1
Medvetenhet, Rationalitet och Facebooks åtkomst
- en studie om hur medvetenheten om Facebooks åtkomst till
personlig data påverkar Facebookanvändares rationella agerande
Författare: Anton Söderberg 891104, Tim Olsson 950313, Karl Ekwall 950211
HT19
Informatik med systemvetenskaplig inriktning, kandidatkurs | 15,0 hp |
Ämne: Informatik
Handelshögskolan vid Örebro universitet
Handledare: Per Oscarsson
2
Sammanfattning
Det finns idag risker med att användare laddar ner och använder en applikation. Trots att användare måste ge ett informativt godkännande av de användarvillkor där applikationer beskriver vilken data de vill ha åtkomst till, visar det sig att de flesta användare ger sitt medgivande utan att egentligen veta vad som händer med deras data (Brandtzaeg, Pultier & Moen, 2019). Vi undersöker användarnas medvetenhet om vilken data Facebook kan få åtkomst till genom att de använder applikationen och hur medvetenheten påverkar deras rationella agerande. För att få svar på våra frågor har vi genomfört en dokumentsök för att tolka Facebooks användarvillkor och sedan jämfört det med en enkätundersökning där vi frågade användarna hur medvetna de är och om de värnar om deras integritet. Svaren från
enkätundersökningen visade att användare inte verkade ha någon vidare medvetandegrad om vilken åtkomst Facebook får genom att de nyttjar deras applikation. Med detta kunde vi indikera på att medvetenheten om Facebooks åtkomst inte påverkade hur rationellt Facebookanvändare agerar.
3
Innehållsförteckning
Innehåll
Sammanfattning ... 2 Innehållsförteckning ... 3 Centrala begrepp ... 5 1.Introduktion ... 6 1.1 Problem ... 8 1.2 Syfte ... 9 1.3 Frågeställning ... 9 1.4 Avgränsning ... 9 2. Teori ... 10 2.1 Privacy calculus... 10 2.2 Privacy paradox... 12 2.3 Medvetenhet... 13 3. Tidigare forskning ... 13 3.1 Androidsystemets funktionalitet ... 13 3.2 Gruppering av åtkomsten... 15 4. Metod ... 17 4.1 Val av metod ... 17 4.1.1 Enkät ... 17 4.1.2 Dokumentsök... 18 4.2 Enkäturval ... 18 4.3 Utformning av enkät ... 20 4.4 Analysmetod... 23 4.4.1 Analys av enkät ... 23 4.4.2 Analys av dokumentsök ... 25 4.5 Etik ... 25 4.6 Metodkritik ... 265. Resultat & Analys... 27
5.1 Vad Facebook vill ha åtkomst till ... 27
5.1.1 Temaanalys ... 28
4
5.3 Användares medvetenhet ... 31
5.4 Användares integritetsskyddande beteende ... 33
5.5 Privacy calculus & Privacy paradox ... 35
5.6 Medvetenheten och rationellt beteende ... 39
6. Diskussion ... 41
6.1 Användares medvetenhet ... 41
6.2 Integritetsoro och skyddande beteende ... 42
6.3 Privacy calculus... 43
6.3.1 Medvetenhet och privacy calculus ... 44
6.4 Privacy paradox... 45
6.4.1 Medvetenheten och privacy paradox ... 45
6.5 Sammanfattning ... 46 7. Slutsats ... 47 7.1 Begränsningar ... 48 7.2 Bidrag ... 48 7.3 Vidare forskning ... 49 8. Källförteckning ... 50 9. Bilagor ... 54
5
Centrala begrepp
Tillstånd: För att applikationer ska fungera korrekt behöver applikationerna åtkomst till olika
tjänster på användares telefoner. Dessa tillstånd ger åtkomst till tjänster, exempelvis en kameraapp behöver åtkomst till kameran. Vilket den får genom kameratillståndet.
Farliga tillstånd: De tillstånd som ger åtkomst till personlig data och som en användare själv
måste godkänna åtkomsten till.
Privacy Calculus: En teori som menar att användare agerar rationellt genom att de väger den
upplevda nyttan av appen mot de upplevda riskerna som användandet medför.
Användarvillkor: Företagen som erbjuder applikationer för nedladdning har i användarvillkoren
skrivet hur användarens data hanteras.
Privacy Paradox: En teori som menar att användare agerar irrationellt genom att de värnar om
sin integritet men delar ändå med sig av sin personliga data till låg eller ingen nytta, eller genom att de inte skyddar sin integritet.
6
1.Introduktion
För att kunna använda en app så måste appen få åtkomst till användarens data. För att få den åtkomsten introducerade Android ett permission system eller ett tillståndssystem. (Onik, Kim, Lee & Yang, 2019) Detta tillståndssystem har som främsta uppgift att reglera vilken åtkomst appen har till olika tjänster på telefonen, såsom åtkomst till platstjänster, kontakter och SMS. (Wijesekera m.fl., 2018) Systemet funkar så att appen ber användaren om åtkomst till en tjänst en gång, sedan har den fri tillgång att använda den tjänsten när den behöver.
I nyare versioner av Android så ändrades tillståndssystemet till att istället för att begära åtkomst till alla tillstånd vid installationen så kan man även godkänna eller neka vissa tillstånd när man använder appen. (Onik m.fl., 2019; Polykalas & Prezerakos, 2019; Wijesekera m.fl., 2018) Dessa tillstånd kallas för dangerous permissions, eller farliga tillstånd, de andra som inte anses vara farliga godkänns automatiskt utan att informera användaren. (Wijesekera m.fl., 2018) Varför de anses vara farliga är för att det är dessa tillstånd som vill ha åtkomst till personlig data. (Onik m.fl., 2019; Polykalas & Prezerakos, 2019) Personlig data kan definieras som all typ av
information som kan identifiera eller hjälpa till att identifiera en person. (Datainspektionen, u.åb) Genom åtkomst till kalendern får apparna åtkomst till data som visar ens rutiner och olika
aktiviteter som är inlagda. Samtalsloggar och telefonstatus kan avslöja användarens familj, vänner eller andra personer denne har kontakt med. Likaså har kameran, mikrofonen och sensorer tillgång till både biometrisk- och röstdata. Platstjänster kan visa exakt position men även ungefärlig. Sist men inte minst så ger åtkomsten till SMS och lagringsutrymme tillgång till en mängd personlig data såsom bilder, videos och ljudklipp (Onik m.fl., 2019). Enligt
dataskyddsförordningen så är ett av kraven att få behandla data att behandlingen ska vara transparent och att användaren av appen måste ge sitt medgivande (Datainspektionen, u.åa). Ett vanligt sätt att informera användare vilka personliga data en app vill ha tillgång till och vad den kan göra med denna är att använda användarvillkor (Brandtzaeg, Pultier, & Moen, 2019; Mulder & Tudorica, 2019). Trots att användare måste ge sitt medgivande för att en app ska få behandla deras personliga data så har studier visat att de flesta användare ger sitt medgivande till
användarvillkoren utan att veta vad som händer med deras data (Mulder & Tudorica, 2019). Undersökningar har visat att majoriteten av användarna aldrig läser användarvillkoren (Wottrich, Reijmersdal & Smit, 2018; Mulder & Tudorica, 2019). Andra studier har visat att användare är
7
knappt medvetna om hur mycket åtkomst appar egentligen får till personlig data (Brandtzaeg m.fl., 2019).
En teori som kan användas för att förklara användares beteenden när de väljer att använda en app eller inte är privacy calculus. Beteende kan definieras som hur en person beter sig i en given situation eller under vissa förutsättningar (Cambridge University Press, 2020a). Privacy calculus är en teori som menar att användare gör en risk-nytta analys där de ställer den upplevda nyttan mot de upplevda riskerna. (Betzing, Tietz, vom Brocke & Becker, 2019; Wottrich m.fl., 2019; Gimpel, Kleindienst & Waldmann, 2018) Genom att användare väger den upplevda nyttan mot de upplevda riskerna så menar man att användare beter sig rationellt (Gimpel m.fl., 2018) Rationalitet kan definieras som att göra val som är klartänkta och baserade på förnuft
(Cambridge University Press, 2020b). Givet privacy calculus där valet står mellan risk och nytta är det förnuftiga och således rationella valet att välja det som ger mest nytta. Antagandet om att användare alltid beter sig rationellt är dock något som har ifrågasatts (Acquisti & Grossklags, 2005; Gimpel m.fl., 2018).
Privacy paradox är en teori som beskriver ett irrationellt beteende där användare som säger sig
värdera sin integritet högt och har hög integritetsoro ändå i många fall delar med sig av sin personliga data mot liten nytta. (Betzing m.fl., 2019; Mulder & Tudorica, 2019; Wottrich m.fl., 2018; Gimpel m.fl., 2018) Integritetsoro kan definieras som en oro för eventuell förlust av integritet som resultat av informationsavslöjande till en specifik extern part (Wottrich m.fl., 2018). Vilket i detta fall kan vara information om appanvändare som avslöjas genom att de godkänner tillstånd. Användare visar också ett teoretiskt intresse kring deras integritet och en positiv inställning till integritetsskyddande beteenden, samtidigt som de sällan är villiga att ta till sig den informationen som krävs för att skydda sin integritet (Acquisti & Grossklags, 2005; Barth & De Jong, 2017). Irrationellt kan definieras, i motsatt till rationalitet, som ett val som inte är förnuftigt eller klartänkt (Cambridge University Press, 2020c). Genom att användare menar att de värnar om sin integritet samtidigt som de är villiga dela med sig av sin personliga data mot liten nytta agerar de tvärtemot deras syn på sin integritet. Detta val blir således irrationellt då användare som menar att de värnar om sin integritet inte borde dela med sig av sin personliga data mot liten nytta. På samma sätt blir valet av användare att inte ta till sig den information som
8
krävs för att skydda sin integritet, samtidigt som de menar att det är positivt att skydda sin integritet, ett irrationellt val då de agerar tvärtemot vad de tycker.
1.1 Problem
Privacy calculus är som ovan nämnt en teori som menar att användare agerar rationellt genom att
de väger upplevda risker mot en upplevd nytta. (Betzing, m.fl., 2019; Wottrich, m.fl., 2018; Gimpel, m.fl., 2018) Samtidigt visar studier att användare ofta inte vet vad som händer med deras data och att de knappt är medvetna om hur mycket åtkomst appar får till deras data
(Mulder & Tudorica, 2019; Brandtzaeg m.fl., 2019). När användare istället blir informerade om appars insamling av data blir många upprörda och reagerar med att avinstallera apparna (Betzing, m.fl., 2019).För att användare ska kunna sägas agera rationellt borde de rimligtvis också vara medvetna om hur mycket åtkomst appar får till personlig data. Då studier har visat att användare inte läser användarvillkoren och inte vet vad som händer med deras personliga data så är frågan om användare verkligen är medvetna om vilka riskerna är.
Privacy paradox beskriver som sagt ett irrationellt beteende där användare är villiga att dela med
sig av sin personliga data mot relativt liten nytta (Acquisti & Grossklags, 2005). Däremot har
privacy paradox kritiserats där forskare menar att teorin är byggd på ett missförstånd (Keith,
Thompson, Hale, Lowry & Greer, 2013). Genom att användare väger de upplevda riskerna mot den upplevda nyttan så menar forskare att användare tror att de agerar rationellt men att de felbedömer riskerna och det ser då ut som ett irrationellt agerande utifrån (Gerber, Gerber & Volkamer, 2018). Vidare utgår ett flertal studier om privacy calculus från att användare agerar rationellt utifrån att de väger de upplevda riskerna mot den upplevda nyttan (Betzing, m.fl., 2019; Wottrich, m.fl., 2018; Gimpel, m.fl., 2018). Då privacy paradox har kritiserats för att användare inte väger de riktiga riskerna mot den riktiga nyttan utan den upplevda så uppstår frågan om alla användare verkligen agerar rationellt utifrån privacy calculus då de sägs agera rationellt utifrån att de väger de upplevda riskerna mot den upplevda nyttan.
Då tidigare studier kring båda dessa teorier: Privacy calculus och Privacy paradox utgår ifrån ett antagande om ett irrationellt eller rationellt beteede utifrån att användare väger upplevd nytta mot upplevd risk ser vi ett behov av att undersöka om medvetenheten har någon påverkan på om
9
användare beter sig rationellt eller inte. Givet kritiken mot privacy paradox där studier menar att antagandet om ett irrationellt beteende utifrån upplevd risk och nytta är felaktig så borde den problematiken även kunna riktas mot privacy calculus. Vidare utgår vi inte utifrån att teorierna är felaktiga, utan vi vill bygga vidare på antagandet om ett rationellt eller irrationellt beteende baserat på upplevd risk och nytta och istället undersöka användares rationalitet utifrån
medvetenheten och dessa teorier. Då studier även har visat att användare knappt är medvetna om vad som händer med deras data eller hur mycket åtkomst appar egentligen får styrker det
ytterligare behovet av att undersöka hur medvetna användare är om, i vårt fall, Facebooks åtkomst till personlig data. Detta för att kunna se om en ökad medvetenhet om Facebooks åtkomst påverkar hur rationellt Facebookanvändare agerar utifrån privacy calculus och privacy
paradox.
1.2 Syfte
Studiens syfte var att undersöka huruvida de Facebookanvändare som är medvetna om vad de ger åtkomst till agerar mer rationellt än de som inte är medvetna och är därmed mer benägna att göra en risk-nytta analys enligt privacy calculus och mer benägna att skydda sin integritet eller om de ändå agerar irrationellt enligt privacy paradox.
1.3 Frågeställning
● Hur påverkar användares medvetenhet om Facebooks åtkomst hur rationellt de agerar
gällande deras personliga integritet?
○ Vilken åtkomst kan Facebook få?
○ Hur medvetna är användare om Facebooks åtkomst?
1.4 Avgränsning
Då vi kommer att undersöka rationalitet så behöver det förtydligas. I inledningen definierar vi rationalitet som val som är klartänkta och baserade på förnuft. Givet de teorier vi använder:
10 privacy calculus och privacy paradox ser vi på ett rationellt val som att användare agerar utefter
sin egna uttryckta åsikt. Utifrån privacy calculus faller det rationella valet på det som ger mest nytta, menar användare att de värnar om sin integritet samtidigt som de gör ett val i utbyte mot låg nytta blir valet ett irrationellt val och således ett irrationellt beteende. På samma sätt om användare menar att det är bra att skydda sin integritet samtidigt som de inte är villiga att ta till sig den informationen som krävs för att skydda sig är det ett irrationellt beteende. Huruvida användare agerar rationellt kommer således att bero på hur de ser på sin egna integritet och hur valen de gör påverkar deras integritet. Ett val som vi menar är irrationellt för en respondent behöver inte vara det för alla respondenter, utan det är beroende på hur de ser på sin integritet.
Vi valde att avgränsa oss till Android-applikationer då Android är världens största plattform för mobila applikationer (Onik, Kim, Lee & Yang, 2019). Majoriteten av den tidigare forskning som har gjorts inriktar sig på Androids operativsystem eftersom Android, till skillnad från iOS, inte förhandsgranskar för privata hot eller säkerhetsattacker. Öppenheten hos Android gör att det lockar ett större antal inkräktande applikationer. (Gu, Xu, Xu, Zhang & Ling, 2017) För att kunna styrka vårt resultat med den tidigare forskningen så valde även vi att rikta in oss på Android.
Vi valde att avgränsa oss till Facebook eftersom de har ett högt antal nerladdningar, då det var viktigt att det är en app som många använde, vilket även gjorde resultatet mer intressant då det påverkade ett större antal personer. Dessutom var applikationen tvungen att begära åtkomst till något eller några av de farliga tillstånden som finns, eftersom det är åtkomsten till dessa tjänster på ens telefon som utgör en risk för ens personliga data. (Onik m.fl., 2019; Polykalas &
Prezerakos, 2019)
2. Teori
2.1 Privacy calculus
Människors agerande är i flera fall svåra att förutsäga. Därför har forskare spenderat mycket tid på att försöka förstå hur människor agerar och varför. Inom informationsteknologi (IT) har det
11
gjorts flertalet studier för att försöka förstå användares agerande. Många av dessa har baserats på teorier så som theory of reasoned action (TRA) och dess senare omarbetade version theory of
planned behavior (TPB) som etablerade ett ramverk för att försöka förklara hur användare agerar
och vilken avsikt de hade med agerandet (Dinev & Hart, 2006).
