Unicentre CH-1015 Lausanne http://serval.unil.ch Year : 2014 Adaptive Privacy Management System Design For Context-Aware Mobile Devices Zhan LIU Zhan LIU, 2014, Adaptive Privacy Management System Design For Context-Aware Mobile Devices Originally published at : Thesis, University of Lausanne Posted at the University of Lausanne Open Archive http://serval.unil.ch Document URN : urn:nbn:ch:serval-BIB_286767BC6D746 Droits d’auteur L'Université de Lausanne attire expressément l'attention des utilisateurs sur le fait que tous les documents publiés dans l'Archive SERVAL sont protégés par le droit d'auteur, conformément à la loi fédérale sur le droit d'auteur et les droits voisins (LDA). A ce titre, il est indispensable d'obtenir le consentement préalable de l'auteur et/ou de l’éditeur avant toute utilisation d'une oeuvre ou d'une partie d'une oeuvre ne relevant pas d'une utilisation à des fins personnelles au sens de la LDA (art. 19, al. 1 lettre a). A défaut, tout contrevenant s'expose aux sanctions prévues par cette loi. Nous déclinons toute responsabilité en la matière. Copyright The University of Lausanne expressly draws the attention of users to the fact that all documents published in the SERVAL Archive are protected by copyright in accordance with federal law on copyright and similar rights (LDA). Accordingly it is indispensable to obtain prior consent from the author and/or publisher before any use of a work or part of a work for purposes other than personal use within the meaning of LDA (art. 19, para. 1 letter a). Failure to do so will expose offenders to the sanctions laid down by this law. We accept no liability in this respect. FACULTÉ DES HAUTES ÉTUDES COMMERCIALES DÉPARTEMENT DES SYSTÈMES D’INFORMATION Adaptive Privacy Management System Design For Context-Aware Mobile Devices THÈSE DE DOCTORAT présentée à la Faculté des Hautes Etudes Commerciales de l'Université de Lausanne pour l’obtention du grade de Docteur en Systèmes d’Information par Zhan LIU Directeur de thèse Prof. Yves Pigneur Jury Prof. Alessandro Villa, Président Prof. Benoît Garbinato, expert interne Prof. Gang Fang, expert externe Prof. Jean-Fabrice Lebraty, expert externe LAUSANNE 2014 Jury Professor Yves Pigneur Professor at the Faculty of Business and Economics of the University of Lausanne, Lausanne, Switzerland. Thesis supervisor. Professor Alessandro Villa Professor at the Faculty of Business and Economics of the University of Lausanne, Lausanne, Switzerland. President of the Jury. Professor Benoˆıt Garbinato Professor at the Faculty of Business and Economics of the University of Lausanne, Lausanne, Switzerland. Internal expert. Professor Gang Fang Associate Professor at the Management School of Hangzhou Dianzi University, Hangzhou, China. External expert. Professor Jean-Fabrice Lebraty Professor at the University of Lyon School of Management (IAE Lyon), Lyon, France. External expert. University of Lausanne Faculty of Business and Economics Doctorate in Business Information Systems I hereby certify that I have examined the doctoral thesis of Zhan LIU and have found it to meet the requirements for a doctoral thesis. All revisions that I or committee members made during the doctoral colloquium have been addressed to my entire satisfaction. Signature : Date : 3 septembre 2014 Prof. Yves PIGNEUR Director of thesis UniⅤer“tyofhs狃 e Facu1ty ofBusiness盯 1d EcOnornics DoGtor狨 e in Business Inforrm狨 ion Systems I hereby certify th乱 I have examhed the dOctoral伍 esk of zhan LIU and have found itto1neet the requirgm1ents for a doctoral thesis。 AⅡ revisions that I or coⅡⅡnittee1members made during the doctoral coⅡ oquium haⅤe been addressed to rny entire satisfaction。 !∶ signature∶ D乩 e∶ (i∶∶))`d.{丨 PrO￡ G盯吧FANG Externa1member ofthe doctoral coⅡⅡnittee University of Lausanne Faculty of Business and Economics Doctorate in Business Information Systems I hereby certify that I have examined the doctoral thesis of Zhan LIU and have found it to meet the requirements for a doctoral thesis. All revisions that I or committee members made during the doctoral colloquium have been addressed to my entire satisfaction. Signature : ____________________________ Date : September 3rd 2014 Prof. jean-fabrice LEBRATY External Expert Abstract Version française au verso. While mobile technologies can provide great personalized services for mobile users, they also threaten their privacy. Such personalization-privacy paradox are particularly salient for context aware technology based mobile applications where user’s behaviors, movement and habits can be associated with a consumer’s personal identity. In this thesis, I studied the privacy issues in the mobile context, particularly focus on an adaptive privacy management system design for context-aware mobile devices, and explore the role of personalization and control over user’s personal data. This allowed me to make multiple contributions, both theoretical and practical. In the theoretical world, I propose and prototype an adaptive Single-Sign On solution that use user’s context information to protect user’s private information for