本说明书定义了一种在欧盟数据保护法规下表达关于个人数据处理的用户决策,以及欧盟以外的类似规定。该机制通过交换用户代理和Web服务器之间的HTTP标头,或通过等效的JavaScript接口。
该机制用作用户提供或拒绝同意的自动化手段,以撤回已经给出的任何同意,以及对象处理。该机制提供了现有的非自动同意管理方法(例如'饼干横幅)的替代方案,并旨在减少有关保护用户隐私的不同方面的努力。
本文档涉及数据保护规范以及技术规范,往往使用概念和术语趋于使用非常不同的概念和术语。在本文档中,以下术语用于将数据保护概念映射到技术规范中:
本规范使用单词“用户”作为一个术语,其中包括根据第4(1)个GDPR和“用户”第4(a)eprivacy指令中定义的“用户”所定义的“数据主题”。
虽然该规范使用来自GDPR和Eprivacy的定义,但它可以用于根据类似法律运行的任何管辖权。该规范的未来版本可以包括对这些法律的引用。
检索,渲染和促进与Web内容的最终用户交互的任何软件。用户可以通过用户代理与控制器通信。该术语与“浏览器”互换使用。
提供网站并确定存储在用户的终端设备中的个人数据或其他信息的目的和手段的主体。
本规范使用单词“控制器”作为一个术语,包括根据第4(7)件GDPR和“信息社会服务提供商”第5(3)条Eprivacy指令所定义的“控制器”。
信息社会服务通过用户与控制器进行交互。控制器可以通过网站与用户通信。一个网站的URL界定,其中ORORINAS是易于言行的网址相同的网址被理解为属于同一网站。访问https://www.example.org/some/page和访问http://blog.example.org/Another/page被视为访问同一网站,可以简单地称为示例。 org。
本规范的未来版本或其用户代理的实现,可以通过与组合信息社会服务一起使用相同的数据控制器(例如,example.com和example.org或移动应用程序)来实现多个网站或服务数据保护控制的背景。在第一方提案中查看隐私社区集团的相关工作。
在随后的访问中可能或可能无法识别同一个人(例如,当用户删除存储ID或使用其他设备或帐户时),因此可以被视为来自网站的透视的新用户。
因此,用户行使权利的范围仅限于与任何交易中存在的用户有关的任何个人数据和信息。
网站在用户的两个设备上已放置不同的ID。如果网站将ID链接到相同的用户帐户,则用户的职位锻炼必须涵盖两个设备的交易。
另一方面,如果网站无法将两个ID链接到同一用户,则用户的权限则锻炼仅扩展到与给定交易中存在的ID链接的任何个人数据或信息。
表达用户行使权利的信号包括根据同意的任何个人数据或信息的处理(第6(1)(a)GDPR和第5(3)条)或直接营销目的(第6(1)条( f)和21(2)GDPR和第13条(1)条Eprivacy指令)。
当网站合法使用第6(1)(f)GDP(f)GDP(f)GDP下的安全目的时使用个人数据,或根据第6(1)(b)GDPR下的合同,该信号不适用。
该网站可以确定领土范围,在那里提供对此规范的支持。可以通过在交易中不包括链路报头(或等效项>元素)来表示有限的支持。
GDPR需要在EEA中的控制器在全球范围内应用GDPR。通常需要非EEA控制器才能仅在EEA市场中的用户应用GDPR。一些控制器可以在全球范围内使用相同的系统,与法律要求无关。
无论是否通过基于HTTP的或基于JavaScript的方法使用的协议,概念性地相同的消息在网站和用户代理之间交换。本节介绍消息及其含义。
典型的通信流程从请求其访问者同意特定数据处理目的的网站开始。该网站可以通过呈现用户代理同意请求列表来请求来自用户的同意为零或多次处理。
同意请求列表是包含零个或多个同意请求的数组,每个都表示处理目的。同意请求是包含以下属性的关联数组:
请求文本:要呈现给用户的任意Unicode字符串。应制定文本,使得其允许用户允许明确的肯定或负面反应,例如单击“接受”按钮或勾选复选框。
虽然从技术上讲,请求文本可能是任意的,但是,法律上,它必须满足第4条(7)条GDP下的要求,例如允许使用明确,简洁和简单的语言(协会42)以使网站依赖的特定和知情同意书关于用户的肯定反应。
