⏫ 🐟 👢 للحصول على بياناتك الشخصية ، تحتاج إلى إعطاء المزيد من البيانات الشخصية Ⓜ️ 😝 🍝

يمنح قانون خصوصية البيانات الشخصية الجديد في كاليفورنيا المستهلكين الحق في الاطلاع على بياناتهم وحذفها. ومع ذلك ، للوصول إليها في كثير من الأحيان يجب أن تعطي المزيد من البيانات الخاصة بهم.

تطلب الشركات من المستخدمين تقديم بياناتهم الشخصية قبل منحهم حق الوصول إلى بياناتهم - وكل هذا ضروري لمنع الوصول إلى البيانات للأشخاص الخطأ.

جلب العام الجديد معه قانون كاليفورنيا الجديد بشأن البيانات الشخصية ، والذي يمنح السكان المحليين مزيدًا من التحكم على استخدام بياناتهم الرقمية. في الوقت نفسه ، لم يكن سكان هذه الولاية محظوظين فقط - بل قامت العديد من الشركات بتوسيع حماية البيانات لجميع المستخدمين في الولايات المتحدة. أهم جزء من هذه الحماية هو حق المستخدم في معرفة البيانات التي يتم جمعها عنه وحذفها.

في الخريف ، مارست حقي في التحققمن هذا النظام ، وأرسل طلبات للحصول على بياناته للشركات المشاركة في بناء ملفات تعريف المستهلك وتقييمها. أرسلت لي إحدى الشركات ، Sift ، التي تقيم الجدارة الائتمانية للمستهلكين ، ملفي المكون من 400 صفحة ، والذي يحتوي على رسائل من Airbnb وأوامر من Yelp والنشاط مع Coinbase لسنوات عديدة. بعد وقت قصير من نشر مقالتي ، كانت سيفت غارقة في المتطلبات - تلقت الشركة في وقت قصير أكثر من 16000 طلب من هذا القبيل ، وكان عليها أن توظف مقاولًا للتعامل معها.

ساعد هذا المقاول ، Berbix ، في تحديد هوية الأشخاص الذين يطلبون بياناتهم من خلال مطالبتهم بتحميل صورة لجواز سفرهم والتقاط صور شخصية. ثم طلبت الشركة أن تلتقط صورة شخصية ثانية بالشرط التالي: "تأكد من أنك تبدو سعيدًا أو بهيجًا في الصورة ، وحاول مرة أخرى."

كثير من الناس الذين قرأوا عن تجربتي مع هذا النظام لم يعجبهم ما يتطلبه Berbix ، بما في ذلك الحاجة إلى الابتسامة للوصول إلى الملف.

كتب جاك فيلبس ، مبرمج من نيويورك: "هذا مستقبل كابوس حيث لا يمكنني أن أطلب بياناتي من بعض مكاتب الائتمان الظل الغبية دون أن أبتسم له أولاً - وهذا جنون محض".

كتب قارئ آخر ، باربرا كلانسي ، أستاذ متقاعد في علم الأعصاب من أركنساس: "هناك خطأ في مشاركة المزيد من المعلومات الشخصية".

هذه حقيقة مزعجة: للحصول على بياناتك الشخصية ، يجب عليك التخلي عن المزيد من البيانات الشخصية. في البداية يبدو الأمر مروعًا. ووصف أليستير بار من بلومبرج بأنه "دائرة جديدة من الجحيم للخصوصية".

ومع ذلك ، هناك أسباب جدية لهذا. لا تريد الشركات تقديم بيانات شخصية للشخص الخطأ ، ولكن هذا حدث بالفعل في الماضي. في عام 2018 ، أرسلت أمازون ما يصل إلى 1700 ملف صوتي غريب من سجلات المحادثات مع مساعد أليكسا لأحد عملائها.

الحق في الوصول إلى البيانات الشخصية منصوص عليه في قانون كاليفورنيا الخاص بسرية المستهلك. يكرر القانون جزئيًا اللائحة الأوروبية ، والمعروفة باسم اللائحة العامة لحماية البيانات (GDPR). بعد وقت قصير من دخول اللائحة حيز التنفيذ ، في مايو 2018 ، تمكن أحد المتسللين من الوصول إلى حساب مدير شركة التكنولوجيا Jin Yang في خدمة Spotify ، وتحقق بنجاح من طلب البيانات الشخصية ، بعد معرفة عنوان منزلها ، ومعلومات عن بطاقة مصرفية وتاريخ الموسيقى التي استمعت إليها.

ومنذ ذلك الحين، اثنين من مجموعات أظهرت الباحثون أنه من الممكن لخداع الأنظمة التي أنشئت لتلبية متطلبات GDPR، من أجل الحصول على معلومات شخصية من أي طرف خارجي.

أرسلت باحثة ، جيمس بافور ، طالبة دراسات عليا تبلغ من العمر 24 عامًا في جامعة أكسفورد ، طلبات بيانات نيابة عن شريكها البحثي وزوجته ، كيسي نير ، إلى 150 شركة ، باستخدام بياناتها التي يمكن العثور عليها بسهولة على الإنترنت - العنوان البريدي وعنوان البريد الإلكتروني ورقم الهاتف. لإرسال الطلبات ، قام بفتح صندوق بريد إلكتروني بشكل خاص ، يشبه أحد تهجئات اسمها. وأرسلت إليه ربع هذه الشركات بياناتها الشخصية.

قال بافور: "حصلت على رقم الضمان الاجتماعي الخاص بها ، وقائمة بالصفوف المدرسية ، وشريحة كبيرة من معلومات البطاقة المصرفية". "لقد أرسلت لي شركة تهديد أمن المعلومات جميع كلمات المرور الخاصة بها والتي تسربت إلى الشبكة."