Privacy calculus är en ”rationell” teori som, baserat på TRA och TPB, försöker förklara
IT-användares attityder, avsikter och agerande när användandet av IT inkluderar kostnaden av en upplevd integritetsrisk. Med termen calculus så menas avvägningen mellan förväntad nytta och risk (Keith, Thompson, Hale, Lowry & Greer, 2013). Medan TRA och TPB menar att avsikten med en användares agerande endast är positivt relaterat till den upplevda nyttan, så menar
privacy calculus att det även finns en negativ relation till den förväntade risken mot användarens
integritet (Culnan & Armstrong, 1999). Influerat av TRA och TPB är privacy calculus grundad i
expectancy theory som menar att användare agerar på det sätt som de tror kommer att generera
ett så positivt resultat som möjligt, samtidigt som det minimerar det negativa (Keith, Thompson, Hale, Lowry & Greer, 2013). Med ”rationell” menas att privacy calculus förklarar agerandet där en användare väger den förväntade nyttan mot kostnaden av den förväntade risken. Där
kostnaden kan vara t.ex. att dela med sig av sin personliga data. (Gimpel m.fl., 2018) Genom att en användare kan välja att dela med sig av sin personliga data mot någon slags förväntad nytta så kan användarens integritet ses som en handelsvara (Keith, Thompson, Hale, Lowry & Greer, 2013). Antagandet om integritet som handelsvara är underliggande i flera studier (Culnan & Armstrong, 1999; Dinev & Hart, 2006). Genom att integritet kan ses som en handelsvara är användarens val att dela med sig av sin personliga data eller inte ett rationellt val som görs genom att väga risken och nyttan, som delningen medför, mot varandra (Keith, Thompson, Hale, Lowry & Greer, 2013).
Studier har gjorts som visar att denna avvägning mellan nytta och risk även görs i mobila applikationer. Där nyttan av att använda en app kan fås genom att t.ex. spara tid, att få social kontakt eller att få underhållning (Gimpel m.fl., 2018). Riskerna med app-användning ligger i att appar efterfrågar en stor mängd personlig data. Denna data kan sedan samlas, delas eller säljas (Gimpel m.fl., 2018). Wottrich m.fl. (2018) gjorde en studie där de undersökte hur användares vilja att acceptera appars tillstånd påverkades utifrån värdet av appen, hur inkräktande appen var och hur hög eller låg deras integritetsoro var. De kom fram till att när appar har ett högt värde för
12
användaren, så är de med lägre integritetsoro mer villiga att godkänna åtkomsten till deras data oavsett hur inkräktande appen är. När användaren har en låg integritetsoro och appen istället har ett lågt värde så verkar användarna basera sin vilja att godkänna åtkomsten beroende på hur inkräktande appen är. I en annan undersökning visades det att när appen hade ett högt värde för användarna så var de villiga att godkänna åtkomst till sin personliga data, oavsett nivån av deras integritetsoro. (Wottrich m.fl., 2018)
2.2 Privacy paradox
Då privacy calculus förklarar ett rationellt val grundat i en avvägning mellan förväntad nytta och risk så utgår teorin från att man som användare alltid agerar rationellt. Detta antagande är något som har ifrågasatts där forskare menar att man som användare inte alltid agerar rationellt (Acquisti & Grossklags, 2005; Gimpel m.fl., 2018). Acquisti och Grossklags (2005) menar att användare är villiga att dela med sig av sin personliga data mot relativt liten nytta, de är också sällan villiga att använda integritetsskyddande teknologi. Privacy paradox är en teori som försöker förklara att användare inte alltid agerar rationellt rörande deras egen integritet (Acquisti & Grossklags, 2005; Gimpel m.fl., 2018). Användare som säger sig värdera sin integritet högt och har hög integritetsoro är ändå i många fall villiga att dela med sig av sin personliga data. (Betzing m.fl., 2019; Mulder & Tudorica, 2019; Wottrich m.fl., 2018; Gimpel m.fl., 2018) I andra fall uttrycks det genom att användare visar ett teoretiskt intresse kring deras integritet och en positiv inställning till integritetsskyddande beteenden. Detta leder dock sällan till ett faktiskt skyddande beteende då användare sällan är villiga att ta till sig den informationen som krävs för att skydda sin integritet (Acquisti & Grossklags, 2005; Barth & De Jong, 2017). Acquisti och Grossklags (2005) menar att de största orsakerna till att man som användare inte alltid agerar rationellt beror på: ofullständig information, bounded rationality och andra psykologiska avvikelser som leder till att användare inte gör ett rationellt val. Ofullständig information påverkas av externa faktorer, t.ex. hur användarens personliga data kommer att användas (Acquisti & Grossklags, 2005). Utan informationen om hur ens personliga data kommer att användas kan man inte som användare vara fullt medveten om vilka risker som föreligger. Med
bounded rationality menas att användare är begränsade i deras rationalitet. Även om användare
har tillgång till information kring vilka integritetsrisker det finns och hur de ska skydda sig mot riskerna är de inte alltid kapabla att bearbeta den mängden informationen som krävs för att de
13
ska agera rationellt (Acquisti & Grossklags, 2005). Andra psykologiska avvikelser kan vara att man felbedömer hur stora riskerna är (Acquisti & Grossklags, 2005).
Betzing m.fl. (2019) kom fram till i en undersökning att flera deltagare som klassificerades som integritetsfundamentalister ändå gav åtkomst till platstjänster för att få personliga fördelar. På samma sätt kom Wottrich m.fl. (2018) fram till i en undersökning att användare med hög
integritetsoro i 30% av fallen ändå godkände åtkomsten till sin personliga data när appen hade ett lågt värde för dem.
2.3 Medvetenhet
Privacy calculus förklarar ett rationellt val där de upplevda riskerna vägs mot den upplevda
nyttan. Acquisti och Grossklags (2005) menar som nämnt ovan att två påverkande faktorer till
privacy paradox och att användare inte alltid agerar rationellt är ofullständig information eller
bounded rationality. Båda dessa bygger på att man som användare inte är medveten om riskerna.
Har man inte tillgång till all information kan man inte göra ett rationellt val, då man inte är medveten om riskerna. Har man tillgång till all information men inte är kapabel att bearbeta informationen kan man inte göra ett rationellt val för att man inte då heller är medveten om riskerna. En central del i att man som användare agerar irrationellt är alltså en omedvetenhet om vilka risker som finns.
3. Tidigare forskning
3.1 Androidsystemets funktionalitet
För att kunna använda en app så måste den få åtkomst till användarens data. För att få den åtkomsten introducerade Android ett tillståndssystem. (Onik m.fl., 2019) Detta system har som främsta uppgift att reglera vilken åtkomst appen har till olika tjänster på telefonen, såsom åtkomst till platstjänster, kontakter och SMS. (Wijesekera m.fl., 2018) Systemet funkar så att appen ber användaren om åtkomst till en tjänst en gång, sedan har den fri tillgång att använda den tjänsten när den behöver.
14
Android delar upp tillstånden i fyra olika grupper: normal, signature, dangerous och special. (Android, 2019c)
I äldre versioner av android, fram till 2015 (version 5.9 eller tidigare), så var man tvungen att godkänna alla tillstånd när man installerade appen. (Torre, Sanchez, Koceva & Adorni, 2018; Polykalas & Prezerakos, 2019; Braghin & Del Vecchio, 2017) Vid installationen presenterade appen en lista av de tillstånd som den krävde åtkomst till och man kunde antingen godkänna kraven eller avbryta installationen och således inte kunna använda appen överhuvudtaget. (Braghin & Del Vecchio, 2017; Wijesekera m.fl., 2018)
Detta sätt att hantera alla tillstånd vid installationen av en app har kritiserats b.la. för att man inte kan påverka hur mycket data en app får åtkomst till när man väl installerat den (Wottrich,
Reijmersdal & Smit, 2019; Wottrich m.fl., 2018). Studier har visat att majoriteten av användare aldrig läser användarvillkor när de installerar appar (Wottrich m.fl., 2018). De har även visat att språket som används för att beskriva vilka tillstånd appen begär åtkomst till är svårt för
användarna att förstå men också att användarens begär att slutföra installationen drar bort uppmärksamheten från vilka tillstånd det egentligen är som de godkänner. (Gu m.fl., 2017)
I senare versioner, 6.0 eller nyare, så ändrades tillståndssystemet till att istället för att begära åtkomst till alla tillstånd vid installationen så kan man även godkänna eller neka vissa tillstånd när man använder appen (Onik m.fl., 2019;Polykalas & Prezerakos, 2019; Wijesekera m.fl., 2018). I och med de nyare versionerna så är det även möjligt att ändra vissa tillstånd man har godkänt, vilket man inte kunde göra i tidigare versioner. (Alepis & Patsakis, 2019)
Denna ändring till att begära åtkomst till tillstånd vid användning av appen istället för vid
installation har fått bra kritik. Studier har visat att de tillstånd som visas när man använder appen är mer framträdande än de som visas vid installation. (Betzing m.fl., 2019) Det blir även
tydligare att förstå varför appen begär åtkomst till ett visst tillstånd när man väl använder appen, t.ex. så kan det verka konstigt att en meddelande-app vill ha tillgång till ens mikrofon vid installation av appen men om appen frågar om åtkomsten när man försöker skicka ett röstmeddelande för första gången verkar det inte så konstigt (Wijesekera m.fl., 2018).
