Από τη μελέτη συμπεριφοράς και προφίλ χρηστών κινητών εφαρμογών στην εκπαίδευση: προσεγγίσεις για την ενίσχυση της ενημερότητας πληροφοριακής ιδιωτικότητας

Abstract

Smartphones have become an indispensable tool, supporting activities in almost every aspect of our daily lives. However, alongside the capabilities they offer, they collect vast amounts of personal data, putting users' privacy at risk. Many mobile applications access sensitive user data not only to provide their core functionality but also for advertising and other purposes. Access rights to most of this data, such as phonebook contacts, location, camera, photos, microphone, and more, are granted by the device users themselves through application permission requests.Considering the multitude of applications modern users install on their mobile devices, it becomes evident that they face numerous and complex decisions regarding their information privacy, the volume of which can quickly become unmanageable. As highlighted in a study by Smullen et al. (2020), the average Android user must make more than a hundred privacy decisions just to configure app-related permission settings. Furthermore, Raber & Krueger (2017) report that an average user with 95 installed applications faces over 400 permission-granting decisions.Therefore, it comes as no surprise that the majority of users do not dedicate time to configuring many of these settings. In fact, some become accustomed to such requests and respond automatically (habituation) without realizing the consequences of their choices. As a result, few individuals actually read the required permissions, and even fewer understand them correctly. At the same time, a significant number of users express surprise and dismay when they realize the extent to which sensitive data is collected and utilized by applications. Certain users are not sufficiently aware of the risks, whereas others wish to protect their data but lack the requisite knowledge and skills. Finally, there are those who, despite being aware of the risks, fail to take practical measures and continue to disclose their data. Consequently, in all scenarios, users remain deeply vulnerable, essentially constituting the weak link in the protection of their personal data. As privacy management becomes an increasingly complex process for the average user, the need for their substantial support emerges as an imperative. The research focus of the present dissertation, titled 'From studying mobile application users behaviors and profiles to training: Approaches towards enhancing information privacy awareness' is to provide support to users in managing their privacy within applications, as well as on the Internet in general, along a dual axis: at a technological level, through the use of automated machine learning tools, and at a cognitive level, through targeted education and training. More specifically, the objective of this study is to contribute to the enhancement of users' information privacy through the development of a commonly accepted framework - a Common Body of Knowledge (CBK) - to serve as the foundation for their education and training. Concurrently, it employs machine learning techniques in an effort to further comprehend the factors that influence their privacy decisions across various applications. The introductory section of this dissertation provides an in-depth description of the challenges faced by modern online users regarding the management of their information privacy, specifically within the context of mobile applications and their permission requests. Consequently, it highlights the imperative need for user support through both the utilization of automated machine learning tools and the provision of appropriate education and training. Furthermore, a significant gap in the literature is identified concerning the lack of a framework that could serve as a foundation for designing information privacy awareness and training programs, as well as for organizing relevant educational materials. The present dissertation poses four research questions aligned with this objective.To address the first research question 'What must a user know in order to make informed privacy protection decisions when managing application permissions?' the permission ecosystem of the Android operating system was examined, bridging the theoretical framework with empirical