Οι χρήστες των υπηρεσιών κοινωνικής δικτύωσης επικοινωνούν, διαμοιράζοντας μεγάλες ποσότητες δεδομένων σε ημι-δημόσια μέσα, λαμβάνοντας ως δεδομένο ότι προστατεύεται η ιδιωτικότητα τους. Οι υπάρχουσες έρευνες αναθέτουν την ευθύνη για την προστασία της ιδιωτικότητας στον πάροχο της πλατφόρμας κοινωνικής δικτύωσης, έναν οργανισμό που συνήθως βασίζει την κερδοφορία του στην εκμετάλλευση των δεδομένων των χρηστών, ή ασχολούνται μόνο με το περιεχόμενο των μηνυμάτων-δημοσιεύσεών τους, αφήνοντας απροστάτευτες άλλες πτυχές της επικοινωνίας. Ταυτόχρονα, η ιδιωτικότητα των χρηστών μπορεί να παραβιάζεται από τις δημοσιεύσεις άλλων χρηστών ή ακόμη και των ιδίων, που θέτουν σε κοινή θέα προσωπικά τους δεδομένα. Επομένως είναι αναγκαίο, η προστασία των προσωπικών δεδομένων των χρηστών να αποτελέσει ευθύνη όλων των εμπλεκομένων και να καλύψει όλες τις πτυχές των επικοινωνιών που λαμβάνουν χώρα (συμπεριλαμβανομένου του μηνύματος και των κοινωνικών σχέσεων που δημιουργούνται). Η ανάλυση της υπάρχουσας βιβλιογραφίας ανέδειξε ότι οι διάφορες μέθοδοι που κατά καιρούς έχουν προταθεί για την ανάλυση απαιτήσεων ιδιωτικότητας (threat-based, goal-driven, που συχνά μάλιστα αποτελούν επέκταση μεθόδων ανάλυσης απαιτήσεων ασφαλείας), δε λαμβάνουν υπόψη τις πολύπλοκες σχέσεις που δημιουργούνται κατά την αλληλεπίδραση των χρηστών κοινωνικής δικτύωσης, ούτε όλους τους τύπους προσωπικών δεδομένων που εμπλέκονται. Επίσης, δε λαμβάνουν υπόψη τη δημιουργία μιας νέας μορφής δημόσιας-ιδιωτικής σφαίρας που εισάγει νέες απαιτήσεις για την προστασία της ιδιωτικότητας. Η παρούσα Διατριβή στοχεύει να καθοδηγήσει τη δημιουργία υπηρεσιών κοινωνικής δικτύωσης που να σέβονται την ιδιωτικότητα από το σχεδιασμό. Για την επίτευξή αυτού του σκοπού, απαντά σε δύο ερευνητικά ερωτήματα: α) ποιες απαιτήσεις ιδιωτικότητας πρέπει να υλοποιηθούν ώστε οι επικοινωνίες μέσω των υπηρεσιών κοινωνικής δικτύωσης να σέβονται την ιδιωτικότητα και β) πως μπορούν οι πάροχοι να υλοποιήσουν τις απαιτήσεις αυτές από το σχεδιασμό των υπηρεσιών κοινωνικής δικτύωσης. Για την απάντηση του πρώτου ερευνητικού ερωτήματος και την εξαγωγή των απαιτήσεων πραγματοποιήσαμε ανάλυση των απειλών που περιβάλλουν τις υπηρεσίες κοινωνικής δικτύωσης (threat-based). Αρχικά, αναλύσαμε την υπάρχουσα βιβλιογραφία για τις υπηρεσίες κοινωνικής δικτύωσης και πειραματιστήκαμε με δημοφιλείς εφαρμογές κοινωνικής δικτύωσης. Έτσι, αναγνωρίσαμε τους βασικούς εμπλεκόμενους στις επικοινωνίες μέσω των υπηρεσιών κοινωνικής δικτύωσης καθώς και τους διαφορετικούς τύπους σχέσεων που διαμορφώνονται μεταξύ τους (ένας προς έναν, ένας προς πολλούς, πολλοί προς πολλούς). Επίσης εντοπίσαμε τους τύπους προσωπικών δεδομένων που εντίθενται και διαμοιράζονται, ρητά ή μη, κατά τη διάρκεια διαφορετικών σεναρίων χρήσης των υπηρεσιών κοινωνικής δικτύωσης. Ως αποτέλεσμα, αναπαραστήσαμε τη λειτουργικότητα των