Skip to main content
QUICK REVIEW

[论文解读] Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights?

Dominik Herrmann, Jens Lindemann|arXiv (Cornell University)|Feb 4, 2016
Privacy, Security, and Data Protection参考文献 10被引用 28
一句话总结

本项实证研究调查了德国的应用程序供应商和网站所有者是否遵守欧盟数据隐私权——特别是访问个人数据及请求删除个人数据的权利。通过隐蔽请求,作者发现仅有43%的数据访问请求得到令人满意的回应,52–57%的删除请求导致账户被完全删除,且20%的网站所有者易受社会工程攻击,表明尽管在《通用数据保护条例》(GDPR)及既有的数据保护法律下存在法律义务,仍普遍存在不合规现象。

ABSTRACT

EU Directive 95/46/EC and the upcoming EU General Data Protection Regulation grant Europeans the right of access to data pertaining to them. Consumers can approach their service providers to obtain all personal data stored and processed there. Furthermore, they can demand erasure (or correction) of their data. We conducted an undercover field study to determine whether these rights can be exerted in practice. We assessed the behaviour of the vendors of 150 smartphone apps and 120 websites that are popular in Germany. Our deletion requests were fulfilled in 52 to 57% of the cases and less than half of the data provision requests were answered satisfactorily. Further, we observed instances of carelessness: About 20% of website owners would have disclosed our personal data to impostors. The results indicate that exerting privacy rights that have been introduced two decades ago is still a frustrating endeavour most of the time.

研究动机与目标

  • 评估欧盟个人数据访问权与删除权在现实世界中的有效性。
  • 评估德国的应用程序供应商和网站所有者是否遵守《95/46/EC号指令》及即将实施的GDPR下的法律数据保护义务。
  • 调查数据控制者在处理个人数据时是否尽到应有的谨慎义务,特别是在应对外部第三方请求时。
  • 识别数据处理实践中的系统性缺陷,包括对社会工程攻击的脆弱性。

提出的方法

  • 通过在150个受欢迎的德国智能手机应用程序和120个受欢迎的网站上创建测试账户,开展隐蔽实地研究。
  • 通过电子邮件发送正式的数据访问请求,若一周内未收到回复,则再发送删除请求。
  • 在部分网站研究中使用社会工程技巧,测试供应商是否会向使用不同电子邮箱地址的冒充者披露数据。
  • 收集并分析回复,以评估对数据访问权和删除权的合规情况。
  • 采用定性和定量分析方法,将回复分类为合规、不合规或模糊。
  • 运用推断技术评估数据删除情况,因无法直接验证数据库内容。

实验结果

研究问题

  • RQ1德国的应用程序供应商在多大程度上遵守了用户对其个人数据的访问请求?
  • RQ2在德国,针对智能手机应用程序和网站的个人数据删除请求在多大程度上有效?
  • RQ3在处理数据访问或删除请求时,数据控制者是否容易受到社会工程攻击?
  • RQ4有多少比例的数据控制者未能在合理时间内对正式的数据访问请求作出充分回应?
  • RQ5法律和实际障碍如何影响欧盟数据保护法下数据主体权利的实际行使?

主要发现

  • 仅有43%的应用程序和网站供应商对数据访问请求作出了令人满意的回应,表明对访问权的广泛不合规。
  • 在52%至57%的删除请求中,账户被完全删除,表明删除请求的处理可能性高于数据访问请求。
  • 约20%的网站所有者会向使用不同电子邮箱地址的冒充者披露个人数据,暴露出对社会工程攻击的重大脆弱性。
  • 大量供应商未能在一周内对首次请求作出回应,表明其效率低下且缺乏程序准备。
  • 部分供应商声称因监管要求无法删除数据,而另一些则错误地声称数据已无任何痕迹留存,表明数据治理水平低下。
  • 本研究指出,即使在GDPR及国家数据保护法律提供法律支持的情况下,行使数据主体权利仍是一个令人沮丧且不一致的过程。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。