15
3.2 Gruppering av åtkomsten
I tidigare versioner av android, 5.9 eller äldre, så visades bara vilken permission group, eller tillståndsgrupp, som appen ville ha åtkomst till. I och med införandet av farliga tillstånd så visas både vilken tillståndsgrupp det är som appen vill ha åtkomst till men även vilket tillstånd i den gruppen. (Android, 2019c) I tabell 1 listas tillståndsgrupperna och dess tillhörande tillstånd.
Tabell 1
Androids tillstånd och tillståndsgrupper (Android, 2019a, Android, 2019b)
TILLSTÅNDSGRUPP FARLIGA TILLSTÅND
CALENDAR READ_CALENDAR WRITE_CALENDAR CALL_LOG READ_CALL_LOG WRITE_CALL_LOG PROCESS_OUTGOING_CALLS CAMERA CAMERA CONTACTS READ_CONTACTS WRITE_CONTACTS GET_ACCOUNT MICROPHONE RECORD_AUDIO
16 PHONE READ_PHONE_STATE READ_PHONE_NUMBERS CALL_PHONE ANSWER_PHONE_CALLS ADD_VOICEMAIL USE_SIP ACTIVITY_RECOGNITION BODY_SENSORS SMS SEND_SMS RECEIVE_SMS READ_SMS RECEIVE_WAP_PUSH RECEIVE_MMS STORAGE READ_EXTERNAL_STORAGE WRITE_EXTERNAL_STORAGE LOCATION ACCESS_FINE_LOCATION ACCESS_COARSE_LOCATION
Farliga tillstånd delades upp i de olika tillståndsgrupperna av Android för att underlätta för användarna. För att man som användare inte ska behöva godkänna åtkomsten till en mängd olika tjänster så grupperades de istället in i varsin grupp. Istället för att godkänna varje tillstånd som rör kontakter, t.ex. read_contacts eller write_contacts var för sig, så godkänner man istället
17
åtkomsten till alla tillstånd i den tillhörande gruppen. (Alepis & Patsakis, 2019) Så om en app får åtkomst till read_contacts, så får de tillgång till hela contacts tillståndsgruppen. När de sedan begär åtkomst till write_contacts tilldelas detta automatiskt utan förfrågan eftersom hela contacts tillståndsgruppen redan har den behörigheten. Detta leder till att antalet tillstånd man måste godkänna minskar och användarna får därmed en bättre användarupplevelse då de slipper en mängd notifikationer.
4. Metod
4.1 Val av metod
Denna studie bygger på en kvantitativ metod som grundar sig i en enkätundersökning för insamling av data gällande Facebookanvändares agerande. Dessutom tillkommer en
dokumentsök för att analysera de tillstånd som Facebook vill ha åtkomst till. Det kvantitativa förhållningssättet valdes eftersom det ansågs kunna besvara syftet med studien.
4.1.1 Enkät
För att samla in data valde vi att utföra en enkätundersökning. Enkäter är bra att använda då man vill samla in standardiserad data genom att ställa samma frågor till varje respondent där de kan välja mellan ett antal förbestämda svarsalternativ (Oates, 2006). Då vi ville undersöka hur medvetenheten om Facebooks åtkomst påverkar hur rationellt Facebookanvändare agerar så behövde vi inte någon djupare förklaring kring varför respondenterna gör vissa val. Utan det räckte med att vi kunde se vilka val respondenterna gjorde, hur medvetna de verkar vara om Facebooks åtkomst för att därefter försöka dra en slutsats om medvetenheten har en påverkan på deras beteende.
Svaren analyseras sedan genom att peka ut mönster i hur urvalet agerar eller vad de tycker i vissa situationer. (Oates, 2006) Genom att se hur respondenter svarade på en fråga och jämföra det med en annan fråga kan vi försöka hitta mönster. I detta fall skulle ett mönster kunna vara att de som är medvetna om Facebooks åtkomst agerar mer rationellt än de som inte är medvetna eller tvärtom.
18
Ett alternativ hade varit att göra en kvalitativ studie och fokuserat på ett mindre antal personer och intervjuat dessa. En fördel med intervjuer är att man kan få mer djupgående information om vad respondenten tycker eller känner om något (Oates, 2006). Då vi ville leta efter mönster i hur respondenterna agerar rörande sin integritet och hur medvetna de är om vad de ger åtkomst till genom användandet av Facebook så ansågs en enkätundersökning vara bättre i det här fallet. Detta för att vi ville undersöka om medvetenheten om Facebooks åtkomst påverkade hur
rationellt eller irrationellt respondenterna agerade. Genom att använda en enkät ville vi se om det fanns ett mönster huruvida de som verkar vara medvetna om Facebooks åtkomst visar på ett mer rationellt beteende än de som inte är medvetna.
4.1.2 Dokumentsök
För att se vilken data Facebook vill ha åtkomst till och varför de vill ha den åtkomsten så gjorde vi en dokumentsökning på Facebooks hemsida men även på Google Play som är sidan där man laddar ner appar för Android. Då det är Facebook själva som framställer användarvillkoren och är skyldiga att dela med sig av den här information enligt dataskyddsförordningen
(Datainspektionen, u.åa), ansåg vi det som mest tillförlitligt att använda oss av Facebooks hemsida eftersom det vore olagligt om de inte delade med sig av denna informationen och den kan då anses vara tillförlitlig (Datainspektionen, u.åa). Vi började leta efter information om detta under Facebooks användarvillkor, som inte gav någon större förklaring om vad varje tillstånd begär för data på användarnas telefoner. Vi hittade också ett hjälpavsnitt om
Androidapplikationen som förklarar detta något mer. Då det är Facebook själva som framställer användarvillkoren så var vi tvungna att göra en avvägning på om de är tillförlitliga eller inte. Enligt Oates (2006) är det viktigt att ha etiska aspekter i åtanke men, eftersom att Facebooks hemsida är publik och till för att informera användare så var det enkelt att få tillgång till användarvillkoren och vi behövde inte ha några etiska aspekter i åtanke.
4.2 Enkäturval
Urvalsgruppen bestod utav personer som har en Android-telefon och som använder Facebook-appen. Vi valde att inte fråga om ålder, kön och demografi eller liknande då det inte var relevant för oss att undersöka hur det ser ut bland olika grupper av personer. Då vi endast undersökte
19
Facebook-appen så valde vi även att lägga ut enkäten där också. Vi valde att lägga ut enkäten i en grupp på Facebook som hette Dom kallar oss studenter. Gruppen valdes dels då den var aktiv och för att den hade många medlemmar, vid tillfället 21 619 stycken. Vi la ut enkäten i denna grupp för att vi hoppades på att få många svar, vi ville även säkerställa att personerna som svarade på enkäten använder Facebook. Då Facebook har miljarder medlemmar utgår vi ifrån att vi inte kan få ett representativt urval. Därför ansåg vi det vara ok att lägga ut enkäten i denna Facebookgrupp. Det kan även diskuteras om Facebook verkligen är ett bra ställe att lägga ut en enkät på. Då vi ville undersöka hur medvetna respondenterna var om vilken åtkomst Facebook har till deras personliga data och om de verkade agera rationellt eller irrationellt är det möjligt att respondenterna svarade att de var mer medvetna än de egentligen var för att inte framstå som okunniga. Ett alternativ hade varit att nå ut till respondenter på ett annat sätt än på Facebook men då vi krävde att respondenterna använde Facebook för att delta i enkäten så hade denna
problematik uppstått oavsett.
