P3P - P3P

Informacje o grze wideo na PlayStation Portable można znaleźć w artykule Persona 3 Portable .
P3P
Platforma preferencji prywatności
Imię ojczyste
Platforma preferencji prywatności
Status Emerytowany
Opublikowane po raz pierwszy 16 kwietnia 2002 r. ( 2002-04-16 )
Ostatnia wersja 1,1
Komisja Grupa robocza ds. specyfikacji P3P
Redakcja
Autorski
Standardy podstawowe
Skrót P3P
Strona internetowa www .w3 .org /TR /P3P11 /

Platform for Privacy Preferences Projektu ( P3P ) jest przestarzały protokół umożliwiający stron internetowych zadeklarować zamierzonego wykorzystania informacji zbieranych o katalogu użytkowników. Zaprojektowany, aby dać użytkownikom większą kontrolę nad ich osobistymi danymi podczas przeglądania, P3P został opracowany przez World Wide Web Consortium (W3C) i oficjalnie rekomendowany 16 kwietnia 2002 roku. Rozwój zakończył się wkrótce potem i było bardzo niewiele wdrożeń P3P. Microsoft Internet Explorer i Edge były jedynymi głównymi przeglądarkami obsługującymi P3P. Microsoft zakończył wsparcie od Windows 10 i nowszych. Microsoft Internet Explorer i Edge w systemie Windows 10 nie będą już obsługiwać P3P. Prezes TRUSTe stwierdził, że P3P nie zostało wdrożone na szeroką skalę ze względu na trudności i brak wartości.

Cel, powód

W miarę jak sieć WWW stała się prawdziwym medium do sprzedaży produktów i usług, witryny handlu elektronicznego próbowały zbierać więcej informacji o osobach, które kupiły ich towary. Niektóre firmy stosowały kontrowersyjne praktyki, takie jak śledzące pliki cookie, aby ustalić dane demograficzne użytkowników i nawyki zakupowe, wykorzystując te informacje do dostarczania specjalnie ukierunkowanych reklam. Użytkownicy, którzy postrzegali to jako naruszenie prywatności , czasami wyłączali pliki cookie HTTP lub używali serwerów proxy, aby zapewnić bezpieczeństwo swoich danych osobowych. P3P został zaprojektowany, aby dać użytkownikom bardziej precyzyjną kontrolę nad rodzajem informacji, które pozwalają na udostępnianie. Według W3C, głównym celem P3P „jest zwiększenie zaufania użytkowników do sieci poprzez wzmocnienie techniczne”.

P3P to język do odczytu maszynowego, który pomaga wyrazić praktyki zarządzania danymi w witrynie. P3P zarządza informacjami poprzez polityki prywatności. Gdy witryna korzysta z P3P, ustanawiają zestaw zasad, które pozwalają im określić zamierzone wykorzystanie danych osobowych, które mogą być gromadzone od odwiedzających witrynę. Kiedy użytkownik decyduje się na korzystanie z P3P, ustala własny zestaw zasad i określa, jakie dane osobowe będą widoczne dla odwiedzanych witryn. Następnie, gdy użytkownik odwiedza witrynę, P3P porówna, jakie dane osobowe użytkownik jest skłonny udostępnić, a jakie informacje serwer chce uzyskać – jeśli te dwa nie będą pasować, P3P poinformuje użytkownika i zapyta, czy jest na to gotowy przejść do witryny i zaryzykować rezygnację z większej ilości danych osobowych. Na przykład, użytkownik może przechowywać w przeglądarce preferencje, że informacje o jego nawykach przeglądania nie powinny być gromadzone. Jeżeli polityka Serwisu stwierdza, że ​​w tym celu wykorzystywany jest plik cookie, przeglądarka automatycznie odrzuca plik cookie. Główna treść polityki prywatności jest następująca:

  • jakie informacje przechowuje serwer:
    • jakiego rodzaju informacje są gromadzone (identyfikujące lub nie);
    • jakie konkretnie informacje są zbierane ( adres IP, adres e-mail, imię itp.);
  • wykorzystanie zebranych informacji:
    • w jaki sposób te informacje są wykorzystywane (do regularnej nawigacji, śledzenia, personalizacji, telemarketingu itp.);
    • kto otrzyma te informacje (tylko bieżąca firma, osoba trzecia itp.);
  • trwałość i widoczność:
    • jak długo przechowywane są informacje;
    • czy i w jaki sposób użytkownik może uzyskać dostęp do przechowywanych informacji (tylko do odczytu, optin, optout).