smartphone. To validate this solution, I first proved that user’s context is a unique user identifier and context awareness technology can increase user’s perceived ease of use of the system and service provider’s authentication security. I then followed a design science research paradigm and implemented this solution into a mobile application called “Privacy Manager”. I evaluated the utility by several focus group interviews, and overall the proposed solution fulfilled the expected function and users expressed their intentions to use this application. To better understand the personalization-privacy paradox, I built on the theoretical foundations of privacy calculus and technology acceptance model to conceptualize the theory of users’ mobile privacy management. I also examined the role of personalization and control ability on my model and how these two elements interact with privacy calculus and mobile technology model. In the practical realm, this thesis contributes to the understanding of the tradeoff between the benefit of personalized services and user’s privacy concerns it may cause. By pointing out new opportunities to rethink how user’s context information can protect private data, it also suggests new elements for privacy related business models. English version on the front. Alors que les technologies mobiles peuvent offrir d'excellents services personnalisés pour les utilisateurs mobiles, elles menacent aussi leur vie privée. Un tel paradoxe de personnalisation-vie privée joue un rôle majeur pour les technologies servant aux applications mobiles basées sur les données contextuelles, où le comportement des utilisateurs, leurs mouvements ou habitudes peuvent être associés à l'identité personnelle d'un consommateur. Dans cette thèse, j'ai étudié les questions de la vie privée dans le contexte mobile, en mettant l'accent sur une conception de système de gestion de la vie privée adapté pour les appareils mobiles sensibles au contexte, et exploré le rôle de la personnalisation et du contrôle sur les données personnelles de l'utilisateur. Cela m'a permis de faire plusieurs contributions, à la fois théoriques et pratiques. Dans le monde théorique, je propose un prototype d'une solution de Single-Sign On adaptative pour Smartphone qui utilise les informations de contexte de l'utilisateur pour protéger ses renseignements personnels. Pour valider cette solution, j'ai d'abord prouvé que le contexte de l'utilisateur est un identifiant unique de l'utilisateur et que la technologie sensible au contexte peut augmenter perception de facilité de l'utilisateur sur l'utilisation du système et la sécurité de l'authentification du fournisseur de services. J'ai ensuite suivi un paradigme de recherche en sciences de la conception et mis en œuvre cette solution dans une application mobile appelée «Privacy Manager». J'ai évalué l'utilité par le moyen de plusieurs entretiens avec des groupes de discussion, et dans l'ensemble solution proposée satisfait les fonctionnalités attendues, et les utilisateurs ont exprimé leur intention d'utiliser cette application. Pour mieux comprendre le paradoxe de personnalisation-vie privée, j'ai établis, en se basant sur les fondements théoriques, un modèle de calculs et d’acceptation technologique pour conceptualiser la théorie de la gestion de vie privée des utilisateurs mobiles. J'ai aussi examiné le rôle de la personnalisation et de la capacité de contrôle sur mon modèle et la manière dont ces deux éléments interagissent avec le calcul de vie privée et le modèle de la technologie mobile. Dans le domaine pratique, cette thèse contribue à la compréhension de l'arbitrage entre le bénéfice de services personnalisés et les préoccupations de la vie privée de l’utilisateur qu’elle peut causer. En signalant de nouvelles possibilités pour repenser la façon dont les informations de contexte de l'utilisateur peuvent protéger les données privées, elle suggère aussi de nouveaux éléments pour les modèles d'affaires liés à la vie privée. Acknowledgements The completion of my dissertation has been a long journey. It would not have been possible without the help, support and encouragement of the kind people around me. Over the past five years from 2009 to 2014, they have contributed not only to my academic success, but also to my personal growth. First and foremost, I gratefully and sincerely thank my PhD dissertation supervisor, Professor Yves Pigneur for his help, advice, guidance, and encouragement, as well as his enthusiasm and many valuable contributions to this work. Without him, I would not have been able to complete my thesis. Under his guidance, I successfully overcame many difficulties and learned a lot. His friendship and support has meant more to me than I could ever express. I also thank my thesis committee members, Professor Benoît Garbinato, Professor Gang Fang, and Professor Jean-Fabrice Lebraty for taking time to review this thesis and for their support and valuable comments. Their suggestions and observations were extremely helpful throughout this thesis. As well, I thank to my friends and colleagues at HEC Lausanne.