查工具 PTPDroid,可识别数据流中的第三方实体和数据类型,并判断其是否在隐私政策中披露。 16.2 问题分析现有一致性分析存在以下不足: 忽略第三方实体的区分; 受限于静态分析工具(如 AppCensus),遗漏部分数据流或数据类型。 16.3 研究方案1. 本体与映射建立构建隐私信息与第三方实体的本体,实现字符串到本体短语的映射。 2. 隐私政策分析提取所有关于第三方实体的数据收集声明,表示为 (实体, 动作, 数据类型) 三元组。 3. 静态分析使用污点分析检测应用向第三方共享用户数据的行为,转换为 (实体, 收集, 数据类型) 三元组。 4....
论文笔记:Viopolicy-Detector:An Automated Approach to Detecting GDPR Suspected Compliance Violations in Websites
15. Viopolicy-Detector: An Automated Approach to Detecting GDPR Suspected Compliance Violations in Websites15.1 论文信息 作者:Haoran Ou, Yong Fang, Yongyan Guo, Wenbo Guo, Cheng Huang 年份:2022年 会议:RAID 研究机构:四川大学网络空间安全学院 主要内容:提出一种自动化检测网站隐私政策与实际行为之间不一致的方法,重点分析数据收集一致性。 15.2 问题分析现有研究对隐私政策分析粒度过粗,仅关注整体评估,未从细粒度角度划分隐私政策内容。 15.3 研究方案1. 数据收集一致性分析从两个方面对比: 声明收集数据(DCD):从隐私政策中提取; 实际收集数据(ACD):通过网站行为检测获取。 最终对比 DCD 与 ACD,判断是否存在违规行为。 图15.1 方法框架 2. 个人数据分类文中将个人数据分为八类,用于标注隐私政策语料库。 图15.2...
论文笔记:A BERT Based Approach to Measure Web Services Policies Compliance With GDPR
14. A BERT Based Approach to Measure Web Services Policies Compliance With GDPR14.1 论文信息 作者:Hao Cui, Rahmadi Trimananda, Athina Markopoulou, Scott Jordan 年份:2021年 期刊:IEEE Access 研究机构:University of Maryland at Baltimore County 主要内容:提出了一种检测 Web 隐私政策与 GDPR 合规性的方法。使用 BiLSTM 多分类模型识别 GDPR 类别,并结合 BERT 模型提取上下文表示,计算隐私政策与 GDPR 的相似度得分,判断其是否合规。 14.2 问题分析企业在制定隐私政策时面临以下挑战: 监管文件内容庞大且复杂: GDPR 包含 99 篇文章,人工提取关键规则耗时费力。 隐私政策与法规长度差距大: 隐私政策文本较短,难以直接关联到法规条目。 14.3 研究方案1....
论文笔记:CAPP-130-A Corpus of Chinese Application Privacy Policy Summarization and Interpretatio
12. CAPP-130: A Corpus of Chinese Application Privacy Policy Summarization and Interpretation12.1 论文信息 作者:Pengyun Zhu, Long Wen, Jinfei Liu, Feng Xue, Jian Lou, Zhibo Wang, Kui Ren 年份:2023年 会议:NeurIPS 2023 研究机构:浙江大学 主要内容:创建首个中文移动应用隐私政策总结语料库 CAPP-130,并提出主题控制的摘要生成框架 TCSI-pp,提升隐私政策可读性。 12.2 问题分析现有隐私政策自动总结方法存在以下局限性: 忽略技术术语和法律术语; 仅提取句子,未改写解释; 多数面向英文,缺少面向中文的研究。 12.3 研究方案1. CAPP-130 语料库构建 从小米和华为商店抓取前 100 名热门应用; 清洗后获得 130 份隐私政策,共计 52,489 条标注句子; Cohen Kappa 系数验证标注一致性(0.907)。 ...
论文笔记:Demystifying Privacy Policy of Third-Party Libraries in Mobile Apps
11. Demystifying Privacy Policy of Third-Party Libraries in Mobile Apps11.1 论文信息 作者:Kaifa Zhao, Xian Zhan, Le Yu, Shiyao Zhou, Hao Zhou, Xiapu Luo, Haoyu Wang, Yepang Liu 年份:2023年 会议:IEEE/ACM 45th International Conference on Software Engineering (ICSE) 研究机构:The Hong Kong Polytechnic University, Southern University of Science and Technology 主要内容:提出工具 ATPChecker,通过静态分析 TPL 字节码和隐私政策,结合 NLP 技术,评估第三方库是否符合隐私法规要求。 11.2 问题分析评测 TPL 的隐私合规性具有以下难点: TPL 隐私政策难以获取; TPL...
