PrivPRISM: 구글 플레이 데이터 안전 선언과 개발자 개인정보 보호 정책 간의 불일치 자동 감지

PrivPRISM: Automatically Detecting Discrepancies Between Google Play Data Safety Declarations and Developer Privacy Policies

대부분의 사용자가 상세한 개인정보 보호 정책을 읽지 않기 때문에, 구글 플레이와 같은 앱 스토어는 사용자 친화적인 대안으로 간소화된 데이터 안전 선언을 의무화하고 있습니다. 그러나 이러한 자가 보고 공개 내용은 종종 전체 개인정보 보호 정책과 상충되어, 실제 데이터 처리 방식에 대한 사용자의 오해를 불러일으키고 일관성을 요구하는 규제 요구 사항을 위반합니다. 이러한 문제를 해결하기 위해, 우리는 인코더와 디코더 언어 모델을 결합하여 개인정보 보호 정책에서 세부적인 데이터 처리 방식을 체계적으로 추출하고 비교하며, 데이터 안전 선언과 비교하여 규정 미준수를 대규모로 감지할 수 있는 강력한 프레임워크인 PrivPRISM을 소개합니다. 7,770개의 인기 모바일 게임을 평가한 결과, 거의 53%의 경우에 불일치가 발견되었으며, 1,711개의 널리 사용되는 범용 앱의 경우 61%에 달했습니다. 또한, 정적 코드 분석 결과, 개인정보 보호 정책은 위치 정보 및 금융 정보와 같은 민감한 데이터에 대한 잠재적 접근 권한의 66.8%를 공개하는 반면, 모바일 게임의 데이터 안전 선언에서는 36.4%에 불과하여, 잠재적인 정보 누락 가능성이 확인되었습니다. 우리의 연구 결과는 광범위하게 사용되는 일반적인 개인정보 보호 정책의 재사용, 모호하거나 상반되는 진술, 그리고 1억 회 이상의 다운로드를 기록한 유명 앱에서 발견되는 숨겨진 위험과 같은 체계적인 문제를 드러냅니다. 이는 플랫폼의 무결성을 보호하고 사용자가 인기 앱을 통해 공유하는 민감한 데이터에 대해 경각심을 갖도록 하기 위해 자동화된 규제 준수 시스템의 시급한 필요성을 강조합니다.

End-users seldom read verbose privacy policies, leading app stores like Google Play to mandate simplified data safety declarations as a user-friendly alternative. However, these self-declared disclosures often contradict the full privacy policies, deceiving users about actual data practices and violating regulatory requirements for consistency. To address this, we introduce PrivPRISM, a robust framework that combines encoder and decoder language models to systematically extract and compare fine-grained data practices from privacy policies and to compare against data safety declarations, enabling scalable detection of non-compliance. Evaluating 7,770 popular mobile games uncovers discrepancies in nearly 53% of cases, rising to 61% among 1,711 widely used generic apps. Additionally, static code analysis reveals possible under-disclosures, with privacy policies disclosing just 66.8% of potential accesses to sensitive data like location and financial information, versus only 36.4% in data safety declarations of mobile games. Our findings expose systemic issues, including widespread reuse of generic privacy policies, vague / contradictory statements, and hidden risks in high-profile apps with 100M+ downloads, underscoring the urgent need for automated enforcement to protect platform integrity and for end-users to be vigilant about sensitive data they disclose via popular apps.