analysis. Initially, the model's architecture, the various types of permissions, and the mechanism for managing such requests were analyzed. Subsequently, an empirical study was conducted involving the retrieval, categorization, and analysis of so-called 'dangerous permissions' from seven selected popular applications, with the aim of assessing the resulting privacy risks to users. This process leads to valuable conclusions and the proposal of practical advice for user protection, alongside the design of relevant educational workshops aimed at further raising public awareness and enhancing knowledge on information privacy issues. To investigate the second research question, 'Which factors shape users' privacy concerns and self-reported behaviors regarding the management of application permissions?', as well as the third question, 'Which factors influence users' decisions to accept or reject application permissions?', an extensive literature review was conducted concerning the factors that impact users' privacy behaviors and their decisions regarding application requests for access to device resources. Through this systematic literature review, the factors influencing individuals' privacy decisions were compiled, and a structured overview is provided in a tabular format, classifying them into two distinct categories: application-related factors and user-centric factors.Subsequently, the study examines how the existing literature utilizes privacy profiles as predictive tools for users' choices regarding application permissions. Furthermore, it analyzes the utilization of Machine Learning techniques and other Artificial Intelligence methods, as documented in the literature, for the reliable prediction of users' privacy preferences and decisions. This approach serves as an effective mechanism to alleviate the burden placed on users by continuous decision-making. This comprehensive literature review culminates in the development of a novel research model, aiming to further investigate the factors that impact users' privacy behaviors and decisions concerning application permissions. In the proposed research model, we integrate traditional application-related factors (e.g., application category, permission type) with under-explored user-centric variables, in an endeavor to extend the existing literature.More specifically, we examine the privacy practices adopted by users during the installation of an application, as well as those related to the management of permissions and privacy settings. Concurrently, the technical knowledge and skills of the users are investigated, both from their own perspective (self-reported data) and in terms of their theoretical knowledge regarding application permissions (objective perspective), a topic that has been insufficiently addressed in the literature. Furthermore, we explore users' comprehension of application permissions, their information privacy concerns, and their comfort levels regarding the sharing of personal data. To evaluate the aforementioned factors, we developed a closed-ended questionnaire and conducted a survey involving 60 volunteer Android device users who were asked to complete it. Subsequently, we extracted actual data from the mobile devices of the survey participants; more specifically, we retrieved the permissions they had granted to their installed applications. Following this, we present the research results along two axes. Initially, we analyze the quantitative data derived from the participants' questionnaire responses, examining the impact of demographic characteristics and the correlations among the research variables. Additionally, we categorize the users into two distinct privacy profiles by applying machine learning algorithms to the collected data. Thus, the different behavioral patterns of the participants regarding the management of their personal data are highlighted, along with the significance of technical knowledge in translating privacy concerns into protective actions. Proceeding to the next stage of the research, we contrast self-reported behaviors, as captured in the questionnaires, with users' actual behavior, as recorded by their devices. The creation of the Relative Permission Rejection Index (PRI) plays a pivotal role in this process, objectively evaluating their protective practices in the context of applications and permission requests. Through this integrative