Pemberitahuan bahawa syarikat-syarikat menghantar pengguna tentang data melanggar kekurangan kejelasan dan boleh menambah kekeliruan pelanggan mengenai sama ada data mereka berisiko, menurut penyelidikan baru.
Membina kajian terdahulu mereka yang menunjukkan pengguna sering mengambil sedikit tindakan apabila menghadapi pelanggaran keselamatan, para penyelidik menganalisis syarikat pemberitahuan pelanggaran data yang dihantar kepada pengguna untuk melihat apakah komunikasi mungkin bertanggungjawab terhadap beberapa tindakan yang tidak kena.
Mereka mendapati bahawa 97 peratus daripada pemberitahuan sampel 161 adalah sukar atau agak sukar dibaca berdasarkan metod pembacaan, dan bahasa yang digunakan di dalamnya mungkin menyumbang kepada kekeliruan sama ada penerima komunikasi berisiko dan harus mengambil tindakan.
"Bagi kebanyakan syarikat, pemberitahuan itu hanya dilihat sebagai keperluan untuk mematuhi undang-undang pemberitahuan pelanggaran data ..."
"Analisis kami menunjukkan bahawa undang-undang syarikat yang menghantar pemberitahuan pelanggaran data sahaja tidak mencukupi," kata Yixin Zou, pelajar kedoktoran di University of Michigan.
"Adalah penting untuk memastikan bahawa maklumat penting seperti apa yang berlaku dan apa yang perlu dilakukan oleh pengguna untuk melindungi diri mereka disampaikan dalam pemberitahuan itu dengan cara yang difahami dan boleh dilakukan oleh pengguna."
Mengikut statistik dari Privacy Rights Clearinghouse, penulis mencatatkan bahawa dalam 2017 terdapat data 853 yang melanggar rekod 2.05 bilion yang merosot, termasuk nama pengguna, nombor akaun maklumat kenalan, butiran kad kredit, nombor keselamatan sosial, rekod belanja dan pembelian, media sosial jawatan dan mesej, dan rekod kesihatan.
Sebagai tindak balas, kebanyakan negara, termasuk Amerika Syarikat, mengguna pakai undang-undang pemberitahuan pelanggaran data. Di Amerika Syarikat, setiap negara mempunyai undang-undang pelanggaran data tersendiri, yang bermaksud ambang apabila syarikat harus memberitahu pengguna, berapa lama selepas pelanggaran mereka harus menghantar notifikasi, dan pemberitahuan apa yang harus kelihatan berbeza di seluruh negeri.
"Terdapat sedikit insentif bagi syarikat untuk melabur dalam membuat pemberitahuan pelanggaran data lebih mudah digunakan."
Ini membolehkan kebebasan untuk syarikat menggunakan istilah lindung nilai yang mengurangkan frasa menggunakan frasa seperti "anda mungkin terjejas" dan "anda berkemungkinan terjejas" dalam pernyataan 70 peratus dan mengatakan "pada masa ini, kami tidak mempunyai bukti yang terdedah data yang disalahgunakan "40 peratus masa.
Ia juga membenarkan kekurangan konsistensi dalam menangani punca pelanggaran, tarikh kejadian, dan jumlah masa pendedahan, kata para penyelidik.
"Terdapat sedikit insentif untuk syarikat-syarikat untuk melabur dalam membuat pemberitahuan pelanggaran data lebih mudah digunakan," kata Florian Schaub, penolong profesor di Sekolah Maklumat.
"Bagi kebanyakan syarikat, pemberitahuan itu hanya dilihat sebagai keperluan untuk mematuhi undang-undang pemberitahuan pelanggaran data dan bukan cara untuk mendidik dan melindungi pelanggan mereka. Kami perlu memikirkan semula dan mengolah semula undang-undang perlindungan pengguna seperti ini untuk memastikan pemberitahuan syarikat sebenarnya membantu pengguna, "kata Schaub.
Kebanyakan undang-undang negeri menghendaki syarikat memberitahu kepada pengguna yang terjejas dalam surat bertulis atau melalui telefon. E-mel, pengumuman laman web, notis kepada media seluruh negara, atau kaedah elektronik lain biasanya digantikan. Kajian ini menunjukkan corak yang konsisten dengan peratus 95 daripada pemberitahuan dianalisis melalui pos. Para penyelidik mengatakan kelajuan perlahan surat yang dihantar mungkin meningkatkan masa apabila pengguna tetap tidak mengetahui pelanggaran tersebut.
Para penyelidik berkongsi kerja mereka di Persidangan CHI mengenai Faktor Manusia dalam Pengkomputeran di Glasgow, Scotland.
sumber: Universiti Michigan
Buku-buku yang berkaitan
at InnerSelf Market dan Amazon
