我探索Web浏览器供应商和网络社区可以做些什么来在线更好地进行同意实践。发表:由Harshvardhan J. Pandit
该博客职位是拒绝提案的延长版本,拒绝了隐私工程实践和尊重2021(PEPR'21)。虽然我继续考虑解决我的想法的主题,但在我的网站上发布它们有助于我实现我所开始的事情 - 沟通。如果您对此主题或普通区域感兴趣,我邀请您同意加入W3C社区集团。如果您对机器可读数据隐私和语义感兴趣,我邀请您加入W3C Data Privacy词汇表并控制社区组(DPVCG)。
这些天你访问了任何网站,第一件事被迫与设计不佳和侵略性互动'同意对话'这旨在操纵您宣布您的同意(以及数据和隐私)。在大多数情况下,该网站利用外部服务来收集和管理他们代表同意管理提供商(CMP)的同意 - 提供方便的解决方案,并通过广告提供法律合规的承诺和更好的收入。 CMPS承诺或者宣称提供自由和灵活性,让网站配置其同意对话的样子,从而寻求为其产品逃避合法的责任。另一方面,网站指向使用CMPS作为一种举手的方式,并说出他们'再次跟随'最好的做法'是。它是一家经典案例,公司通过降压,没有人想要承担责任,但每个人都希望收入看其他方式。
现有的研究概述了这些实践如何操纵,故意通过设计,利用黑暗模式,违反法律要求,不尊重用户选择,并不是以人为中心的,而不是通过监视和混淆来侵蚀其隐私的人。常见的地方不知道这一点,不关心这个,也没有时间。这就是同意经历对这一无线电判处盗窃并索赔的同意经验,并索取其在“授予同意”下。
所谓的黑暗模式诱使一个人通过操纵和建议同意。取决于它的使用方式和位置,它可能是也可能不是非法 - 尽管它主要似乎是。诱惑人们通过设计和广告购买更多东西,完全是另一个东西,以欺骗他们分享他们的人引擎盖的最个人属性而没有他们的意识。数据行业的支持者声称提供广告的个性化和更好的返回结果等功能。他们的主张可能是或可能不是真的 - 如果他们获得数据的方式是不透明的,不合情的,并且无法解释的那么就会起草。
即使是疑问的好处,也可以争辩说,同意这么多选择和选项的问题是繁重的,甚至更多,所以当它在整个网络上复制时。一个人可能会被认为是争辩说,如果你接受一次,那么你不必再担心它了。但如果不想接受它本身不公平,负担并导致重复请求相反,它不能被称为“自由授给同意”。
虽然同意对话似乎是欧洲现象凭借GDPR,但全球法律开始巩固了个人数据收集网站所需的同意。随着时间的推移,预计更多的司法管辖区和法律遵循适合这一明确要求 - ergo,网上的同意在这里留下来。所以,如果我的世界各地的人类来自全球的人可能没有看到对话,我向你保证,他们很快就会。现在,描述了ISO / IEC标准描述通知和在线同意的事实是加强我的观点。正如我们所知道的,网站现在的特征是其经验的内在部分。这就是为什么我们必须采取行动的原因。
存在许多解决方案并正在出现,例如全球隐私控制(GPC)作为自动选择退出信号,或者使用广告拦截器完全阻止同意对话本身。在加州消费者保护法案(CCPA)下,GPC在法律上稳定强制性,其继承人 - 加州隐私权法(CPRA)进一步指定限制使用黑暗模式。基于布尔浏览器信号实现/检测解决方案是一种优雅且简单的,以指示用户'偏好。但我对同意过程和&#39的使用有关的保留;差距和#39;它在GDPR下解释了对用户机构的能力的解释 - 我'在博客文章中概述。虽然GPC确实提供了解决方案,并且由浏览器供应商实施,而其规范则无需改善同意的经验和管理。虽然CMPS指示了将GPC信令结合到其产品中的兴趣/同时,但是脚趾又留在狼的手中。
所以我提出了一个重要的问题:为什么verven' t浏览器创作者和较大的网络社区一直在做任何改善互联网同意管理情况的任何事情?作为回应,我概述了我们可以改善事物的3个地区。
自征求同意以来,采取决定的必要性是法律要求(如在GDPR或Eprivacy指令实施下) - 因此,如果没有审查,它不应该挥手。关于了解对法律的适用性和解释的论点是社会的过程 - 我们将始终遇到法律可能没有预见的情况,或者含糊不清,或者不适用。这些解决方案总是在两个方向上伸展 - 法律的精神以及对盈利商业化组织(企业)的感知影响。
在同意的情况下,尽管有几次谴责GDPR的不可能的措施,但我们必须努力继续前进,确认隐私是一个基本权利 - 即使在网上也是基本的权利。其他替代方案是接受我们是在没有我们的控制或知识的情况下可以利用的数据的商品,并且对我们的影响无法辩护。社会必须决定它希望走向哪一方,但实用性指出,现在我们必须在两者之间进行平衡。
要做到这一点,需要了解事情的立场,涉及谁。一方面是我们,同意的普通人,谁明确或隐含地提供数据,并且在一天结束时受到其利用的影响。另一方面,有业界领导的群体,如互动广告局(IAB),该群体建立了数据和同意收集标准,运行数据拍卖,以及广告提供 - 全部基于Web的实用程序。还有大型玩家 - 例如Quantcast或Onetrust,这些广告网络和提供商隶属于这些广告网络和提供商,他们自己提供了主导网上同意经验的解决方案。它们中的乱扔垃圾是利用这些问题和框架的无数公司和服务,以请求同意,收集数据,运行和在网络上提供广告。着名的大型球员经常发挥多种角色 - Twitter,Facebook,谷歌,亚马逊所有充当数据收集器,聚合器,参加广告网络,购买数据,卖广告。
大多数人都意识到这些,但不是庞大的数据行业在浏览器的网络视图后面看不见。已经报告了这些行业的弊端制作和编制,这些数据分享实践的危害潜力以及自己做法的不可解得的复杂性。与此同时,巩固了广大资源 - 两个货币和通过游说 - 意味着让这些庞然大物往往是非常困难的,以便对他们的行为进行正确纠正。
最后是数据保护当局(DPA) - 负担发行指导,执行合规性和保存关于数据保护和隐私的基本权利的责任。如果没有进入无数的细节,就说,当局没有对事物的状态影响的理想影响。在没有结果的情况下,已经过时过分调查了,未经成果,预算已被剥夺,指责在非行动的指责,并没有结果为4年左下。尽管如此,当局仍然是唯一归属权力,以强制执行合规,澄清解释和发行罚款。它可能是符合政府的阶段 - 但仅仅因为我们实际上关心他们的正常运作。因此,尽管开始缓慢 - 当局实际上是最好的选择,以帮助改善事物的状况,而是根本不受事物的规模。
根据我对DPAS工作的理解,调查在一个网站上的同意对话的遵守涉及过多的时间和人力资源 - 我想象有人坐下来,一切记录了如何找到某些设计或功能的每种例子不符合标准法律的一些具体规定。现在想象一下在Web级别这样做。可以说是不可能的,因为:(1)网站上有太多的网站和服务; (2)Web更改太快,事情变得过时,不可用;更重要的是(3)DPA可能没有足够的资源来做到这一点。
一个更常见的法律遵守方法是“举例说明”一个案例,希望其他人都争先恐后地落入线。不幸的是,到目前为止,这并不是如此。我已经失去了欧洲DPAS的次数“发布了同意”希望事情会更好的次数。欧盟帮助通过提供协助调查过程的工具来减轻一些工作 - 但该地区仍然复杂,难以建立。研究自动化不合规性检测的研究人员已经致力于分析现有服务的方法 - 但最终DPA必须(手动)根据既定程序核实情况并记录其。