analysis, we draw valuable conclusions regarding how users perceive and actively protect their personal data. Finally, we extend our study by employing Machine Learning algorithms, developing a decision tree that delineates the factors decisively influencing users' ultimate acceptance or rejection of application permissions. The research findings demonstrate that gaps in privacy protection do not stem from user apathy, but rather reflect a tangible 'technical skills gap'. It is therefore concluded that mere theoretical awareness is insufficient to alter user behavior. To transform passive concern into proactive behavior, the technical empowerment of users and their systematic training in the utilization of practical protection tools are absolutely essential. This conclusion was further corroborated by the Machine Learning models, which highlighted that proactive privacy protection is predominantly a byproduct of digital literacy. Key pillars in this regard include the systematic management of permissions and privacy settings (PMP), the understanding of access requests (UAP), and maintaining a critical stance during the installation of new applications (AIP). Consequently, the targeted education of users in the utilization of practical privacy management tools emerges as an imperative need. Guided by these comprehensive findings, the present study formulates specific proposals aimed at both optimizing user privacy protection and charting future research directions. The approach to the fourth research question 'What must a modern user know, on both a theoretical and practical level, to be capable of facing contemporary challenges while simultaneously protecting their information privacy?' was formulated following an exhaustive review of the literature surrounding information privacy. Specifically, this review focused on online users' perceptions, contemporary threats, and protection strategies. Concurrently, it examined the legal and regulatory frameworks for information privacy protection, organizational practices regarding consumer data management, and the critical importance of users' digital awareness and education concerning the protection of their privacy. Thus, the theoretical foundation was established for the creation of a Common Body of Knowledge (CBK) regarding information privacy, addressing a domain where no comparable research endeavor has been previously documented. Following the conceptual development of the proposed InfoPrivacy CBK, it was depicted through concept maps. Subsequently, empirical research was conducted for its validation and refinement, involving the participation of seven domain experts. To facilitate its evaluation, an electronic questionnaire comprising both structured and open-ended questions was developed. The experts' evaluation was exceptionally positive, confirming the soundness of the framework's structure and content, as well as the successful fulfillment of its educational objectives. Ultimately, this yielded an original and innovative CBK, which effectively bridges a significant gap in the existing literature.Within the scope of this dissertation, a comprehensive conceptual and methodological framework is developed through the InfoPrivacy CBK, aimed at supporting the design of information privacy awareness and training programs, as well as the organization of relevant educational material. Our research makes a multidimensional contribution, extending across theoretical, methodological, and practical levels. Specifically, the theoretical contribution of the dissertation encompasses the following points: •Formulation of a Common Body of Knowledge (CBK) for Information Privacy: The creation of an innovative framework for information privacy, which addresses a significant literature gap and serves as a central pillar for the design of modern education and training programs. •Foundation for educational interventions: Enhancing the literature by providing the necessary theoretical background for designing initiatives that combine theory and practical application regarding information privacy, with a particular focus on application permissions. •Development of a novel research model and behavioral mapping: Enriching the literature with an extended predictive model that decodes users' decision-making processes regarding app permissions. The model innovates by integrating traditional application