请求标识符:用于指代此同意议请求的简写。在网站内,涉及同意请求的网站,请求标识符必须唯一对应于本具体同意请求,以确保没有含糊的措辞,用户同意的请求的措辞。因此,网站必须在例如时选择新的标识符。它可以通过将版本号包含作为标识符的一部分来修改其请求文本。
除了标准化的同意请求之外,标识符包括一个包含大写和小写拉丁字符,数字,连字符( - ),周期(。),下划线(_)和数字(即)(即URI中的任何未保留的字符)的任意字符串句法)。
本规范的未来版本可以定义其他成员,以提供结构化,机器可读方式的相关信息。
[{:" Q1Analytics&#34 ;,:"我们跟踪并分析您在本网站上的访问,以改善我们的产品;这将在您的设备上放置一个cookie,以在后续页面访问中识别您。" },{:" Q2Recommencation&#34 ;,:"我们观察您与我们的内容的互动,以通过推荐您可能发现兴趣的内容个性化您的体验。" },{:" Q3Advertising":"我们观察您与内容的互动,以个性化广告对您的兴趣。" },{:" Q4第三齐齐提加":"我们让第三方Tripleview™遵守您与我们内容的互动,以个性化对其合作伙伴网站的兴趣的广告。" }]
标准化同意请求是一个同意请求,其请求标识符是URI而不是任意字符串。标准化同意请求的属性必须唯一地对应于全球请求标识符,而不是仅在网站内。
虽然这标准了全局所同意请求的形式,但当然并不意味着用户对任何此类请求的响应必须适用于呈现相同标准化同意请求的所有网站。然而,同意请求的标准化为用户开辟了这种可能性,因为它们可以例如指示他们的代理人拒绝特定的请求,而不管哪个网站都有哪个网站。有或没有这样的毯子响应,它可以帮助减少用户侧面的信息过载和决策疲劳,同时它可能有助于网站侧面的合规力。
互动广告局等组织可能需要其“透明度和同意框架”的所有采用者来使用标准化请求,以便在该框架中定义的目的。然后,此类采用者可能呈现以下同意请求列表:
[{:" https://iab.com/tcf2/ns/#purpose1" ;,:" cookie,设备标识符或其他信息可以在您的设备上存储或访问,以便呈现目的对你。" },{:" https://iab.com/tcf2/ns/#purpose2" ;,:"可根据您查看的内容向您展示广告,您'使用,您的近似位置或您的设备类型。" },{:" https://iab.com/tcf2/ns/#purpose3" ;,:"可以构建关于您的个人资料和您的兴趣,以向您展示与之相关的个性化广告你。" },{:" https://iab.com/tcf2/ns/#purpose4" ;,:"个性化广告可以根据您关于您与您相关的广告的配置文件显示给您。" }]
如果它不尊重用户的决定,网站不得请求同意。因此,请求同意的行为将遵守符合要求。不需要请求同意的网站,但希望(或有义义)它支持该协议的信号,可以简单地请求具有零请求的同意。
只要适用的每个页面,一个网站应重复其同意请求。重复帮助通知用户代理同意请求仍然相关。用户代理可以识别用户已经响应的哪个请求,并自动对网站的响应进行响应,并且可以确定向用户提供哪些请求。
呈现请求涉及呈现人类可读的请求文本,以及可自由且明确地指出用户的肯定或负愿望,与第4(11)篇GDPR等级,例如通过在“接受”和“之间进行选择。拒绝“按钮或滴答或不勾选相邻复选框。
确切的用户代理行为可能取决于其实现选择,其交互模当的方式和用户偏好。用户代理必须使用目标,非歧视性规则来确定向用户提供哪些同意请求,并以什么方式提交。
图形Web浏览器可能显示一个弹出窗口,而语音Web浏览器可以读出同意请求。在显示请求本身之前,也可以首先通知用户网站的请求,或者尊重用户表达的偏好。仅在对任何网站访问第三次访问后申请同意。
要同意零或更具体的处理目的,用户代理将网站列出了相应标识符的列表。
从示例5的列表中,假设用户同意前两个目的。用户代理通过相应的标识符,q1Analytics和Q2Recondation的列表。在HTTP方法中,可以通过发送此标题来表示:
如果用户拒绝同意任何请求,则列表将简单为空。
对于法律有效性,用户代理商不得同意,而无需正确呈现给用户的请求,而不自由地给出用户,具体,通知和明确的肯定指示。用户代理可以记住用户先前给出的同意并在后续重复相同请求时重复。
