This is a beginning

论文阅读

USENIX SUPOR: Precise and Scalable Sensitive User Input Detection for Android Apps

abstract
  • 主要描述做了一个工具 SUPOR,一个对于用户输入的静态检测工具。
Introduction
  • 之前的研究主要集中于智能手机中被操作系统以及架构 API 所管理涉及的隐私信息。忽略了用户的输入,现在很多 app 要求用户输入各种,所以对于用户的输入不能忽视。
  • 主要的识别隐私用户输入的挑战
    • 如何系统识别用户的输入域在 app 的 UI 中
    • 如何识别哪些输入域是敏感的
    • 如何将敏感输入字段与存储他们 value 的应用程序中的变量相关联
  • 分析 UI 隐私分析输入区域通过利用UI渲染,几何布局分析和NLP技术。

~问:关于这个输入点这个地方,他假设说的是用 HTTP 明文传输。我就在想如果输入点输入的东西用 HTTPS 或者加密了的话,这个寻找输入点是不是没有意义呀~

An Empirical Evaluation of GDPR Compliance Violations in Android mHealth Apps

  • GDPR 三种违规行为
    • 隐私策略不完整
    • 数据收集的不一致
    • 数据传输的不安全
  • 一个是 privacy policy 完整情况,一个是数据的收集范围,一个是传输方式的安全性
  • 对于 GDPR 的对照检测只是做到了基本要求,还有其他可以检测的地方
  • NLP 技术使用一般,但是他有隐私政策语料库
  • 技术大杂烩的感觉,不过整体方案挺完整的感觉

Polisis: Automated Analysis and Presentation of Privacy Policies Using Deep Learning

  • 整体实现了一个隐私政策查询系统以及一个问答系统,缺乏可用的、可扩展的工具来处理隐私策略的广度和深度
  • privacy icons
  • 分层次架构
  • ![image-20201116112805125](/Users/lookup/Library/Application Support/typora-user-images/image-20201116112805125.png)

KnIGHT: Mapping Privacy Policies to GDPR

  • 自动对应 privacy policies 与 GDPR,看他符合哪一个片段。
  • 里面有一些工具可以用

学术规范与论文

  • 数学非常重要、研究兴趣、积累论文(数量、质量)
  • 论文精读要达到抛开论文能自己完成所有的推导,自主完成复现,最少 5 遍以上
  • 确定具体研究点、研究的持续性、给予足够重视、积极参与学术活动
  • 标题
    • 反映核心技术
    • 尽量精炼简洁
  • 摘要
    • 标题的扩充
    • 覆盖亮点、出发点、效果
  • 引言
    • 摘要的扩充
    • 研究背景
    • 提出问题及原因
    • 文献调研
    • 本文贡献
  • 参考文献
    • 作者、标题、刊物/会议名称、卷号、页数、月份、年份
    • 不同领域对于参考文献的要求不同
  • 复稿——10遍左右
    • 第二遍细改,理清思路
    • 第三遍速读,调整逻辑
  • 与审稿人打交道
    • 批判接受意见
    • 心存感激
    • 学会忍耐
  • 逻辑、语言、数学(GRE 内容)
  • 一定要主动找老师
  • 实验过程->结果与讨论->结论->引言
  • 返修,按审稿人的问题逐条回复。列出改动的地方,并在正文中标记

GDPR 与 个人信息保护法 对比

  • 目录

    • GDPR 个人信息保护法
      一般规定 总则
      原则 一般规定
      数据主体的权利 敏感个人信息的处理规则
      控制者和处理者 国家机关处理个人信息
      个人数据转移 个人信息跨境
      独立监督机构 个人信息处理活动的权利
      合作和一致性 个人信息处理者的义务
      责任和处罚 个人信息保护职责的部分
      有关特定加工情况的规定 法律责任
      委派行为和执法行为 附则
      最后条款
  • 个人数据定义相似,已识别或可识别的自然人有关的各种信息。其中草案定义不包括匿名化的信息。

  • “处理”的定义,GDPR 定义为对个人数据或个人数据集执行的任何操作或一组操作。草案没有明确定义只是列举了几个操作。

  • 敏感个人数据定义有所不同

    • GDPR 将敏感个人数据定义为 “特殊类别的个人数据”。种族或民族出身、政治观点、宗教或哲学信仰(或信仰缺失)、工会会员资格、健康,性生活、性取向、生物特征。
    • 一旦泄露或者非法使用,可能导致个人受到歧视或者人身财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪
  • 数据保护原则

    • GDPR:合法公正透明、目的限制、数据最小化、准确性、存储/保留限制、完整性和保密性
    • 草案:合法公正透明、目的限制、数据最小化、准确性、完整性和保密性
  • 个人主体权利来说,GDPR覆盖面大于草案

    • GDPR:访问权、纠正权、删除权(被遗忘的权利)、限制处理权、被通知权、携带权、数据可携带权、反对权
    • 草案:访问权、纠正权、删除权、被通知权
  • 自动化决策

  • ![image-20201123112324002](/Users/lookup/Library/Application Support/typora-user-images/image-20201123112324002.png)

  • 整体来说,草案在严谨性以及覆盖面不及 GDPR

个人信息保护法自动化分析小demo

  • 隐私策略的完整性
  • 数据收集的一致性
  • 创新点:删除权

####