要添加到手头的问题,Web是异构和不均匀的。每个网站,每个页面,每个服务都可以和不同。这使得重复相同的程序调查在改变设计,数据,做法和流程上的法律遵守情况。然后有关于事物的及时性问题 - 如何在某个时间点记录事物的状态。很容易在某个日期说这个网页“看起来”,但捕获所涉及的用户体验,派对和服务的复杂性,背景进程非常复杂。没有质疑调查所有这些,除了法律专业知识外,DPA还需要技术上擅长和经验丰富的调查人员和支持人员。
与此同时,网站的支持者和Pall-argers - 即标准体和Web浏览器 - 没有任何可以帮助此任务的任何规定。 “同意”没有标准,尽管存在用于将元数据注释为网页(Schema.org)的标准和表达数字版权(ODRL)的标准。目前没有强迫利用这些,这意味着它们不能以方法依赖。 Web浏览器团队同时没有实现任何功能或设施,以帮助同意对话提供商或最终用户提供信息演示和交互,录制同意交互和网站网站活动的透明度。
提出通过异国情调或新颖的技术的采用,如果他们没有普遍采用,那么如果他们没有普遍采用。然而,他们在调查更好的事情方面有他们的好处,并帮助在正确的方向上移动建议和实际应用。因此,我们必须进行两者调查潜在的解决方案,以更好的版本改变状态;同时还致力于检测目前情况的问题和问题的潜在解决方案。而这些需要在网状范围内发生 - 因此必须有令人信服的原因来使每个人除了法律遵从性之外。一个好的解决方案必须是自己的支持者。
浏览器和设备制造商(虽然两者之间存在大重叠)是互联网的强大网守,所以它们定义,从而控制个人如何访问服务以及它们可以使用的功能。他们面临的挑战之一是保护他们的用户免受恶意行为者和代理的不断艰难的战斗,例如通过阻止网络钓鱼尝试或将网站标记为安全威胁。他们还积极试图通过宠物保护他们的用户,例如跟踪保护和在侦探和分析措施上的限制 - 例如通过饼干。
比较我们今天浏览网络的经验,几年或十年后我们拥有不断的动画,弹出窗口,开启新页面和Windows,劫持链接 - 它感觉就像一个点,网上狂野。浏览器制造商是通过实施多层安全技术来主动解决这一目标的制造商,该技术让我们达到了今天'在没有遇到麻烦的情况下(大部分时间),我可以浏览。
在这种情况下,假设这些提供商积极关心超出安全性的隐私保护(如跟踪保护的证明),并且它们具有决定信号负责行为的范式(例如阻塞第三方的典型方式Cookie或Apple App Stores强制执行的隐私标签)。与此同时,互联网和网络标准和协议的发展(通常在W3C的伞下以及Whatwg下)定义了Web上的大多数潜在的交互。它们的标准和实施提供了用于网页交互的新途径,它们的API使得新颖的使用浏览器和设备作为计算设备。
我们到目前为止所看到的唯一一个显着的努力是隐私偏好(P3P)的平台 - 这是为了实现太复杂和实施而被实施,不追踪(DNT)倡议 - 这被拒绝被接受,现在它全球隐私控制(GPC)形式的继任者 - 这是加州消费者保护法(2018)的支持,成为一种法律上可执行的信号退出的手段。
在这种经验中,必须要求为什么没有务实的互联网经验的务实发展?尽管同意对话的近乎无处不在的性质,以及永远不同意的不断的弹出窗口,为什么没有制定标准化或方便的解决方案,甚至试图由任何组织和资源开发这样做?
目前,我们在对话管理方面最多的是能够定义一个<对话框和gt;作为HTML元素,甚至对不同浏览器的支持不一致。对于设备,存在中央权限管理系统(例如,访问联系人),但是该应用程序无法重用以请求特定权限(即自定义API以显示通知和请求权限)。因此,两个网站和应用程序都使用自己的设计和开发的自定义接口来请求同意和权限,通常以攻击性和操纵的方式。研究人员表明,这些不仅违反了法律要求,而且在大多数情况下,他们没有妥善实施,不尊重个人和选择。查看研究: