1 E-Privacy im E-Commerce: Privacy-Präferenzen vs. tatsächliches Verhalten Bettina Berendt Humboldt-Universität zu Berlin, Institut für Wirtschaftsinformatik

1

E-Privacy im E-Commerce: Privacy-Präferenzen vs. tatsächliches Verhalten

Bettina BerendtHumboldt-Universität zu Berlin, Institut für Wirtschaftsinformatik

Dieser Vortrag basiert primär aufSpiekermann, S., Grossklags, J., & Berendt, B. (2001). E-privacy in

2nd generation E-Commerce: privacy preferences versus actual behavior. In Proceedings of the ACM Conference on Electronic Commerce (EC'01). Tampa, FL, 14-17 October 2001.

Berendt, B., Günther, O., & Spiekermann, S. (in press). Privacy in E-Commerce: Stated preferences vs. actual behavior. To appear in Communications of the ACM.

– Habilitationsvortrag, HU Berlin, Wirtschaftswissenschaftliche Fakultät, 22.10.2003 –

2

Worum geht es? Ein Beispiel …

Grundlage derartiger Dienste: Nutzer geben Daten an e-Unternehmen

Wollen sie das?

Tun sie das, was sie wollen?

Warum?

Welche Interessenskonflikte bestehen; welche Lösungen gibt es?

3

Agenda

1. Was geschieht (und was darf geschehen)?

2. Wollen Nutzer Daten übermitteln?

3. Tun sie das, was sie wollen?

4. Was beeinflusst ihr Verhalten?

5. Warum?

6. Welche Interessenskonflikte bestehen?

7. Welche Lösungen gibt es?

4

Welche Arten von Daten enstehen über Nutzer im E-Commerce?

Herkunft 1: Nutzereingaben“By far, the greatest kind of personal information on the Web

today is the information provided by customers when they register at web sites.” (Garfinkel & Spafford, 2002, S. 208)

Herkunft 2: sonstiges Verhalteno Protokollierung von Webzugriffen in Weblogs

• IP-Adresse• Referrer-URL• Plattform: Browser u.a.

o Cookies

o Web Bugs

Garfinkel, S., with Spafford, G. (2002). Web Security, Privacy & Commerce. 2nd Ed. Sebastopol, CA: O'Reilly.

5

Was ist (E-)Privacy?

Informational privacy (1967):the claim of individuals, groups, or

institutions to determine for themselves when, how, and to what extent information about them is communicated to others

Warren, S., & Brandeis, L. (1890). The right to privacy. Harvard Law Review, IV (5), 193ff.Westin, A. (1967). Privacy and Freedom. Boston: Atheneum Press.

... on the Internet

E-

6

Datenschutzrechtliche Grundprinzipien: EU-Richtlinie 95/46/EC, BDSG, …

Schutzbereich personenbezogene Daten = alle Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person

Personenbezogene Daten dürfen nur gesammelt werden mit der informierten Einwilligung bezüglich wer : wer sammelt / verwendet die Daten wozu : zu welchem Zweck was : Art und Menge, die diesem Zweck angemessen ist

Daten dürfen dann nur in der so spezifizierten Art verwendet werden. Individuen können ihre Daten einsehen und berichtigen, und die

Verwendung untersagen. Ergänzt durch EU-Richtlinie 2002/58/EC über die Verarbeitung

personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (12. Juli 2002; umzusetzen bis 31.10.2003) Spezifische Regelungen u.a. zu Cookies, Spam

7

Privacy-Statements: Ein Beispiel

Informierte Einwilligung

Wer + wozu

Was

8

Agenda





5. Warum?



9

Umfrage-Ergebnisse: Hohes Privacy-Bewusstsein, überall

Internetnutzer berichten mehrheitlich: sieo befürchten Verletzungen ihrer Privatsphäre im Internet

o sind in ihrer Bereitschaft, Information preiszugeben, vom Umgang einer Site mit Privacy-Fragen abhängig

o vermeiden Websites, um ihre Privatsphäre zu schützen

o geben falsche Daten an

o bezweifeln die Integrität und Effizienz der Datenschutzmaßnahmen kommerzieller Websites

implizite Annahmen: o Nutzer verhalten sich auch dementsprechend

o dabei berücksichtigen sie die Informationen aus Privacy-Statements

Überblick über Umfragestudien: Teltzrow, M., & Kobsa, A. (2003). Impacts of User Privacy Preferences on Personalized Systems – a Comparative Study. In CHI-2003 Workshop "Designing Personalized User Experiences for eCommerce: Theory, Methods, and Research", Fort Lauderdale, FL.

10

Agenda





5. Warum?Die IWA-Studie („Interaction with Agents“)

» Fragen und Ziele» Methode» Ergebnisse» Interpretation



Gesamtdarstellung d. IWA-Studie: Spiekermann, S. (2001). Online information search with electronic agents – drivers, impediments, and privacy issues. Dissertation, Inst. f. Wi-Inform., HUB. http://edoc.hu-berlin.de/dissertationen/spiekermann-sarah-2001-11-22)

11

Methode – Überblick (1)

Teilnehmero 206 Personen [171 gültige Fälle]o Chance eines 60% Preisnachlass od. finanzielle Entschädigung

Materialieno Fragebögeno Online-Shop mit Breitbandverbindung (Nutzung aus HU-Labor)

Prozedur1. Inf. über Ziel: „die Interaktion mit einer neuen Produkt-

Suchmaschine zu testen, die am Institut für Wirtschaftsinformatik für einen industriellen Partner entwickelt wurde“

2. Präsentation Privacy-Statement; schriftliches Einverständnis z. Weitergabe d. Daten zu Analysezwecken an den Sponsor

3. Fragebogen 14. Online-Shopping, Verkaufsdialog m. Agent, ggf. Kaufentscheidung5. Fragebogen 2

IWA/Privacy: Methode Erg.: Einstellungen Erg.: Verhalten Interpretation

12

Methode – Überblick (2)

Designo Unabhängige Variablen:

• Produktart: Suchgut Kompaktkamera vs. Erfahrungsgut Winterjacke – Wahl durch Teilnehmer

• Privacy-Statement: „weich“ vs. „hart“ – randomisiert

o Abhängige Variablen:• Einstellungen: [Maß auf Basis der Antworten auf Fragebogen 1]

• Verhalten: [Maße auf Basis der Web-Logs: Zahl + Art der Agenten-Fragen, die beantwortet wurden]


13

Die Fragebögen

Multiple-choice- / offene Fragen zu: FB1: Demographischen Angaben; PC- und Internetnutzung; Erfahrung mit

Onlinekauf; produkt- und kaufbezogene Fragen; Budget,

FB1: Privacy-Einstellungen – 27% der Fragen (nach Ackerman et al., 1999)

o Wie stark tangiert Sie eine potentielle Einbuße an Privatsphäre durch die Nutzung des Internets?

o Reaktion auf versch. Szenarien – „Würden Sie das Formular ausfüllen?“

o Wie wohl fühlen Sie sich dabei, die folgenden Informationen auf einer Website anzugeben:

Name, Postanschrift, email, Telefonnr., Inf. über Computer, Einkommen, Kreditkartennr., Inf. über Hobbies, Gesundheit, Alter

FB2: Gesamteinschätzung der Interaktion (wie angenehm?, Qualität der Empfehlungen, wahrgenommener Einfluss auf das Interaktionsverhalten)

Ackerman, M.S., Cranor, L.F., and Reagle, J. Privacy in E-commerce: Examining user scenarios and privacy preferences. In Proceedings of the ACM Conference on Electronic Commerce EC’99 (Denver, CL, Nov.). 1999, 1-8.


14

Online-Shop:Begrüßung durch Agent Luci


15

Fragen & Antworten


16

Empfehlungen


17

Produktbeschreibungen


18

Agenten-Fragen

Annacker, D., Spiekermann, S., Strobel, M. (2001). E-privacy:A new search cost dimension in online environments. In Proc. of the 14th Bled Conference of Electronic Commerce, June 2001.

(analog)

Legen Sie Wert auf eine Kamera [mit Zoom]?

Produktattribut-Fragen

JackeKameraFragen-Typen

Zu welchen Anlässen fotografieren Sie meistens / wollen Sie fotografieren?

Nutzungsorientierte Fragen

Wie wichtig sind Ihnen niedrige Kosten bei der Filmentwicklung?

Persönliche Fragen, die die Produktwahl unterstützen

Halten Sie sich selbst für fotogen?

Persönliche Fragen ohne Zusammenhang mit der Produktwahl

Fragen zusammen mit echten Verkaufsberatern entwickelt Alle Fragen getestet: Die meisten wurden als nicht legitim und irrelevant für das Verkaufsgespräch eingestuft Bis zu 56 Fragen (ø im normalen Verkaufsgespräch: 3)


19

Einstellungen: Messung und Aggregation

1. Privacy-Einstellungen wurden beschrieben durch 14 Variablen auf der Basis von Fragebogen 1 :o 3 Indizes auf der Basis der Szenarien

o 1 * grundsätzliche Befürchtung bzgl. Privacy

o 10 * Bereitschaft, spezifische Daten offenzulegen

2. z-Transformation aller Variablen

3. k-means-Clustering 4 Cluster

(vgl. Ackerman et al., 1999)

Ackerman, M.S., Cranor, L.F., and Reagle, J. Privacy in E-commerce: Examining user scenarios and privacy preferences. In Proceedings of the ACM Conference on Electronic Commerce EC’99 (Denver, CL, Nov.). 1999, 1-8.


