想要访问您的个人数据？请交出更多图片，并确保您对要求的带照片的身份证微笑

新的一年迎来了具有里程碑意义的加利福尼亚州隐私法，使居民可以更好地控制其数字数据的使用方式。不过，金州并不是唯一的受益者，因为许多公司正在将保护范围扩展到美国所有客户，其中最重要的是查看和删除公司拥有的个人数据的权利。

在秋天，我获得了访问权以进行试驾，要求进行业务分析的公司并为消费者对我的文件进行评分。一家评估用户信任度的公司Sift向我发送了一个400页的文件，其中包含我多年的信息，订单和活动。在我的文章发表后不久，Sift就被超过16,000个请求淹没了，迫使它不得不雇用供应商来处理迷恋问题。

那个叫Berbix的供应商通过要求他们上传政府身份证的照片并拍照来帮助验证请求数据的人的身份。然后要求他们按照说明进行第二次自拍照。这样的命令之一就是“确保看起来幸福还是快乐，然后再试一次”。

许多阅读过有关我的经历的文章的人都对Berbix要求提供的信息感到震惊，并且需要对他们的机密文件微笑。

纽约市的软件工程师杰克·菲尔普斯（Jack Phelps）在电子邮件中说：“这是一个噩梦般的未来，我如果不向他们发出微笑就无法向令人毛骨悚然的影子信用局索取数据，这简直是太疯狂了。”

“我们不得不放弃更多的个人信息似乎是错误的，”另一位读者，阿肯色州神经科学退休教授芭芭拉·克兰西写道。

那是令人不快的现实：要获取您的个人数据，您可能必须放弃更多的个人数据。起初似乎很糟糕。阿利斯泰尔·巴尔（Alistair Barr）称其为“地狱的新隐私圈”。

代表性图像。

但这是有充分的理由的。公司不希望将您的数据提供给错误的人，这是过去发生的情况。 2018年，亚马逊向一个陌生人发送了1,700个与Alexa交谈的客户的音频文件。

新的《加州消费者隐私法》规定了访问个人数据的权利。该法律部分以欧洲的隐私法规（称为“通用数据保护法规”或GDPR）为蓝本。欧洲法律生效后不久，2018年5月，一名黑客访问了技术主管Jean Yang的帐户，并成功提交了数据请求以下载她的家庭住址，信用卡信息以及她拥有的音乐历史听了。

此后，两组研究人员证明，有可能愚弄为遵守GDPR而创建的系统，以获取他人的个人信息。

研究人员之一，24岁的詹姆斯·帕弗（James Pavur）是牛津大学的一名博士生，他使用150多家公司的在线信息轻松地在网上找到了代表她的研究伙伴和妻子Casey Knerr提交数据请求的信息。 ，电子邮件地址和电话号码。为了提出请求，他创建了一个电子邮件地址，该地址是Knerr名称的变体。四分之一的公司向他发送了她的档案。

“我得到了她的社会安全号码，高中毕业，关于她的信用卡的很多信息，” Pavur说。 “一家威胁情报公司向我发送了她所有已泄露的用户名和密码。”

比利时哈瑟尔特大学的计算机科学研究员Mariano Di Martino和Pieter Robyns与55家金融，娱乐和新闻公司接触时取得了相同的成功率。他们使用比Pavur更为先进的技术来请求对方的数据，例如照相对方的政府ID。在一种情况下，迪马蒂诺（Di Martino）收到了一个完全陌生人的数据文件，该人的名字与罗宾斯（Robyns）相似。

两组研究人员都认为赋予数据权利的新法律值得。但他们表示，公司需要改善其安全做法，以避免进一步损害客户的隐私。

罗宾斯说：“公司急于寻求导致不安全做法的解决方案。”

公司采用不同的技术来验证身份。许多人只是索要驾照的照片。 Retail Equation是一家决定消费者是否可以在Best Buy和Victoria’s Secret等零售商处获得退货的公司，它仅询问姓名和驾照号码。

从Baskin Robbins到，现在需要移交数据的各种各样的公司在向消费者提供数据方面具有不同水平的安全专业知识和经验。

苹果，亚马逊和推特等公司可以要求用户通过登录其平台来验证其身份。请求数据后，这三个人都通过电子邮件进行提醒，如果黑客可以访问其帐户，这可以帮助警告人们。苹果发言人表示，提出请求后，该公司将使用其他方法来验证该人的身份，尽管该公司表示出于安全原因无法透露这些方法。

如果消费者无法通过登录现有帐户来验证自己的身份，Di Martino和Robyns建议公司向他们发送电子邮件，致电给他们或要求他们提供仅知道的信息，例如最近账单上的发票编号。

“监管者需要更多地考虑授权个人访问和删除其数据的意外后果，”在信托与安全团队工作了五年的史蒂夫·科克汉姆（Steve Kirkham）说，他在2018年成立Berbix之前说：“我们希望防止欺诈性请求和让好人经历。”

这是监管者的想法。加利福尼亚州的法律要求企业“以合理的确定性程度验证提出请求的消费者的身份”，并针对“敏感或有价值的个人信息”进行更为严格的验证。

柯克汉姆（Kirkham）说，柏比克斯（Berbix）要求进行第一张自拍照，以测试一个人的面部是否与自己的ID相符；第二张自拍照带有微笑或其他面部表情，可确保有人不只是将照片拿在相机上。柯克汉姆（Kirkham）说，伯比克斯最终会在一年之内的七天内删除收集到的数据，具体取决于雇用该公司的公司要求的保留期限。 （Sift会在两周后删除其数据。）

另一家帮助企业遵守新数据隐私法的公司OneTrust的产品副总裁Blake Brannon说：“这是公司应该考虑的新威胁向量。” OneTrust为使用其服务的4,500个组织提供了创建多个级别的身份验证的选项，例如将令牌发送到某人的电话或验证电子邮件地址的所有权。

布兰农说：“如果我要求简单或轻巧的东西，那么验证是最小的，而不是删除请求。” “这将需要更多级别的验证。”

柯坎（Kirkham）说，验证过程完全使某些人不愿提出数据请求。

“很多人不想提供更多信息，”柯克汉姆说。 “他们的假设是，您将对其进行有害的处理。”

他补充说：“但这很讽刺。我们要求人们提供更多信息以保护他们。我们要确保您就是您所说的人。”