论文笔记:Consistency Analysis of Data-Usage Purposes in Mobile Apps
10. Consistency Analysis of Data-Usage Purposes in Mobile Apps10.1 论文信息 作者:Duc Bui, Yuan Yao, Kang G. Shin, Jong-Min Choi, Junbum Shin 年份:2021年 会议:ACM Conference on Computer and Communication Security(CCS) 研究机构:University of Michigan 关键词:Data-usage purposes; privacy policies; consistency analysis; data flow; mobile apps 主要内容:提出了一种自动化系统 PurPliance,用于检测隐私政策与 Android 应用实际行为之间在数据使用目的上的不一致性,并可分析隐私政策内部条款之间的矛盾。 10.2...
论文笔记:Lalaine:Measuring and Characterizing Non-Compliance of Apple Privacy Labels
9. Lalaine: Measuring and Characterizing Non-Compliance of Apple Privacy Labels9.1 论文信息 作者:Yue Xiao, Zhengyi Li, Yue Qin, Xiaolong Bai, Jiale Guan, Xiaojing Liao, Luyi Xing 年份:2023年 会议:USENIX Security Symposium 研究机构:Indiana University Bloomington, Orion Security Lab, Alibaba Group 主要内容:提出基于数据流到隐私标签一致性分析的工具 Lalaine,用于评估 iOS 应用程序隐私标签的合规性。 9.2 问题分析Apple 推出隐私标签帮助用户了解应用隐私实践,但仍面临以下挑战: 数据流到标签一致性分析复杂; 隐私标签语义多层次; 不一致难以准确定义。 9.3 研究方案Lalaine 架构 图9.1 Lalaine系统架构 1. 数据收集和预处理 从 App...
论文笔记:移动应用隐私权声明内容合规性检验方法
8. 移动应用隐私权声明内容合规性检验方法8.1 论文信息 作者:王寅, 范铭, 陶俊杰, 雷靖薏, 晋武侠, 韩德强, 刘烃 年份:2024年 期刊:软件学报 研究机构:西安交通大学电子与信息学部 主要内容:提出了一种移动应用隐私权声明的多标签分类方法,并结合句法结构解析和实体识别进行安卓应用和小程序场的合规性检验。 8.2 问题分析 法律条例差异大,条目种类复杂,难以统一分类; 现有工作围绕文本开展,而文本与移动应用附加方式多样,获取难度不同。 8.3 研究方案1. 多标签分类体系构建参考多项法规和 Polisis 方法,构建包含 10 个一级标签、31 个二级标签的分类体系。 2. 多标签分类模型构建 数据集:21204 条语句; 使用 BERT-wwm-ext 模型 + Focal Loss 解决标签不平衡问题; 输入为分句后的子句集合,输出为每条子句的标签概率。 图8.1 数据集分布情况 3. 合规性检验(1)条目完整性 27...
论文笔记:大数据平台上的隐私保护及合规关键技术研究
7. 大数据平台上的隐私保护及合规关键技术研究7.1 论文信息 作者:杨露 年份:2021年 研究机构:四川大学计算机学院 主要内容:提出一种自动抽取隐私政策中的合规规则的方法,并设计基于图匹配的合规分析方法,以评估大数据平台的数据处理合规性。 7.2 问题分析 隐私政策中目的表达句法特征不明显,难以准确抽取; 大数据平台审计日志缺乏支持数据使用目的的隐私合规性分析能力。 7.3 研究方案1. 目的感知规则(PAR)定义四元组:PAR = {Actor, Action, Data Object, Purpose}。 图7.1 目的感知规则示意图 2. 抽取方法流程图 图7.2 目的感知规则抽取方法流程图 3. 合规验证方法构建数据规则图和数据处理图,统一表达数据规则和处理过程。 图7.3 数据规则图模型 图7.4 数据处理图模型 图7.5 合规分析算法 7.4 实验评估1. 规则抽取实验 600 条句子作为实验数据集; 图7.6...
论文笔记:VPVet:Vetting Privacy Policies of Virtual Reality Apps
6. VPVet: Vetting Privacy Policies of Virtual Reality Apps6.1 论文信息 作者:Yuxia Zhan, Yan Meng, Lu Zhou, Yichang Xiong, Xiaokuan Zhang, Lichuan Ma, Guoxing Chen, Qingqi Pei, and Haojin Zhu 年份:2024年 会议:ACM Conference on Computer and Communication Security(CCS) 研究机构:Shanghai Jiao Tong University,Xidian University,George Mason University 主要内容:目前部分 VR 应用的隐私政策既不符合法律要求,也没有满足用户的期望,在可访问性、专属性、模糊性和真实性等方面均存在问题。为此,本文提出了一种自动审查 VR 应用的隐私政策合规性问题的工具...