20

Einstellungs-Cluster

Profil-Info.Identitäts-Info.

24%26%20%30%

Im Gesamt-sample

Wollen Nutzer private Daten übermitteln?

Die meisten Nutzer haben mittlere bis schwere Bedenken hinsichtlich ihrer E-Privacy!


21

Verhaltens-Erwartungen aufgrund der gefundenen Privacy-Einstellungen

hoch

unter bestimmtenUmständen

gering


22

Interaktions-Verhalten – das PCIC-Maß: personal consumer information cost

PCIC einer Frage (Annacker et al., 2001): „Die Interaktionskosten stehen hier für „die intuitive

Bereitschaft“ die Frage der Suchmaschine zu beantworten; also … ob man bereit ist, die verlangte private Information … preiszugeben. o ‚Keine’ Informationskosten: überhaupt kein Problem damit, die

Frage wahrheitsgemäß zu beantworteno ‚Sehr hohe’ Informationskosten: man will diese Information unter

keinen Umständen an eine Suchmaschine weitergeben

Regression PCIC lin. abh. von Legitimität und Relevanz (~ -0.5, p<0.01) & von Schwierigkeit (0.14, p<0.01) der Frage.

PCIC einer Person = PCIC aller von ihr beantworteten Fragen {niedrig, mittel, hoch}

Annacker, D., Spiekermann, S., Strobel, M. (2001). E-privacy:A new search cost dimension in online environments. In Proc. of the 14th Bled Conference of Electronic Commerce, June 2001.


23

Operationalisierung der Verhaltens-Erwartungen

% mit hohem PCIC

%, die Adresse angeben


24

Einstellungen vs. Verhalten

0.64

0.350.260.23(p<0.05)

Im Ø 85.8% der Fragen beantwortet!

Tun Nutzer das, was sie wollen?

Nutzer handeln zwar in relativer, nicht aber in absoluter Übereinstimmung mit ihren Einstellungen!

1.000.970.780.78

(p<0.05)


25

Einfluss des Privacy-Statements

Privacy-Statement PCIC: n.s. (p>0.9)

Privacy-Statement Adress-Bekanntgabe: n.s. (p>0.5)aber:

o höher beim „weichen“ Privacy-Statement (EU-Schutz!) in allen Clustern außer den Identitäts-Besorgten

o im Mittel 5% höher (11% ohne das inkonsistente Cluster)

Was beeinflusst das Verhalten von Nutzern?

Privacy-Statements scheinen keinen Einfluss auf das Nutzerverhalten zu haben!


26

Gesamtbeurteilung der Agenten-Interaktion

Fragebogen 2: o Den meisten Teilnehmern gefiel die „weiche Kommunikation“

o Selbst jene, die in FB 1 Privacy-Bedenken geäußert hatten und denen die Qualität der Empfehlungen nicht hoch erschien, äußerten, dass sie sich von Luci unterstützt fühlten:

• Unterstützung dabei, „ein Gefühl für das Produkt zu bekommen“• Die Fragen waren „nicht zu technisch“ und „leicht verständlich“• Sie fühlten sich „persönlich angesprochen“ in ihren Bedürfnissen

Debriefing-Gespräche: keine Anzeichen für Wahrnehmung, dasso die Ereignisse im Shop etwas mit Privacy zu tun hatten,

o es eine Diskrepanz zwischen Einstellungen und Verhalten gab.

Was wollen Nutzer? (2)Nutzer begrüßen eine reichhaltige, interaktive Umgebung!


27

Warum weicht das Verhalten von den Einstellungen ab?

Verhalten findet immer in einem Kontext statt.

In diesem werden Entscheidungen konstruiert.


28

Die Kommunikation mit Luci und die Grice‘schen Konversationsmaximen

Um durch kooperatives Verhalten eine Kommunikation erfolgreich zu machen ...

... befolge die vier Konversationsmaximen:o Quantität: so informativ wie möglich (aber nicht mehr)

o Qualität: wahr und begründet (zumindest subjektiv)

o Relation: Jeglicher Beitrag sollte relevant zur Konversation sein!

o die Maxime der Art und Weise • Mehrdeutigkeiten und Unklarheiten vermeiden! Nicht abschweifen!

