TU Darmstadt / ULB / TUprints

Methods to Improve Privacy and Loyalty in Online Commerce

Enzmann, Matthias (2008)
Methods to Improve Privacy and Loyalty in Online Commerce.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
PDF
PhD-Enzmann07.pdf
Copyright Information: In Copyright.

Download (1MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Methods to Improve Privacy and Loyalty in Online Commerce
Language: English
Referees: Buchmann, Prof. Dr. Johannes ; Eckert, Prof. Dr. Claudia
Advisors: Eckert, Prof. Dr. Claudia
Date: 14 February 2008
Place of Publication: Darmstadt
Date of oral examination: 19 December 2007
Abstract:

Online customers are hardly able to verify the claims of online vendors to respect and protect their privacy, especially when it comes to the collection of personal data and its use. However, the collection itself is not the primary problem — it is the linkage of the data to a person's real-world identity. This linkage is what allows vendors to create profiles of customers with or without the customers' consent. The goal of this work was to develop methods that can do without any personal data or allow customers to prevent linkage of their personal data without their explicit consent. In this work, we have developed an abstract model which allows to analyse the relationship between a customer and a vendor with respect to privacy. This model allows us to determine if the personal data, produced by the common transactions of customers and vendors, can be decoupled from the customer's identity. The model introduces phases as a means to further divide transactions into smaller semantic units. Previous work in this area only considered unlinkability with respect to transactions, while in this work, we go one step further and also consider unlinkability of phases, improving customer privacy even more. The other contributions of this work can be seen as use cases of the model. They deal with phases of transactions that permit deep insights into the private life of customers and hence, are of primary concern when it comes to privacy and profiling. The search phase, where customers browse vendors' catalogues, is one of them. In this phase, vendors can easily monitor and evaluate preferences and dislikes of customers without customers being aware of it. To prevent such monitoring, we have proposed an architecture that aims to decouple the search phase from the remainder of its transaction, preventing vendors from linking search data to customer identities. Another important phase for profiling comes into play with loyalty and incentive systems. It is well-known that the former is a means to retain customers but often also to monitor the behaviour of customers, which in turn raises privacy concerns. In this work, we have developed a loyalty system that supports customer retention, protects the privacy of customers (as it can be used anonymously), and respects the security demands of vendors. The system was especially developed for online commerce and is the first one that enforces the privacy of customers by technical rather than by organisational means. Another kind of customer retention system is a so called multi-coupon system, which —on a technical level— can be regarded as a kind of limited-show credential. The system proposed here allows customers to anonymously prove to vendors that the multi-coupon in their possession is valid and contains at least one unspent coupon. In addition, the redemption protocol guarantees that in each run exactly one of the unspent coupons from the multi-coupon is devalued. Finally, our system allows limited-show credentials to be spent in an anonymous fashion, i.e., without allowing linkability between different showings.