υπηρεσιών κοινωνικής δικτύωσης ως μοντέλα επικοινωνίας. Αυτό αποτέλεσε τη βάση για την ανάλυση των απειλών, όπου όλοι οι εμπλεκόμενοι θεωρήθηκαν ως πιθανή πηγή κινδύνου για την κατάχρηση προσωπικών δεδομένων. Στη συνέχεια αναλύσαμε τους κινδύνους για την ιδιωτικότητα και τα μέτρα προστασίας, για το μετριασμό τους. Από τα μέτρα αυτά διαμορφώθηκαν οι απαιτήσεις ιδιωτικότητας. Προέκυψε λοιπόν μια λίστα με απαιτήσεις ιδιωτικότητας που οι πάροχοι υπηρεσιών κοινωνικής δικτύωσης, οι χρήστες και οι εμπλεκόμενες τρίτες οντότητες πρέπει να υλοποιήσουν, ώστε να διασφαλιστεί η προστασία της ιδιωτικότητας των χρηστών, κατά τη χρήση των υπηρεσιών κοινωνικής δικτύωσης. Η ανάλυση κινδύνων ανέδειξε τη σημασία της αύξησης της επίγνωσης (awareness) των χρηστών των υπηρεσιών κοινωνικής δικτύωσης, αλλά και το ρόλο των χρηστών στην προστασία της ιδιωτικότητας, μέσω της εφαρμογής τεχνολογιών ιδιωτικότητας. Επιπρόσθετα, πραγματοποιήσαμε ανάλυση απαιτήσεων ιδιωτικότητας αναλύοντας και επεκτείνοντας προτεινόμενες στρατηγικές για την ιδιωτικότητα από το σχεδιασμό (privacy-by-design strategies). Έτσι επιτύχαμε το μετασχηματισμό κάποιων από τις προηγούμενες απαιτήσεις, με έμφαση στην προστασία της ιδιωτικότητας εξ ορισμού, ενώ αναδείχθηκε η σημασία της χρηστικότητας των μέτρων προστασίας και της επίγνωσης των χρηστών. Η περαιτέρω ανάλυση των πρακτικών για την αύξηση επίγνωσης των χρηστών, από την ανασκόπηση της υπάρχουσας βιβλιογραφίας και την αξιολόγηση των εφαρμογών τους σε δημοφιλείς πλατφόρμες κοινωνικής δικτύωσης, ανέδειξε ότι είναι ανάγκη να βελτιωθεί η χρηστικότητα των ρυθμίσεων ιδιωτικότητας (privacy settings), π.χ. με οπτική αναπαράσταση των κινδύνων, την οργάνωση της λειτουργικότητας στις ρυθμίσεις ιδιωτικότητας και διαφοροποίηση από τις ρυθμίσεις ασφαλείας του λογαριασμού. Επίσης, πρέπει να βελτιωθεί το περιεχόμενο των ειδοποιήσεων που παρέχονται στους χρήστες, έτσι ώστε να βοηθά στην κατανόηση της πηγής των κινδύνων συνδέοντάς τους με τα προσωπικά δεδομένα που οι ίδιοι έχουν εισάγει στις υπηρεσίες κοινωνικής δικτύωσης. Επιπρόσθετα, ερευνήσαμε γιατί οι χρήστες αποφεύγουν να υιοθετήσουν εργαλεία για την προστασία της ιδιωτικότητας (privacy-enhancing tools), είτε αυτά είναι ενσωματωμένα στις πλατφόρμες ή όχι. Η ανάλυση της βιβλιογραφίας ανέδειξε ότι εκτός από την επίγνωση, οι χρήστες επηρεάζονται κατά την υιοθέτηση των εργαλείων τόσο από τα άμεσα και έμμεσα κόστη (π.χ. χρόνος για την εξοικείωση με το εργαλείο ή καθυστερήσεις στην παρεχόμενη υπηρεσία ως αποτέλεσμα της χρήσης του εργαλείου), όσο και από την τεχνική κατάρτιση που αυτά απαιτούν ή από την παροχή πληροφόρησης για την αποδοτικότητα του εργαλείου. Ειδικά για τα εργαλεία που δεν είναι ενσωματωμένα σε πλατφόρμες, η έρευνα που πραγματοποιήσαμε σε 170 χρήστες υπηρεσιών κοινωνικής δικτύωσης έδειξε ότι η ποιότητα (η αποτελεσματικότητα στην προστασία), η παροχή πληροφόρησης για την αποδοτικότητα και το χαμηλό κόστος είναι οι παράγοντες που εκτιμώνται περισσότερο στην απόφαση των χρηστών να υιοθετήσουν ένα εργαλείο. Τα ευρήματα αυτά παρέχουν μια πρώτη ιδέα για το πως θα έπρεπε να παρουσιάζονται στο χρήστη τα ενσωματωμένα στην πλατφόρμα εργαλεία (προσθέτοντας άλλη μια απαίτηση για τους παρόχους υπηρεσιών κοινωνικής δικτύωσης) αλλά και για τους παράγοντες που επηρεάζουν την υιοθέτηση των αυτόνομων εργαλείων προστασίας. Ως αποτέλεσμα, μπορούν να αποτελέσουν τη βάση για το σχεδιασμό ελκυστικών εργαλείων προστασίας για τους χρήστες των υπηρεσιών κοινωνικής δικτύωσης.Επίσης, στο πλαίσιο της Διατριβής και προκειμένου να παράσχουμε οδηγίες για την υλοποίηση των ανωτέρω απαιτήσεων ιδιωτικότητας από το σχεδιασμό, αναλύσαμε την εκπόνηση εκτίμησης αντικτύπου σχετικά με την προστασία της ιδιωτικότητας (Privacy Impact Assessment - PIA) (Oetzel and Spiekermann, 2014) και επεκτείναμε τις υπάρχουσες κατευθυντήριες γραμμές για την υλοποίησή της, αφού μια τέτοια ανάλυση αποτελεί ακόμη δύσκολο έργο για τους επαγγελματίες του κλάδου. Προκειμένου απαντήσουμε το δεύτερο ερώτημα της Διατριβής και να παρέχουμε πρακτικές οδηγίες σε όσους εκπονούν PIAs και κατ’ επέκταση στους σχεδιαστές υπηρεσιών κοινωνικής δικτύωσης, που ενεργούν για λογαριασμό των παρόχων, αναπτύξαμε ένα πλαίσιο αξιολόγησης των οδηγιών που παρέχουν οι υπάρχουσες μέθοδοι PIA. Η εφαρμογή του πλαισίου σε 9 δημοφιλείς μεθόδους PIA, ανέδειξε το γεγονός ότι οι οδηγίες για την αναγνώριση των κινδύνων σε αρκετές από αυτές προσομοιάζει τις λίστες που χρησιμοποιούνται σε ελέγχους συμμόρφωσης και θα μπορούσε ακόμη και να αποπροσανατολίσει τους αναλυτές περιορίζοντας την οπτική τους σε κινδύνους ιδιωτικότητας που αφορούν άμεσα στην επεξεργασία προσωπικών δεδομένων. Επίσης, η αξιολόγηση έδειξε ότι στις υπάρχουσες μεθόδους παρέχονται αντικρουόμενες οδηγίες για την οργάνωση των έργων εκπόνησης PIA, ενώ δεν παρέχεται επαρκής καθοδήγηση για τη συμμετοχή όλων των εμπλεκομένων. Προκειμένου καταρτιστεί ένα σύνολο ολοκληρωμένων οδηγιών, εντοπίσαμε τις καλύτερες πρακτικές από τις υπάρχουσες μεθόδους και ερευνήσαμε τη σχετική βιβλιογραφία για τις περιοχές που δεν υπήρχε κατάλληλη καθοδήγηση (π.χ. την εκτίμηση του κινδύνου). Επιπρόσθετα αναπτύξαμε ένα οργανωτικό σχήμα για τα έργα εκπόνησης εκτίμησης αντικτύπου, ώστε να καθοδηγήσουμε τους εμπλεκόμενους στην ανάθεση ρόλων και αρμοδιοτήτων στο πλαίσιο του έργου (π.χ. εκπόνηση της εκτίμησης ρίσκου, έγκριση της έκθεσης της PIA, υλοποίηση των επιλεχθέντων μέτρων, «ιδιοκτησία» της εναπομείνασας επικινδυνότητας, αναθεώρηση της έκθεσης της PIA, σημείο επικοινωνίας για τις ελεγκτικές Αρχές). Τέλος, συνδέοντας τη θεωρία με την πράξη, η παρούσα Διατριβή συνδυάζει τα αποτελέσματα των ανωτέρω βημάτων σε μια ολοκληρωμένη διαδικασία για την εκπόνηση εκτίμησης αντικτύπου, επεκτείνοντας τις γενικές οδηγίες που παρέχονται στο πρότυπο ISO 29134. Η βασική συνεισφορά της παρούσας Διατριβής συνοψίζεται στην κατάρτιση ενός πλαισίου για την επίτευξη ιδιωτικότητας από το σχεδιασμό στις υπηρεσίες κοινωνικής δικτύωσης. Το πλαίσιο αυτό εντοπίζει τις απαιτήσεις ιδιωτικότητας που πρέπει να πληρούνται στις υπηρεσίες κοινωνικής δικτύωσης και καθοδηγεί την υλοποίηση τους, λαμβάνοντας υπόψη όλους τους εμπλεκόμενους. Το συγκεκριμένο πλαίσιο δύναται να εφαρμοστεί και σε άλλες διαδικτυακές υπηρεσίες όπου λαμβάνουν χώρα επικοινωνίες και συνυπάρχουν ιδιωτικές και δημόσιες σφαίρες, ενώ αποτελείται από τρεις πυλώνες: α) ανάλυση της ιδιωτικότητας στις υπηρεσίες κοινωνικής δικτύωσης χρησιμοποιώντας μοντέλα επικοινωνίας, ώστε να αναδειχθούν οι οντότητες που λαμβάνουν μέρος στην επικοινωνία και οι τύποι των προς προστασία προσωπικών δεδομένων, β) ανάλυση απαιτήσεων ιδιωτικότητας στις υπηρεσίες κοινωνικής δικτύωσης με ανάλυση των κινδύνων και γ) οδηγίες για την εκπόνηση εκτίμησης αντικτύπου αναφορικά με την ιδιωτικότητα. Στην προσέγγισή μας, όλοι οι εμπλεκόμενοι στις υπηρεσίες κοινωνικής δικτύωσης θεωρούνται υπεύθυνοι για την προστασία της ιδιωτικότητας των χρηστών και προτείνονται απαιτήσεις ιδιωτικότητας για τον πάροχο της πλατφόρμας, τους χρήστες και τις τρίτες οντότητες που εμπλέκονται (ερευνητικό ερώτημα 1). Επίσης, προτείνουμε την εφαρμογή αυτής της προσέγγισης και στο πλαίσιο μιας PIA και παρέχουμε ολοκληρωμένες οδηγίες για την εκπόνησή της, συμπεριλαμβανομένου ενός οργανωτικού σχήματος και ενός πλαισίου αξιολόγησης για μεθόδους PIA (ερευνητικό ερώτημα 2). Η παρούσα Διατριβή συνεισφέρει στην έρευνα της ιδιωτικότητας στις υπηρεσίες κοινωνικής δικτύωσης: α) προτείνοντας μια προσέγγιση όπου όλοι οι εμπλεκόμενοι είναι υπεύθυνοι για την προστασία της ιδιωτικότητας. Η ανάλυση διευκολύνεται με την αναπαράσταση της λειτουργικότητας των υπηρεσιών κοινωνικής δικτύωσης ως μοντέλα επικοινωνίας, όπου η έννοια του μηνύματος επεκτείνεται ώστε να συμπεριλάβει όλους τους τύπους διαμοιραζόμενων προσωπικών δεδομένων. β) Προτείνοντας μια προσέγγιση για ανάλυση απαιτήσεων ιδιωτικότητας με βάση τις απειλές, που μπορεί να εφαρμοστεί σε περιβάλλοντα όπου συνυπάρχουν δημόσιες και ιδιωτικές σφαίρες. γ) Προτείνοντας μια ολοκληρωμένη λίστα απαιτήσεων ιδιωτικότητας για τα μοντέλα επικοινωνίας μέσω των υπηρεσιών κοινωνικής δικτύωσης, οργανωμένες ανά εμπλεκόμενο. δ) Παρέχοντας οδηγίες ώστε οι πλατφόρμες κοινωνικής δικτύωσης να ενσωματώσουν πρακτικές αύξησης της επίγνωσης των χρηστών για την ιδιωτικότητα, επεκτείνοντας τις απαιτήσεις ιδιωτικότητας για τους παρόχους τέτοιων υπηρεσιών. ε) Παρέχοντας ένα πλαίσιο ώστε οι χρήστες να αξιολογούν την αποτελεσματικότητα των εργαλείων προστασίας της ιδιωτικότητας που προτείνονται από τις πλατφόρμες κοινωνικής δικτύωσης. στ) Διερευνώντας πτυχές της ιδιωτικότητας που αναφέρονται στη συμπεριφορά