Menschen erwarten die Einhaltung dieser Prinzipien, auch in Umfragen, Experimenten oft Umbewertung von Äußerungen

Die Maximen gelten auch in Mensch-Computer-Interaktionen.

Umbewertung von Fragen, die nicht legitim nicht relevant schwierig zu beantworten

sind

P. Grice: Logic and conversation. In P. Cole and J.L. Morgan, (eds.): Syntax and Semantics, Vol. 3, Speech Acts, New York, Academic Press, 1975, 41-58.

Schwarz, N. Cognition and Communication: Judgmental Biases, Research Methods, and the Logic of Conversation. Lawrence Erlbaum Associates, Hillsdale, NJ, 1996.


29

Framing

Vorstudie und Fragebogen 1: z.B.o „Die Interaktionskosten stehen … für das … Gefühl, ob man bereit

ist, die verlangte private Information von sich preiszugeben. ...”o „Wie stark tangiert Sie eine potentielle Einbuße an Privatsphäre ..?“

VERLUST !Briefing und im Online-Shop: z.B.

o Ich bin Luci - Ihre Einkaufsberaterin - und unterstütze Sie bei Ihrem Shopping-Trip. Ich sortiere die 50 Kameramodelle in unserem Onlineangebot auf Basis Ihrer Produktwünsche und zeige Ihnen die für Sie am Besten geeigneten Produkte an.

GEWINN !

Die Betonung relativer Gewinne oder Verluste hat (bei gleicher Faktenlage) einen deutlichen Einfluss auf Wahlentscheidungen.


Vgl. z.B. McNeil, B.J., Pauker, S.G., Sox, H.C., & Tversky, A. (1982). On the elicitation of preferences for alternative therapies. New England Journal of Medicine, 306, 1259-1262.

30

Agenda





5. Warum?



31

Interessenskonflikte

Verbesserter Service, z.B. Personalisierung

Datenreichtum in einer interaktiven Umgebung

Individuumfür ...

Vorteile von ...

Privatsphäre

Vermeidung der Konsequenzen fehlerhafter Daten

Vermeidung von Sicherheitsproblemen

Schutz vor unethischen Praktiken

Datensparsamkeit



Datenqualität

höheres Vertrauen der Nutzer / Kunden

Privatsphäre

Vermeidung der Konsequenzen fehlerhafter Daten

Vermeidung von Sicherheitsproblemen

Schutz vor unethischen Praktiken

Datensparsamkeit

Profitabilität durch

Identifizierte Profile

cross-selling

gezielte Werbung



Unternehmen

Spiekermann, S., Dickinson, I., Günther, O., & Reynolds, D. (2003). User agents in E-commerce environments: Industry vs. Consumer perspectives on data exchange. In Proc. CAiSE 2003 (pp. 696-710) Springer LNCS

32

Agenda





5. Warum?



33

Privacy enhancing technologies: P3P

P3P (Platform for Privacy Preferences) 1. Standardisierte Kommunikation Nutzer – Site auf XML-Basis,

insb.:wer <RECIPIENT>, wozu <PURPOSE>, was (Datenkategorien)

2. Privacy-Policies: maschinenverstehbare Privacy-Statements3. Privacy-Präferenzen: Einstellungen des Nutzers, formalisiert

für seinen Nutzer-Agenten4. Mismatch Warnung oder Blockieren

Hauptprobleme:• Warnung, aber kein Schutz, nachdem die Website betreten wurde• Keine Möglichkeit, dienst-spezifische Präferenzen auszudrücken

im Licht unserer 2 Hauptergebnisse: P3P nicht effektiv genug!

IWA/Privacy: Methode Ergebnisse Interpretation Schlussfolgerungen

W3C (2000). The Platform for Privacy Preferences 1.0 (P3P1.0) Specification. http://www.w3.org/TR/2000/CR-P3P-20001215 and http://www.w3.org/TR/P3P.

34

Aspekte einer besseren privacy enhancing technology

Zur Unterstützung der reichhaltigen und dienst-spezifischen Interaktion, die Nutzer wünschen:o Monitoring der Dienste; Information über potenzielle Probleme (vgl.

P3P); hierbei Nutzung privacy-bezogener Metadaten unabh. Institut.o Lernen der Nutzer-Präferenzen durch Beobachtung, dynamische

und dienst-spezifische Änderungen der Settingso Aufzeichnung aller Interaktionen mit allen Webdiensten

reichhaltige client-seitige Profile nutzerabhängige, selektive Bereitstellung an Dritte

Zur Verlagerung der Kontrolle zu den Nutzern und zu ihrem Schutz gegen Kontexteffekte:o Komfortable Benutzungsschnittstellen, privacy-freundliche Defaultso Identitätsmanagement, Pseudonymitäto Dekontextualisierung


35

Techniken zur Dekontextualisierung

Den “Fluss der Interaktion” unterbrechen nur selektiv, basierend auf den gelernten Präferenzen

Aber: maschinelles Lernen aus ineffektivem Verhalten reicht nicht!

