Get best of the week

要获取您的个人数据,您需要提供更多的个人数据

加利福尼亚州的新《个人数据隐私法》赋予消费者查看和删除其数据的权利。但是,访问它们通常必须给出更多的数据。



公司要求用户给他们的数据他们访问之前提供其个人数据-而这一切是必要的,以防止对数据的访问为错误的人的。

新的一年带来了一个新的加州法律上的个人资料,这给当地居民更多的控制权过度使用他们的数字数据。同时,不仅该州的居民都很幸运-许多公司还在为美国所有用户扩展数据保护。这种保护的最重要部分是用户有权查看收集的有关他的数据并将其删除。

在秋天,我行使了检查的权利,并向参与建立消费者资料及其评估的公司发送了有关他的数据的请求。评估消费者信誉度的公司之一Sift向我发送了我的400页文件,其中包含来自Airbnb的消息,Yelp的订单以及多年来与Coinbase的合作。在我的文章发表后不久,Sift便不知所措-该公司在短时间内收到了超过16,000个此类请求,她不得不雇用承包商来处理这些请求。

该承包商Berbix要求他们上传护照照片并拍照以帮助建立要求其数据的人的身份。然后,公司要求他们在以下情况下进行第二次自拍照:“请确保您在照片中看起来很开心或快乐,然后重试。”

许多了解我在该系统上的经验的人不喜欢Berbix的要求,包括需要微笑才能访问该文件。

纽约的程序员杰克·菲尔普斯(Jack Phelps)表示:“这是一个噩梦般的未来,我必须先向他哑口无言地向一些愚蠢的影子信用局索要数据,这简直是疯狂。”



“分享更多的个人信息是有问题的,”另一位读者,来自阿肯色州的神经科学退休教授芭芭拉·克兰西写道。

这是一个令人不愉快的现实:要获取您的个人数据,您必须分离更多的个人数据。起初,这似乎很糟糕。彭博社的阿利斯泰尔·巴尔(Alistair Barr)称其为“隐私的新地狱”。

但是,这有很严重的原因。公司不希望将个人数据提供给错误的人,但这已经在过去发生过。 2018年,亚马逊与Alexa的助手向一个客户发送了一个陌生的1,700个对话记录的音频文件。

新的《加州消费者保密法》确立了访问个人数据的权利。该法律部分重复了欧洲法规,即通用数据保护法规(GDPR)。该法规生效后不久,2018年5月,一名黑客访问了科技公司Jin Yang主管的Spotify服务帐户,并在了解了她的家庭住址,银行卡信息和所听音乐的历史之后,成功检查了个人数据请求。



此后,2 研究人员已经证明,它是可能的欺骗创建,以满足GDPR的要求的系统,以便获得一个局外人的个人信息。

牛津大学24岁研究生的一名研究员James Pavur代表他的研究伙伴和妻子Casey Knerr向150家公司发送了数据请求,这些数据可以在Internet上轻松找到-邮寄地址,电子邮件地址和电话号码。为了发送请求,他特别打开了一个电子邮件箱,类似于她名字的拼写形式。这些公司中有四分之一向他发送了她的个人数据。

“我得到了她的社会安全号码,学校成绩清单,很大一部分银行卡信息,” Pavur说。 “信息安全威胁公司已将泄露给网络的所有密码发送给我。”

比利时哈瑟尔特大学的计算机科学研究员Mariano Di Martino和Peter Robins通过接触55家金融,娱乐和新闻公司,取得了大致相同的成功率。他们使用了比Pavyur更先进的技术来请求对方的数据,特别是他们在照片编辑器中替换了其他人的护照。在一种情况下,迪马蒂诺设法获得了一个完整的陌生人的数据,该陌生人的名字与罗宾斯的名字相似。

两组研究人员都认为,新的数据权利法很有用。但是,他们指出,公司需要提高工作安全性,以避免进一步损害用户隐私。

罗宾斯说:“公司急于做出决定,使他们采取不安全的做法。”

不同的公司使用不同的技术来确认其身份。许多人只是要求提供驾照的照片。该公司的Retail Equation(消费者方程式)决定了消费者是否可以将商品退还给Best Buy和Victoria's Secret之类的零售商店,它仅询问驾照的名称和编号。

从Baskin Robbins到The New York Times,现在要求向用户提供返回数据的各种各样的公司在数据安全领域的知识和经验水平非常不同。

苹果,亚马逊和推特等公司可能会要求用户通过登录其帐户来验证其身份。同样,它们都将通知用户有关数据请求的接收,这可以在人们的帐户被黑客入侵时发出警告。苹果发言人表示,提交此类请求后,该公司使用其他方法来验证用户的身份,尽管该公司指出出于安全原因不能透露有关这些方法的细节。

如果用户无法通过输入帐户来确认自己的身份,Di Martino和Robins建议公司向他们发送电子邮件,电话或请求只有用户才能知道的信息,例如最近的支票号码。

“监管机构需要更深入地思考用户访问读取和删除数据的意外后果,”在Airbnb安全团队工作了五年的Steve Kirkam说,他于2018年成立Berbix。 “我们希望防止欺诈性请求并满足合法请求。”

监管者对此进行了思考。加利福尼亚州的法律要求企业“以合理的确定性验证提交请求的消费者的身份”,并提供更严格的检查以获取“敏感或有价值的信息”。

柯尔卡姆说,贝比克斯要求第一个用户自拍照,以找出面部是否与证件上的照片相匹配,第二个用户则带着喜悦或其他表情表达,以确保攻击者没有将照片拿着在相机前。 Kirkam说Berbix会从七天到一年删除一年中收集的数据,具体取决于雇主的要求(Sift在两周后删除所有数据)。

另一家帮助企业遵守新的个人数据法的公司OneTrust副总裁Blake Brennon表示:``这是公司需要考虑的新威胁领域。 OneTrust为4,500个客户提供了创建多个级别的身份验证的能力,例如,将代码消息发送到电话或检查电子邮件地址的所有权。

布伦农说:“如果我要求简单的东西,与删除数据的要求相比,验证将是最少的。” “在后一种情况下,需要更多的验证级别。”

Berkix的Kirkam说,身份验证过程使某些人完全拒绝完成请求。克里克汉姆说:“许多人不想透露更多信息。” “他们建议我们对她做些恶意的事情。” 他补充说:“但是,这具有讽刺意味。我们要求人们提供更多信息,以保护他们。我们要确保您就是您所说的人。”

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles