Qualcuno dovrebbe supportare / implementare politiche P3P? Hanno importanza? Sono legalmente vincolanti?

12

Sia l'autenticazione di Google che quella di Facebook hanno dei falsi criteri P3P nelle intestazioni HTTP che si collegano a una pagina web che spiega perché non la supportano:

  • CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

  • CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p"

Considerando che le società sopra elencate sono nel business di raccolta di informazioni PII per i social network non sono sicuro di voler credere alle loro affermazioni. Si noti inoltre che non riesco a trovare una politica P3P invalida simile nel sito Web di Yahoo o Microsoft, non sono sicuro di chi credere.

Are Google and Facebook giving out bad advice, saying that this is an outdated technology? (perhaps to protect their own self-interests)

If the technology really is outdated, are there legal ramifications of having a "fake" P3P policy to allow cross domain cookies in IE?

Should anyone support P3P policies at all (given that they may be in fact outdated)

Are they legally binding?

    
posta random65537 29.10.2011 - 18:05
fonte

3 risposte

10

Sono d'accordo con la maggior parte delle risposte precedenti, ma osserviamo che le policy compatte di FB e Google potrebbero essere considerate fraudolente a causa del fatto che omettono gli elementi P3P e il modo in cui la sintassi P3P è definita, omettendo che un elemento sia una affermazione affermativa che non fai la pratica rappresentata da quell'elemento. (Si veda ad esempio la sezione 3.3.4 della specifica P3P: "I fornitori di servizi DEVONO rivelare tutte le risposte applicabili. Se un fornitore di servizi non rivela che un dato sarà utilizzato per un determinato scopo, è una rappresentazione che i dati non saranno utilizzato a tale scopo. ") Inoltre, le politiche potrebbero essere considerate ingannevoli in quanto un utente IE potrebbe fare affidamento su IE per bloccare i cookie da siti Web senza CP e questi CP sono progettati per eludere il blocco di IE. Tuttavia, non sono un avvocato.

C'è una causa per class action pendente contro Amazon su una questione simile link

E c'è un documento di ricerca pertinente a link

    
risposta data 03.11.2011 - 15:55
fonte
7

Si noti che, secondo le specifiche della politica P3P Compact, le "politiche P3P" presentate da Facebook e Google non sono in realtà fraudolente, ma sintatticamente non valide: non contengono nessuno degli elementi P3P consentiti; quello che contengono è praticamente spazzatura dal punto di vista del parser. IIRC, un browser dovrebbe considerare questo come un criterio P3P "null / non definito".

Sarebbero fraudolenti se in realtà contenessero elementi P3P effettivamente errati (ad esempio NOI - "Sito Web non ha raccolto dati identificati."). Questo non è il caso qui.

Si noti inoltre che il criterio P3P è un modo di esprimere una politica sulla privacy (P3P è un sottoinsieme di tutti i modi possibili per esprimere una politica sulla privacy); la mancanza di P3P non implica una mancanza di nessuna politica sulla privacy.

    
risposta data 31.10.2011 - 09:55
fonte
4

Se la P3P abbia uno scopo benefico è una questione soggettiva aperta al dibattito. La mia opinione personale è che probabilmente non lo è, ma altri potrebbero ragionevolmente non essere d'accordo.

Uno dei motivi principali per cui molti siti dichiarano le politiche P3P è perché IE per impostazione predefinita consente i cookie di terze parti per i siti che dichiarano un criterio P3P. Ciò porta a incentivi problematici, in cui i siti copiano e incollano una politica P3P senza capire cosa significhi. Una politica P3P dovrebbe essere una dichiarazione delle pratiche sulla privacy del sito; ma spesso non viene trattato in questo modo, è solo copiato per fare in modo che IE accetti i cookie di terze parti. Questo è un abuso di P3P, ma è diffuso. A loro credito, Google e Facebook hanno evitato la tentazione di farlo. Buono per loro.

Ci sono conseguenze legali? Non lo so. Per quanto ne so, la legge non è risolta. Tuttavia, negli Stati Uniti è competente la Federal Trade Commission (FTC). Hanno l'autorità di presentare denuncia contro qualsiasi società che si impegna in "pratiche commerciali sleali o ingannevoli", e lo hanno ripetutamente fatto. È generalmente accettato che se un sito web dichiara una politica sulla privacy, ma poi non rispetta la loro dichiarata politica sulla privacy, allora sono coinvolti in pratiche commerciali sleali o ingannevoli e la FTC ha l'autorità normativa per presentare causa contro la società. La FTC lo ha fatto più volte e ha vinto. Una politica P3P è fondamentalmente una forma di politica sulla privacy dichiarata. Pertanto, ritengo una società sta assumendo rischi legali se dichiara che una politica P3P non lo fa rispettare . Non incoraggerei alcuna azienda a farlo, senza consultare esperti legali per comprendere le implicazioni.

A parte le ramificazioni legali, personalmente considererei abusivo, scorretto e ingannevole per un sito dichiarare una politica P3P che non ha intenzione di rispettare. Se avessi scoperto che un sito che frequentavo lo avesse fatto, avrebbero perso la mia fiducia e avrei ri-considerato la mia relazione con loro. In altre parole, oltre al rischio legale, c'è anche il rischio di marca / reputazione associato alla violazione delle proprie politiche P3P dichiarate.

    
risposta data 30.10.2011 - 02:36
fonte

Leggi altre domande sui tag