characteristics with under-explored user-centric variables, such as behavior during app installation, management of permissions and privacy settings, permission comprehension, privacy concerns, comfort levels, as well as users' technical knowledge and skills. •Theoretical substantiation of digital literacy: Through the investigation of the aforementioned factors, the decisive role of technical empowerment and digital literacy in the average user's transition from passive concern to proactive privacy protection is highlighted and theoretically substantiated, concurrently providing a strong impetus for future research.At a methodological level, the contribution of the dissertation encompasses the following points: •Structuring a framework for the design of educational interventions: The provision of a fully structured and theoretically grounded framework, which follows a clear sequence of steps for the design and creation of constructive educational actions regarding information privacy and application permissions. •Methodology for practical implementation: The formulation of applicable methodological approaches for the practical implementation of educational and training interventions, centered on the mobile device ecosystem and access permission mechanisms. •Innovation in the quantification of digital behavior (PRI Index): The introduction and standardization of the Relative Permission Rejection Index (PRI). This constitutes a novel, composite metric tool that transcends traditional approaches, facilitating a more effective and comprehensive quantification of users' actual digital behavior by directly factoring in the operational context of each application. •Development of novel research tools (Questionnaires): The design and provision of two specialized metric tools for data collection: a questionnaire for the evaluation of curricula by instructors and learners, alongside a targeted tool for measuring specific aspects of information privacy with an emphasis on app permission decisions.Finally, the contribution of the dissertation at a practical level encompasses the following points: •Utilization of the InfoPrivacy CBK as a 'roadmap': The proposed framework serves as a practical tool for educational institutions, privacy awareness program designers, information security software companies, organizations, corporations, and education providers, guiding the design of targeted educational interventions and comprehensive awareness programs regarding information privacy. •Strategic guidance for policymaking: The provision of evidence-based guidelines to relevant authorities, enabling them to focus on modern and efficient methods and means for the broad enhancement of citizens' digital awareness. •Substantial digital empowerment of users: Through their participation in theoretically grounded education and training programs, users acquire the necessary tools to sharpen their critical thinking and protect their privacy by making fully informed decisions. This individual empowerment will gradually lead to the creation of digital communities characterized by heightened awareness and collective sensitivity towards information privacy. •Optimization of software design: The provision of actionable guidelines for developers, software engineers, and platform designers, aiming at the development of more transparent and efficient access permission mechanisms, thereby enabling users to make more informed decisions regarding their privacy.

Τα smartphones αποτελούν πλέον αναπόσπαστο εργαλείο για την υποστήριξη των δραστηριοτήτων μας σε σχεδόν κάθε πτυχή της καθημερινής μας ζωής. Παράλληλα όμως με τις δυνατότητες που προσφέρουν, συλλέγουν χιλιάδες προσωπικά δεδομένα των χρηστών, θέτοντας σε κίνδυνο την ιδιωτικότητά τους. Πολλές εφαρμογές κινητής τηλεφωνίας (mobile applications) έχουν πρόσβαση σε ευαίσθητα δεδομένα των χρηστών, όχι μόνο για να παρέχουν τη βασική λειτουργικότητά τους, αλλά και για διαφημιστικούς και άλλους σκοπούς. Τα δικαιώματα πρόσβασης στα περισσότερα δεδομένα, όπως αυτά που αφορούν τις επαφές του τηλεφωνικού καταλόγου, την τοποθεσία, την κάμερα, τις φωτογραφίες, το μικρόφωνο κ.