行業(yè)動(dòng)態(tài)

GDPR允許用戶查看被收集的數(shù)據(jù) 記者卻直呼看不懂

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-02-01    瀏覽次數(shù):
 

信息來源:cnBeta

近年來科技公司掌握了關(guān)于人們的大量數(shù)據(jù),若它們落入壞人手中,可能帶來巨大危險(xiǎn)。為了應(yīng)對(duì)這種危險(xiǎn),歐洲頒布了《通用數(shù)據(jù)保護(hù)條例》 (GDPR),給予用戶更大的“訪問權(quán)限”。按照規(guī)定,任何公司都應(yīng)向用戶提其收集和托管的個(gè)人數(shù)據(jù)。此外,這些公司應(yīng)該以一種便于用戶及時(shí)閱讀的方式提供數(shù)據(jù),并提供足夠的背景信息,以便用戶了解公司是如何收集和使用這些信息的。

GDPR的原意是,當(dāng)用戶了解公司掌握了關(guān)于其哪些數(shù)據(jù),就可以利用它來做出明智的決定,比如決定你是否想提供這些數(shù)據(jù),并在他們未經(jīng)用戶同意的情況下收集數(shù)據(jù)時(shí),讓這些公司付出代價(jià)。

然而,問題在于,公司在提供這些數(shù)據(jù)時(shí)往往非常吝嗇。畢竟,如果它們的服務(wù)本質(zhì)上是“強(qiáng)迫同意”(谷歌最近因此而被罰款5000萬歐元),那么它們可能不想讓用戶輕易看到其收集了多少用戶的個(gè)人數(shù)據(jù)??萍加浾呒s翰·波特(Jon Porter)決定測(cè)試四家在歐盟運(yùn)營的最大科技公司提供的“訪問權(quán)”:蘋果、亞馬遜、Facebook和谷歌。他的發(fā)現(xiàn)表明,雖然用戶可以獲得原始數(shù)據(jù),但實(shí)際上卻很難理解它們,也很難依據(jù)這些數(shù)據(jù)做出明智的決定。

按照英國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)ICO的規(guī)定,公司必須應(yīng)用戶要求提供所有個(gè)人數(shù)據(jù),即任何與個(gè)人相關(guān)的已識(shí)別或可識(shí)別數(shù)據(jù)。信息必須以“簡(jiǎn)明、透明、易懂和易于獲取的形式,使用清晰明了的語言”,以“常用的電子格式”提供給個(gè)人。這聽起來很簡(jiǎn)單,但四大科技巨頭是如何做的呢?

最初,波特很容易下載了自己的數(shù)據(jù)。谷歌和蘋果的數(shù)據(jù)下載服務(wù)都可以讓你選擇要下載的數(shù)據(jù)。Facebook沒有,但這三家公司都很容易讓人在各自的網(wǎng)站上找到個(gè)人數(shù)據(jù)。與此同時(shí),在亞馬遜上獲取數(shù)據(jù)則有點(diǎn)兒繁瑣,需要在該網(wǎng)站的“聯(lián)系我們”頁面中挖掘,以查找隱藏在列表末尾的選項(xiàng)。而波特等了30天才收到相關(guān)鏈接,以便下載其數(shù)據(jù)。

然而,當(dāng)波特查看收到的數(shù)據(jù)時(shí),事情開始變得一團(tuán)糟。有些文件的標(biāo)簽?zāi)@鈨煽?,而其他文件的存?chǔ)格式則讓人頭疼不已。實(shí)際上,找出波特正在查看的數(shù)據(jù)并不像想象的那樣簡(jiǎn)單。

谷歌的位置跟蹤數(shù)據(jù)尤其難以理解。該公司曾多次因跟蹤安卓用戶而受到批評(píng),即使他們關(guān)閉了操作系統(tǒng)中的主要位置跟蹤功能。歐洲七個(gè)國家的消費(fèi)者團(tuán)體已經(jīng)就此向各自的數(shù)據(jù)安全監(jiān)管機(jī)構(gòu)提出了投訴,利用GDPR賦予的權(quán)限下載個(gè)人數(shù)據(jù),應(yīng)該是可以檢查這些服務(wù)是否使用某些技巧來收集更多數(shù)據(jù)的方法,也應(yīng)該是讓谷歌等公司承擔(dān)責(zé)任的一種手段。

但是當(dāng)你實(shí)際查看數(shù)據(jù)時(shí),這些信息卻很難查看和理解。波特來自谷歌的所有位置數(shù)據(jù)都包含在61MB的JSON文件中,并且使用Chrome打開它時(shí),卻顯示出令人困惑的字段數(shù)組,這些字段標(biāo)有“timestimpms”、“l(fā)attudeE7”、“l(fā)ogitudeE7”和關(guān)于其是坐在原地還是坐在某種交通工具中的評(píng)估。