Clustering von Interaktionen, regelmäßiges Review durch den Nutzer

Sammlung “guter” Interaktions-Historien, Pooling in Peer-Netzwerk, als Basis für das Lernen individueller Nutzer-Agenten


Den “Fluss der Interaktion” unterbrechen nur selektiv, basierend auf den gelernten Präferenzen

Aber: maschinelles Lernen aus ineffektivem Verhalten reicht nicht!

Clustering von Interaktionen, regelmäßiges Review durch den Nutzer

Sammlung “guter” Interaktions-Historien, Pooling in Peer-Netzwerk, als Basis für das Lernen individueller Nutzer-Agenten

36

PET: Techniken zur Unterstützung privacy-bezogener Metakognition

Die letzten 20 Zugriffe auf die Lehrmaterialien aus dieser Seminargruppe

pd9e9fded.dip.t-dialin.net - - [18/May/2003:13:58:26 +0200] "GET / HTTP/1.0" 200 582 "-" "-"212.157.245.66 - - [18/May/2003:14:38:35 +0200] "SEARCH / HTTP/1.1" 501 349 "-" "-"pd9e7a72a.dip.t-dialin.net - - [18/May/2003:17:06:45 +0200] "GET /lehre/2003s/wmi/WEKA-slides/ HTTP/1.1" 200 1721 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"pd9e7a72a.dip.t-dialin.net - - [18/May/2003:17:06:45 +0200] "GET /icons/blank.gif HTTP/1.1" 200 148 "http://vasarely.wiwi.hu-berlin.de/lehre/2003s/wmi/WEKA-slides/" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"...

Was wir über Sie wissenHello!

You are accessing this page from the computer called

vasarely.wiwi.hu-berlin.de

This computer has the numerical address

141.20.103.48

and you are using the following browser ("Mozilla" means "Netscape") and operating system:

Mozilla/5.0 (compatible; Konqueror/2.2.2; Linux)

You came from the Web page

http://vasarely.wiwi.hu-berlin.de/WebMiningSS02/index.php

(If the previous line is empty, then you typed the URL directly.)

Was wir auch noch über Sie wissenAt 13:43, you requested the do-it-yourself course guide page.

Then you moved the mouse over the link info.php?ref=http://vasarely.wiwi.hu-berlin.de/WebMiningSS02/index.php.

Then you requested the page info0.php.

Then you moved the mouse over the link info.php?ref=http://vasarely.wiwi.hu-berlin.de/WebMiningSS02/index.php.

Then you moved the mouse over the link http://www.marketingterms.com/dictionary/cookie/.

Then you requested the page http://www.junkbusters.com/ht/en/cookies.html.

Then you moved the mouse over the link http://www.marketingterms.com/dictionary/cookie/.

Then you moved the mouse over the link http://www.useit.com/alertbox/20010121.html.

Then you moved the mouse over the link http://netlexikon.akademie.de/query.

Then you moved the mouse over the link http://www.wiwi.hu-berlin.de/~guenther/DB/db_ss01.html.

Then you moved the mouse over the link http://www.useit.com/alertbox/20010121.html.

Then you requested the page http://www.useit.com/alertbox/20010121.html.

Then you asked for this proof of the observation of your actions,and here it is!

All your actions have been logged.

37

Ausblick: Neue Technologien, neue (und alte!) Fragen

Beispiel Mobilfunk & lokationsbasierte Dienste:o Neue Arten von Daten: Standortdateno Neue gesetzliche Regelungen: Notrufdiensteo (derzeit?) andere Art von Basisarchitektur: kein end-to-end

weniger nutzerseitige Kontrolleo Die grundsätzlichen Interessenskonflikte bestehen auch

hier!o Erwartung: dasselbe gilt für die grundsätzlichen

Kontexteffekte

Jörg Siede. Der Schutz der Privatsphäre bei der Nutzung standortbezogener Dienste im Mobilfunk. Diplomarbeit, Juli 2003

38

Vielen Dank !

…

Fragen ?

http://www.epic.org/-privacy/threat/pr.html

Documents

1 E-Privacy im E-Commerce: Privacy-Präferenzen vs. tatsächliches Verhalten Bettina Berendt Humboldt-Universität zu Berlin, Institut für Wirtschaftsinformatik