ά. παραχωρούνται από τους ίδιους τους χρήστες των συσκευών, μέσω των αιτημάτων παραχώρησης άδειας στις εκάστοτε εφαρμογές (application permission requests). Λαμβάνοντας υπόψη και το πλήθος των εφαρμογών που έχουν εγκαταστήσει στο κινητό τους οι σύγχρονοι χρήστες, διαπιστώνουμε ότι έρχονται αντιμέτωποι με πολυάριθμες και πολύπλοκες αποφάσεις που αφορούν την πληροφοριακή τους ιδιωτικότητα, ο αριθμός των οποίων μπορεί να καταστεί μη διαχειρίσιμος από τους ίδιους. Όπως χαρακτηριστικά αναφέρεται σε εργασία των Smullen et al. (2020), οι χρήστες Android κατά μέσο όρο πρέπει να λάβουν περισσότερες από εκατό αποφάσεις απορρήτου για να διαμορφώσουν τις ρυθμίσεις αδειών που σχετίζονται με τις εφαρμογές. Ενώ οι Raber & Krueger (2017) κάνουν λόγο για πάνω από 400 αποφάσεις παραχώρησης αδειών, για ένα μέσο χρήστη με 95 εγκατεστημένες εφαρμογές. Έτσι, δεν αποτελεί έκπληξη το γεγονός ότι η πλειονότητα των χρηστών δεν αφιερώνει χρόνο για τη διαμόρφωση πολλών από αυτές τις ρυθμίσεις. Ορισμένοι, μάλιστα, συνηθίζουν σε τέτοια αιτήματα και απαντούν αυτόματα (habituation), δίχως να συνειδητοποιούν τις συνέπειες των επιλογών τους. Λίγα άτομα, επομένως, διαβάζουν τα απαιτούμενα δικαιώματα (permissions) και ακόμη λιγότερα τα κατανοούν σωστά. Ενώ, δεν είναι λίγοι οι χρήστες που εκφράζουν την έκπληξη και τη δυσφορία ή δυσανασχέτησή τους, όταν αντιλαμβάνονται την έκταση της συλλογής και χρήσης ευαίσθητων δεδομένων μέσω των εφαρμογών. Κάποιοι χρήστες δεν είναι επαρκώς ενήμεροι για τους κινδύνους, ενώ άλλοι επιθυμούν να προστατεύσουν τα δεδομένα τους, αλλά στερούνται των απαιτούμενων γνώσεων και δεξιοτήτων. Τέλος, υπάρχουν και εκείνοι που, παρά την επίγνωση των κινδύνων, στην πράξη δεν λαμβάνουν μέτρα και συνεχίζουν να αποκαλύπτουν τα δεδομένα τους. Συνεπώς, σε κάθε περίπτωση, οι χρήστες παραμένουν βαθιά ευάλωτοι, αποτελώντας ουσιαστικά τον αδύναμο κρίκο στην προστασία των προσωπικών τους δεδομένων. Καθώς η διαχείριση του απορρήτου καθίσταται μια ολοένα και πιο σύνθετη διαδικασία για τον μέσο χρήστη, προκύπτει επιτακτική η ανάγκη για την ουσιαστική υποστήριξή του. Το αντικείμενο της έρευνας που παρουσιάζει η παρούσα διατριβή με τίτλο «Από τη μελέτη συμπεριφοράς και προφίλ χρηστών κινητών εφαρμογών στην εκπαίδευση: Προσεγγίσεις για την ενίσχυση της ενημερότητας πληροφοριακής ιδιωτικότητας» είναι η παροχή υποστήριξης στους χρήστες ως προς τη διαχείριση της ιδιωτικότητάς τους στις εφαρμογές, αλλά και στο διαδίκτυο γενικότερα σε έναν διττό άξονα - σε τεχνολογικό επίπεδο, με την αξιοποίηση αυτοματοποιημένων εργαλείων μηχανικής μάθησης (machine learning), και σε γνωστικό επίπεδο, μέσω της στοχευμένης εκπαίδευσης και κατάρτισής τους. Πιο συγκεκριμένα, στόχος της διατριβής αυτής είναι να συμβάλει στην ενίσχυση της πληροφοριακής ιδιωτικότητας των χρηστών, μέσα από την διαμόρφωση ενός κοινά αποδεκτού πλαισίου - ενός Κοινού Συνόλου Γνώσης - ως βάσης για την εκπαίδευση και κατάρτισή τους, παράλληλα με την εφαρμογή τεχνικών μηχανικής μάθησης, σε μία προσπάθεια να κατανοήσουμε περαιτέρω τους παράγοντες που επηρεάζουν τις αποφάσεις ιδιωτικότητάς τους στις διάφορες εφαρμογές. Το εισαγωγικό μέρος της διατριβής περιγράφει αναλυτικά τις προκλήσεις που αντιμετωπίζουν οι σύγχρονοι διαδικτυακοί χρήστες όσον αφορά τη διαχείριση της πληροφοριακής τους ιδιωτικότητας, και πιο συγκεκριμένα στο πλαίσιο των εφαρμογών κινητών συσκευών και των αιτημάτων αδειών τους. Υπογραμμίζεται, έτσι, η επιτακτική ανάγκη υποστήριξής τους, τόσο με την αξιοποίηση αυτοματοποιημένων εργαλείων μηχανικής μάθησης όσο και με την κατάλληλη εκπαίδευση και κατάρτιση. Παράλληλα, εντοπίζεται αξιοσημείωτο βιβλιογραφικό κενό ως προς την ύπαρξη ενός πλαισίου που μπορεί να παράσχει τη βάση για τον σχεδιασμό προγραμμάτων ενημερότητας και κατάρτισης σε θέματα πληροφοριακής ιδιωτικότητας και την οργάνωση σχετικού εκπαιδευτικού υλικού. Η παρούσα διατριβή θέτει τέσσερα ερευνητικά ερωτήματα που σχετίζονται με τον παραπάνω στόχο. Για να απαντήσουμε στο πρώτο ερευνητικό ερώτημα «Τι πρέπει να γνωρίζει ο χρήστης προκειμένου να λαμβάνει τεκμηριωμένες αποφάσεις προστασίας της ιδιωτικότητάς του κατά τη διαχείριση των αδειών στις εφαρμογές;», μελετήσαμε το οικοσύστημα των αδειών του λειτουργικού συστήματος Android, γεφυρώνοντας το θεωρητικό πλαίσιο με την πρακτική ανάλυση. Αρχικά, αναλύσαμε την αρχιτεκτονική του μοντέλου, τους διαφορετικούς τύπους δικαιωμάτων/αδειών, καθώς και τον μηχανισμό διαχείρισης των σχετικών αιτημάτων. Στη συνέχεια, πραγματοποιήσαμε μια εμπειρική μελέτη, η οποία περιλαμβάνει την ανάκτηση, κατηγοριοποίηση και ανάλυση των λεγόμενων «επικίνδυνων» αδειών (dangerous permissions) από επτά επιλεγμένες, δημοφιλείς εφαρμογές, με σκοπό την αξιολόγηση των κινδύνων