P3P

P3P
Платформа для настроек конфиденциальности
Аббревиатура	P3P
Родное имя	Платформа для настроек конфиденциальности
Статус	Ушедший на пенсию
Впервые опубликовано	16 апреля 2002 г.
Последняя версия	1.1
комитет	Рабочая группа по спецификациям P3P
Редакторы	Риго Веннинг ; Маттиас Шунтер ;
Авторы	Лорри Крэнор ; Брукс Доббс ; Серж Эгельман ; Джайлз Хогбен ; Джек Хамфри ; Марк Лангейнрих ; Массимо Маркиори ; Мартин Преслер-Маршалл ; Джозеф Ригл ; Маттиас Шунтер ; Дэвид А. Стэмпли ; Риго Веннинг ;
Базовые стандарты	HTTP ; XML ;
Веб-сайт	www .w3 .org /ТР /P3P11 /

Проект « Платформа предпочтений конфиденциальности» ( P3P ) — это устаревший протокол, позволяющий веб-сайтам заявлять о предполагаемом использовании информации, которую они собирают о пользователях веб-браузера . (W3C) и официально рекомендованный 16 апреля 2002 года, позволяющий пользователям лучше контролировать свою личную информацию Разработанный Консорциумом Всемирной паутины при просмотре веб-страниц, разработка была прекращена, и реализаций P3P было очень мало. Internet Explorer и Microsoft Edge были единственными крупными браузерами, поддерживавшими P3P. Microsoft прекратила поддержку начиная с Windows 10 . Internet Explorer и Edge в Windows 10 больше не поддерживают P3P. ^[3] Президент TRUSTe заявил, что P3P не получил широкого распространения из-за сложности и отсутствия ценности. ^[4]

Цель

Поскольку Всемирная паутина стала настоящей средой для продажи товаров и услуг, веб-сайты электронной коммерции попытались собрать больше информации о людях, покупавших их товары. Некоторые компании использовали противоречивые методы, такие как файлы cookie информацию пользователей для отслеживания, чтобы выяснить демографическую и покупательские привычки, используя эту информацию для предоставления целевой рекламы. Пользователи, которые считали это вторжением в частную жизнь, иногда отключали файлы cookie HTTP или использовали прокси-серверы для обеспечения безопасности своей личной информации. P3P был разработан, чтобы дать пользователям более точный контроль над тем, какую информацию они разрешают публиковать. По мнению W3C, основная цель P3P — «повысить доверие пользователей к Интернету посредством расширения технических возможностей». ^[5]

P3P — это машиночитаемый язык, который помогает выразить методы управления данными веб-сайта. P3P управляет информацией посредством политики конфиденциальности. Когда веб-сайт использует P3P, они устанавливают набор политик, которые позволяют им указывать предполагаемое использование личной информации, которая может быть получена от посетителей их сайта. Когда пользователь решает использовать P3P, он устанавливает свой собственный набор политик и указывает, какую личную информацию он разрешит видеть сайтам, которые он посещает. Затем, когда пользователь посещает сайт, P3P сравнивает, какую личную информацию пользователь готов предоставить, и какую информацию хочет получить сервер – если они не совпадают, P3P проинформирует пользователя и спросит, готов ли он/она. перейти на сайт и рискнуть отказаться от дополнительной личной информации. ^[6] Например, пользователь может сохранить в настройках браузера, что информация о его привычках просмотра не должна собираться. Если в политике веб-сайта указано, что для этой цели используется файл cookie, браузер автоматически отклонит этот файл cookie. Основное содержание политики конфиденциальности следующее:

какую информацию хранит сервер:
- какого рода информация собирается (идентифицирующая или нет);
- какая конкретная информация собирается ( IP-адрес , адрес электронной почты , имя и т. д.);
использование собранной информации:
- как эта информация используется (для регулярной навигации, отслеживания, персонализации, телемаркетинга и т. д.);
- кто получит эту информацию (только действующая компания, третье лицо и т. д.);
постоянство и видимость:
- как долго хранится информация;
- может ли пользователь получить доступ к сохраненной информации и каким образом (только для чтения, согласие, отказ).

Политику конфиденциальности можно получить в виде файла XML или включить в компактной форме в заголовок HTTP . Местоположение файла политики XML, применимого к данному документу, может быть следующим:

указанный в HTTP- заголовке документа
указанный в HTML- заголовке документа
если ничего из вышеперечисленного не указано, общеизвестное местоположение /w3c/p3p.xml используется (для аналогичного местоположения сравните /favicon.ico)

P3P позволяет указать max-age для кэширования. Манекен /w3c/p3p.xml файл может использовать эту функцию:

<META xmlns="http://www.w3.org/2002/01/P3Pv1">
  <POLICY-REFERENCES>
    <EXPIRY max-age="10000000"/><!-- about four months -->
  </POLICY-REFERENCES>
</META>

Поддержка пользовательского агента

Microsoft от Internet Explorer и Edge были единственными популярными веб-браузерами, поддерживавшими P3P. ^[7] Другие браузеры не реализовали его из-за кажущейся бесполезности. IE предоставляет возможность отображать политику конфиденциальности P3P и сравнивать политику P3P с настройками браузера, чтобы решить, разрешать ли использование файлов cookie с определенного сайта. Однако функциональность P3P в Internet Explorer распространяется только на блокировку файлов cookie и не будет предупреждать пользователя обо всем веб-сайте, который нарушает активные настройки конфиденциальности. Microsoft считает эту функцию устаревшей в своих браузерах и полностью удалила поддержку P3P в Windows 10. ^[7]

Mozilla поддерживала некоторые функции P3P в течение нескольких лет, но к 2007 году весь исходный код, связанный с P3P, был удален. ^[8]

Поиск конфиденциальности ^[9] Сервис также был создан Карнеги-Меллона Лабораторией полезной конфиденциальности и безопасности . Это общедоступная «поисковая система с поддержкой P3P». Пользователь может ввести поисковый запрос вместе со своими заявленными предпочтениями конфиденциальности, а затем ему будет представлен список результатов поиска, упорядоченный в зависимости от того, соответствуют ли сайты его предпочтениям. Это работает путем сканирования Интернета и поддержания кэша P3P для каждого сайта, который когда-либо появляется в поисковом запросе. Кэш обновляется каждые 24 часа , поэтому каждая политика гарантированно будет относительно актуальной. Служба также позволяет пользователям быстро определить, почему сайт не соответствует их предпочтениям, а также позволяет им просматривать динамически создаваемую политику конфиденциальности на естественном языке на основе данных P3P. Это выгоднее, чем просто читать исходную политику конфиденциальности на естественном языке на веб-сайте, поскольку многие политики конфиденциальности написаны на юридическом языке и чрезвычайно запутаны. Кроме того, в этом случае пользователю не нужно посещать веб-сайт, чтобы ознакомиться с его политикой конфиденциальности.

Преимущества

P3P позволяет браузерам понять свою политику конфиденциальности в упрощенной и организованной форме, а не искать по всему веб-сайту. Устанавливая настройки конфиденциальности на определенном уровне, пользователь позволяет P3P автоматически блокировать любые файлы cookie, которые пользователь может не захотеть на своем компьютере. Кроме того, W3C поясняет, что P3P позволит браузерам передавать пользовательские данные в сервисы, что в конечном итоге будет способствовать созданию сообщества онлайн-обмена.

Кроме того, P3P Toolbox ^[10] разработанный Фондом интернет-образования, рекомендует всем, кто обеспокоен повышением доверия и конфиденциальности своих пользователей, рассмотреть возможность внедрения P3P. На сайте набора инструментов P3P объясняется, как компании собирают данные отдельных лиц для продвижения новых продуктов или услуг. Более того, в последние годы компании собирали информацию о людях и создавали профили, которые затем продавали без согласия человека. Более того, все эти данные используются не по назначению, и мы, как потребители, расплачиваемся за это и начинаем беспокоиться о таких проблемах, как нежелательная почта, кража личных данных и формы дискриминации; поэтому реализация протокола P3P хороша и полезна для интернет-браузеров.

Более того, поскольку количество браузеров увеличилось, все больше пользователей рискуют столкнуться с проблемами конфиденциальности. Но Фонд интернет-образования отмечает, что «P3P был разработан, чтобы помочь сделать шаг вперед в направлении автоматического обмена информацией о методах управления данными и индивидуальных предпочтениях конфиденциальности». ^[10]

Критика

Информационный центр электронной конфиденциальности (EPIC) критикует P3P и полагает, что P3P слишком усложняет пользователям защиту своей конфиденциальности. ^[11] В 2002 году компания провела оценку P3P и назвала эту технологию «довольно плохой политикой». ^[11] По данным EPIC, некоторые программы P3P слишком сложны и сложны для понимания обычного человека, и многие пользователи Интернета не знакомы с тем, как использовать программное обеспечение P3P по умолчанию на своих компьютерах или как устанавливать дополнительное программное обеспечение P3P. Другая проблема заключается в том, что ни веб-сайты, ни пользователи Интернета не обязаны использовать P3P. Более того, на сайте EPIC утверждается, что протокол P3P станет обременительным для браузера и не будет таким полезным и эффективным, как предполагалось.

Ключевая проблема, возникающая при использовании P3P, заключается в недостаточном обеспечении соблюдения требований. Таким образом, обещания, данные пользователям P3P, могут остаться невыполненными. Хотя, используя P3P, компания/веб-сайт обещает пользователям сайта конфиденциальность и использование собранных данных, реальных юридических последствий не возникает, если компания решит использовать информацию для других функций. нет действующих законов В настоящее время в США о защите данных. Хотя в идеале компании должны быть честными в использовании личной информации клиентов, не существует обязательной причины, по которой компания должна фактически соблюдать правила, которые, как она заявляет, она будет соблюдать. Хотя использование P3P технически квалифицируется как контракт, отсутствие федерального регулирования преуменьшает необходимость его соблюдения компаниями. ^[12]

Соглашение об использовании P3P не только накладывает невыполнимые обещания, но и продлевает принятие федеральных законов, которые фактически ограничивали бы доступ и возможность использования частной информации. Если бы правительство вмешалось и попыталось защитить пользователей Интернета с помощью федеральных законов о том, к какой информации можно получить доступ, и конкретных правил о том, как можно использовать пользовательскую информацию, компании не сохраняли бы ту свободу действий, которую они имеют сейчас, чтобы использовать информацию по своему усмотрению. несмотря на то, что они на самом деле могут сказать пользователям. В 2002 году тогдашний сотрудник EPIC Крис Хуфнэгл утверждал, что P3P вытесняет возможности государственного регулирования конфиденциальности. ^[13]

Критики P3P также утверждают, что сайты, не соответствующие требованиям, исключаются. Согласно исследованию, проведенному группой CyLab Privacy Interest Group при Университете Карнеги-Меллон. ^[14] только 15% из 5000 крупнейших веб-сайтов используют P3P. Таким образом, многие сайты, которые не содержат код, но соблюдают высокие стандарты конфиденциальности, не будут доступны пользователям, которые используют P3P в качестве единственного онлайн-руководства по конфиденциальности.

EPIC также рассказывает о том, как развитие и внедрение P3P может привести к монополии частной информации. Поскольку, как правило, только крупные компании реализуют P3P на своих веб-сайтах, только эти крупные компании склонны затем собирать эту информацию, поскольку только их политика конфиденциальности может сравниться с предпочтениями пользователей в отношении конфиденциальности. На веб-сайте EPIC говорится: «Невероятная сложность P3P в сочетании с тем, как популярные браузеры реализуют этот протокол, по-видимому, не позволяют использовать его в качестве технологии защиты конфиденциальности», — продолжает EPIC: «Скорее, P3P на самом деле может укрепить монопольное положение в отношении личной информации, которым сейчас пользуются американские маркетологи данных». ^[11]

Неудача в его немедленном принятии может быть связана с идеей о том, что это подход на основе уведомления и выбора, который не соответствует практике добросовестного информирования. По словам председателя Федеральной торговой комиссии, ^[15] законы о конфиденциальности играют ключевую роль в современном обществе и защищают потребителя от предоставления слишком большого количества личной информации для выгоды других. Некоторые считают, что должны быть ограничения на сбор и использование личных данных потребителей в Интернете. В настоящее время ни по одному законодательству США сайты не обязаны соблюдать опубликованную ими политику конфиденциальности, поэтому P3P вызывает некоторые разногласия среди потребителей, которые обеспокоены раскрытием своей личной информации и могут полагаться только на протокол P3P для защиты своей конфиденциальности. .