波特表示,他毫不懷疑,這是谷歌已經(jīng)關(guān)聯(lián)到其帳戶上的所有位置歷史信息,但沒有上下文,這些數(shù)據(jù)沒有任何意義。他必須認(rèn)真努力才能開始理解這些數(shù)字,并將其導(dǎo)入到另一個(gè)軟件中以進(jìn)行正確的解析。如果GDPR的目的是讓人們對(duì)從公司那里收集的數(shù)據(jù)有更多的控制和理解,那么谷歌下載的這部分?jǐn)?shù)據(jù)幾乎沒有什么用。如果你想把數(shù)據(jù)輸入到另一個(gè)系統(tǒng)中,JSON是很棒的。但是如果你想評(píng)估谷歌有多少數(shù)據(jù)并據(jù)此做出明智的數(shù)據(jù)隱私?jīng)Q定,它們就不那么有用了。

當(dāng)涉及到其他文件時(shí),波特甚至不清楚最初看的是什么數(shù)據(jù)。位于ADS文件夾中、名為“My Activity”的4GB HTML文件,可能向他展示了許多與谷歌收集到的廣告跟蹤數(shù)據(jù)相關(guān)的內(nèi)容,但是這里沒有注釋或元數(shù)據(jù)來解釋它。

到目前為止,這些文件是整個(gè)數(shù)據(jù)下載中最令人困惑的內(nèi)容,也是最重要的文件。它們包含了許多潛在廣告商想要得到的個(gè)人信息,谷歌應(yīng)該更加努力地解釋這些信息的內(nèi)涵。該公司已經(jīng)提供了Index HTML文件來概述用戶的數(shù)據(jù),那么為什么不在其中包含有關(guān)每個(gè)文件內(nèi)容的信息呢?

盡管仍存在問題,但蘋果在數(shù)據(jù)發(fā)布方面的表現(xiàn)要好于谷歌。蘋果提供的大多數(shù)數(shù)據(jù)都是易于閱讀和理解的文件類型,比如CSV、TXT和JPG,其中只有幾個(gè)JSON文件。但是,當(dāng)你進(jìn)入這些文件時(shí),仍然有很多信息是很難理解的。

比如名為“Apple ID帳戶信息”的文件,里面似乎包含11條關(guān)于波特蘋果帳戶中幾乎相同的記錄,所有這些記錄都是在2014年完全相同的日期創(chuàng)建的,但蘋果卻沒有解釋它們是什么。另一個(gè)標(biāo)題模棱兩可的CSV文件“Apps and Service Analytics”似乎包含了波特在App Store中每次搜索的完整列表,但它的空單元格太多,當(dāng)他看到6.7MB大小文件時(shí),才注意到其中有數(shù)據(jù)存在。

盡管能夠聽取所有的Alexa請(qǐng)求令人毛骨悚然,但亞馬遜在展示數(shù)據(jù)方面做得要好得多,不過這可能只是因?yàn)樗鼘?duì)個(gè)人的支持相對(duì)較少所致。在大多數(shù)情況下,亞馬遜提供的文件和文件夾都有明確的標(biāo)簽,盡管該公司仍有些工作要做,以更好地標(biāo)記其電子表格的內(nèi)容。

具有諷刺意味的是,F(xiàn)acebook實(shí)際上擁有這四家服務(wù)中最容易理解的數(shù)據(jù)。首先,F(xiàn)acebook提供的每個(gè)文件都是HTML文件,每個(gè)文檔都被分類到清楚標(biāo)記的文件夾中,索引文件為用戶提供每個(gè)文檔所包含內(nèi)容的概述。這些文件本身有清晰的布局和格式,瀏覽它們感覺就像是在Facebook上瀏覽一個(gè)頁面,盡管其中一個(gè)頁面完全存儲(chǔ)在用戶的計(jì)算機(jī)上。

Facebook的下載包括很長(zhǎng)的索引文件,為用戶顯示在哪里可以找到其所有信息

看到Facebook存儲(chǔ)的用戶個(gè)人數(shù)據(jù)數(shù)量時(shí),令人感覺毛骨悚然,但至少你很清楚這些信息是什么,而不是根據(jù)每個(gè)文件的內(nèi)容來猜測(cè)。

在實(shí)驗(yàn)結(jié)束時(shí),波特在所聯(lián)系的四家服務(wù)中找到近138GB的數(shù)據(jù)。其中,1.1GB來自Facebook、392MB來自亞馬遜、254MB來自蘋果。雖然谷歌有72.5GB的數(shù)據(jù)可供波特下載,但其中絕大多數(shù)是他的Google Drive和Google Photos的備份,分別為44.3 GB和25.7 GB。波特剩下的谷歌數(shù)據(jù)只有2.5GB。

在試圖梳理和理解所有內(nèi)容后,很明顯,如果這些公司想要讓我們真正控制自己的數(shù)據(jù),那么它們和管理它們的GDPR法規(guī)還有很長(zhǎng)的路要走。能夠下載數(shù)據(jù)是一回事,但要使它變得有用,就意味著要更加努力地確保下載的內(nèi)容對(duì)于普通人來說更容易理解。至少,這意味著這些公司應(yīng)該提供更好的索引來告訴用戶哪些數(shù)據(jù)包含在哪個(gè)文件中,但也意味著它們能以自己的方式來組織這些文件的內(nèi)容。

 
 

上一篇:快訊丨LinkedIn出現(xiàn)重大數(shù)據(jù)泄露事件,1.59億用戶數(shù)據(jù)遭竊

下一篇:2019年02月01日 聚銘安全速遞