που προκύπτουν για την ιδιωτικότητα των χρηστών. Εξάγονται, έτσι, χρήσιμα συμπεράσματα και προτείνουμε πρακτικές συμβουλές για την προστασία των χρηστών, όπως και για τον σχεδιασμό σχετικών εκπαιδευτικών εργαστηρίων (workshops) για την περαιτέρω ευαισθητοποίηση του κοινού και την ενίσχυση της ενημερότητάς του σε θέματα πληροφοριακής ιδιωτικότητας. Για τη διερεύνηση του δεύτερου ερευνητικού ερωτήματος «Ποιοι παράγοντες διαμορφώνουν τις ανησυχίες και τις αυτoαναφερόμενες (self-reported) συμπεριφορές των χρηστών ως προς την διαχείριση των αδειών των εφαρμογών;», όπως και του τρίτου ερωτήματος «Ποιοι παράγοντες επηρεάζουν τις αποφάσεις των χρηστών να αποδεχτούν ή να απορρίψουν άδειες εφαρμογών;», πραγματοποιήθηκε εκτενής ανάλυση της βιβλιογραφίας σχετικά με τους παράγοντες που επιδρούν στις συμπεριφορές ιδιωτικότητας των χρηστών και στις αποφάσεις τους στα αιτήματα πρόσβασης των εφαρμογών σε πόρους της συσκευής τους. Από τη συστηματική ανασκόπηση της βιβλιογραφίας που πραγματοποιήθηκε, συγκεντρώθηκαν οι παράγοντες που επηρεάζουν τις αποφάσεις περί ιδιωτικότητας των ατόμων και παρέχεται μια δομημένη επισκόπηση αυτών σε μορφή πίνακα, διακρίνοντάς τους σε δύο κατηγορίες - σε όσους σχετίζονται με την εφαρμογή και σε όσους αφορούν τον ίδιο τον χρήστη. Στη συνέχεια, εξετάζεται πώς η υπάρχουσα βιβλιογραφία αξιοποιεί τα προφίλ ιδιωτικότητας ως εργαλεία πρόβλεψης των επιλογών των χρηστών σχετικά με τις άδειες εφαρμογών. Επιπλέον, αναλύεται η αξιοποίηση τεχνικών Μηχανικής Μάθησης και άλλων μεθόδων Τεχνητής Νοημοσύνης, όπως καταγράφεται στη βιβλιογραφία, για την ασφαλή πρόβλεψη των προτιμήσεων και αποφάσεων ιδιωτικότητας των χρηστών. Η προσέγγιση αυτή λειτουργεί ως ένας αποτελεσματικός μηχανισμός για τη μείωση της επιβάρυνσης των χρηστών από τη συνεχή λήψη αποφάσεων. Η εκτενής βιβλιογραφική επισκόπηση οδηγεί στην ανάπτυξη ενός νέου ερευνητικού μοντέλου σε μια προσπάθεια να διερευνηθούν περαιτέρω οι παράγοντες που επιδρούν στις συμπεριφορές και αποφάσεις ιδιωτικότητας των χρηστών σχετικά με τις άδειες των εφαρμογών. Στο προτεινόμενο ερευνητικό μοντέλο ενσωματώνουμε παραδοσιακούς παράγοντες που σχετίζονται με τις εφαρμογές (π.χ. κατηγορία εφαρμογής, τύπος άδειας) με ελλιπώς διερευνημένες μεταβλητές με επίκεντρο τον χρήστη, σε μια προσπάθεια να επεκταθεί η υφιστάμενη βιβλιογραφία. Πιο συγκεκριμένα, εξετάζουμε τις πρακτικές ιδιωτικότητας που υιοθετούν οι χρήστες κατά την εγκατάσταση μιας εφαρμογής, καθώς και εκείνες που σχετίζονται με τη διαχείριση των αδειών και των ρυθμίσεων απορρήτου. Παράλληλα, μελετώνται οι τεχνικές γνώσεις και δεξιότητες των χρηστών, τόσο από την πλευρά των ίδιων (αυτό-αναφορικά δεδομένα), όσο και οι θεωρητικές τους γνώσεις σχετικά με τις άδειες των εφαρμογών (αντικειμενική σκοπιά), ένα θέμα που δεν έχει αναδειχθεί επαρκώς στη βιβλιογραφία. Εξετάζουμε, επιπλέον, την κατανόηση των αδειών των εφαρμογών από τους χρήστες, τις ανησυχίες τους για την πληροφοριακή ιδιωτικότητα, καθώς και τα επίπεδα άνεσής τους σχετικά με την κοινοποίηση προσωπικών δεδομένων. Για την αξιολόγηση των παραπάνω παραγόντων, δημιουργήσαμε ένα ερωτηματολόγιο κλειστού τύπου και διενεργήσαμε μια έρευνα με τη συμμετοχή 60 εθελοντών, χρηστών συσκευών Android, οι οποίοι κλήθηκαν να το απαντήσουν. Στη συνέχεια, αντλήσαμε πραγματικά δεδομένα από τις κινητές συσκευές των συμμετεχόντων στην έρευνα, και πιο συγκεκριμένα, εξήγαμε τις άδειες που είχαν χορηγήσει στις εγκατεστημένες εφαρμογές τους. Στη συνέχεια, παρουσιάζουμε τα αποτελέσματα της έρευνας σε δύο άξονες. Αρχικά, αναλύουμε τα ποσοτικά δεδομένα από τις απαντήσεις των συμμετεχόντων στο ερωτηματολόγιο, εξετάζοντας την επίδραση των δημογραφικών χαρακτηριστικών και τις συσχετίσεις μεταξύ των ερευνητικών μεταβλητών. Επιπλέον, εντάσσουμε τους χρήστες σε δύο διακριτά προφίλ ιδιωτικότητας, αξιοποιώντας αλγόριθμους μηχανικής μάθησης (machine learning) στα δεδομένα που συγκεντρώθηκαν. Αναδεικνύονται, έτσι, τα διαφορετικά μοτίβα συμπεριφοράς των συμμετεχόντων ως προς τη διαχείριση των προσωπικών τους δεδομένων, καθώς και η σημασία των τεχνικών γνώσεων στη μετατροπή των ανησυχιών για την ιδιωτικότητα σε ενέργειες προστασίας της. Προχωρώντας στο επόμενο στάδιο της έρευνας, αντιπαραβάλλουμε τις αυτοαναφερόμενες συμπεριφορές (self-reported behaviors), όπως αυτές αποτυπώνονται στα ερωτηματολόγια, με την πραγματική συμπεριφορά των χρηστών, όπως αυτή καταγράφεται από τις συσκευές τους. Κομβικό ρόλο σε αυτή τη διαδικασία