web-dev-qa-db-fra.com

Quelqu'un devrait-il soutenir / mettre en œuvre des politiques P3P? Comptent-ils? Sont-ils juridiquement contraignants?

L'authentification Google et Facebook disposent à la fois de fausses stratégies P3P dans les en-têtes HTTP qui pointent vers une page Web qui explique pourquoi ils ne le soutiennent pas:

  • CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

  • CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p"

Considérant que les sociétés énumérées ci-dessus sont dans l'entreprise de la collecte d'informations PII pour le réseautage social, je ne suis pas sûr de vouloir croire leurs revendications. Notez également que je ne trouve pas de politique P3P non valide similaire dans le site Web de Yahoo ou de Microsoft, je ne suis pas sûr de pouvoir croire.

Les Google et Facebook donnent-ils un mauvais conseil, disant qu'il s'agit d'une technologie obsolète? (Peut-être de protéger leurs propres intérêts égaux)

Si la technologie n'est vraiment pas obsolète, existe-t-il des ramifications juridiques d'avoir une "fausse" politique P3P pour permettre aux cookies de domaine croisés dans IE?

Si quelqu'un doit soutenir les politiques P3P du tout (étant donné qu'ils peuvent être en fait obsolètes)

Sont-ils juridiquement contraignants?

12
goodguys_activate

Je suis d'accord avec la plupart des réponses précédentes, mais notez que les politiques FB et Google Compact pourraient être considérées comme frauduleuses en raison du fait qu'ils omettent des éléments P3P et la manière dont la syntaxe P3P est définie, omission qu'un élément est une déclaration affirmative que vous faites. ne pas faire la pratique représentée par cet élément. (Voir par exemple la section 3.3.4 de la spécification P3P: "Les fournisseurs de services doivent divulguer tout ce qui s'applique. Si un fournisseur de services ne divulgue pas qu'un élément de données sera utilisé à des fins donné, c'est une représentation que les données ne seront pas utilisé à cette fin. ") De plus, les politiques peuvent être considérées comme trompeuses car un utilisateur IE peut s'appuyer sur IE pour bloquer les cookies de sites Web sans CPS et ces CPS sont conçus pour s'évader blocage. Cependant, je ne suis pas un avocat.

Il existe un procès d'action de classe en attente contre Amazon à une question similaire http://www.infolawgroup.com/tags/p3p/

Et il existe un document de recherche pertinent à http://www.cylab.cmu.edu/research/techreports/2010/tr_cylab10014.html

10
Lorrie Cranor

Notez que, selon la spécification de la politique compacte P3P, les "politiques P3P" présentées par Facebook et Google ne sont pas réellement frauduleuses, mais non valides syntaxiquement: elles ne contiennent aucun des éléments P3P admissibles; Ce qu'ils contiennent, c'est à peu près des ordures du point de vue de l'analyseur. IIRC, un navigateur doit traiter cela comme une politique P3P "null/indéfinie".

Ils seraient frauduleux s'ils contenaient des éléments P3P incorrecte factuellement (par exemple NOI - "site Web ne recueillit pas les données identifiées."). Ce n'est pas le cas ici.

Notez également que la stratégie P3P est ((( A Mode d'exprimer une politique de confidentialité (P3P est un sous-ensemble de toutes les manières possibles d'exprimer une politique de confidentialité); L'absence de P3P n'implique pas un manque de ( tout Politique de confidentialité.

Si P3P sert un objectif bénéfique est une question subjective ouverte au débat. Mon opinion personnelle est que ce n'est probablement pas, mais d'autres peuvent raisonnablement être en désaccord.

L'une des principales raisons pour lesquelles de nombreux sites déclarent que les stratégies P3P sont parce que IE par défaut permettra aux cookies tiers pour des sites qui déclarent une politique p3P. Cela conduit à des incitations problématiques, où des sites copient-et-coller une politique P3P sans comprendre ce que cela signifie. Une politique P3P est censée être une déclaration des pratiques de confidentialité du site; Mais souvent, il n'est pas traité de cette façon, il n'est que Coly-collé pour faire IE accepter les cookies tiers. C'est un abus de P3P, mais il est répandu. À leur crédit, Google et Facebook ont ​​évité la tentation de le faire. Bien pour eux.

Y a-t-il des ramifications juridiques? Je ne sais pas. Autant que je sache, la loi n'est pas réglée. Cependant, aux États-Unis, la Commission du commerce fédéral (FTC) a compétence. Ils ont le pouvoir de déposer une action contre toute entreprise qui s'engage dans des "pratiques commerciales injustes ou trompeuses", et elle l'a fait à plusieurs reprises. Il est généralement admis que si un site Web déclare une politique de confidentialité, mais ne parvient pas à se conformer à la politique de confidentialité déclarée, ils sont impliqués dans des pratiques commerciales déloyales ou trompeuses et FTC dispose d'une autorité de réglementation à la poursuite du document entreprise. Le FTC a fait si plusieurs fois et a gagné. Une politique P3P est essentiellement une forme de politique de confidentialité déclarée. Par conséquent, je crois une entreprise prend un risque juridique s'il déclare une politique p3P qu'elle ne se conforme pas . Je n'encouragerais aucune entreprise à le faire, sans consulter des experts juridiques pour comprendre les ramifications.

Outre les ramifications juridiques, je considérerais personnellement que cela devrait être abusif, inapproprié et trompeur pour un site de déclarer une politique p3P qu'elle n'a aucune intention de se conformer. Si j'ai découvert qu'un site que j'ai fréquenté avait fait ainsi, ils perdraient ma confiance et je voudrais examiner ma relation avec eux. En d'autres termes, au-delà du risque juridique, il existe également un risque de marque/de réputation associé à la violation de vos propres politiques p3P déclarées.

4
D.W.