Oates (2006) menar att en bra regel för ett småskaligt forskningsprojekt är att ha åtminstone ett slutgiltigt urval av 30 personer, detta för att möjliggöra statistisk analys. Ett småskaligt
forskningsprojekt menar Oates (2006) är vanligt första gången forskare bedriver ett
forskningsprojekt. Därför ansåg vi att ett urval av minst 30 Facebookanvändare räckte, då det är första gången vi gör ett forskningsprojekt av denna typ. Detta val berodde även på att vi ansåg det vara orealistiskt att tro att 21 000 personer skulle svara på vår enkät, b.la. för att vi inte kunde veta hur många av alla medlemmar som aktivt använde gruppen men också på grund av att vi inte kunde veta hur många som såg inlägget då det gjordes mycket inlägg i gruppen.
Urvalstekniken vi använde kan ses som en blandning mellan Self-selection sampling och
Convenience sampling. Den förstnämnda är användbar när man inte vet hur man ska kontakta
potentiella respondenter och funkar så att man annonserar sitt intresse inom ett visst ämne och sitt behov av respondenter, där de som vill får svara. (Oates, 2006) En nackdel med denna teknik är att de som svarar ofta har starka åsikter om ämnet, vilket resulterar i att svaren inte alltid kan anses spegla en större befolkning. Denna nackdel borde inte påverka vår undersökning i någon större utsträckning. Då syftet b.la. var att undersöka huruvida de Facebookanvändare som är medvetna om vad de ger åtkomst till agerar mer rationellt, än de som inte är medvetna, gör det inget om vissa respondenter har starka åsikter om ämnet. Oavsett om alla respondenterna skulle
20
vara insatta i ämnet och vara väldigt medvetna om Facebooks åtkomster är det hur
medvetenheten påverkar deras agerande som är huvudfrågan vi vill undersöka. Då vi inte har ett representativt urval kan vi inte heller generalisera respondenternas svar till en befolkning större än urvalet. Därför bortser vi från dessa nackdelar.
Den andra tekniken används på så sätt att man väljer respondenter som är enkla att nå eller som är villiga att svara. Om enbart Convenience sampling används så menar (Oates, 2006) att det inte kan anses vara en bra undersökning. Däremot genom att vi använde Convenience sampling i kombination med Self-selection sampling och då det som undersöktes direkt relaterar till Facebook ansåg vi det vara ok i det här fallet. Urvalsteknikerna ansågs vara ok då syftet var att undersöka huruvida de Facebookanvändare som är medvetna om vad de ger åtkomst till agerar mer rationellt än de som inte är medvetna. Då vi ville ha svar från just Facebookanvändare så ansåg vi det rimligt att lägga ut enkäten på Facebook. En ytterligare anledning är att vi nöjde oss med ett urval av minst 30 respondenter. Då 30 respondenter inte kan anses vara ett representativt urval så ansågs urvalsteknikerna vara ok.
4.3 Utformning av enkät
Tanken med enkätundersökningen var att ta reda på huruvida medvetenhet om vad
respondenterna gav åtkomst till genom att använda Facebooks mobilapplikation påverkade hur rationellt de agerade utifrån privacy calculus och privacy paradox. Vi valde att endast använda stängda frågor. Detta för att vi avgränsade oss till att se om respondenterna agerar rationellt eller inte endast genom att kolla på vilka val de gör utifrån synen på deras integritet. Eftersom vi endast är intresserade av att undersöka vilka val de gör och inte varför valde att göra dessa val eller hur de tänkte kring valen så valde vi att bara ha stängda frågor. Därför var det även viktigt att vi hade en bred variation av svarsalternativen, annars kan det leda till att respondenterna inte slutför enkäten eftersom de anser att inget svar matchar det de tycker. (Oates, 2006) För att minska risken att respondenterna inte skulle slutföra enkäten försökte vi vara så tydliga som möjligt i frågorna och vi försökte se till så att det fanns ett svar som kunde passa alla.
21
Då syftet med denna uppsats var att se huruvida medvetenheten om vad respondenterna ger Facebook för åtkomst påverkar hur rationellt de beter sig så består enkäten av fyra huvuddelar: Integritet, skyddandet av integritet, medvetenhet om åtkomst och privacy calculus/paradox. (se
bilaga 1) Tidigare definierades ett rationellt val utifrån vilka val användare gör beroende på hur
de ser på sin integritet och om valet strider mot hur de ser på sin egna integritet. Beroende på respondenternas svar angående hur de ser på sin egna integritet så ville vi även se om de agerar rationellt, i form av skyddande av integriteten, utifrån synen på deras integritet. Vi hade även med privacy calculus/paradox för att kunna se huruvida respondenterna kunde anses agera rationellt eller irrationellt utifrån dessa teorier och slutligen medvetenhet för att kunna se om medvetenheten påverkade respondenternas agerande. För att kunna jämföra huruvida
respondenterna agerade rationellt eller inte så var vi först tvungna att se hur de såg på sin egna integritet. Detta gjordes genom två frågor: Anser du dig själv värna om din integritet? och Är du
rädd för att appar får tillgång till känslig information som finns på din telefon? På dessa frågor
fanns det tre svarsalternativ: ja, nej och delvis respektive ja, nej och vet inte. Vi valde ha med svarsalternativen: delvis och vet inte för att förhindra att respondenterna ansåg att ja eller nej inte passade dem och eventuellt inte skulle slutföra enkäten.
Med första frågan ville vi först se huruvida respondenterna ansåg sig värna om sin integritet för att därefter se hur de agerade utifrån den synen. Däremot kan vi inte veta hur respondenternas syn på deras integritet var mer än att de antingen ansåg sig värna om den eller inte. Med den andra frågan ville vi se om respondenterna hade en hög eller låg integritetsoro. Integritetsoro har definierats som en oro för förlusten av integritet som resultat av att information avslöjats till en extern part. Vi drog därför slutsatsen att de hade en hög integritetsoro om de var oroliga för att appar får tillgång till känslig information på deras telefon. Dessa frågor relaterar inte specifikt till Facebook utan är ställda på ett mer generellt plan, speciellt frågan om respondenterna är oroliga om appar får åtkomst till känslig information. Med detta menar vi inte att de behöver vara oroliga för specifikt åtkomsten Facebook kan ha utan mer i allmänhet. Detta ansåg vi räcka för att ge en bild om deras integritetsoro.
För att se om en respondent har ett integritetsskyddande beteende användes två frågor:
Avinstallerar du appar du inte längre använder? och Har du någon gång gjort ett aktivt val att slå av åtkomsten till några av dina tjänster. (t.ex. sms- eller platsbehörighet)? Integritetsoro har
22
definierats som en oro för förlusten av integritet som resultat av att information avslöjats till en extern part, t.ex. genom att godkänna tillstånd som leder till att appar får åtkomst till personlig data. Ett sätt för att minska den oron och skydda sin integritet kan således vara att slå av
åtkomsten till tjänster. Med dessa frågor kunde vi se om respondenterna brukar ta till åtgärder för att minska appars åtkomst. Hade respondenterna ett skyddande beteende kunde det också tyda på att de faktiskt är medvetna om att de ger åtkomst till personlig data på deras telefon. Detta
eftersom användare ofta avinstallerar appar när de blir informerade om apparnas datainsamling (Betzing, m.fl., 2019)
För att ta reda på om respondenterna är medvetna om vilka personliga data de ger åtkomst till så listade vi ett antal frågor som beskriver vad Facebook får åtkomst till såsom: Tror du att
Facebook kan läsa dina sms? och Tror du att Facebook kan se alla bilder du har på telefonen?
På dessa frågor valde vi att ha med tre svarsalternativ: ja, nej och vet inte. Vi frågade även om de läser användarvillkoren, där svarsalternativen: ja, nej och ibland gavs.Detta kunde vara en anledning till att användarna inte är medvetna om vad de ger åtkomst till. Vi hade även med följdfrågor till de som svarade att de inte läser användarvillkoren, där vi frågade varför. Dessa frågor användes inte i analysen då forskningsfrågan ändrades i efterhand. Anledningen till de tre olika svarsalternativen berodde på samma anledning som nämndes tidigare, för att försöka se till så respondenterna inte valde att avbryta enkäten på grund av att inget svar passade dem.
För att se huruvida respondenterna agerade rationellt enligt privacy calculus och gjorde en risk-nytta analys eller om de agerade irrationellt enligt privacy paradox använde vi oss först av frågan: Är du rädd att appar får tillgång till känslig information på din telefon? Detta för att se om respondenterna hade en hög eller låg integritetsoro. Integritetsoro har definierats som en oro för förlusten av integritet som resultat av att information avslöjats till en extern part. Genom att fråga om respondenterna är oroliga för att appar får tillgång till känslig information på deras telefoner så kan vi således avgöra om de har en hög eller låg integritetsoro.
Därefter simulerade vi en app som hade ett högt respektive lågt värde för respondenterna. Detta gjorde vi genom att visa två bilder med var sitt tillstånd och en fråga till varje bild där
respondenterna fick ange sitt svar på en 1-5 gradig likert-skala. I en likert-skala kategoriserar man nummer till de olika svaren (Oates, 2006). I vårt fall hade vi 1 som speglade inte alls villig
23
och 5 mycket villig. På den första bilden frågade vi Om det är en app du verkligen vill ha, hur
villig är du då att godkänna kraven? och till den andra Om det är en app som är mindre viktigt för dig, hur villig är du då att godkänna kraven?
4.4 Analysmetod
4.4.1 Analys av enkät
För att göra vår analys valde vi att jämföra vad respondenterna svarade på en fråga med vad de svarade på en annan. Detta på grund av att vi nästan uteslutande hade nominal data. Nominal data är data som beskriver kategorier och har således inget numeriskt värde (Oates, 2006). Den enda analysen som är möjlig med nominal data menar Oates (2006) är att visa svarsfrekvensen, hur många som svarade svarsalternativ 1 och hur många som svarade svarsalternativ 2. Då vi nästan uteslutande hade nominal data valde vi att ställa upp respondenternas svar i diagram för att jämföra vad de svarade på de olika frågorna. Genom att visa data i diagram eller tabeller menar Oates (2006) att man kan utforska data och försöka se mönster i hur respondenterna svarade. Vi använde även en likert-skala på frågorna kring privacy calculus och privacy paradox vilket resulterar i ordinal data. Med ordinal data kan man se hur respondenterna ställer sig till frågor i form av en numrerad skala (Oates, 2006). I vårt fall ville vi se hur villiga respondenterna var att godkänna kraven från en app med högt respektive lågt värde, där 1 var inte alls villig och 5 mycket villig. Genom att ha en numrerad skala kunde vi se vilka som var mer villiga att godkänna kraven än andra, vi kunde däremot inte veta hur mycket mer villiga de var (Oates, 2006).
För att ge en inledande överblick kring om respondenterna kunde sägas vara medvetna om appars åtkomst eller inte kollade vi på om de läser användarvillkoren eller inte genom att se vad de svarade på frågan Läser du användarvillkoren (privacy policy) när du laddar ner appar? Svarade respondenterna Ja drog vi en inledande slutsats om att de eventuellt kan vara medvetna om appars åtkomst, då det är i användarvillkoren det beskrivs vad appen vill ha åtkomst till. För att vidare styrka hur medvetna respondenterna verkade vara om Facebooks åtkomst använde vi oss av fyra frågor. Dessa frågor ställdes i form av om respondenterna tror att Facebook har åtkomst till olika delar på deras telefon. Vi valde att jämföra de respondenter som svarade ja på första påståendet med de tre resterande frågorna för att försöka se om det fanns något mönster
24
huruvida de verkligen var medvetna genom att kolla om de svarade ja på några av de andra påståendena. Detta gjordes genom stapeldiagram, vilket är bra för att visa svarsfrekvens (Oates, 2006). Vi jämförde även de respondenter som svarade ja på majoriteten av påståendena med vad de svarade på frågan om de läser användarvillkoren.
För att se om respondenterna kunde anses ha en hög integritetsoro eller inte ställdes två frågor. Den ena om de värnade om sin integritet och den andra om de var oroliga för att appar får
tillgång till känslig information på deras telefoner. Dessa två frågor användes vidare vid frågorna kring privacy calculus/paradox och vid frågorna kring integritetsskyddande beteende.
För att se om respondenterna kunde sägas ha ett integritetsskyddande beteende användes först frågorna kring deras integritetsoro. Sedan jämfördes dessa med två frågor som kunde visa på ett integritetsskyddande beteende. Den ena frågade vi om de har slagit av appars åtkomst till en tjänst på deras telefon och den andra om de avinstallerar appar de inte längre använder.
För att kunna se om användarna agerade enligt privacy calculus eller privacy paradox så var vi tvungna att först se om de hade hög eller låg integritetsoro, vilket gjordes genom att ställa frågan:
Är du rädd för att appar får tillgång till känslig information på din telefon? Resultatet ställdes
sedan mot simuleringen av appen där vi ställde frågorna: Om det är en app du verkligen vill ha,
hur villig då du då att godkänna kraven? och Om det är en app som är mindre viktig för dig, hur villig är du då att godkänna kraven? Då dessa frågor resulterade i ordinal data gjordes även en Spearmans rangkorrelation för att se om det fanns någon korrelation mellan vad respondenterna
svarade (Oates, 2006). Svaret av en sådan analys resulterar i ett värde mellan -1 och +1. Där +1 visar ett positivt samband, när ena går upp går den andra upp och -1 visar ett negativt samband, när den ena går upp går den andra ner (Oates, 2006). Denna analys gjordes i excel
(Dataanalytics.org.uk, 2019). Vi jämförde även varje respondents svar individuellt i form av diagram för att kunna se hur den gruppen med hög integritetsoro svarade jämfört med de som hade låg integritetsoro.
För att se huruvida medvetenheten om åtkomsten till personlig data hade någon påverkan på hur rationellt respondenterna agerade jämfördes resultat av frågorna kring medvetenheten med resultatet av frågorna kring privacy calculus/paradox och med det integritetsskyddande beteendet. Genom att jämföra hur medvetna respondenterna verkade vara med om de agerade
25
enligt privacy calculus/paradox kunde vi se om medvetenheten påverkade hur rationellt de agerade. Likadant genom att jämföra hur medvetna respondenterna verkade vara med om de verkade ha ett integritetsskyddande beteende kunde vi se om medvetenheten påverkade hur rationellt de agerade genom att se om de var mer eller mindre villiga att skydda sin integritet.
4.4.2 Analys av dokumentsök
Vi analyserade dokumentsökningen genom att först lista vilka tillstånd Facebook begär åtkomst till och en förklaring till dessa, vilket listas i en tabell (se tabell 2). Dessa tillstånd hittades på Google Play, som är sidan för att ladda ner applikationerna. Vi gjorde sedan en temaanalys av de olika tillstånden som Facebook behöver åtkomst till, på deras hemsida. En temaanalys är en teknik som undersöker olika ämnen inom en selektion av dokument (Oates, 2006). Eftersom vi skulle lista och tolka de tillstånd som Facebook begär åtkomst till ansåg vi att detta var ett bra sätt göra det på. De teman vi menar i detta avseende är de olika tillstånden som Facebook begär åtkomst till, som till viss del förklaras vidare utöver det som framgick i tabellen. Allt som skrevs om dessa teman sammanställdes och analyserades på ett så objektivt sätt som möjligt, för att visa hur Facebook hanterar användares data genom de olika tillstånden. Resultatet av
dokumentsökningen användes i analysen av de fyra frågorna i enkätundersökningen som rörde vad respondenterna trodde att Facebook kan få åtkomst till.
4.5 Etik
Oates (2006) menar att när man bedriver forskning så har, respondenterna i det här fallet, fem olika rättigheter. Dessa är: rätten att inte delta, rätten att ångra sitt deltagande, rätten att ge ett informerat samtycke, rätten till anonymitet och rätt till konfidentialitet.
Då enkäten lades ut i en grupp på Facebook så var det frivilligt av respondenterna att delta. När respondenten väl hade valt att gå in till vår enkät informerade vi även att deltagande var frivilligt och att de när som helst kunde avsluta. För att respondenterna skulle ha rätten att ge ett
informerat samtycke beskrev vi tydligt vilka vi var, varför vi gjorde undersökningen och att svaren hanterades konfidentiellt och inte skulle delas med någon annan. Då vi även inte samlade in några personuppgifter behövde vi inte tänka på att anonymisera uppgifterna. Då vi även
26
använde oss utav Google forms för enkäten har vi inte tillgång till IP-adresser och kan således inte spåra respondenterna.
4.6 Metodkritik
Undersökningen riktades in på Facebooks mobilapplikation för att hur ser de som använder Facebooks app agerade. Då vi avgränsade oss helt till Facebook så kunde frågorna ha sett annorlunda ut. De enda frågorna som rörde Facebook direkt var om vad respondenterna trodde att Facebook kan få åtkomst till. Istället för att fråga om respondenterna var oroliga för att appar får tillgång till känslig information hade det varit bättre om vi frågade om de var oroliga för att Facebook får tillgång till känslig information. Detta för att mer säkert veta att de faktiskt är oroliga över vad just Facebook kan få tillgång till. Likaså på frågorna kring integritetsskyddande beteende. Det hade varit bättre att fråga om respondenterna har slagit av åtkomsten till en tjänst på just Facebooks applikation och inte om de har gjort det generellt. Att endast använda
Facebook som exempel i frågorna hade dock varit problematiskt rörande frågorna kring privacy
calculus/paradox. Då vi frågade hur villiga de var att ladda ner en app med krav X så hade det
inte gått att bara fråga hur villiga de var att godkänna kravet om det var från Facebooks
applikation, då vi krävde att de använde appen för att delta i enkäten. Frågan om de avinstallerar appar hade inte heller funkat om vi hade frågat om de avinstallerat Facebook. Hade tid funnits för att göra om enkäten så hade ett bättre sätt nog varit att inte avgränsa sig helt till Facebook utan istället gett exempel på olika appar. Då för att enklare jämföra appar som kunde tänkas ha ett högt eller lågt värde för respondenterna. Istället för att fråga vad respondenterna tror att Facebook får åtkomst till hade det nog också varit bättre att ställa mer generella frågor.
Exempelvis Visste du att om du godkänner åtkomsten till read_storage så får dom även tillgång
till write_storage så fort dom ber om det, utan att du behöver godkänna? Detta hade tydligare
visat vad respondenterna är medvetna om och inte vad de tror, då vi faktiskt ville kolla hur de agerar beroende på om de var medvetna om åtkomsten eller inte och inte vad de trodde att Facebook kan få för åtkomst.
27
5. Resultat & Analys
5.1 Vad Facebook vill ha åtkomst till
I tabell 2 nedan visas en sammanställning över de tillståndsgrupper som Facebook begär åtkomst till och en förklaring av vad de olika tillstånden gör.
Tabell 2
Tillståndsgrupper Facebook begär åtkomst till och förklaring till dessa (Google, 2019)
Tillståndsgrupper Förklaring
Kamera Ta foton och videor
Platsåtkomst Ungefärlig och exakt plats genom GPS och nätverk
Kalender Får tillgång till att lägga till eller modifiera händelser och skicka mail till gäster utan ägarens vetskap
Läsa händelser plus konfidentiell information
Telefon Läsa telefonstatus och identifiering. Ringa till ett telefonnummer
28
Kontakter Läsa och redigera kontakter och hitta konton på enheten
SMS Läsa dina textmeddelanden (SMS och
MMS)
Lagring Läsa, ändra, och ta bort innehållet på ditt USB-minne
Mikrofon Spela in ljud
5.1.1 Temaanalys
Resultaten nedan visar vår temaanalys om varför Facebook begär åtkomst till ett antal olika tillstånd.
Facebook ger på sin egen hemsida en liten större insikt i vad dessa tillstånd egentligen betyder, och framhåller att de använder dessa till att köra funktioner i appen. De lyfter också fram att det är Android som avgör vad tillstånden kallas, men att det inte nödvändigtvis återspeglar hur de själva använder dem. Samtidigt ger de en förklaring på vad de använder tillståndet till, men listar inte samtliga tillstånd och ger endast olika exempel till hur de använder några av dem (Facebook, 2020a).
Facebook-appen begär åtkomst till kameran för att kunna ta foton och videor (Google, 2019). Enligt Facebook (2020a) behöver de detta för att kunna föreslå masker och filter som en
användare kanske gillar, eller ge tips på hur användaren använder stående läge. Det delges också att Facebook samlar in information hur en användare använder kameran.
Facebook använder platsrelaterad information, som t.ex. är användarens nuvarande plats och boende, de platser de gillar att besöka och företag och personer de är i närheten av. Anledningen
29
till denna insamling är för att förbättra deras produkter och annonser, för användarna och andra (Facebook, 2020a).
Tillståndet till att lägga till och ändra kalenderhändelser begärs så att användarna kan se Facebook-händelser i telefonkalendern. Behörigheten att läsa kalenderhändelser och
konfidentiell information är för att användarna kan se deras tillgänglighetsstatus i kalendern när de visar ett evenemang på Facebook (Facebook, 2020b).
Tillståndet läsa och redigera användares kontakter behövs om användaren vill importera kontakterna i telefonen till Facebook och även synkronisera till telefonen (Facebook, 2020b). Med tillståndet lagring, som förklaras i att de kan läsa, ändra, och ta bort innehållet på ditt USB-minne, beskrivs det inte mer utförligare än att Facebook vill göra appen bättre för användarna genom att läsa in nyhetsflöden i förhand (Facebook, 2020b).
Eftersom Facebook själva skriver att de inte listar information om alla tillstånd som de begär utöver det som står på Google Play, och inte heller vad de använder dessa till, blir det fortfarande mycket som förblir osagt kring hur de använder och hanterar denna information.
5.2 Användares värnande om integritet
Enkäten låg ute i cirka fyra veckor. Efter tre veckor hade 30 personer svarat. Då vi ville ha minst 30 respondenter valde vi att låta enkäten ligga ute en vecka till innan vi tog ner den. Däremot fick vi tyvärr inte några fler svar den sista veckan, vi slutade därför med ett urval av exakt 30 respondenter.
Av 30 respondenter var det 12 stycken som svarade ja på frågan: Anser du dig själv värna om
din integritet? endast 3 stycken svarade nej och 15 svarade delvis. (se figur 1) Då endast tre
svarade nej kan vi redan nu se att majoriteten av respondenterna faktiskt säger sig värna om sin integritet. Då vi endast hade 30 respondenter kan vi inte dra någon slutsats mer än att 27 av de 30 respondenterna faktiskt anser sig värna om sin integritet. Då vi inte hade ett representativt urval kan vi inte peka på att detta faktiskt skulle gälla för andra än respondenterna. På frågan: Är du
orolig att appar får tillgång till känslig information på din telefon? så var det 14 som svarade ja,
30
värna om sin integritet och som är oroliga för att appar får tillgång till känslig information på telefonen är något förvånande.
Då en klar majoritet, 27 stycken, svarade att de antingen värnade om sin integritet eller iallafall delvis så borde det också leda till att man är orolig för att appar får tillgång till känslig
information.
Däremot om vi jämför vad de 11 som svarade nej även svarade på frågorna som skulle visa på ett integritetsskyddande beteende kan vi se att endast 2 respondenter av 11 svarade nej på någon av dessa. (se figur 3) Vilket skulle kunna indikera på att de inte är rädda för att appar får tillgång till känslig information på grund av att de tar till åtgärder för att skydda sin integritet.
31
5.3 Användares medvetenhet
På frågan: Läser du användarvillkoren? svarade förvånansvärt ingen ja, så många som 19 svarade nej och 11 svarade ibland. (se figur 4) Då 27 stycken respondenter svarade antingen ja
eller delvis på frågan om respondenterna värnar om sin integritet och 14 stycken svarade
ja på att de är oroliga för att appar
får tillgång till känslig information på telefonen så är det förvånande att ingen svarade ja på om de läser användarvillkoren. Då det är i användarvillkoren man som användare kan se vilken personlig data appen vill ha åtkomst till och även varför den behöver tillgång till datan så borde det rationella valet vara att läsa villkoren om man verkligen värnar om sin integritet och är orolig för vad appar får tillgång till för information. Då ingen respondent svarade ja på att de läser användarvillkoren och endast 11 svarade ibland så ger det en grund till att respondenterna eventuellt inte är medvetna om vilken personlig data de faktiskt ger åtkomst till.
Svaren på frågorna kring vad respondenterna tror att Facebook kan få åtkomst till genom att de använder Facebooks app varierade mycket. På första frågan: Tror du att Facebook kan läsa dina
sms? svarade 6 stycken ja, 9 svarade nej och 15 vet inte. På den andra frågan om respondenterna
tror att Facebook kan se vilka de har ringt svarade 9 stycken ja, 8 nej och 13 vet inte. På den tredje frågan: Tror du att Facebook kan se alla händelser i din kalender? svarade 15 stycken ja, 7 nej och 8 vet inte. På den fjärde och sista frågan om respondenterna tror att Facebook kan se alla bilder de har på telefonen svarade 13 stycken ja, 7 nej och 10 vet inte. (se figur 5) Utifrån dokumentsökningen som gjordes kunde vi se att Facebook begär åtkomst till följande
tillståndsgrupper (se tabell 2): SMS, kalender, samtalslogg och telefonens lagringsutrymme. Genom att Facebook får åtkomst till SMS så kan de läsa dina textmeddelanden (SMS och MMS).