διαδραματίζει η δημιουργία του Σχετικού Δείκτη Απόρριψης Αδειών (Relative Permission Rejection Index - PRI), ο οποίος αξιολογεί αντικειμενικά τις πρακτικές προστασίας τους στο πλαίσιο των εφαρμογών και των αιτημάτων αδειών. Μέσα από αυτή τη συνδυαστική ανάλυση, εξάγουμε πολύτιμα συμπεράσματα σχετικά με τον τρόπο που οι χρήστες αντιλαμβάνονται και προστατεύουν έμπρακτα τα προσωπικά τους δεδομένα. Τέλος, επεκτείνουμε τη μελέτη μας με τη χρήση αλγορίθμων Μηχανικής Μάθησης, αναπτύσσοντας ένα δέντρο απόφασης (decision tree), που αποτυπώνει τους παράγοντες που επιδρούν καθοριστικά στην τελική αποδοχή ή απόρριψη των αδειών των εφαρμογών από τους χρήστες. Τα ευρήματα της έρευνας καταδεικνύουν πως τα κενά στην προστασία της ιδιωτικότητας δεν οφείλονται σε αδιαφορία των χρηστών, αλλά αντανακλούν ένα υπαρκτό "χάσμα τεχνικών δεξιοτήτων". Συμπεραίνεται, επομένως, ότι η απλή θεωρητική ευαισθητοποίηση δεν επαρκεί για την αλλαγή της συμπεριφοράς των χρηστών. Προκειμένου η παθητική ανησυχία να μετατραπεί σε ενεργητική στάση, είναι απολύτως αναγκαία η τεχνική ενδυνάμωση των χρηστών και η συστηματική εκπαίδευσή τους στη χρήση πρακτικών εργαλείων προστασίας. Το συμπέρασμα αυτό επιβεβαιώθηκε και από τα μοντέλα Μηχανικής Μάθησης, τα οποία ανέδειξαν ότι η έμπρακτη προστασία της ιδιωτικότητας αποτελεί κατεξοχήν απόρροια του ψηφιακού εγγραμματισμού. Βασικοί πυλώνες σε αυτό αποτελούν η συστηματική διαχείριση αδειών και ρυθμίσεων απορρήτου (PMP), η κατανόηση των αιτημάτων πρόσβασης (UAP) και η κριτική στάση κατά την εγκατάσταση νέων εφαρμογών (AIP). Επομένως, προκύπτει ως επιτακτική ανάγκη η στοχευμένη εκπαίδευση των χρηστών στη χρήση πρακτικών εργαλείων διαχείρισης της ιδιωτικότητας. Με γνώμονα το σύνολο των παραπάνω ευρημάτων, η παρούσα μελέτη καταλήγει στη διατύπωση στοχευμένων προτάσεων, οι οποίες αποσκοπούν αφενός στη βελτιστοποίηση της προστασίας της ιδιωτικότητας των χρηστών, και αφετέρου στη χάραξη μελλοντικών ερευνητικών κατευθύνσεων. Η αντιμετώπιση του τέταρτου ερευνητικού ερωτήματος «Τι πρέπει να γνωρίζει ένας σύγχρονος χρήστης, σε θεωρητικό και πρακτικό επίπεδο, ώστε να είναι σε θέση να αντιμετωπίζει τις προκλήσεις της σύγχρονης εποχής, προστατεύοντας παράλληλα την πληροφοριακή του ιδιωτικότητα;» διαμορφώθηκε έπειτα από διεξοδική μελέτη της βιβλιογραφίας γύρω από την πληροφοριακή ιδιωτικότητα (information privacy). Ειδικότερα, η ανασκόπηση επικεντρώθηκε στις αντιλήψεις των διαδικτυακών χρηστών, τις σύγχρονες απειλές και τις στρατηγικές προστασίας, εξετάζοντας παράλληλα τα νομοθετικά και κανονιστικά πλαίσια για την προστασία της ιδιωτικότητας των πληροφοριών, τις οργανωτικές πρακτικές διαχείρισης των δεδομένων των καταναλωτών, καθώς και την κρίσιμη σημασία της ψηφιακής ενημερότητας και εκπαίδευσης των χρηστών σε θέματα προστασίας του απορρήτου τους. Έτσι, τέθηκε το θεωρητικό υπόβαθρο για τη δημιουργία ενός Κοινού Συνόλου Γνώσης (Common Body of Knowledge - CBK) για την πληροφοριακή ιδιωτικότητα, για έναν τομέα για τον οποίο δεν έχει καταγραφεί ανάλογη ερευνητική προσπάθεια. Αφού αναπτύχθηκε εννοιολογικά το προτεινόμενο InfoPrivacy CBK, αποτυπώθηκε με τη βοήθεια εννοιολογικών χαρτών και στη συνέχεια διεξήχθη εμπειρική έρευνα για την επικύρωση και βελτίωσή του με τη συμμετοχή επτά ειδικών του χώρου. Για την αξιολόγησή του αναπτύχθηκε ηλεκτρονικό ερωτηματολόγιο με δομημένες, αλλά και ερωτήσεις ανοιχτού τύπου. Η αξιολόγηση των ειδικών ήταν εξαιρετικά θετική, επιβεβαιώνοντας την αρτιότητα της δομής και του περιεχομένου του πλαισίου, καθώς και την επιτυχή κάλυψη των εκπαιδευτικών του στόχων. Ως τελικό αποτέλεσμα, προέκυψε ένα πρωτότυπο και καινοτόμο CBK, το οποίο έρχεται να καλύψει ένα σημαντικό κενό στην υπάρχουσα βιβλιογραφία. Στο πλαίσιο της παρούσας διατριβής αναπτύσσεται ένα πλήρες εννοιολογικό και μεθοδολογικό πλαίσιο, μέσω του InfoPrivacy CBK, για την υποστήριξη του σχεδιασμού προγραμμάτων ενημερότητας και κατάρτισης σε θέματα πληροφοριακής ιδιωτικότητας και την οργάνωση σχετικού εκπαιδευτικού υλικού. Η έρευνά μας έχει πολυδιάστατη συνεισφορά, επεκτεινόμενη σε θεωρητικό, μεθοδολογικό και πρακτικό επίπεδο. Συγκεκριμένα, η συνεισφορά της διατριβής σε θεωρητικό επίπεδο εντοπίζεται στα εξής σημεία: •Διαμόρφωση ενός Κοινού Συνόλου Γνώσης (CBK) για την Πληροφοριακή Ιδιωτικότητα: Δημιουργία ενός καινοτόμου πλαισίου για την πληροφοριακή ιδιωτικότητα, το οποίο καλύπτει ένα σημαντικό βιβλιογραφικό κενό και λειτουργεί ως κεντρικός πυλώνας για τον σχεδιασμό