Politykę prywatności można pobrać w postaci pliku XML lub dołączyć w formie kompaktowej do nagłówka HTTP . Lokalizacja pliku strategii XML, który ma zastosowanie do danego dokumentu, może być:

  1. określone w nagłówku HTTP dokumentu
  2. określone w nagłówku HTML dokumentu
  3. jeśli żadna z powyższych nie jest określona, używana jest dobrze znana lokalizacja /w3c/p3p.xml (dla podobnej lokalizacji porównaj /favicon.ico )

P3P pozwala określić a max-agedo buforowania. Manekin /w3c/p3p.xml plik może korzystać z tej funkcji: 

<META xmlns="http://www.w3.org/2002/01/P3Pv1">
  <POLICY-REFERENCES>
    <EXPIRY max-age="10000000"/><!-- about four months -->
  </POLICY-REFERENCES>
</META>

Obsługa agenta użytkownika

Zasady P3P Yahoo! widoczne w przeglądarce Internet Explorer 6.

Microsoft „s Internet Explorer i krawędzi były tylko mainstreamowe przeglądarek internetowych, które wspierane P3P. Inne przeglądarki nie zaimplementowały go ze względu na postrzegany brak wartości, jaki zapewnia. IE zapewnia możliwość wyświetlania polityki prywatności P3P i porównania polityki P3P z ustawieniami przeglądarki, aby zdecydować, czy zezwolić na pliki cookie z określonej witryny. Jednak funkcja P3P w programie Internet Explorer obejmuje tylko blokowanie plików cookie i nie będzie ostrzegać użytkownika o całej witrynie sieci Web, która narusza aktywne preferencje prywatności. Microsoft uważa tę funkcję za przestarzałą w swoich przeglądarkach i całkowicie usunęła obsługę P3P w systemie Windows 10.

Mozilla wspierała niektóre funkcje P3P przez kilka lat, ale cały kod źródłowy związany z P3P został usunięty do 2007 roku.

Usługa Privacy Finder została również stworzona przez Laboratorium Prywatności i Bezpieczeństwa Carnegie Mellon . Jest to publicznie dostępna „wyszukiwarka obsługująca P3P”. Użytkownik może wprowadzić wyszukiwane hasło wraz z określonymi preferencjami dotyczącymi prywatności, a następnie zostanie mu przedstawiona lista wyników wyszukiwania uporządkowanych w zależności od tego, czy witryny są zgodne z jego preferencjami. Działa to poprzez indeksowanie sieci i utrzymywanie pamięci podręcznej P3P dla każdej witryny, która kiedykolwiek pojawia się w zapytaniu wyszukiwania. Cache jest aktualizowana co 24 godziny, tak, że każda polityka jest gwarancją stosunkowo aktualne. Usługa pozwala również użytkownikom szybko określić, dlaczego witryna nie jest zgodna z ich preferencjami, a także wyświetlić dynamicznie generowaną politykę prywatności w języku naturalnym na podstawie danych P3P. Jest to korzystniejsze niż zwykłe czytanie oryginalnej polityki prywatności w języku naturalnym na stronie internetowej, ponieważ wiele polityk prywatności jest napisanych w języku prawniczym i jest bardzo zawiłych. Dodatkowo w tym przypadku użytkownik nie musi odwiedzać serwisu, aby zapoznać się z jego polityką prywatności.

Korzyści

P3P umożliwia przeglądarkom zrozumienie ich polityki prywatności w uproszczony i zorganizowany sposób, zamiast przeszukiwania całej witryny. Ustawiając ustawienia prywatności na pewnym poziomie, użytkownik umożliwia P3P automatyczne blokowanie wszelkich plików cookie, których użytkownik może nie chcieć na swoim komputerze. Ponadto W3C wyjaśnia, że ​​P3P umożliwi przeglądarkom przesyłanie danych użytkownika do usług, ostatecznie promując społeczność udostępniania online.

Ponadto zestaw narzędzi P3P opracowany przez Internet Education Foundation zaleca, aby każdy, kto jest zaniepokojony zwiększeniem zaufania i prywatności swoich użytkowników, rozważył wdrożenie P3P. Witryna z narzędziami P3P wyjaśnia, w jaki sposób firmy pobierały dane osób fizycznych w celu promowania nowych produktów lub usług. Ponadto w ostatnich latach firmy zbierały informacje o osobach i tworzyły profile, które następnie wprowadzają do obrotu bez zgody danej osoby. Co więcej, wszystkie te dane są niewłaściwie wykorzystywane, a my jako konsumenci płacimy cenę i niepokoimy się takimi kwestiami, jak: niechciana poczta, kradzież tożsamości i formy dyskryminacji; dlatego wdrożenie protokołu P3P jest dobre i korzystne dla przeglądarek internetowych.

Co więcej, odkąd nastąpił wzrost liczby przeglądarek, coraz więcej użytkowników jest zagrożonych problemami z prywatnością. Ale Internet Education Foundation wskazuje, że „P3P został opracowany, aby pomóc pokierować siłą technologii o krok dalej w kierunku automatycznego przekazywania praktyk zarządzania danymi i indywidualnych preferencji dotyczących prywatności”.

Krytyka

Electronic Privacy Information Center (EPIC) jest krytyczny P3P i wierzy P3P sprawia, że zbyt trudne dla użytkowników, aby chronić swoją prywatność. W 2002 r. oceniła P3P i określiła tę technologię jako „politykę dość ubogich”. Według EPIC, niektóre programy P3P są zbyt złożone i trudne do zrozumienia dla przeciętnej osoby, a wielu użytkowników Internetu nie wie, jak używać domyślnego oprogramowania P3P na swoich komputerach lub jak zainstalować dodatkowe oprogramowanie P3P. Innym problemem jest to, że strony internetowe nie są zobowiązane do korzystania z P3P, podobnie jak użytkownicy Internetu. Co więcej, witryna EPIC twierdzi, że protokół P3Ps stałby się uciążliwy dla przeglądarki i nie byłby tak korzystny ani wydajny, jak miał być.

Kluczowym problemem, który pojawia się podczas korzystania z P3P, jest brak egzekwowania. W ten sposób obietnice złożone użytkownikom P3P mogą nie zostać spełnione. Chociaż korzystając z P3P firma/witryna składa obietnicę zachowania prywatności i wykorzystania zebranych danych użytkownikom witryny, nie ma rzeczywistych konsekwencji prawnych, jeśli firma zdecyduje się wykorzystać te informacje do innych funkcji. Obecnie nie istnieją żadne faktyczne przepisy dotyczące ochrony danych , które zostały uchwalone przez Stany Zjednoczone . Chociaż najlepiej byłoby, gdyby firmy były uczciwe w odniesieniu do wykorzystywania danych osobowych klientów, nie ma wiążącego powodu, dla którego firma musi faktycznie przestrzegać zasad, które twierdzi, że będzie przestrzegać. Chociaż korzystanie z P3P kwalifikuje się technicznie jako umowa, brak regulacji federalnych umniejsza potrzebę przestrzegania przez firmy.

Zgoda na korzystanie z P3P nie tylko zawiera niewykonalne obietnice, ale także przedłuża przyjęcie ustaw federalnych, które faktycznie utrudniałyby dostęp i możliwość korzystania z prywatnych informacji. Gdyby rząd wkroczył i próbował chronić użytkowników Internetu za pomocą federalnych przepisów dotyczących tego, jakie informacje można uzyskać, oraz szczegółowych przepisów dotyczących sposobu wykorzystywania informacji o użytkownikach, firmy nie zachowałyby swobody, jaką mają teraz, aby wykorzystywać informacje zgodnie z ich życzeniem, pomimo tego, co mogą faktycznie powiedzieć użytkownikom. W 2002 roku ówczesny pracownik EPIC, Chris Hoofnagle, argumentował, że P3P wypiera szanse na rządową regulację prywatności.

Krytycy P3P twierdzą również, że niezgodne witryny są wykluczone. Według badania przeprowadzonego przez CyLab Privacy Interest Group na Carnegie Mellon University tylko 15% z 5 000 najlepszych stron internetowych zawiera P3P. Dlatego wiele witryn, które nie zawierają kodu, ale stosują wysokie standardy prywatności, nie będą dostępne dla użytkowników, którzy używają P3P jako jedynego przewodnika po prywatności online.

EPIC mówi również o tym, jak rozwój i wdrożenie P3P może spowodować monopol na prywatne informacje. Ponieważ zwykle są to tylko duże firmy, które wdrażają P3P na swoich stronach internetowych, tylko te duże firmy zwykle gromadzą te informacje, ponieważ tylko ich polityka prywatności może porównać z preferencjami prywatności użytkowników. Strona internetowa EPIC mówi: „Niesamowita złożoność P3P w połączeniu ze sposobem, w jaki popularne przeglądarki prawdopodobnie zaimplementują ten protokół, wydaje się wykluczać go jako technologię chroniącą prywatność”, EPIC kontynuuje, stwierdzając: „Raczej P3P może faktycznie wzmocnić pozycję monopolisty na dane osobowe, którą obecnie cieszą się amerykańscy marketerzy danych”.