حقق ماريانو دي مارتينو وبيتر روبينز ، باحثو علوم الكمبيوتر في جامعة هاسيلت في بلجيكا ، نفس النسبة المئوية للنجاح تقريبًا من خلال الوصول إلى 55 شركة مالية وترفيهية وإخبارية. طلبوا بيانات بعضهم البعض ، على الرغم من استخدام تقنيات أكثر تقدمًا من Pavyur ، على وجه الخصوص ، استبدلوا جوازات سفر أشخاص آخرين في محرر صور. في حالة واحدة ، تمكن دي مارتينو من الحصول على بيانات شخص غريب تمامًا ، كان اسمه مشابهًا لاسم Robins.

قرر الباحثون من كلا المجموعتين أن قانون حق البيانات الجديد مفيد. ومع ذلك ، لاحظوا أن الشركات بحاجة إلى تحسين أمان عملهم لتجنب المزيد من المساس بخصوصية المستخدم.

قال روبينز: "الشركات في عجلة من أمرها لاتخاذ قرارات تقودها إلى ممارسات غير آمنة".

الشركات المختلفة لديها تقنيات مختلفة لتأكيد هويتهم. يطلب الكثير فقط صورة لرخصة القيادة. شركة معادلة البيع بالتجزئة ، التي تقرر ما إذا كان يمكن للمستهلك إعادة البضائع إلى متاجر البيع بالتجزئة مثل Best Buy و Victoria's Secret ، تطلب فقط اسم ورخصة رخصة القيادة.

هناك مجموعة واسعة من الشركات ، المطلوبة الآن لتوفير بيانات إرجاع للمستخدم ، من باسكن روبنز إلى نيويورك تايمز ، لديها مستويات مختلفة جدًا من المعرفة والخبرة في مجال أمن البيانات.

قد تطلب شركات مثل Apple و Amazon و Twitter من المستخدم التحقق من هويته عن طريق تسجيل الدخول إلى حسابه. بالإضافة إلى ذلك ، يقوم كل منهم بإبلاغ المستخدم باستلام طلب للحصول على البيانات ، والذي يمكن أن يحذر الأشخاص في حالة اختراق حسابهم. قال متحدث باسم آبل إنه بعد تقديم مثل هذا الطلب ، تستخدم الشركة طرقًا إضافية للتحقق من هوية المستخدم ، على الرغم من أنها أشارت إلى أنها لا تستطيع الكشف عن التفاصيل المتعلقة بهذه الأساليب لأسباب أمنية.

إذا لم يتمكن المستخدمون من تأكيد هويتهم عن طريق إدخال الحساب ، يوصي Di Martino و Robins بأن ترسل الشركات إليهم بريدًا إلكترونيًا أو مكالمة أو طلب معلومات لا يعرفها سوى المستخدم - مثل رقم الفحص الأخير.

قال ستيف كيركام ، الذي عمل في فريق أمن Airbnb لمدة خمس سنوات ، قبل تأسيس Berbix في 2018: "يحتاج المنظمون إلى التفكير بعمق أكثر في العواقب غير المقصودة لوصول المستخدم إلى قراءة بياناتهم وحذفها". "نريد منع الطلبات الاحتيالية وتلبية الطلبات المشروعة".

ويفكر المنظمون في ذلك. يتطلب قانون ولاية كاليفورنيا من الشركات "التحقق من هوية المستهلك الذي قدم الطلب بدرجة معقولة من اليقين" ، وتقديم فحص أكثر صرامة للحصول على "معلومات حساسة أو قيمة".

قال كيركام أن Berbix طلب أول صورة شخصية للمستخدم لمعرفة ما إذا كان الوجه يطابق الصورة على المستندات ، والثاني ، مع تعبير عن الفرح أو المشاعر الأخرى ، للتأكد من أن المهاجم لا يحمل الصورة أمام الكاميرا. قال كيركام إن Berbix يحذف البيانات التي تم جمعها من سبعة أيام إلى عام ، اعتمادًا على ما يطلبه صاحب العمل (يحذف Sift جميع البيانات بعد أسبوعين).

قال بليك برينون ، نائب رئيس شركة OneTrust ، وهي شركة أخرى تساعد الشركات على الامتثال لقوانين البيانات الشخصية الجديدة: "هذه منطقة جديدة من التهديدات التي تحتاج الشركات إلى التفكير فيها". يوفر OneTrust لعملائه 4،500 القدرة على إنشاء عدة مستويات للتحقق من الهوية ، على سبيل المثال ، إرسال رسالة رمز إلى هاتف أو التحقق من ملكية عنوان بريد إلكتروني.

قال برينون: "إذا طلبت شيئًا بسيطًا ، فسيكون التحقق ضئيلًا ، على عكس طلب حذف البيانات". "في الحالة الأخيرة ، هناك حاجة إلى المزيد من مستويات التحقق."

قال كيركام من Berkix أن عملية التحقق من الهوية تجعل بعض الأشخاص يرفضون إكمال الطلب تمامًا. قال كريكم: "كثير من الناس لا يريدون إعطاء المزيد من المعلومات". "يقترحون أننا سنقوم بشيء خبيث معها." وأضاف: لكن هذه هي المفارقة. نطلب معلومات إضافية من الناس لحمايتهم. نريد أن نتأكد من أنك من تقول أنك ".

للحصول على بياناتك الشخصية ، تحتاج إلى إعطاء المزيد من البيانات الشخصية

More articles: