Cách hoạt động của Nhãn quyền riêng tư (theo lý thuyết)
Khi nhà phát triển gửi ứng dụng lên App Store, họ điền vào một biểu mẫu quyền riêng tư. Họ khai báo: dữ liệu nào họ thu thập (liên hệ, vị trí, dữ liệu sử dụng, v.v.), có liên kết với danh tính của bạn không, có dùng để theo dõi không và có chia sẻ cho bên thứ ba không. Thông tin này xuất hiện trong App Store như một "nhãn dinh dưỡng" quyền riêng tư của ứng dụng. Ý tưởng là minh bạch — cho phép người dùng so sánh các ứng dụng trước khi tải xuống. Trong thực tế, nó hoàn toàn dựa vào trung thực của nhà phát triển. Và hậu quả của việc báo cáo sai lệch là rất nhỏ.
Nghiên cứu: Nhãn vs. Thực tế
Nhiều nghiên cứu đã kiểm tra độ chính xác của Nhãn quyền riêng tư trong App Store: Các nhà nghiên cứu tại Mozilla phát hiện rằng một tỷ lệ đáng kể các ứng dụng phổ biến không phù hợp với các thực hành thu thập dữ liệu thực tế của chúng. Nhiều ứng dụng thu thập nhiều dữ liệu hơn so với những gì họ khai báo. Phân tích của Washington Post cũng phát hiện ra các khác biệt tương tự — các ứng dụng tuyên bố "không thu thập dữ liệu" nhưng thực tế truyền tải ID thiết bị, dữ liệu vị trí và phân tích sử dụng. Vấn đề căn bản: Không có xác minh tự động. Apple kiểm tra chức năng và an toàn của ứng dụng, nhưng việc kiểm tra hệ thống tất cả các tuyên bố về quyền riêng tư so với hành vi mạng thực tế sẽ cần theo dõi các kết nối của từng ứng dụng.
Tại sao nhà phát triển làm sai
Không phải lúc nào cũng cố ý lừa dối. Nhiều nhà phát triển thậm chí không biết chính xác những gì ứng dụng của họ gửi: SDK của bên thứ ba là thủ phạm lớn nhất. Một nhà phát triển tích hợp SDK báo cáo lỗi, và SDK này gọi về dữ liệu thiết bị, mẫu sử dụng và đôi khi vị trí. Nhà phát triển có thể không biết toàn bộ phạm vi thu thập dữ liệu của SDK. Các dịch vụ phân tích thường thu thập nhiều hơn những gì nhà phát triển cấu hình. Ngay cả một sự kiện "truy cập trang" đơn giản cũng có thể chứa mô hình thiết bị, phiên bản OS, độ phân giải màn hình, múi giờ và ngôn ngữ. Biểu mẫu quyền riêng tư phức tạp và đôi khi mơ hồ.
Cách xác minh những gì các ứng dụng thực sự làm
Đừng dựa vào Nhãn — hãy xác minh hành vi. Có nhiều phương pháp: Giám sát mạng là phương pháp đáng tin cậy nhất. Một công cụ như NetMute theo dõi mọi kết nối mà các ứng dụng của bạn thiết lập và xác định các trình theo dõi, dịch vụ phân tích và mạng quảng cáo đã biết. Nó cung cấp cho mỗi ứng dụng một Điểm An Toàn Riêng Tư dựa trên hành vi thực tế — không dựa trên các tuyên bố tự báo cáo. Điều này hoàn toàn khác biệt so với việc đọc Nhãn Riêng Tư. Nhãn cho biết những gì nhà phát triển TUYÊN BỐ. Giám sát mạng cho thấy những gì ứng dụng THỰC SỰ ĐANG LÀM. Nếu hai điều này không khớp nhau, dữ liệu mạng luôn chính xác hơn.
Những gì bạn nên làm
1. Đừng hoàn toàn bỏ qua Nhãn Riêng Tư. Chúng hữu ích như một chỉ số cơ bản. Một ứng dụng khai báo thu thập dữ liệu rộng rãi, ít nhất là trung thực. 2. Xác minh bằng cách giám sát mạng. Sử dụng một công cụ như NetMute để kiểm tra những gì các ứng dụng đã cài đặt của bạn thực sự gửi. 3. Hãy hoài nghi với "không thu thập dữ liệu". Đây là nhãn ít chính xác nhất. Gần như mọi ứng dụng đều thu thập dữ liệu qua SDK tích hợp. 4. Kiểm tra Điểm An Toàn Riêng Tư. App X-Ray của NetMute cung cấp điểm dựa trên hành vi mạng thực tế. Một ứng dụng tuyên bố quyền riêng tư tuyệt vời nhưng có điểm thấp, đang nói dối. 5. Bình chọn bằng tiền của bạn. Nếu bạn phát hiện một ứng dụng có Nhãn Riêng Tư gây hiểu lầm, hãy chuyển sang một lựa chọn khác.