Сообщается, что Майкл Капли из IBM сказал следующее, когда Mozilla Foundation рассматривала возможность удаления поддержки P3P из своей линейки браузеров в 2004 году: ^[16]

Ах эти воспоминания.
Мы (IBM) написали оригинальную реализацию P3P, а затем Netscape приступила к написанию своей собственной. Таким образом, обе наши компании потратили огромное количество времени, и все с самого начала считали это дрянным предложением.
Удалите его.

Лайв Леер, PR-менеджер Opera Software , в 2001 году объяснил намеренное отсутствие поддержки P3P в их браузере: ^[17]

На данный момент мы не уверены, является ли P3P лучшим решением. P3P входит в число спецификаций, поддержку которых мы рассматриваем в будущем. Были некоторые проблемы с тем, насколько хорошо P3P защитит конфиденциальность, и по этой причине мы решили подождать, пока они не будут решены.

Альтернативы

Пользовательские агенты P3P — не единственный вариант, доступный для пользователей Интернета, которые хотят обеспечить свою конфиденциальность . Некоторые из основных альтернатив P3P включают использование режима конфиденциальности веб-браузеров , анонимных программ электронной почты и анонимных прокси-серверов .

Основной альтернативой P3P могут стать не эти технологии, а более строгие законы, регулирующие, какую информацию от пользователей Интернета можно собирать и хранить на веб-сайтах. Например, в Европе Общий регламент по защите данных предоставляет физическим лицам определенный набор принципов относительно сбора личной информации и прав человека на защиту своих личных данных. ^[18] Закон позволяет людям контролировать тип информации, которую от них собирают. В закон включены различные принципы, например, правило, согласно которому человек имеет право получить собранные о нем данные в любое время при определенных условиях. Более того, личная информация человека не может храниться дольше, чем необходимо, и не может использоваться для целей, отличных от тех, которые были согласованы изначально.

В настоящее время в Соединенных Штатах нет федерального закона, защищающего конфиденциальность личной информации, распространяемой в Интернете. Однако на федеральном уровне и уровне штатов действуют некоторые отраслевые законы, которые обеспечивают определенную защиту определенных типов информации, собираемой о физических лицах. ^[19] Например, Закон о добросовестной кредитной отчетности (FCRA) 1970 года разрешает агентствам по информированию потребителей раскрывать личную информацию только при трех определенных обстоятельствах: оценка кредита, трудоустройства или страхования; правительственный грант или лицензия; или «законная деловая потребность», затрагивающая потребителя. Список других отраслевых законов о конфиденциальности в США можно просмотреть на веб-сайте «Руководства по конфиденциальности потребителей». ^[19]

См. также

Конфиденциальность в Интернете
Управление идентификацией
Политика конфиденциальности
Do Not Track — ранее официальный HTTP-заголовок, позволяющий пользователям отказаться от отслеживания.

Ссылки

^ «История публикации спецификации платформы настроек конфиденциальности 1.1 (P3P1.1) — W3C» . W3C . Проверено 4 апреля 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д Кранор, Лорри; Доббс, Брукс; Эгельман, Серж; Хогбен, Джайлз; Хамфри, Джек; Лангейнрих, Марк; Маркиори, Массимо; Ригл, Джозеф; Шунтер, Матиас; Стэмпли, Дэвид А.; Веннинг, Риго. Веннинг, Риго; Матиас, Шунтер (ред.). «Спецификация платформы настроек конфиденциальности 1.1 (P3P1.1)» . Проверено 4 апреля 2021 г.
^ «P3P больше не поддерживается» . Документы Майкрософт . 15 декабря 2016 года . Проверено 8 июля 2020 г.
^ Ричмонд, Рива (17 сентября 2010 г.). «Лазейка, достаточно большая, чтобы в нее пролезло печенье» . Нью-Йорк Таймс: Биты . Проверено 8 июля 2020 г.
^ «Майкл Янг – Бинарные опционы – Советы и рекомендации – p3ptoolbox.org» . www.p3ptoolbox.org (на немецком языке).
^ «Раздел 2. Что такое P3P и как он работает?» . Архивировано из оригинала 12 июня 2002 г.
^ Jump up to: ^а ^б «Поддержка P3P в Internet Explorer и Edge» . Архивировано из оригинала 26 января 2018 г. Проверено 25 января 2018 г.
^ Ошибка 225287 — удаление p3p из сборки по умолчанию.
^ www.privacyfinder.org
^ Jump up to: ^а ^б «Раздел 1. Зачем внедрять P3P?» . Архивировано из оригинала 7 сентября 2002 г.
^ Jump up to: ^а ^б ^с «Довольно плохая конфиденциальность: оценка P3P и конфиденциальности в Интернете» . Электронный информационный центр конфиденциальности. Июнь 2000 года.
^ «P3P: довольно плохая конфиденциальность? Карен Койл» .
↑ Tech Republic: Несмотря на громкую поддержку, новый стандарт конфиденциальности внедряется медленно , 10 июня 2002 г.
^ Отчет о тенденциях политики конфиденциальности за 2006 г.
^ Добросовестная информационная практика на электронном рынке, 2000 г.
^ «225287 — Удалить p3p из сборки по умолчанию» .
^ «P3P: защитник конфиденциальности потребителей в Интернете» . 17 августа 2001 г.
^ «Защита данных» .
^ Jump up to: ^а ^б «ConsumerPrivacyGuide.org | Защита закона» . Архивировано из оригинала 6 февраля 2002 г. Проверено 8 марта 2008 г.

