Il documento esplora i rischi connessi alla privacy nei sistemi di personalizzazione, evidenziando le sfide presentate dall'uso di informazioni sensibili provenienti dai social network. Vengono discusse metodologie per mitigare tali rischi, come l'uso di pseudonimi, controlli utente e approcci ingegneristici per la privacy. Infine, si propone un framework per comprendere e affrontare le preoccupazioni di privacy emergenti nella personalizzazione.

1. Personalizzazione e privacy:
I rischi e le soluzioni legate alla Privacy
nei sistemi di personalizzazione.
Nikola Gluhovic, Monica Menoncin e Karim Abdeselam Canales
Laurea Magistrale in Informatica – Corso di Sistemi Context Aware

2. Indice
 Introduzione
 Nuove sfide legate alla privacy
 Le metodologie per ridurre i rischi legati alla
privacy
 Framework su rischi e soluzioni
 Bibliografia

3. Introduzione

4. Introduzione
 Il WEB è diventato...
◦ Più social
◦ Più mobile
 La personalizzazione ha ampliato e complicato i
rischi e le preoccupazioni per la privacy:
◦ Informazini imbarazzanti
◦ Servizi Web  November 2007 “Facebook
Beacon,” [Story and Stone 2007]
 Survey:
◦ Le preoccupazioni per la privacy sono cresciute
significativamente tra il 2002 e il 2008 [Anton
et al. (2010)] 8.
◦ Il 66% degli americani non vuole pubblicità
personalizzata [Turow et al. (2009)]

5. Nuove sfide legate alla privacy

6. Social-based personalization (1/4)
 Vengono utilizzate le informazioni dei SNS (social network system come
ad es: Facebook, Twitter) nei servizi di customization, social search e
online marketing.
 Implementare la privacy mantenendo la personalizzazione è una grande
sfida siccome gli SNS includono:
 Informazioni sensibili sull’utente (Ex: rilevanti informazioni private)
 Informazioni sensibili dei suoi amici.
 Informazioni che possono creare imbarazzo all’utente.
 Le conseguenze possono essere critiche:
(Forrester Consulting 2008). Nel 2008 l’8% delle compagnie
USA con più di 1000 lavoratori hanno licenziato basandosi
sulle informazioni provenienti da social network.
 Survey di esempio su Facebook:
(Story and Stone 2007)  Facebook Beacon
(Helft and Wortham 2010)  personalizzazione istantanea

7. Social-based personalization (2/4)
 Importante problema riguarante l’utilizzo da
parte di terze parti delle informazioni dei
SNS.
 Esempi:
 (Helft and Wortham 2010).  Facebook Connect
 (Bonneau and Preibusch 2009)  relativa facilità d’accesso verso
le API dei social network pone problemi di privacy per gli utenti.
 (Heymann et al.2008; Dalal 2007), (Paliouras 2012), (Google
2011)  Google +1 e Microsoft Bing

8. Social-based personalization (3/4)
 Crescente sensibilità verso la privacy negli
SNS nel corso del tempo:
◦ Nel 2006 gli utenti di facebook si preoccupano
della loro privacy anche se solo una piccola
minoranza protegge il proprio profilo pubblico.
(Acquisti and Gross 2006).
◦ Nel 2010 la maggioranza degli utenti ha profili
accessibili solo dagli amici. (Stutzman and Kramer-
Duffield 2010).
 Altre Survey ed Esempi:
 (Lewis et al. 2008)  preoccupazioni sulla privacy 
quando le attività si svolgono sui social network 

9. Social-based personalization (4/4)
 Informazioni private possono inavvertitamente
essere condivise sui social network.
 Esempi:
 (Lampinen et al. 2009)  condivisione delle informazioni senza
preavviso all’utente.
 (Mullins 2010)  contatti di Gmail attraverso Google Buzz
 (Palen and Dourish 2003)  controllo della persona pubblica
 (Nissenbaum 2004)  norme sociali
 Ma non tutti gli SNS si comportano allo stesso modo:
(Bonneau and Preibusch 2009), Dwyer et al. (2007), Wang et al. (2011)

10. Behavioral profiling and data
aggregation (1/2)
 “è la pratica di raccogliere dati longitudinali sulle attività di una persona e adattare l'esperienza degli
utenti sulla base di quelle attività”
 Il sistema tiene traccia dei comportamenti
degli utenti con poco o anche senza il loro
consenso.
 La profilazione comportamentale pone diversi
rischi potenziali per la privacy.
 Esempi:
 (Federal Trade Commission 2009)  raccolta di dati
 (Culnan and Milne 2001)  marketing indesiderato per gli utenti
che usano lo stesso computer
 (McDonald and Cranor 2010).  sensazione di essere osservati e
monitorati

11. Behavioral profiling and data
aggregation (2/2)
 Altri problemi: percezione contradittoria degli utenti per esempio riguardo al
Collaborative Filtering (CF):
◦ Solo il 28% trova confortevole che gli inserizionisti utilizzino la cronologia del
web browser. Il 35% crede che la propria privacy sia stata violata nel corso
degli ultimi 2 anni grazie alle informazioni su internet, anche quando la
cronologia di navigazione non è legata al loro nome reale. (TRUSTe and TNS
2009)
◦ Il 66% degli adulti non vuole pubblicità personalizzata. Questa stima sale
all’86% quando i partecipanti vengono informati delle tecniche come l’utilizzo
di cookie di terze parti. (Turow et al. 2009)
 Esempi:
 (Schafer et al. 2007), (Cranor 2003), Nissenbaum (2004).  A proposito di
sistemi CF
 (Culnan and Milne 2001)  ostacoli tecnologici
 Mehta (2006, 2007). campi di descrizione semantica o algoritmi di
apprendimento automatico
 (Tsai et al. 2011)  Le preoccupazione sulla privacy cambiano il
comportamento degli utenti e degli inserzionisti

12. Location-based personalization
 Adozione di smarphone dotati di GPS e Wi-Fi ed incremento della
larghezza di banda.
 L’evoluzione dei dispositivi mobili offre una migliore localizzazione e
servizi basati sulla posizione fisica degli utenti.
 La locazione fisica è utilizzata in molti modi durante la
personalizzazione:
 Aumenta la personalizzazione dei risultati di ricerca
 Servizi di E-commerce
 Altri servizi (ricerca di venditori, annunci personali, meteo…)
 Esempi:
 Tsai et al. (2010) varie preoccupazioni riguardo ai servizi di locazione: l’essere
perseguitati, l’essere seguiti dal capo, l’essere seguiti dal governo e rivelare la locazione della
propria abitazione.
 Benisch et al. (2011) metodi valutati empiricamente per il controllo della privacy in scenari di
condivisione della posizione  tempo e locazione diventano più privati.
 Toch et al. (2010) modelli per la privacy nelle applicazioni che condividono la posizione 
poco confortevoli nel condividere posti meno frequentati.

13. Le metodologie per ridurre i
rischi legati alla privacy

14. Ridurre i rischi sulla Privacy
 Vengono proposti molti metodi nella
letteratura che possono essere utilizzati
per ridurre i rischi legati alla privacy.
 Il problema non viene eliminato, ogni
metodo proposto deve essere rapportato
con l’efficacia del sistema di
personalizzazione.

15. Pseudonymous personalization (1/2)
 Viene utilizzato uno pseudonimo al posto
dell’identità reale delle persone
 Le attività online vengono tracciate su questo
pseudonimo.
 Una persona può avere diversi pseudonimi in
base all’attività (es: lavoro o multimedialità).
 In realtà non è una soluzione molto efficacie: si
può risalire all’identità delle persone.

16. Pseudonymous personalization (2/2)
Esempio sul rischio privacy
Possibilità di trovare l’identità di una persona associando i dati in comune, in
questo caso tramite il CAP, la data di nascita ed il sesso. [Sweeney, 2002]
 A destra i dati medici del
Group Insurance
Commission (GIC),
Massachusetts venduti
all’industria e donati ai
ricercatori.
 A sinistra i dati dei votanti
della città di Cambridge,
Massachusetts.
Attualmente disponibile al
prezzo di 20 dollari.

17. Client-side personalization
 I dati dell’utente sono memorizzati nel client ed anche
il processo di personalizzazione avviene nel client.
Esempio: WHAT (Web Host Access Tool)
[Cassel, 2001].
 L’utente pensa di aver più controllo sui suoi dati e
meno problemi di privacy.
 Problemi: gli attuali sistemi di personalizzazione devono
essere riprogettati per funzionare a livello client e
devono essere protette le logiche di business utilizzate
in questi sistemi.
 Problema aggiuntivo: il livello client-side è meno
protetto da minacce rispetto al server-side.