32
Med åtkomst till samtalsloggen kan de läsa och skriva samtalslogg och med åtkomst till
kalendern och telefonens lagring kan de få tillgång till att lägga till eller modifiera händelser till kalendern respektive läsa, ändra, och ta bort innehållet på ditt USB-minne. Facebook kan alltså få tillgång till att göra eller se alla de exempel som togs upp i frågorna.
Då svaren varierade mycket om vad respondenterna tror att Facebook kan få tillgång till eller inte är det svårt att se några tydliga samband.
Av de 6 respondenter som svarade ja på första påståendet: Tror du att Facebook kan läsa dina
sms? svarade även alla ja på det andra påståendet, vidare svarade 5 ja på tredje och 4 ja på det
fjärde. Totalt 4 av dessa 6 respondenter svarade ja på alla påståenden och en av dem svarade ja på alla förutom en. (se figur 6)
33
Ingen av dessa 6 svarade dock ja på att de läser användarvillkor, endast 1 svarade att hen läser ibland. Det är möjligt att dessa respondenter faktiskt är medvetna om vad Facebook får åtkomst till men det kan lika gärna vara gissningar kring vad de tror. Generellt verkar respondenternas svar tyda på en osäkerhet och okunskap kring vad Facebook faktiskt får åtkomst till. Då frågorna ställdes i form av vad respondenterna tror att Facebook kan göra så är det svårt att veta om respondenterna verkligen är medvetna om att det är så eller om de bara tror.
5.4 Användares integritetsskyddande beteende
På frågan: Har du någon gång gjort ett aktivt val att slå av åtkomsten till några av dina tjänster.
(t.ex. sms- eller platsbehörighet)? var det en stor majoritet, 29 stycken, som svarade ja. Endast 1
svarade nej. Detta kan visa på en inledande indikation om att respondenterna faktiskt är
medvetna om att de ger appar åtkomst och att de eventuellt visar på ett rationellt agerande där de stänger av åtkomsten till tjänster. Svaren på frågan: Avinstallerar du appar du inte längre
använder? ligger nästan i samma linje som frågan om de har slagit av åtkomsten till några av
tjänsterna. (se figur 7) På denna fråga var det endast 13 stycken som svarade ja, 1 respondent svarade nej och 16 ibland. Då 29 stycken svarade att de antingen faktiskt avinstallerar appar de
34
inte längre använder eller iallafall ibland så styrker det ytterligare indikeringen om att respondenterna verkar vara medvetna om risker genom att de ger åtkomst till appar.
Av de 27 stycken som svarade antingen ja eller delvis på frågan om respondenterna värnar om sin integritet var det ingen som svarade nej på frågorna som kan påvisa ett integritetsskyddande beteende. (se figur 8)
35
Av de 14 respondenter som svarade ja på om de var oroliga för att appar får tillgång till känslig information på deras telefon var det ingen som svarade nej på någon av de frågorna som skulle påvisa ett integritetsskyddande beteende. (se figur 9)
Med detta kan vi se en tydligare indikation om att de respondenter som säger sig värna om sin integritet och som är oroliga för att appar får åtkomst till känslig information på deras telefoner faktiskt tar till åtgärder för att minska åtkomsten till deras personliga data. Detta kan tyda på att respondenterna agerar rationellt utifrån deras integritetsoro genom att de påvisar ett
integritetsskyddande beteende och att de verkar vara medvetna om att det finns risker genom att de ger appar åtkomst.
5.5 Privacy calculus & Privacy paradox
På frågorna om hur villiga respondenterna är att godkänna kravet: Tillåta att appen får åtkomst
till foton, media och andra filer på din enhet från en app som hade ett högt respektive lågt värde
för dem så gavs svarsalternativen i en 5 gradig skala, där 1 var inte alls villig och 5 mycket villig. På frågan: Om det är en app du verkligen vill ha, hur villig är du då att godkänna kraven ovan? svarade 27 stycken högt (4 eller 5), endast 1 svarade 3 och 2 svarade lågt (2 eller 1). I linje med
36 privacy calculus ger detta en inledande indikation på att respondenterna verkar väldigt villiga att
godkänna kraven från en app med ett högt värde. Svaren är något mer varierande på frågan: Om
det är en app som är mindre viktig för dig, hur villig är du då att godkänna kraven ovan? då 6
stycken svarade högt (4 eller 5), 9 svarade 3 och 15 svarade lågt (2 eller 1). (se figur 10)
Då majoriteten svarade antingen 3 eller lågt (2 eller 1) verkar detta också ligga i linje med
privacy calculus. Om appen har ett lågt värde för respondenterna och således låg nytta så verkar
villigheten att godkänna kraven minska. Med detta kan vi se att respondenterna eventuellt verkar agera rationellt utifrån privacy calculus då de verkar mer villiga att godkänna kraven från en app med ett högt värde i jämförelse med en app som har ett lågt värde.
Däremot visade resultatet av en Spearman rangkorrelation en indikation på att det fanns en signifikant positiv association mellan hur villiga respondenterna var att godkänna kraven från en app som de verkligen ville ha och från en app som var mindre viktig, (rs(28) = .55, p = .00178). Detta indikerar på att de som svarar högt på hur villiga de är att godkänna kraven från en app med ett högt värde även svarar högt på hur villiga de är att godkänna kraven från en app med ett
37
lågt värde. Vi kan dock inte veta vad detta beror på mer än att det finns en statistisk signifikant association mellan dessa frågor.
Jämför vi hur varje respondent svarade individuellt på båda frågorna sticker dock några ut. Av de 27 respondenter som svarade högt (4 eller 5) på hur villiga de är att godkänna kraven från en app med ett högt värde samtidigt som de svarade lågt (2 eller 1) på hur villiga de är att godkänna kraven från en app med ett lågt värde, sjunker antalet till 13 respondenter. (se figur 11)
Vidare svarade 10 av dessa ja på om de antingen värnar om sin integritet eller om de är oroliga för att appar får tillgång till känslig information på deras telefon. (se figur 12) Då det var 10 av 13 respondenter som kan sägas svara enligt privacy calculus samtidigt som de visar på en integritetsoro så verkar det indikera att integritetsoro är en påverkande faktor huruvida respondenterna agerar rationellt enligt privacy calculus.
38
Av de 27 respondenter som svarade högt på hur villiga de är att godkänna kraven från en app med ett högt värde så svarade 6 av dessa samtidigt högt om appen hade ett lågt värde för dem.
(se figur 13) Detta skulle kunna indikera på privacy paradox då respondenterna är lika villiga att
godkänna kraven från en app med högt respektive lågt värde och är således villiga att dela med sig av sin personliga data i utbyte mot låg nytta.
39
Av dessa 6 respondenter var det dock bara 2 som svarade ja på om de antingen värnar om sin integritet eller om de är oroliga för att appar får tillgång till känslig information på deras telefon.
(se figur 14) Av 30 respondenter så kan eventuellt endast 2 respondenter indikera på att de agerar
irrationellt i linje med privacy paradox.
5.6 Medvetenheten och rationellt beteende
Av alla 11 respondenter som svarade att de läser användarvillkoren ibland var det endast 4 som ligger i linje med privacy calculus. Dessa respondenter svarade högt (4 eller 5) på hur villiga de var att godkänna kraven från en app med ett högt värde samtidigt som de svarade lågt (2 eller 1) på hur villiga de var att godkänna samma krav från en app med ett lågt värde. Då endast 4 av 11 respondenter kunde sägas agera rationellt enligt privacy calculus samtidigt som de läser
användarvillkoren ibland blir det svårt att indikera på att en ökad medvetenhet om Facebooks åtkomst skulle leda till ett mer rationellt beteende enligt privacy calculus. Eftersom nästan dubbelt så många, 7 respondenter, svarade att de inte läser användarvillkoren samtidigt som de kan sägas agera rationellt i linje med privacy calculus så verkar inte medvetenheten om
