Stripe回应了我对用户跟踪的担忧

2020-05-02 18:02:08

上周,我发表了一篇博客文章,描述了Strip是如何记录客户网站上的访问者行为的。简而言之,Strike的JavaScript库收集了有关用户访问的URL的信息,以及关于他们鼠标移动的遥测信息,即使该网站从未显示过任何Strike支付表单。我怀疑大多数Strip客户并没有意识到这一点,并认为Strip应该更突出、更详细地披露他们的数据收集实践。

这篇帖子在黑客新闻上引起了热烈的讨论,其中包括斯特利普的联合创始人兼首席执行官帕特里克·科里森的几条评论。在他的头条评论中,他说:

提出的问题(“斯利普收集这些数据是为了做广告吗?”)可以很容易地得到否定的回答。这些数据从来没有、永远不会、也永远不会出售/出租给广告商等。

几位评论者回应说,他们感谢他的保证,但希望在斯利普的服务条款和隐私政策中看到官方和有约束力的语言。

在我的文章发表后不到一周,Strip发表了一篇博客文章,概述了他们为了更好地披露他们的数据收集做法和对用户隐私的保障所做的改变。

我已经审阅了他们的新文档,我将讨论STRIPE的更改如何很好地解决了我提出的问题。

对我来说,最重要的变化是Strike的开发人员文档现在公开了他们的JavaScript库的跟踪行为。在昨天的变化之前,唯一的暗示是这两句话:

要最大限度地利用Strip的高级欺诈功能,请确保Stripe.js加载到每个页面,而不仅仅是您的结账页面。这样,当客户浏览您的网站时,条纹就可以检测到可能表明欺诈的异常行为。

这遗漏了关键信息,并且无法传达图书馆收集了什么信息,以及它如何与STRIPE的服务器共享这些数据。

在STRIPE的当前文档中,该库包括一个名为“禁用高级欺诈检测信号”的部分,该部分链接到一个网页,该网页明确定义了STRIPE为防止欺诈而收集的信息类型。

Stripe更新了他们的JavaScript库,使客户能够选择退出深度数据收集。他们现在可以使用AdvancedFraudSignals=false参数加载<;脚本>;标记以禁用此功能:

使用@stripe/stripe-js NPM软件包的客户端也可以通过在初始化库时指定{AdvancedFraudSignals:false}来利用此功能:

这是一个积极的变化,因为它恢复了网站所有者决定他们想要交换多少数据以实现更好的欺诈预防的权力。

周三,斯利普大幅修改了他们的隐私政策。修订版对Strip处理用户数据和与外部合作伙伴共享数据的方式施加了更严格的限制。

我对隐私政策的一整套变化有不同的看法,但我将在这里重点介绍值得注意的变化。

在我最初的博客文章中,我提到了斯利普隐私政策中这一令人担忧的部分:

当您访问我们的网站或在线服务时,我们和某些第三方都会收集您一段时间内以及跨不同网站的在线活动信息,为您提供针对您个人兴趣量身定做的产品和服务的广告(这种类型的广告称为“基于兴趣的广告”)。

Stripe还拥有允许自己与AdWords和AdRoll等广告合作伙伴共享数据的语言:

斯泰普已经把这两个部分都剪掉了。他们的新语言令人耳目一新,清晰而直接:Stripe不会向广告商出售客户数据:

我们不会将用户客户的个人数据用于基于兴趣的广告,也不会将其共享、出租或出售。我们不出售或出租个人资料。