【USENIX论文阅读】Day1

本文主要是介绍【USENIX论文阅读】Day1，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

How Are Your Zombie Accounts? Understanding Users’ Practices and Expectations on Mobile App Account Deletion

Yijing Liu1 Yan Jia1,∗ Qingyin Tan1 Zheli Liu1,∗ Luyi Xing2

摘要

账户删除是用户行使删除权利的重要方式。然而，关于移动应用中账户删除的易用性评估，迄今为止的研究工作较少。在本文中，我们进行了一项包含647名参与者的在线调查，涵盖了两个国家，并额外进行了20名参与者的现场访谈，以探索用户对移动应用账户删除的意识、实践和期望。这些研究基于我们提出的账户删除模型，该模型是从对60款移动应用的实证测量中总结出来的。结果显示，尽管账户删除需求很高，但由于缺乏意识，用户通常实际上保留着僵尸应用账户。此外，用户对账户删除的理解和期望与许多应用的当前设计在许多方面不同。我们的发现表明，当前缺乏规则的实现让消费者在删除过程中感到不便，尤其是隐藏的入口和复杂的操作步骤，甚至阻碍了不少用户行使账户删除的权利。最后，我们为使移动应用账户删除对消费者更加易用提供了一些建议。

1 引言

移动应用在多年前就已超越个人电脑互联网使用量。截至2021年的统计数据显示，谷歌播放商店上的应用超过三百万个，苹果商店上的应用有两百万个，这些应用由不同的供应商开发。智能手机在日常生活中扮演着重要角色，人们多年来积累了长长的应用账户列表。为了更好地服务用户，应用供应商收集并存储了大量用户的个人信息，这引发了严重的安全和隐私担忧。因此，世界各地的许多地区都通过了数据保护法律，例如欧盟的通用数据保护条例(GDPR)、美国加利福尼亚州的消费者隐私法案(CCPA)以及中国的个人信息保护法(PIPL)，这些法律明确赋予人们管理个人信息的权利。

拥有个人数据被删除的权利是隐私保护的重要权利之一，例如GDPR中的“被遗忘权”(第17条)、CCPA中的“消费者删除个人信息的权利”，以及PIPL中的“请求删除权”(第47条)。因此，供应商设计了机制，以便客户在必要时行使其删除权。用户可以选择性地删除他们的特定数据，如在谷歌服务上的活动数据以及在社交平台如Facebook上的帖子。先前的研究探讨了用户对这类主动数据删除的理解和实践，包括在线数据、云数据以及旧设备中的数据。然而，很少有工作研究用户对账户删除的理解，这也是当用户停止使用应用时，供应商为行使RTD（删除权）而设计的重要机制。

【动机】遗漏的账户删除导致“僵尸账户”的扩散，这可能引发严重的安全和隐私后果。一些实质上已经废弃的平台，如Myspace和Google+，遭受了数据泄露，影响了数千万可能多年未使用这些平台的用户。这些不再使用的账户会使用户的在线记录和个人信息长时间被保存，增加了个人信息泄露的风险。

一些先前的工作讨论了Web上数据删除的设计和用户视角。然而，移动应用中的用户界面和所需操作与Web有关键差异，这导致用户全面理解和完成账户删除程序的新挑战，从而产生新的隐私含义。例如，卸载应用可能会使用户与账户删除混淆，跨应用操作可能会使用户感到烦恼（第6.3节）。此外，在现实世界中，不同应用供应商设计的账户删除过程是异质的，缺乏标准实践。例如，Instagram应用没有账户删除按钮。用户需要从浏览器访问“删除账户页面”。对于Affirm应用，用户必须写电子邮件给应用供应商来删除他们的账户。最近，苹果发布了一项新政策，要求所有供应商在2022年1月31日之前提供应用内账户删除路径。

我们的研究。在本文中，我们首次尝试理解用户在移动应用账户删除上的视角和实践。我们进行了一项包括两个国家（美国279人和中国368人）的647位参与者的在线调查，以及额外的20位参与者的现场访谈，以探索用户对账户删除的意识、实践和期望。设计的问卷是基于我们对60个热门应用的账户删除过程的实证测量（第4节），首次提出了移动应用账户删除的全视角模型。我们的发现回答了以下研究问题：

研究问题一：[必要性与意识] 在日常生活中，删除账户是否必要，用户是否意识到通过删除账户来保护数据？
在我们的在线调查中，大多数参与者愿意采取行动保护他们的个人数据（89%），并且不希望在不再使用应用程序时，应用程序供应商继续使用他们的数据（95%）。然而，相当一部分参与者（75%）可能保留了应该被删除的账户，这揭示了删除账户对用户来说是必要的，但用户的实际做法与他们对数据保护的渴望相矛盾。我们的结果强调，需要严肃提高公众对账户删除的意识。

研究问题二：[实践与理解] 有多少用户实际上执行了移动账户的删除，他们如何理解它？
在线调查显示，超过一半的参与者（55%）有成功的账户删除经验，尽管“僵尸账户”广泛存在，而大约三分之一的参与者从未尝试删除账户，主要是由于不知道账户删除的存在。同样值得注意的是，账户删除操作的不友好设计显著地阻碍或阻止了相当数量的参与者删除账户。此外，我们发现有删除账户经验的参与者倾向于阅读相关说明，而大多数人通常不理解或不相信账户删除的真正效果。

研究问题三：[感受与期望] 现代移动应用中的账户删除设计是否满足用户的期望？
我们通过在线调查和额外的线下访谈来研究这个问题，线下访谈能更好地了解用户的即时感受。大多数参与者在删除过程中感到不便，特别是难以找到的入口点和复杂的操作步骤。最常提到的想法是简化账户删除，“我只希望它易于找到并处理。”70%的参与者认为现有的账户删除设计不能满足他们的期望。用户和应用之间差距的潜在原因是缺乏账户删除的标准，这是我们研究中发现的。

贡献。本文的贡献如下：

揭示了新问题。本研究首次从用户角度理解移动账户删除，我们的用户研究揭示了一个新问题：删除权利受到高度需求，但用户通常忽略了执行该权利的重要方式——账户删除。因此，应采取新的努力帮助用户行使他们的删除权利。
确定了新的设计差距。我们对六十个典型应用进行了实证测量研究，并据此得出了一个账户删除模型，基于该模型，我们进行了在线用户调查和线下访谈，了解用户对应用账户删除的感受和期望。结果显示，今天的应用账户删除设计过于复杂，不能满足大多数用户的期望。
提出了新建议。基于调查结果和用户的开放式回应，我们为设计师和供应商提出了几项建议，以提高用户对删除权的意识，并帮助他们以更可用的方式更好地行使账户删除权，这有助于更好地保护用户的数据安全和隐私。

2 背景

2.1 删除权

许多国家和地区已经制定了法律来保护个人的数据，限制收集和处理数据的公司和商业机构。删除权（RTD）在全球范围内得到了广泛认可。在某些条件下，信息主体有权要求信息控制者删除其个人信息，信息控制者有义务进行删除。2018年5月，欧盟的通用数据保护条例（GDPR）规定了“被遗忘权”（RTBF），其中包含了RTD的含义。与RTBF相比，RTD在世界其他地区的数据保护法律中有更广泛的规定。例如，加利福尼亚消费者隐私法案（CCPA）和个人信息保护法（PIPL），分别于2020年8月和2021年11月在美国加利福尼亚州和中国获批。这些法律都授予用户向供应商提出经过验证的请求以删除其个人数据的权利。尽管不同地区的RTD内容可能略有不同，但本工作主要关注共同的、核心的概念，并使用RTD这一术语。即，RTD通常要求，如果用户请求供应商删除其个人数据，供应商在大多数情况下都有法律义务删除请求者的个人信息。

2.2 账户删除

为遵守数据保护法律，应用程序供应商提供了用户管理其数据的机制。实时数据（RTD）的实现从消费者删除与其个人资料相关的某些信息的能力，到账户删除请求表格不等。当用户决定不再使用某个应用程序，或不再希望访问其个人资料、好友、照片等时，他或她可以使用账户删除功能，要求应用程序供应商删除属于该账户的大部分数据，这通常包括个人身份信息和账户信息，如昵称和浏览历史。一旦收到请求，应用程序供应商就会删除或匿名化该账户的数据。

账户删除几乎被所有常见的应用程序支持，并通常在隐私政策或帮助中心中说明。然而，由于缺乏标准和应用程序的多样性，不同的供应商可能有不同的账户删除设计和实现。例如，供应商对账户删除的效果描述各不相同。根据Spotify的政策，“我们将删除或匿名化您的个人数据，使其不再能识别您，除非我们被要求保留某些内容，或我们仍然需要出于合法的正当理由使用它。”相比之下，Facebook更清楚地解释了哪些内容将被删除或保留：“我们删除您发布的东西，如您的照片和状态更新，您将无法在以后恢复那些信息。其他人分享关于您的信息不属于您的账户，不会被删除。”账户删除过程的实现也各不相同。WhatsApp用户可以通过在移动应用中点击“更多选项 > 设置 > 账户 > 删除我的账户”找到账户删除入口并完成删除，如图1所示，而Instagram用户必须访问浏览器中的账户页面来进行账户删除。基于我们的这一观察，我们对六十个流行应用进行了实证测量研究，以更好地理解和概括当今不同供应商开发的账户删除实践（第4节）。

3 相关工作

隐私选择。通常认为，用户可以在网站和移动应用程序中对隐私设置进行选择或配置，自行决定其数据的收集、使用、共享和保留。数据删除通常被认为是隐私选择的一部分。在Web环境下，Sathyendra等人[和Kumar等人提出了基于机器学习和自然语言处理的方法，从隐私政策中提取隐私选择，以帮助用户发现网站的设置。除了隐私政策分析外，Habib等人在2019年对150个网站进行了实证研究，评估了隐私选择设计的可用性和交互路径，发现了几个可能使用户难以找到或行使其选择的问题。在移动应用的环境中，一些工作关注于隐私设置推荐。只有Chen等人从用户的视角关注应用内隐私设置。他们开发了一个自动分析工具来识别隐私设置的用户界面，并发现三分之一的应用中的隐私设置是隐藏的。

与许多关于一般隐私选择的先前工作相比，少数文献系统地研究了数据删除，并特别关注于Web。相比之下，我们的工作关注于现代移动应用的账户删除。特别是，我们的研究首次全面评估了移动应用的账户删除设计（第4节），并揭示了移动应用中账户删除的用户界面设计和所需用户操作是不同的（第6.3节），这给用户完全理解和完成账户删除程序带来了新的挑战，因此产生了新的隐私含义或甚至法律合规问题。值得注意的是，我们的系统研究基于一个新的、概括性的移动应用账户删除模型，这对于进一步指导我们更好地调查用户在移动环境中的意识、实践和期望至关重要。

用户对数据删除的认知。据我们所知，很少有先前的工作关注这一领域，可能是因为“被遗忘的权利”(RTBF)最近才被法律承认，例如，2018年的GDPR。在此之前，Herrmann等人量化了在德国访问个人数据的权利的有效性。他们发现，对于应用程序和网站，只有52%到57%的账户删除请求得到了供应商的满意回应。Mangini等人首次研究了用户对GDPR“被遗忘权”的看法。他们显示，包括被遗忘权条款在内的GDPR的实施成本高且难以执行。Murillo等人探讨了用户对在线数据删除的理解，并识别了在线删除的两个主要观点：基于用户界面(UI-Based)和后端意识(Backend-Aware)。Habib等人通过用户研究评估了网站隐私选择的可用性，揭示了设计对消费者来说难以在实践中执行。一些工作关注用户对某个删除功能的感知。例如，分别关注社交媒体上的帖子和通信应用上的消息，而关注云端存储的数据。除了在线服务，Hassan Khan等人调查了用户对旧设备数据删除以供处置的实践。

相比之下，我们关注移动应用开发的账户删除功能，这是行使RTD的一个重要方式，但在Web上的研究比较少。我们提供了第一个系统的研究和方法论，据我们所知，以识别现代移动应用账户删除设计与用户实践和期望之间的差距，这补充了以往的研究。基于新的理解，我们进一步在移动环境中提供新的见解和建议，以解决可用性问题，有效地行使账户删除并实现RTD。

4 预研究

由于账户删除方面没有明确的法规，不同厂商的实践各异。为了回答研究问题2和研究问题3，在探索用户对账户删除态度的第一步中，我们需要全面了解厂商的账户删除实践。在这一部分中，我们进行了一项实证研究，对应用程序账户删除实践进行了测量，并总结了一个通用的账户删除流程模型。

4.1 方法论

为了总结普通应用程序的账户删除实践，我们首先挑选了中国和美国的六十款应用程序（完整列表已在线发布）。其次，我们使用新的智能手机、电子邮件地址和电话号码手动探索和记录这些应用程序的整个删除过程。最后，我们根据观察到的情况以及提供“如何删除在线账户”信息的教程网站，总结了整个过程。

对于中国而言，由于没有一个主导的应用商店，我们选择了来自四个主要智能手机制造商提供的高度流行的应用商店的热门应用，即小米、华为、Oppo和Vivo。为了应对四个应用商店中不同的应用受欢迎程度排名，我们利用了一种简单的加权方法，为这些应用商店中的热门应用分配标准的受欢迎程度分数。具体而言，对于每个商店的前200个应用，我们根据排名（例如，前10名：20，11-20名：19，191-200名：1）递减地分配分数（20至1）。应用的最终受欢迎程度分数是四个应用商店中所有分数的总和。例如，如果一个应用在三个商店中都排名前10，在另一个商店中排名11-20，那么它得到的分数为79。在对每个商店的前200个应用进行评分并去重后，我们总共得到了372个应用。我们根据受欢迎程度得分排名将这些应用分为三组，几乎均匀地随机从每组中抽取10个应用。

对于美国，我们选择了谷歌Play的“免费前200名应用”列表作为受欢迎的指标。基于中国应用商店的应用受欢迎程度排名，一部分应用并列排名。为了在美国和中国应用商店中的应用分布之间更好地保持一致性，我们将应用分为三个受欢迎程度类别（中间排名的应用略多一些）：高（排名1-65），中等（排名66-135）和低（排名136-200），并随机从每组中选择10个作为样本。

总体而言，我们从中国和美国的应用商店中抽取了60个应用。所有排名列表均在2021年10月获得，我们的结果可能仅限于研究和市场排名列表的特定时间窗口。

【探索过程】通过新的手机、电子邮件地址和电话号码，我们仔细探索了这些抽样应用的完整账户删除过程。对于每个应用，我们注册了一个新账户，并像普通用户一样使用了至少半小时，例如填写个人资料信息、发布文章和浏览新闻。然后，我们开始删除账户，并特别关注整个操作过程（应用内和应用外）以及实验期间与账户删除相关的所有文本解释。特别是，我们记录了与账户删除相关的操作步骤、删除账户的条件以及任何弹出的通知或说明，不仅限于这些内容。在这个过程中，我们尝试总结出一个账户删除模型。这是由专家根据观察一部分应用的账户删除实践首次提出的。然后，不同的研究人员在其他应用上验证了该模型，并将不一致之处反馈给专家以继续调整模型，直到它能够匹配所有测试应用。

这篇关于【USENIX论文阅读】Day1的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！