Android 隱私論文閱讀分析：很多產品真正先把使用者資料帶出去的，不是主流程，而是那些沒被當成資料流治理的 log

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：Do Privacy Policies Match with the Logs? An Empirical Study of Privacy Disclosure in Android Application Logs
• 作者：Zhiyuan Chen、Love Jayesh Ahir、Ahmad Suleiman、Kundi Yao、Yiming Tang、Weiyi Shang、Daqing Hou
• 年份：2026
• 來源：arXiv:2604.18552
• 論文連結：https://arxiv.org/abs/2604.18552
• DOI：10.48550/arXiv.2604.18552
• 主題：Android Security、Privacy Engineering、Application Logging、Privacy Policy Compliance、Mobile App Measurement

這篇 paper 我覺得很值得寫，因為它補到一個很多團隊平常其實不太想正面面對、但一出事就很難看收尾的問題：你在 privacy policy 裡寫的，和你的 App 實際在 log 裡吐出去的，到底是不是同一個世界？

很多公司談隱私與合規時，習慣把焦點放在資料庫、API、SDK、第三方追蹤碼，卻很少把 log 當成第一級風險面。可是在真實系統裡，log 往往就是那個最容易被工程師順手寫進去、最晚才被治理、又最容易把敏感資訊一路帶進 crash report、monitoring pipeline、vendor console 與長期保存系統的地方。

這篇論文厲害的點，不是它又講了一次「logging 可能有隱私風險」，而是它真的去做了大規模比對：拿 1,000 個 Android app、8,683 萬筆 log entries，去看 privacy policy 怎麼描述 logging，再對照實際 log 裡到底流出了什麼。

結果很直接，也有點殘酷：大多數 app 有 privacy policy，但大多數 policy 根本沒有把 logging 這件事說清楚；而更多 app 則是在 log 裡實際洩漏了 policy 沒提過的敏感資訊。

它想拆穿的，不只是「有沒有 policy」，而是「policy 有沒有真的對到工程現場」

這篇研究的 framing 很準。因為很多合規工作最後會退化成文件檢查：有沒有政策頁？有沒有提資料收集？有沒有列 cookie、device identifier、email、payment 之類的欄位？

但真正麻煩的是，系統實作和法律文件常常不是同一組人在維護。產品、法務、工程、外包 SDK、可觀測性平台，各自都會動到資料流。結果就是文件上看起來合規，runtime 卻可能還在把 token、帳號、定位、裝置識別碼甚至 debug 資訊丟進 log。

所以作者問的不是抽象的「privacy policy 品質好不好」，而是更工程化的問題：

• 這些 app 的 privacy policy 有沒有明確提到 logging？
• 如果有提，提得夠不夠具體？
• 實際 log 裡有沒有出現敏感資訊？
• policy 與 log 行為之間，到底有沒有對齊？

這個問題對 AppSec、隱私工程、mobile governance 都很關鍵，因為它測的不是「態度」，而是documentation 和 implementation 的落差。

研究規模不小，而且方法蠻有實務味

作者分析了 1,000 個 Android app，橫跨多種類別，總共收集了 86,836,964 筆 log entries。這不是只挑幾個案例截圖說故事，而是有一定規模的實證盤點。

論文關注兩個面向：

1. Privacy policy 中和 logging 有關的敘述
2. App 實際執行時 log 出來的資料

作者一邊分析 policy 是否有提 logging、怎麼提、提得多具體；另一邊則在 app logs 中找實際出現的敏感資訊與 disclosure pattern。最後再把兩邊做 alignment 檢查，看文件與行為是否一致。

這種研究設計的價值在於，它不是停在 policy NLP，也不是只做 log leakage 掃描，而是把兩邊接起來。真正的洞，不只是「有洩漏」，而是「明明有對外承諾，卻和實際資料外流方式對不起來」。

最值得記住的幾個數字

• 88.0% 的 app 有 privacy policy
• 只有 28.5% 的 app 會在 policy 中明確提到 logging practice
• 即使有提 logging，其中仍有 27.7% 的 log-related statements 過度簡化或太模糊，幾乎無法讓使用者理解實際資料處理方式
• 67.6% 的 app 在 logs 中洩漏了 policy 沒有提到的敏感資訊
• 只有 4% 的 app 在 policy disclosure 與實際 logged data 之間呈現一致對齊

這組數字的衝擊點很清楚：問題不是少數 app 完全沒有 policy，而是很多 app 有 policy，但 policy 對 logging 的描述根本不足以代表真實資料暴露面。

換句話說，光看文件，你很容易以為風險相對可控；可是一旦把 log 真的撈出來看，會發現很多敏感資訊其實早就從最不被重視的側門流出去了。

這篇最有價值的地方：把「日志」重新拉回隱私治理主戰場

我很認同這篇的一點，是它等於在提醒大家：logging 不是單純的工程便利功能，而是資料治理的一部分。

很多團隊在談資料生命週期時，想到的是 collection、storage、sharing、retention，但很少把 debug log、analytics log、exception log、server-side trace、third-party monitoring log 放在同一張圖上治理。結果就是：

• 前台流程說自己只收最小必要資料
• 後台 service 卻在 log request/response
• App policy 說得很保守
• 實作上卻把使用者資料寫進 logcat 或遙測管線

這不只是文字不精確，而是整個 data handling reality 和對外 disclosure 脫節。

對資安團隊來說，這件事特別值得重視，因為 log 常常不是終點，而是中繼站。資料一旦進 log，後面可能還會被：

• 收進 SIEM 或 observability 平台
• 同步到第三方 crash analytics 服務
• 長期保留在 debug archive
• 暴露給更多原本不該看到該資料的人員與系統

也就是說，log leakage 常常不是單次外洩，而是權限面與保存面同步放大。

這篇也打到一個常見誤區：合規文件不等於可觀測實作

很多組織把 privacy policy 當成法務產物，但這篇 paper 其實很像是在說：privacy policy 如果沒有和可觀測性系統、實際 telemetry、SDK 行為做對帳，它就很容易只剩宣示價值。

這種落差在 AI 與安全工程時代會更嚴重。因為現在越來越多產品會接更多 runtime instrumentation、error replay、session trace、performance analytics、A/B testing 平台。這些東西每一個都可能拉出新的 log surface。

如果組織還是用傳統方式更新 policy——半年看一次文件、每次版本上線只檢查主要資料流——那 log 這條支線幾乎注定會被漏掉。

所以這篇論文真正提醒的，不只是 Android app 的問題，而是更一般化的工程治理教訓：

只治理主要資料流、不治理 observability 資料流，最後通常就是在最不起眼的地方把承諾打穿。

如果把它放回 AppSec 與隱私工程脈絡，啟示很實用

這篇 paper 雖然是實證研究，但對實務團隊有幾個很直接的啟發。

1. 把 log 當成敏感資料處理面，而不是 debug 副產物

log 應該進資料盤點、資料分類與 retention policy，不是等出事才補救。

2. privacy disclosure 需要對應到實際 telemetry 與 logging 行為

不是只問「有沒有蒐集」，還要問「有沒有記進 log、誰看得到、保留多久、會不會轉送第三方」。

3. 安全測試不該只掃 API 與儲存，也該掃 log leakage

很多 AppSec 測試仍偏重 network、auth、storage、WebView、crypto，但 log inspection 其實是很值得常態化的一項。

4. 文件治理要和工程變更流程綁在一起

只要新增 SDK、debug feature、observability provider、exception tracing 機制，就應該重新檢查 disclosure 是否需要更新。

當然，它也不是沒有邊界

這篇的限制也要看清楚。

• 研究聚焦 Android app，未必能直接外推到 iOS 或 server-side system
• policy 與 log 的「對齊」判準仍有解釋空間，因為自然語言本來就可能模糊
• 不同類型敏感資料的風險權重未必相同，不是所有 leakage 都同等嚴重
• 論文關注 disclosure 與存在性，未必完整涵蓋 retention、access control、downstream sharing 等後續治理面

但即便如此，它還是很有價值，因為它抓到的是一個相當穩的結構性問題：工程上的 logging reality，經常跑在政策文本前面，而且跑得太遠。

我的看法

如果你做的是 mobile security、privacy engineering、AppSec，這篇非常值得看。它最有力的地方不在華麗模型，而是在於它用夠大的樣本把一件大家其實早就隱約知道的事講清楚：

很多產品真正洩露使用者資料的地方，不一定是主要功能流程，而是那些被當成工程雜訊處理的 logging 管線。

更準一點說，這篇 paper 想讓人看到的是：隱私承諾若沒有一路追到 log，往往就只是前台承諾；而真正的資料暴露面，可能正在後台被默默持續擴散。

我自己會把它看成一篇很好的治理提醒：很多團隊真正缺的，不是再寫一版更漂亮的 privacy policy，而是建立一條能持續比對「你對外怎麼說」和「系統實際怎麼記」的工程檢查鏈。因為只有那樣，policy 才不會只是文件，才會慢慢變成可驗證的系統事實。