最新研究表明，企业向消费者发送的数据泄露通知缺乏清晰度，可能会加剧消费者对其数据是否面临风险的困惑。

研究人员此前的研究表明，消费者在面临安全漏洞时往往很少采取行动。在此基础上，研究人员分析了公司向消费者发送的数据泄露通知，以了解这些通知是否可能是造成消费者不作为的原因。

他们发现，根据可读性指标，抽样的 161 条通知中有 97% 难以阅读或相当难以阅读，而且其中使用的语言可能导致人们对信息接收者是否处于危险之中以及是否应该采取行动感到困惑。

“对大多数公司而言，这些通知仅仅被视为遵守数据泄露通知法律的要求……”

“我们的分析表明，仅仅通过法律要求公司发送数据泄露通知是不够的，”密歇根大学博士生邹一欣说。

“重要的是，要确保以消费者能够理解和采取的方式，在这些通知中传达重要信息，例如发生了什么以及消费者应该如何保护自己。”

作者引用隐私权信息中心的统计数据指出，2017 年发生了 853 起数据泄露事件，导致 2.05 亿条记录泄露，其中包括消费者姓名、联系信息、账号、信用卡详细信息、社会保障号码、购物和购买记录、社交媒体帖子和消息以及健康记录。

为此，包括美国在内的大多数国家都制定了数据泄露通知法。在美国，每个州都有自己的数据泄露法，这意味着企业何时必须通知消费者、必须在数据泄露发生后多久发出通知以及通知的形式在各​​州之间都存在差异。

“企业几乎没有动力去投资，让数据泄露通知更加易用。”

这使得公司可以很自由地使用淡化风险的对冲术语——在 70% 的通知中使用“您可能会受到影响”和“您很可能受到影响”之类的短语，并在 40% 的情况下表示“目前，我们没有证据表明泄露的数据被滥用”。

研究人员表示，这也导致了在处理违规原因、发生日期和暴露时间方面缺乏一致性。

“企业几乎没有动力去投资，让数据泄露通知更加易用，”信息学院助理教授弗洛里安·绍布说。

“对大多数公司而言，这些通知仅仅被视为遵守数据泄露通知法律的要求，而不是教育和保护客户的一种方式。我们需要重新思考和修订此类消费者保护法律，以确保公司的通知真正对消费者有所帮助，”绍布说道。

大多数州法律要求公司以书面信函或电话方式通知受影响的消费者。电子邮件、网站公告、向全州媒体发布通知或其他电子方式通常可以替代书面通知。研究显示，95%的分析通知都是通过邮件送达的，这一模式十分普遍。研究人员表示，邮件送达速度较慢，可能会延长消费者对数据泄露事件毫不知情的时间。

研究人员在苏格兰格拉斯哥举行的人机交互会议 (CHI) 上分享了他们的研究成果。

来源: 密歇根大学

相关书籍

{amazonWS:searchindex=Books;keywords=personal data security;maxresults=3}