Внешние ссылки

Сайт W3C P3P
- Спецификация W3C P3P 1.0 , опубликованная как рекомендация в 2002 году.
- Спецификация W3C P3P 1.1 , опубликованная в виде примечания в 2006 г.
P3P в Internet Explorer 6 ( Архивная версия от марта 2014 г. )
Центр демократии и технологий: Конфиденциальность P3P
Заявление Facebook о P3P. Архивировано 8 июня 2022 г. в Wayback Machine.
Заявление Google о P3P

[w3c-history-1] «История публикации спецификации платформы настроек конфиденциальности 1.1 (P3P1.1) — W3C» . W3C . Проверено 4 апреля 2021 г.

[w3c-page-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д Кранор, Лорри; Доббс, Брукс; Эгельман, Серж; Хогбен, Джайлз; Хамфри, Джек; Лангейнрих, Марк; Маркиори, Массимо; Ригл, Джозеф; Шунтер, Матиас; Стэмпли, Дэвид А.; Веннинг, Риго. Веннинг, Риго; Матиас, Шунтер (ред.). «Спецификация платформы настроек конфиденциальности 1.1 (P3P1.1)» . Проверено 4 апреля 2021 г.

[3] «P3P больше не поддерживается» . Документы Майкрософт . 15 декабря 2016 года . Проверено 8 июля 2020 г.

[4] Ричмонд, Рива (17 сентября 2010 г.). «Лазейка, достаточно большая, чтобы в нее пролезло печенье» . Нью-Йорк Таймс: Биты . Проверено 8 июля 2020 г.

[5] «Майкл Янг – Бинарные опционы – Советы и рекомендации – p3ptoolbox.org» . www.p3ptoolbox.org (на немецком языке).

[p3ptoolbox2-6] «Раздел 2. Что такое P3P и как он работает?» . Архивировано из оригинала 12 июня 2002 г.

[p3psupport-7] Jump up to: ^а ^б «Поддержка P3P в Internet Explorer и Edge» . Архивировано из оригинала 26 января 2018 г. Проверено 25 января 2018 г.

[8] Ошибка 225287 — удаление p3p из сборки по умолчанию.

[9] www.privacyfinder.org

[p3ptoolbox1-10] Jump up to: ^а ^б «Раздел 1. Зачем внедрять P3P?» . Архивировано из оригинала 7 сентября 2002 г.

[epicreports-11] Jump up to: ^а ^б ^с «Довольно плохая конфиденциальность: оценка P3P и конфиденциальности в Интернете» . Электронный информационный центр конфиденциальности. Июнь 2000 года.

[12] «P3P: довольно плохая конфиденциальность? Карен Койл» .

[13] Tech Republic: Несмотря на громкую поддержку, новый стандарт конфиденциальности внедряется медленно , 10 июня 2002 г.

[14] Отчет о тенденциях политики конфиденциальности за 2006 г.

[15] Добросовестная информационная практика на электронном рынке, 2000 г.

[16] «225287 — Удалить p3p из сборки по умолчанию» .

[17] «P3P: защитник конфиденциальности потребителей в Интернете» . 17 августа 2001 г.

[18] «Защита данных» .

[cpglaw-19] Jump up to: ^а ^б «ConsumerPrivacyGuide.org | Защита закона» . Архивировано из оригинала 6 февраля 2002 г. Проверено 8 марта 2008 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]