του χρήστη, όπως παράγοντες που επηρεάζουν τη χρήση εργαλείων προστασίας της ιδιωτικότητας, και παρέχοντας τα θεμέλια για περαιτέρω έρευνα και ανάλυση, για το σχεδιασμό εργαλείων που θα λάβουν αποδοχής των χρηστών. ζ) Παρέχοντας ένα πλαίσιο αξιολόγησης μεθόδων PIAs. Το πλαίσιο αυτό μπορεί να χρησιμοποιηθεί τόσο από επαγγελματίες που εκπονούν PIAs ώστε να αποφασίσουν αν μια προτεινόμενη μέθοδος παρέχει επαρκή καθοδήγηση σύμφωνα με τις ανάγκες τους, βάσει της εμπειρίας τους και του νομικού περιβάλλοντος του υπό εκτίμηση έργου, αλλά και από Αρχές προστασίας προσωπικών δεδομένων και από ερευνητές που σχεδιάζουν νέες μεθόδους. η) Προτείνοντας ένα οργανωτικό σχήμα, που περιγράφει την ανάθεση ρόλων και αρμοδιοτήτων στις PIAs και τονίζει τις κύριες αλληλεπιδράσεις μεταξύ τους, ώστε να καθοδηγήσει τους επαγγελματίες στην οργάνωση ενός τέτοιου έργου και στην ενεργοποίηση όλων των απαραίτητων εμπλεκομένων. θ) Παρέχοντας πρακτικές οδηγίες σε όσους εκπονούν PIAs, οργανωμένες υπό μια ολοκληρωμένη μέθοδο. Η μέθοδος αυτή τους καθοδηγεί σε όλα τα στάδια της εκτίμησης αντικτύπου αναφορικά με την ιδιωτικότητα και αναδεικνύει περιοχές όπου χρειάζεται περισσότερη έρευνα, όπως οι μετρικές για την εκτίμηση του ρίσκου. Μιας και στις υπηρεσίες κοινωνικής δικτύωσης διαμοιράζεται μεγάλος όγκος προσωπικών δεδομένων, καταλήγουμε ότι υπάρχει συνεχής ανάγκη για διερεύνηση των εμπλεκομένων σε αυτές και του ρόλου που κατέχουν σε νέα αναδυόμενα μοντέλα λειτουργικότητας, ώστε να εξασφαλίζεται η προστασία της ιδιωτικότητας από το σχεδιασμό τους. Επίσης, η Διατριβή αυτή αναδεικνύει την ανάγκη για περαιτέρω έρευνα των τεχνολογιών και των εργαλείων προστασίας της ιδιωτικότητας, τόσο από την πλευρά της τεχνολογίας όσο και από την πλευρά του χρήστη, για την ανάπτυξη εργαλείων που θα παρέχουν επαρκή προστασία και θα είναι ελκυστικά για τους χρήστες των υπηρεσιών κοινωνικής δικτύωσης, για τον ορισμό σχεδίων ιδιωτικότητας (privacy patterns) που θα βοηθούν τους σχεδιαστές στην υλοποίηση των απαιτήσεων, καθώς και για εργαλεία που θα υποστηρίζουν και θα αυτοματοποιούν την εκτίμηση αντικτύπου αναφορικά με την ιδιωτικότητα.
scite is a Brooklyn-based organization that helps researchers better discover and understand research articles through Smart Citations–citations that display the context of the citation and describe whether the article provides supporting or contrasting evidence. scite is used by students and researchers from around the world and is funded in part by the National Science Foundation and the National Institute on Drug Abuse of the National Institutes of Health.
customersupport@researchsolutions.com
10624 S. Eastern Ave., Ste. A-614
Henderson, NV 89052, USA
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Copyright © 2024 scite LLC. All rights reserved.
Made with 💙 for researchers
Part of the Research Solutions Family.