18. Distribution personalization
 I dati degli utenti
vengono distribuiti
attraverso le macchine
locali.
 Il sistema ricava i dati
degli altri utenti tramite
una rete p2p.
 Viene preservata la
privacy siccome i dati
degli altri utenti, una
volta aggiornato il
modello dell’utente
locale, vengono scartati. PocketLens [Miller et al. 2004]

19. Perturbation and Obfuscation
personalization
 Il metodo di perturbazione
consiste nel modificare i
dati degli utenti
alternandoli prima di
inviarli al database
centrale. [Polat and Du
2003]
 Il metodo di offuscamento
prevede il rimpiazzo con
dati random di una certa
percentuale di dati di ogni
utente. [Berkovsky, 2005]
In questi due casi diventa più difficile identificare gli utenti mantenendo
comunque l’efficacia dei sistemi di personalizzazione.

20. User controls personalization (1/2)
 Scrutability: dare all’utente la possibilità di capire e
controllare gli aspetti del proprio user model. In altre parole
l’utente può decidere quali informazioni sono a disposizione
dei vari servizi e come esse sono utilizzate e mantenute.
Associare data di scadenza
Sistema
Personis Evidenze Compattare
[Kay et al.
2003]
Trasformare
Restringere

21. User controls personalization (2/2)
 Do-not-track: si tratta di aggiungere un
parametro all’HTTP header per specificare la
volontà di non essere tracciati. [Mayer and
Narayanan 2011)]
 User-controllable policy learning : sistema che
utilizza tecniche di machine learning per
predire le preferenze di un’utente sulla base
delle sue decisioni sulla privacy. Nello specifico
il sistema suggerisce impostazioni sulla privacy
e l’utente deve decidere se accettarle o meno.
[Kelley et al. 2008]

22. Framework su rischi e
soluzioni

23. In sintesi
 Le nuove tecnologie presentate hanno
vari impatti sulla privacy
 Un framework può aiutare a
comprendere meglio le nuove sfide e a
modellare approcci migliorativi della
privacy.

24. La privacy nelle fasi di personalizzazione
 Raccolta dati
◦ Es.: localizzazione
 Creazione di un modello utente
◦ Es.: collaborative filtering e machine learning
, abitudine delle aziende di scambiarsi i dati
 Adattamento
◦ Es.: le nuove tecnologie di personalizzazione
distribuiscono il contenuto personalizzato e
adattato per tutto il WEB
[Kobsa ( 2001 , 2007a)]

25. Controllo della privacy
 Le tecnologie che limitano il controllo
dell’utente sulla sua privacy sono
percepite come più intrusive [Awad and
Krishnan (2006)]
 Le tecnologie basate su un alto livello di
automazione pongono maggiori rischi per
la privacy degli utenti

26. Framework
Automatic
Data User –provided Tracking user
context
collection information actions
information
User Model Inference-based Inference-based Collaborative
Creation analysis analysis analysis
To user’s social To the World
Adaptation Only to user
relation Wide Web
More user Less user
control control

27. Progettare sistemi di personalizzazione
 Nella fase di progettazione dei sistemi si
possono distinguere due tipi di approcci
ingegneristici al problema della privacy
[Spiekermann and Cranor (2009)]
◦ Privacy-by-policy:
 Si focalizza sull’implementazione dei principi di notifica e
scelta
 Es.: Do-not-track
◦ Privacy-by-architecture:
 Minimizzano la raccolta di dati personali
 Enfatizzano l’anonimato e il processo e la conservazione
dei dati lato client
 Es.: WHAT

28. Progettare sistemi di personalizzazione
Privacy-by- architecture Privacy-by-policy
Data Client-based
Do-not-track
collection Personalization
Distributed CF
Encrypted
User aggregation Configurable user
Model Pseudonymous Scrutable modeling
Creation personalization Perturbation personalization
and
obfuscation
Social network privacy
Adaptation controls

29. Alcune note
 C’è un tradeoff tra l’utilità del sistema
percepita dall’utente e le preoccupazioni
per la propria privacy
 Le attuali impostazioni della privacy per i
SNS possono essere usate per limitare
l’accesso al contenuto personale, ma non
controllano la distribuzione

30. Cosa riserva il futuro
E’ difficile fare previsioni, ma il framework
proposto aiuta ad analizzare quale può essere
l’impatto sulla privacy e come attenuarlo.
Data collection: riconoscimento dei volti
(www.face.com)
User model creation: più la predizione è
accurata più crescono le preoccupazioni per
la privacy
Adaptation: SNS e CIF potrebbero comunicare
informazioni sensibili ai contatti

31. Bibliografia

32. Riferimenti
 Articolo di riferimento di tutta la
presentazione: Personalization and
privacy: a survey of privacy risks and
remedies in personalization-based
systems [Eran Toch · Yang Wang · Lorrie
Faith Cranor, 2012]
 Tutti gli altri riferimenti utilizzati si
trovano all’interno dello stesso articolo.