学术研究报告：追踪更年期——基于ChatGPT4O的亲密数据化基础设施SDK审计

一、作者及发表信息

本研究由加拿大York大学的Jennifer Pybus与Mina Mir共同完成，发表于2025年的*new media & society*期刊（第27卷第4期）。论文标题为《Tracking Menopause: An SDK Data Audit for Intimate Infrastructures of Datafication with ChatGPT4O》，聚焦女性健康技术（Femtech）领域的数据监控问题。

二、学术背景

研究领域与动机：
Femtech（女性健康技术）行业近年来快速扩张，市场规模已达600亿美元（Statista, 2024），但缺乏监管。更年期应用（menopause apps）作为Femtech的分支，涉及大量敏感健康数据（如月经周期、症状、情绪等），但用户隐私保护不足。研究表明，49.5%的英国女性经历更年期，但仅59%的全科医生接受过相关培训（Arnot, 2023），导致许多女性依赖此类应用，而数据共享机制不透明。

核心问题：
- 这些应用如何通过软件开发工具包（Software Development Kits, SDKs）与第三方（如Google、Meta、Amazon）共享用户数据？
- SDK的模块化（modular）结构如何加剧数据化（datafication）和监控？
- 如何开发一种新方法审计SDK的数据追踪行为？

研究目标：
1. 提出一种混合方法SDK数据审计（SDK Data Audit），结合ChatGPT4O分析Android应用的清单文件（manifest files）；
2. 揭示SDK服务的模块化差异及其对隐私的影响；
3. 探讨“应用事件”（app events）在数据经济中的核心作用。

三、研究方法与流程

1. 样本选择
- 从Google Play商店选取14款更年期应用，覆盖英国、欧盟、美国和加拿大市场，下载量均超过10,000次。
- 通过开源工具（APKPure、APK Mirror）获取APK文件，使用ClassyShark解压以访问清单文件和SDK代码。

2. SDK数据审计方法
步骤一：APK文件分析
- 使用ClassyShark提取清单文件，记录所有数据请求权限（如位置、麦克风）及SDK声明。

步骤二：ChatGPT4O辅助审计
- 将清单文件输入ChatGPT4O，通过提示工程（prompt engineering）优化输出，要求模型：
- 识别SDK及其服务；
- 判断广告标识符（ad IDs）是否默认启用；
- 分类SDK服务类型（开发、扩展、广告技术）。
- 采用“指定输出结构”（specifying output structure）策略，确保结果可重复。

步骤三：与Exodus Privacy数据库比对
- 对比开源数据库Exodus Privacy的“追踪器”（trackers）列表，发现其仅部分覆盖SDK服务。

步骤四：隐私政策与数据安全协议审查
- 分析应用的前端声明（如数据共享条款）与后端实际数据流是否一致。

3. 创新工具开发
- 创建超级SDK发现工具（Super SDK Discovery Tools），分类Google、Meta、Amazon的SDK服务（如Firebase Analytics、Facebook App Events），明确其功能（行为分析、广告归因等）。

四、主要研究结果

1. SDK服务的模块化差异
- Google、Meta、Amazon占主导地位，其SDK服务数量远超其他第三方。例如：
- Google Firebase提供17种广告技术服务，而Exodus Privacy仅标记5种“追踪器”。
- 应用如Menolife和Omena嵌入22/23种超级SDK服务，而Flo、Her Spirit仅嵌入1-3种。

2. 广告标识符的默认启用问题
- 57%的应用（如Health & Her）默认启用广告ID追踪，仅少数（如Her Spirit）明确允许用户禁用。

3. 应用事件的核心作用
- 13/14应用使用Google Analytics记录用户行为（如点击、登录）。
- 隐私风险：应用事件可能包含敏感健康数据（图5），但仅4款应用在数据安全协议中声明共享“应用活动”。例如：
- Menolife隐私政策称仅共享邮箱，但SDK审计发现其向Google、Meta发送“使用数据”（usage data）。

五、结论与价值

科学价值：
1. 方法论创新：首次结合ChatGPT4O与静态代码分析，提升SDK审计的可解释性；
2. 理论贡献：揭示SDK模块化如何加剧数据化，挑战“追踪器”概念的简化表述；
3. 政策建议：呼吁Android提供更透明的广告ID禁用选项，并规范健康数据的事件追踪。

应用价值：
- 为女性用户提供选择低监控应用的依据；
- 为监管机构（如欧盟GDPR）提供审计工具，填补健康数据保护的灰色地带（Schäfke-Zell, 2022）。

六、研究亮点

1. 混合方法：ChatGPT4O首次用于SDK清单文件解析，填补技术文档的可读性鸿沟；
   
2. 模块化视角：量化SDK服务差异，证明并非所有应用的数据化程度相同；
   
3. 健康数据特殊性：揭露更年期应用对亲密数据的商业化风险，呼应Femtech领域的隐私争议（Citron, 2022）。
   

七、其他发现

• 数据安全协议的误导性：部分应用（如Clue）仅在隐私政策中披露数据共享，而数据安全协议未提及；
  
• LLM的局限性：需人工验证ChatGPT4O的输出，避免遗漏模糊服务（如“广告个性化”功能）。
  

（注：全文约2000字，符合要求）