σύγχρονων προγραμμάτων εκπαίδευσης και κατάρτισης. •Θεμελίωση εκπαιδευτικών παρεμβάσεων: Ενίσχυση της βιβλιογραφίας παρέχοντας το απαραίτητο θεωρητικό υπόβαθρο για τον σχεδιασμό δράσεων που συνδυάζουν θεωρία και πρακτική εφαρμογή γύρω από την πληροφοριακή ιδιωτικότητα, και ειδικότερα τις άδειες των εφαρμογών. •Ανάπτυξη ενός νέου ερευνητικού μοντέλου και χαρτογράφηση συμπεριφοράς: Εμπλουτισμός της βιβλιογραφίας με ένα διευρυμένο μοντέλο πρόβλεψης που αποκωδικοποιεί τον τρόπο λήψης αποφάσεων των χρηστών ως προς τις άδειες των εφαρμογών. Το μοντέλο καινοτομεί συνδυάζοντας παραδοσιακά χαρακτηριστικά των εφαρμογών με ελλιπώς διερευνημένες μεταβλητές με επίκεντρο τον ίδιο τον χρήστη, όπως η συμπεριφορά κατά την εγκατάσταση εφαρμογών, η διαχείριση των αδειών και ρυθμίσεων απορρήτου, η κατανόηση των αδειών, οι ανησυχίες απορρήτου, τα επίπεδα άνεσης, καθώς και οι τεχνικές γνώσεις και δεξιότητες των χρηστών. •Θεωρητική τεκμηρίωση του ψηφιακού εγγραμματισμού: Μέσα από τη διερεύνηση των παραπάνω παραγόντων, αναδεικνύεται και τεκμηριώνεται θεωρητικά ο καθοριστικός ρόλος που διαδραματίζει η τεχνική ενδυνάμωση και ο ψηφιακός εγγραμματισμός στη μετάβαση του μέσου χρήστη από την παθητική ανησυχία στην έμπρακτη προστασία της ιδιωτικότητάς του, προσφέροντας παράλληλα ένα ισχυρό έναυσμα για μελλοντική έρευνα. Σε μεθοδολογικό επίπεδο, η συνεισφορά της διατριβής εντοπίζεται στα εξής σημεία: • Δόμηση πλαισίου σχεδιασμού εκπαιδευτικών παρεμβάσεων: Παροχή ενός πλήρως δομημένου και θεωρητικά θεμελιωμένου πλαισίου, το οποίο ακολουθεί μια ξεκάθαρη πορεία βημάτων για τον σχεδιασμό και τη δημιουργία εποικοδομητικών εκπαιδευτικών δράσεων γύρω από την πληροφοριακή ιδιωτικότητα και τις άδειες των εφαρμογών. •Μεθοδολογία πρακτικής υλοποίησης: Διαμόρφωση εφαρμόσιμων μεθοδολογικών προσεγγίσεων για την πρακτική υλοποίηση εκπαιδευτικών και επιμορφωτικών παρεμβάσεων, με επίκεντρο το οικοσύστημα των κινητών συσκευών και τους μηχανισμούς αδειών πρόσβασης. •Καινοτομία στην ποσοτικοποίηση της ψηφιακής συμπεριφοράς (Δείκτης PRI): Εισαγωγή και τυποποίηση του Σχετικού Δείκτη Απόρριψης Αδειών (Relative Permission Rejection Index - PRI). Πρόκειται για ένα νέο, σύνθετο μετρικό εργαλείο που υπερβαίνει τις παραδοσιακές προσεγγίσεις, επιτρέποντας την αποτελεσματικότερη και πιο σφαιρική ποσοτικοποίηση της πραγματικής ψηφιακής συμπεριφοράς των χρηστών, καθώς συνυπολογίζει άμεσα το λειτουργικό πλαίσιο (context) της εκάστοτε εφαρμογής. •Ανάπτυξη νέων ερευνητικών εργαλείων (Ερωτηματολόγια): Σχεδιασμός και παροχή δύο εξειδικευμένων μετρικών εργαλείων συλλογής δεδομένων, ενός ερωτηματολογίου για την αξιολόγηση προγραμμάτων σπουδών από διδάσκοντες και διδασκόμενους, καθώς και ενός στοχευμένου εργαλείου μέτρησης συγκεκριμένων πτυχών της πληροφοριακής ιδιωτικότητας με εστίαση στις αποφάσεις αδειοδότησης των εφαρμογών. Τέλος, η συνεισφορά της διατριβής σε πρακτικό επίπεδο εντοπίζεται στα παρακάτω σημεία: •Αξιοποίηση του InfoPrivacy CBK ως «οδικού χάρτη»: Το προτεινόμενο πλαίσιο λειτουργεί ως πρακτικό εργαλείο για εκπαιδευτικούς φορείς, σχεδιαστές προγραμμάτων ενημερότητας της ιδιωτικότητας, εταιρείες λογισμικού πληροφοριακής ασφάλειας, οργανισμούς, εταιρείες και παρόχους εκπαιδευτικού έργου, καθοδηγώντας τον σχεδιασμό στοχευμένων εκπαιδευτικών παρεμβάσεων και ολοκληρωμένων προγραμμάτων ενημερότητας σε θέματα πληροφορικής ιδιωτικότητας. •Στρατηγική καθοδήγηση για τη χάραξη πολιτικών: Παροχή τεκμηριωμένων κατευθύνσεων στους αρμόδιους φορείς, προκειμένου να εστιάσουν σε σύγχρονες και αποδοτικές μεθόδους και μέσα για τη μαζική ενίσχυση της ψηφιακής ενημερότητας των πολιτών. •Ουσιαστική ψηφιακή ενδυνάμωση των χρηστών: Μέσα από τη συμμετοχή τους σε θεωρητικά τεκμηριωμένα προγράμματα εκπαίδευσης και κατάρτισης, οι χρήστες αποκτούν τα απαραίτητα εφόδια για να οξύνουν την κριτική τους σκέψη και να προστατεύσουν την ιδιωτικότητά τους λαμβάνοντας πλήρως τεκμηριωμένες αποφάσεις. Η ατομική αυτή ενδυνάμωση θα οδηγήσει σταδιακά στη δημιουργία ψηφιακών κοινοτήτων με αυξημένη ενημερότητα και συλλογική ευαισθησία γύρω από την ιδιωτικότητα των πληροφοριών. •Βελτιστοποίηση του σχεδιασμού λογισμικού: Παροχή αξιοποιήσιμων κατευθυντήριων γραμμών για προγραμματιστές, μηχανικούς λογισμικού και σχεδιαστές πλατφορμών, με στόχο την ανάπτυξη πιο διαφανών και αποδοτικών μηχανισμών εκχώρησης δικαιωμάτων πρόσβασης, δίνοντας τη δυνατότητα στους χρήστες να λαμβάνουν πιο ενημερωμένες αποφάσεις για την ιδιωτικότητά τους.