Alternative Abstract:
Alternative AbstractLanguage

Die Einhaltung der Datenschutzerklärungen von Online-Händlern, bspw. im Hinblick auf die gesammelten Daten und deren Verwendung, kann von Kunden in der Praxis kaum überprüft werden. Die Sammlung von Nutzungsdaten an sich ist hierbei aber nicht das größte Problem, sondern dass diese Daten mit der realen Identität eines Nutzers verknüpft werden können und es Händlern somit möglich ist, Profile ihrer Kunden ohne deren Kenntnis zu erstellen. Ziel dieser Arbeit war es, Methoden und Verfahren zu entwickeln, die entweder ganz ohne personenbezogene Daten auskommen oder dazu beitragen, dass anfallende Daten nicht gegen den Wunsch der Nutzer mit deren realer Identität verknüpft werden können. Im Rahmen dieser Arbeit wurde hierfür ein abstraktes Modell entwickelt, das es erlaubt, die Transaktionen einer Kunde-Händler-Beziehung aus Datenschutzsicht zu analysieren, um bspw. festzustellen, inwieweit die in einer Transaktion anfallenden Daten von der Identität des betroffenen Kunden entkoppelt werden können. Das Modell bezieht Phasen ein als Mittel zur Unterteilung einer Transaktion in kleinere semantische Einheiten. Bisherige Ansätze in Mehrparteienmodellen betrachteten lediglich die Nichtverknüpfbarkeit einzelner Transaktionen der beteiligten Parteien, während der hier vorgestellte Ansatz darüber hinaus geht und zusätzlich die Nichtverknüpfbarkeit von Phasen mit einbezieht, was den Datenschutz weiter stärkt. Die weiteren Beiträge dieser Arbeit stellen Anwendungsfälle des Modells dar und befassen sich näher mit Phasen von Transaktionen, die in besonderem Maße dazu angelegt sind, einen Einblick in das Privatleben von Kunden zu erlangen und damit wesentlich zur Erstellung bzw. Anreicherung eines Kundenprofils beitragen können. Diese Phasen sind zum einen die Suchphase, in der Kunden zunächst nach Produkten Ausschau halten, dabei aber u.U. bereits Vorlieben und Abneigungen Preis geben, ohne dass sie dies beabsichtigt hätten — hierfür wurde eine Architektur vorgeschlagen, die auf die Abkopplung der Suchphase von darauf folgenden Phasen abzielt. Zum anderen wurden Phasen betrachtet, die mit digitalen Anreizsystemen und Kundenbindungsprogrammen in Zusammenhang stehen. Letztere sind aus der realen Welt in Form von Bonus- und Kundenkarten als Mittel zur Kundenbindung, aber auch zur Ausforschung des Kundenverhaltens, hinlänglich bekannt. Als Alternative zu herkömmlichen Bonussystemen wurde ein datenschutzfreundliches System entwickelt, welches den Belohnungsaspekt von Bonuskarten berücksichtigt, aber durch die Möglichkeit einer anonymen Nutzung bewusst auf die Möglichkeit zur Profilbildung verzichtet. Das Bonussystem wurde speziell für den Online-Handel entwickelt und ist das erste, das auf technischer statt auf organisatorischer Ebene die Privatsphäre von Nutzern schützt und auch die Sicherheitsbelange von Händlern berücksichtigt. Eine andere Art von Kundenbindungssystem sind so genannte Multi-Coupon-Systeme. Das hier vorgestellte Protokoll zum Einlösen eines Teil-Coupons erlaubt es dem Kunden, gegenüber dem Anbieter anonym nachzuweisen, dass sein Multi-Coupon mindestens noch ein gültiges Coupon aufweist, wobei im Rahmen dieses Nachweises ein Coupon entwertet wird, sodass dessen erneute Einlösung nicht möglich ist. Das hier vorgeschlagene Multi-Coupon-System ermöglicht zudem, dass die Nutzungsbegrenzung des Multi-Coupons, an dieser Stelle verstanden als Berechtigungsnachweis (Englisch: limited-show credential), durchgesetzt wird, ohne dass hierfür die Anonymität des Coupon-Besitzers geopfert werden müsste.

German
Uncontrolled Keywords: Datenschutz, Multi-Coupons, Blinde Signaturen
Alternative keywords:
Alternative keywordsLanguage
Datenschutz, Multi-Coupons, Blinde SignaturenGerman
Privacy Enhancing Technology, Loyalty Systems, Incentive Systems, Zero-Knowledge, Blind Signatures, Multi-Coupon Systems, Limited-Show CredentialsEnglish
URN: urn:nbn:de:tuda-tuprints-9420
Classification DDC: 000 Generalities, computers, information > 000 Generalities
Divisions: 20 Department of Computer Science
Date Deposited: 17 Oct 2008 09:22
Last Modified: 07 Dec 2012 11:53
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/942
PPN:
Export:
Actions (login required)
View Item View Item