2023年顶会成果 | 针对企业安全软件隐私问题的用户调研

开放隐私计算 2024-01-09

加南大圭尔夫大学的四名学者斯蒂格曼（Jonah Stegman）、特罗蒂埃（Patrick J. Trottier）、希利尔（Caroline Hillier）与翰（Hassan Khan）和康考迪大学的曼楠教授（Mohammad Mannan）在USENIX 2023会议发布了”针对企业安全软件使用的用户调研”报告。

概述

员工经常需要在公司和个人设备上使用企业安全软件（Enterprise Security Software，“ESS”）。而ESS 产品会收集用户的活动数据，包括用户的位置、使用的应用程序和访问的网站。作者对258名ESS 用户进行了线上问卷调查，对22名用户进行了访谈，以了解他们在使用ESS软件对隐私保护的认知。

调查结果显示，发现员工对ESS数据收集知之甚少，且存在误解；一些人低估了数据收集的范围，一些员工明白为了安全需要收集数据，但沟通不畅和含糊不清的数据收集条例导致员工对ESS和公司信任下降。

研究给出了改进的建议,收集了对隐私声明和数据收集范围的反馈。这项工作将有助于ESS开发商、雇主和研究人员在ESS市场中保护用户隐私。

背景

笔记本电脑和智能手机的普及导致企业数据的存储、处理和访问方式发生了变化，越来越多的员工使用自己的设备工作，同时根据一项调查显示，有85%的美国公司允许员工自带设备。与此同时，公司采用各种企业安全软件 (ESS) 解决方案，例如端点检测和响应 (EDR) 和安全访问服务边缘 (SASE)，以保护这些设备上的企业数据并监控员工行为。而这一行为现在还缺乏相应法律法规的监管，如欧盟的GDPR侧重客户的隐私保护，忽略了员工的隐私保护。

线上调研收回的585次用户使用ESS软件报告显示，8%的情况下未告知员工会收集数据，而被告知被收集数据的员工中有59%低估了数据的收集量。
员工最关心的问题是数据的收集范围(即数据源)和收集时间
14%的参与者表示：他们的ESS缺乏对隐私数据的管理能力。同样，36%的访谈参与者表示：ESS在收集数据时缺乏明显提醒。
访谈结果揭示：因为公司和员工缺乏沟通以及ESS模糊的数据收集的做法导致员工、ESS开发商和雇主之间的信任下降。
参与者针对ESS提出了改进建议，以便ESS开发商和企业努力改善ESS的隐私收集现状。

线上问卷调查

表1：线上调查的成员信息统计表

表1显示，42% (109/258) 的参与者为女性，58% (149/258) 为男性。71% (184/258)参与者来自加拿大，其余来自美国，参与人员年龄集中在26-40岁，且超过三分之二的参与者拥有 IT 经验； 90% (233/258) 的参与者至少拥有本科学位。

线上调查共收到了 492 结果，其中 258份通过了审核。 21/258 名参与者来自 Kijiji 和 Reddit，237/258 名参与者是通过我们的 LinkedIn 和 Facebook 链接收集的，每份调查的平均完成时间为 8 分 40 秒。

调查的主要目的是了解用户在使用ESS时对数据收集做法及相应隐私影响的看法，调查共列出32中ESS软件，用户最多可填写3个使用过的ESS软件信息。

图1：调查参与者使用不同ESS方案的频度统计

图1显示，Cisco AnyConnect 安全移动客户端、BlackBerry Optics、 Cato SASE 和 Cisco SASE是使用数量最多的4类ESS。

图2：用户与ESS交互的分布

图 2 显示了用户与 ESS 交互的分布，根据所传达的信息类型（即 ESS 的用途、提供的功能以及使用的数据源）进行分类，同时利用卡方检验发现，公司的规模对员工使用ESS的培训（即知道ESS“它做什么”和“它提供的功能”）有着显著影响。数据表明，公司规模为 1-10 名和 11-50 名员工的参与者比对ESS的了解都不如公司规模为 51-100 人的员工（均为 p < 0.008）。

图3：用户探索ESS软件和企业告知ESS软件功能对比

在图 3 中，显示了ESS 与用户交互的百分比，对比了参与者报告自己探索和ESS或者公司培训在不同信息源的交互比较。其中“文件上传”和其他信息源之间存在显着差异（所有 p < 0.005），这意味着员工更有可能通过公司或 ESS 了解“文件上传”。

图4：调查参与者对 ESS 不同活动的接受度报告

图4表明，大多数人对ESS的五项活动的都表示可以接受，其中所有受访者对一项或多项数据收集活动持中立态度或感到满意，但也有27% (70/258) 对至少一项数据收集活动感到不舒服。

图5：参与者对ESS的隐私偏好收集的看法

大部分人还是可以找到设置ESS隐私偏好收集的选项，但是也有小部分人可能因为找不到设置选项而表示非常担忧。

图6：参与者对ESS隐私信息管理的看法

图6显示，有较多参与者对ESS的隐私管理能力表示信任，同时也有很多参与者担心ESS的隐私管理能力。

半结构化访谈

表2：线下访谈的成员信息统计表

在访谈的在参与者中，六人同意或强烈同意，八人持中立态度，八人不同意或强烈不同意 ESS 提供了足够的隐私控制。同样，较多的受访者在IT 方面有着较高的熟练度，这可能与参与者多为男性有关。

图7：访谈参与者对ESS软件的看法

图 7 显示了参与者在针对ESS的隐私条款和指示器的看法，除一名参与者外，所有参与者都认为隐私声明大部分或非常有效。其中 12/22 的人认为任务栏指示器大部分或非常有效。只有 7/22 的参与者认为定期指标大部分或非常有效，而其中 13/22 的参与者认为应用程序启动指标大部分或非常有效。

图8：不同的指示器（提醒）

与问卷调查的对比

线上问卷调查显示，32% 的被调担心 ESS 存在时的隐私问题。当被问及是否收到有关数据收集的信息时，只有 20% (116/585) 的用户-ESS 交互收到了来自公司的“明确”信息，只有 19% (109/585) 的用户-ESS 交互收到了“明确”信息来自 ESS 本身。这一低百分比让人质疑受访者对 ESS 数据收集实践以及如何使这些实践更加透明的理解。就受访者的舒适度而言，我们注意到大多数参与者愿意分享不同类型的数据，并认为这些工具提供了足够的隐私控制。相比之下，受邀参加采访的部分参与者对 ESS 数据收集表示了更多担忧。造成这种差异的可能原因有几个：

(1) 受邀参加访谈的参与者子集对 ESS 隐私控制的满意度更为平衡；

(2）在访谈过程中，研究者向参与者简要介绍了广告中的功能；

(3)在访谈过程中，研究者重点关注参与者使用的ESS，能力更强，因此收集数据的可能性更高。

建议

用户的隐私观念可能会受到他们对收集哪些数据以及谁可以看到这些数据的理解的影响，ESS 或公司缺乏关于ESS的功能的清晰的介绍是雇员们产生不信任的根源。如果想要更好地推广ESS，对隐私声明进行清晰阐述和对指示器进行改进，公司进行规范地培训必不可少。

END

热门文章:

隐私计算头条周刊（08.21-08.27）

零知识证明的三个典型案例

漫画科普丨隐私计算如何实现数据可用不可见？

好书相赠 | 《元宇宙进化逻辑——用确定性的逻辑诠释不确定的未来》

加入我们丨OpenMPC社区招募实习生

继续滑动看下一个