P3P - P3P

Проект Platform for Privacy Preferences Project ( P3P ) - это устаревший протокол, позволяющий веб-сайтам заявлять о предполагаемом использовании информации, которую они собирают о пользователях веб-браузера . Предназначенный для предоставления пользователям большего контроля над своей личной информацией при просмотре веб- страниц, P3P был разработан Консорциумом всемирной паутины (W3C) и официально рекомендован 16 апреля 2002 года. Вскоре после этого разработка прекратилась, и было очень мало внедрений P3P. Microsoft Internet Explorer и Edge были единственными крупными браузерами, поддерживающими P3P. Microsoft прекратила поддержку начиная с Windows 10 . Microsoft Internet Explorer и Edge в Windows 10 больше не будут поддерживать P3P. Президент TRUSTe заявил, что P3P не получил широкого распространения из-за сложности и отсутствия ценности.

Цель

Поскольку всемирная паутина стала настоящим средством продажи товаров и услуг, веб-сайты электронной коммерции пытались собрать больше информации о людях, купивших их товары. Некоторые компании использовали противоречивые методы, такие как файлы cookie отслеживания, для выяснения демографической информации и покупательских привычек пользователей, используя эту информацию для предоставления целевой рекламы. Пользователи, которые считали это вторжением в частную жизнь , иногда отключали файлы cookie HTTP или использовали прокси-серверы для обеспечения безопасности своей личной информации. P3P разработан, чтобы дать пользователям более точный контроль над типом информации, которую они разрешают публиковать. Согласно W3C, основная цель P3P «повысить доверие пользователей к Интернету за счет расширения технических возможностей».

P3P - это машиночитаемый язык, который помогает выразить практику управления данными веб-сайта. P3P управляет информацией с помощью политик конфиденциальности. Когда веб-сайт использует P3P, они устанавливают набор политик, которые позволяют им указывать предполагаемое использование личной информации, которая может быть получена от посетителей их сайта. Когда пользователь решает использовать P3P, он устанавливает свой собственный набор политик и указывает, какую личную информацию он разрешит просматривать сайтам, которые они посещают. Затем, когда пользователь посещает сайт, P3P сравнивает, какую личную информацию пользователь готов предоставить, и какую информацию сервер хочет получить - если они не совпадают, P3P проинформирует пользователя и спросит, желает ли он / она чтобы перейти на сайт, и рискуете отказаться от дополнительной личной информации. Например, пользователь может сохранить в настройках браузера, что информация об их привычках просмотра не должна собираться. Если политика веб-сайта гласит, что для этой цели используется файл cookie, браузер автоматически отклоняет файл cookie. Основное содержание политики конфиденциальности следующее:

• какую информацию хранит сервер:
  • какая информация собирается (идентифицирующая или нет);
  • какая конкретная информация собирается ( IP-адрес , адрес электронной почты, имя и т. д.);
• использование собранной информации:
  • как эта информация используется (для регулярной навигации, отслеживания, персонализации, телемаркетинга и т. д.);
  • кто получит эту информацию (только текущая компания, третье лицо и т. д.);
• постоянство и видимость:
  • как долго хранится информация;
  • может ли и как пользователь получить доступ к сохраненной информации (только для чтения, согласие, отказ).

Политику конфиденциальности можно получить в виде файла XML или включить в компактном виде в заголовок HTTP . Расположение файла политики XML, который применяется к данному документу, может быть следующим:

1. указывается в HTTP- заголовке документа
2. указывается в HTML- заголовке документа
3. если ничего из вышеперечисленного не указано, используется известное местоположение /w3c/p3p.xml (для аналогичного местоположения сравните /favicon.ico )

P3P позволяет указать a max-ageдля кеширования. В фиктивном файле /w3c/p3p.xml можно использовать эту функцию:

<META xmlns="http://www.w3.org/2002/01/P3Pv1">
  <POLICY-REFERENCES>
    <EXPIRY max-age="10000000"/><!-- about four months -->
  </POLICY-REFERENCES>
</META>

Поддержка пользовательского агента

Политика Yahoo! P3P в том виде, в котором она отображается в Internet Explorer 6.

Microsoft «s Internet Explorer и края были только основные веб - браузеры , которые поддерживаются P3P. Другие браузеры не реализовали его из-за кажущейся недостаточной ценности, которую он предоставляет. IE предоставляет возможность отображать политики конфиденциальности P3P и сравнивать политику P3P с настройками браузера, чтобы решить, разрешать ли файлы cookie с определенного сайта. Однако функциональность P3P в Internet Explorer распространяется только на блокировку файлов cookie и не будет предупреждать пользователя обо всем веб-сайте, который нарушает активные настройки конфиденциальности. Microsoft считает эту функцию устаревшей в своих браузерах и полностью удалила поддержку P3P в Windows 10.

Mozilla поддерживала некоторые функции P3P в течение нескольких лет, но к 2007 году весь исходный код, связанный с P3P, был удален.

Сервис Privacy Finder был также создан Лабораторией конфиденциальности и безопасности Карнеги-Меллона . Это общедоступная «поисковая система с поддержкой P3P». Пользователь может ввести поисковый запрос вместе с заявленными настройками конфиденциальности, а затем ему будет представлен список результатов поиска, которые упорядочены в зависимости от того, соответствуют ли сайты его предпочтениям. Это работает путем сканирования Интернета и поддержания кеша P3P для каждого сайта, который когда-либо появлялся в поисковом запросе. Кэш обновляется каждые 24 часа , так что каждая политика гарантированно будет относительно до настоящего времени. Служба также позволяет пользователям быстро определять, почему сайт не соответствует их предпочтениям, а также позволяет им просматривать динамически сгенерированную политику конфиденциальности на естественном языке на основе данных P3P. Это выгодно по сравнению с простым чтением исходной политики конфиденциальности на естественном языке на веб-сайте, потому что многие политики конфиденциальности написаны на юридическом языке и чрезвычайно запутаны. Кроме того, в этом случае пользователю не нужно посещать веб-сайт, чтобы ознакомиться с его политикой конфиденциальности.

Преимущества

P3P позволяет браузерам понимать свою политику конфиденциальности в упрощенной и организованной форме, а не выполнять поиск по всему веб-сайту. Установив параметры конфиденциальности на определенном уровне, пользователь позволяет P3P автоматически блокировать любые файлы cookie, которые пользователю могут не понадобиться на своем компьютере. Кроме того, W3C объясняет, что P3P позволит браузерам передавать пользовательские данные службам, в конечном итоге продвигая онлайн-сообщество.

Кроме того, P3P Toolbox, разработанный Internet Education Foundation, рекомендует всем, кто обеспокоен повышением доверия и конфиденциальности своих пользователей, рассмотреть возможность внедрения P3P. Сайт набора инструментов P3P объясняет, как компании использовали данные физических лиц для продвижения новых продуктов или услуг. Кроме того, в последние годы компании собирали информацию о физических лицах и создавали профили, которые затем продавали без их согласия. Более того, все эти данные используются не по назначению, и мы, как потребители, платим за это и начинаем беспокоиться из-за таких проблем, как: нежелательная почта, кража личных данных и формы дискриминации; поэтому реализация протокола P3P хороша и выгодна для интернет-браузеров.

Более того, поскольку количество браузеров увеличилось, все больше пользователей рискуют столкнуться с проблемами конфиденциальности. Но Internet Education Foundation отмечает, что «P3P был разработан, чтобы помочь направить силу технологий на шаг вперед к автоматическому обмену информацией о методах управления данными и индивидуальных предпочтениях в отношении конфиденциальности».

Критика

Electronic Privacy Information Center (EPIC) имеет решающее значение P3P и считает , что P3P делает это слишком трудно для пользователей , чтобы защитить свою частную жизнь. В 2002 году он провел оценку P3P и назвал эту технологию «довольно плохой политикой». Согласно EPIC, некоторые программы P3P слишком сложны и трудны для понимания обычным человеком, и многие пользователи Интернета не знают, как использовать программное обеспечение P3P по умолчанию на своих компьютерах или как установить дополнительное программное обеспечение P3P. Другая проблема заключается в том, что веб-сайты не обязаны использовать P3P, как и пользователи Интернета. Более того, веб-сайт EPIC утверждает, что протокол P3Ps станет обременительным для браузера и не будет таким полезным или эффективным, как предполагалось.

Ключевая проблема, возникающая при использовании P3P, заключается в отсутствии принудительного исполнения. Таким образом, обещания, данные пользователям P3P, могут остаться невыполненными. Хотя, используя P3P, компания / веб-сайт дает обещание о конфиденциальности и использовании собранных данных для пользователей сайта, нет никаких реальных юридических последствий, если компания решит использовать информацию для других функций. В настоящее время нет никаких реальных законов , которые были приняты в США о защите данных. Хотя в идеале компании должны быть честными в отношении использования личной информации клиентов, нет никаких обязывающих причин, по которым компания должна фактически соблюдать правила, которые, по ее словам, она будет соблюдать. Хотя использование P3P технически квалифицируется как контракт, отсутствие федерального регулирования преуменьшает необходимость соблюдения компаниями.

Соглашение об использовании P3P не только дает невыполнимые обещания, но и продлевает принятие федеральных законов, которые фактически ограничивают доступ и возможность использования частной информации. Если бы правительство вмешалось и попыталось защитить пользователей Интернета с помощью федеральных законов о том, к какой информации можно получить доступ, и конкретных положений о том, как можно использовать информацию о пользователях, компании не смогли бы сохранить свободу действий, которую они имеют сейчас, чтобы использовать информацию по своему усмотрению, несмотря на то, что они могут фактически сказать пользователям. В 2002 году тогдашний сотрудник EPIC Крис Хофнэгл утверждал, что P3P подрывает возможности государственного регулирования конфиденциальности.

Критики P3P также утверждают, что несовместимые сайты исключаются. Согласно исследованию, проведенному CyLab Privacy Interest Group в Университете Карнеги-Меллона, только 15% из 5000 лучших веб-сайтов включают P3P. Поэтому многие сайты, которые не включают код, но придерживаются высоких стандартов конфиденциальности, будут недоступны для пользователей, которые используют P3P в качестве единственного руководства по конфиденциальности в Интернете.

EPIC также рассказывает о том, как разработка и внедрение P3P может привести к монополии на частную информацию. Поскольку, как правило, только крупные компании внедряют P3P на своих веб-сайтах, только эти крупные компании стремятся затем собирать эту информацию, поскольку только их политика конфиденциальности может сравниваться с предпочтениями пользователей в отношении конфиденциальности. На веб-сайте EPIC говорится: «Невероятная сложность P3P в сочетании с тем, как популярные браузеры, вероятно, реализуют протокол, по-видимому, исключают его как технологию защиты конфиденциальности», - продолжает EPIC, - «Скорее, P3P может действительно укрепить монопольное положение в отношении личной информации, которым сейчас пользуются американские маркетологи ».

Неудача с его немедленным принятием может быть связана с идеей, что это метод уведомления и выбора, который не соответствует Добросовестной информационной практике. По словам председателя FTC, законы о конфиденциальности являются ключевыми в современном обществе для защиты потребителей от предоставления слишком большого количества личной информации в интересах других. Некоторые считают, что сбор и использование личных данных потребителя в Интернете должно быть ограничено. В настоящее время никакие законы США не обязаны соблюдать публикуемые ими политики конфиденциальности, поэтому P3P вызывает споры среди потребителей, которые обеспокоены раскрытием своей личной информации и могут полагаться только на протокол P3P для защиты своей конфиденциальности. .

Сообщается, что Майкл Капли из IBM сказал следующее, когда Mozilla Foundation рассматривала вопрос об удалении поддержки P3P из своей линейки браузеров в 2004 году:

Ах воспоминания.

Мы (IBM) написали оригинальную реализацию P3P, а затем Netscape приступила к написанию своей собственной. Таким образом, обе наши компании потратили впустую огромное количество времени, которое все считали дерьмовым предложением с самого начала.

Убери это.

Лайв Леер, PR-менеджер Opera Software , объяснил в 2001 году преднамеренное отсутствие поддержки P3P в их браузере:

На данный момент мы не уверены, является ли P3P лучшим решением. P3P входит в число спецификаций, которые мы рассматриваем для поддержки в будущем. Были некоторые проблемы с тем, насколько хорошо P3P будет защищать конфиденциальность, и по этой причине мы решили подождать, пока они не будут решены.

Альтернативы

Пользовательские агенты P3P - не единственный вариант, доступный для пользователей Интернета, которые хотят обеспечить свою конфиденциальность . Некоторые из основных альтернатив P3P включают использование режима конфиденциальности веб-браузеров , анонимных почтовых программ и анонимных прокси-серверов .

Основной альтернативой P3P могут быть не эти технологии, а более строгие законы, регулирующие, какая информация от пользователей Интернета может собираться и храниться на веб-сайтах. Например, в Европе Общий регламент защиты данных предоставляет людям определенный набор принципов в отношении того, как собирается личная информация, и прав человека на защиту своих личных данных. Закон позволяет людям контролировать тип информации, которая от них собирается. В закон включены различные принципы, такие как правило, согласно которому физическое лицо имеет право извлекать собранные о нем данные в любое время при определенных условиях. Более того, личная информация человека не может храниться дольше, чем это необходимо, и не может использоваться для целей, отличных от тех, которые были согласованы с самого начала.

В настоящее время в США нет федерального закона, защищающего конфиденциальность личной информации, передаваемой в Интернете. Однако существуют некоторые отраслевые законы на федеральном уровне и уровне штата, которые обеспечивают некоторую защиту определенных типов информации, собираемой о физических лицах. Например, Закон о справедливой кредитной отчетности (FCRA) 1970 года разрешает агентствам по предоставлению информации о потребителях раскрывать личную информацию только при трех указанных обстоятельствах: оценка кредита, занятости или страхования; государственный грант или лицензия; или «законная деловая потребность», которая касается потребителя. Список других отраслевых законов о конфиденциальности в США можно просмотреть на веб-сайте Руководства по конфиденциальности потребителей.

Будущее P3P

Есть много групп, которые работают над продвижением будущего P3P, чтобы людям было проще его использовать. Некоторые из этих групп:

Transparent Accountable Datamining Initiative (TAMI) - это группа из Лаборатории компьютерных наук и искусственного интеллекта Массачусетского технологического института . Целью TAMI является создание технических, юридических и политических основ для прозрачности и подотчетности при крупномасштабной агрегации. TAMI надеется помочь людям управлять рисками конфиденциальности в мире, где технологии постоянно меняются.

Policy Aware Web (PAW) - это масштабируемый механизм для обмена правилами и доказательствами для неограниченного контроля доступа к Интернету. «Он создает систему инфраструктуры Policy Aware с использованием языка систематических веб-правил и средства доказательства теорем».

Смотрите также

• Конфиденциальность в Интернете
• Управление идентификацией
• Политика конфиденциальности
• Не отслеживать

использованная литература

внешние ссылки

• Сайт W3C P3P
  • Спецификация W3C P3P 1.0 , опубликованная как рекомендация в 2002 г.
  • Спецификация W3C P3P 1.1 , опубликованная в качестве примечания в 2006 г.
• P3P в Internet Explorer 6 ( заархивированная версия от марта 2014 г. )
• Центр демократии и технологий: Конфиденциальность P3P
• Заявление Facebook о P3P
• Заявление Google о P3P