Niepowodzenie w jej natychmiastowym przyjęciu może być związane z ideą, że jest to podejście polegające na powiadamianiu i wyborze, które nie jest zgodne z Uczciwymi Praktykami Informacyjnymi. Według przewodniczącego FTC przepisy dotyczące prywatności mają kluczowe znaczenie w dzisiejszym społeczeństwie, aby chronić konsumenta przed dostarczaniem zbyt wielu danych osobowych z korzyścią dla innych. Niektórzy uważają, że należy ograniczyć gromadzenie i wykorzystywanie danych osobowych konsumentów w Internecie. Obecnie witryny nie są zobowiązane na mocy żadnego prawa Stanów Zjednoczonych do przestrzegania publikowanych przez siebie polityk prywatności, dlatego P3P wywołuje kontrowersje wśród konsumentów, którzy są zaniepokojeni ujawnieniem swoich danych osobowych i mogą polegać wyłącznie na protokole P3P w celu ochrony swojej prywatności .

Doniesiono, że Michael Kaply z IBM powiedział, co następuje, gdy Fundacja Mozilla rozważała usunięcie obsługi P3P ze swojej przeglądarki w 2004 roku:

Ach wspomnienia.

My (IBM) napisaliśmy oryginalną implementację P3P, a następnie Netscape przystąpił do pisania własnej. Tak więc obie nasze firmy zmarnowały ogromne ilości czasu, który wszyscy uważali za kiepską propozycję na początek.

Usunąć to.

Live Leer, menedżer ds. PR w firmie Opera Software , wyjaśnił w 2001 r. celowy brak obsługi P3P w ich przeglądarce:

W tej chwili nie jesteśmy pewni, czy P3P jest najlepszym rozwiązaniem. P3P jest jedną ze specyfikacji, które rozważamy do obsługi w przyszłości. Wystąpiły pewne problemy z tym, jak dobrze P3P będzie chronić prywatność i dlatego postanowiliśmy poczekać, aż zostaną rozwiązane.

Alternatywy

Agenty użytkownika P3P nie są jedyną dostępną opcją dla użytkowników Internetu, którzy chcą zapewnić sobie prywatność . Kilka głównych alternatyw dla P3P obejmuje korzystanie z trybu prywatności przeglądarek internetowych , anonimowych wiadomości e-mail i anonimowych serwerów proxy .

Główną alternatywą dla P3P mogą nie być te technologie, ale silniejsze przepisy regulujące, jakie informacje od użytkowników Internetu mogą być gromadzone i przechowywane przez strony internetowe. Na przykład w Europie Ogólne rozporządzenie o ochronie danych zapewnia osobom fizycznym pewien zestaw zasad dotyczących sposobu gromadzenia danych osobowych oraz praw danej osoby do ochrony ich danych osobowych. Ustawa pozwala jednostkom kontrolować rodzaj informacji, które są od nich gromadzone. Ustawa zawiera różne zasady, takie jak zasada, że ​​osoba fizyczna ma prawo do odzyskania zgromadzonych na jej temat danych w dowolnym momencie, pod pewnymi warunkami. Ponadto dane osobowe osoby nie mogą być przechowywane dłużej niż to konieczne i nie mogą być wykorzystywane do celów innych niż uzgodnione na początku.

Obecnie w Stanach Zjednoczonych nie obowiązuje żadne prawo federalne chroniące prywatność danych osobowych udostępnianych w Internecie. Istnieją jednak przepisy sektorowe na poziomie federalnym i stanowym, które zapewniają pewną ochronę niektórych rodzajów informacji gromadzonych o osobach. Na przykład, Ustawa o Sprawiedliwej Sprawozdawczości Kredytowej (FCRA) z 1970 roku zezwala agencjom sporządzającym raporty konsumenckie na ujawnianie danych osobowych tylko w trzech określonych okolicznościach: ocena kredytu, zatrudnienia lub ubezpieczenia; dotacja lub licencja rządowa; lub „uzasadnioną potrzebę biznesową”, która dotyczy konsumenta. Listę innych sektorowych przepisów dotyczących prywatności w Stanach Zjednoczonych można znaleźć w witrynie internetowej Przewodnika po prywatności konsumentów.

Przyszłość P3P

Istnieje wiele grup, które pracują nad dalszą przyszłością P3P, aby ułatwić ludziom korzystanie. Niektóre z tych grup to:

Transparent Odpowiedzialny datamining Initiative (TAMI) to grupa z MIT „s Informatyki i Laboratorium Sztucznej Inteligencji. Celem TAMI jest stworzenie technicznych, prawnych i politycznych podstaw dla przejrzystości i odpowiedzialności w agregacji na dużą skalę. TAMI ma nadzieję, że pomoże ludziom zarządzać ryzykiem prywatności w świecie, w którym technologia stale się zmienia.

Policy Aware Web (PAW) to skalowalny mechanizm wymiany reguł i dowodów zapewniający nieograniczoną kontrolę dostępu do sieci. „Tworzy system infrastruktury Policy Aware przy użyciu systematycznego języka reguł internetowych z dowodzeniem twierdzeń”.

Zobacz też

Bibliografia

Zewnętrzne linki