用户可以撤回先前给出的同意;该同意由用于请求其的标识符表示。
用户还可以撤销所有同意,以便在目前的交换中明确同意的目的。这也撤回了“乐队”(即通过本协议)给出的同意,因此可以确保用户完全概述并控制他们所同意的处理目的。
在如示例8中所述的先前给予同意之后,假设用户表达他们希望撤销他们同意以用于分析的目的,可能是通过取消选中浏览器中的相应复选框。用户代理通过包含相应标识符Q1Analytics的列表。在HTTP方法中,可以通过发送此标题来表示:
如果用户希望撤销所有先前给出的同意,则用户代理将发送以下标头:
请注意,由于必须提供特定目的的同意,因此没有等效的同意= *。
用户代理必须使其易于提取,以便同意,以便遵守第7(3)条GDPR。这要求通过用户代理撤回同意的选项必须易于访问和锻炼,作为同意处理操作的选项。
用户可以对象根据第21款GDPR提供的处理它们的个人数据。异议涉及通过适当的异议标识符。
异议标识符是对应于一系列反对的字符串。本规范仅限一个异议标识符:直接营销。用户可以将该标识符提供给对象以处理他们的个人数据以进行直接营销目的,如第21(2)件GDPR为由所提供的。
在撰写本文时,似乎没有关于“直接营销”第21(2)GDPR的范围的一般协议。此规范在范围内没有任何位置,但仅允许用户对象在此范围内下降。
虽然第21(1)和21(6)条GDPR还规定了与直接营销的其他目的的对象,但这些段落的异议通常需要交流对用户的具体情况,这似乎需要更具体的互动。
本规范的其他规范或未来版本可以定义其他类型的异议,可能根据其他司法管辖区的其他数据保护法律。
为了确保用户代理存储的用户偏好记录和网站停止同步,并确保信号的偏好符合其他交互,因此组合多个信号可能是有用的。
当组合信号时,特定信号(例如特定处理目的的同意)应以更大的一般信号(例如撤销所有同意)为准。
用户可以指示用户代理通常撤销所有先前给予的同意以及对象对任何直接营销,而是同意Q1AnalyTics和Q2Recondation的目的,如实施例8所示。在HTTP方法中,这可以通过发送此目的来表示标题:
然后,该网站将知道通常没有基于同意的处理(第6(1)(a)GDPR和/或第5(3)条Eprivacy指令),并且不允许直接营销的处理(第21(2)款)GDP),但是,用户确实同意Q1Analytics和Q2Recondation鉴定的目的。目前获得的任何同意(包括通过例如先前使用的同意横幅)将被理解为撤回。这可确保用户只有这些同意,他们只能通过浏览器查看和控制是有效的。
本节定义了使用ADPC机制的两种方法中的第一个,这主要使用Web服务器和用户代理之间交换的HTTP标头进行通信,同时使用JSON资源来传达同意请求。
单个HTTP交互由用户的请求组成,以及来自Web服务器的响应。但是,同意的通信流程往往需要反向:网站通知用户对其数据处理目的的目的,访问者可以通过同意或拒绝来响应。因此,ADPC流程从服务器的HTTP响应开始,用户代理在后续的HTTP请求中响应的HTTP响应。由于用户代理通常只发送ADPC头,如果服务器宣布支持协议,则此方法还应限制设备指纹识别选项。
网站列出其请求在同意请求资源中同意的处理目的,该资源是包含具有以下属性的对象的JSON文件:
{:[{:" Q1Analytics":"我们跟踪并分析您在本网站的访问,以改善我们的产品;这将在您的设备上放置一个cookie,以在后续页面访问中识别您。" },{:" Q2Recommencation&#34 ;,:"我们观察您与我们的内容的互动,以通过推荐您可能发现兴趣的内容个性化您的体验。" },]}
要申请同意,网站指向使用HTTP链接标头的此同意请求资源,具有关系类型的同意请求。
返回HTML或XML文档时,而不是添加链接标题,等效项< link>元素可以添加到文档中,具有与标题相同的语义。
由于同意请求资源链接到,而不是直接包含在响应中,因此流量开销仍然很小。缓存机制(例如,使用ETAG和Cache-Control标头)可以避免同意请求资源的重复传输。
使用标准内容协商过程,用户代理和Web服务器将使用接受语言和内容语言标头以获取用户首选语言中的同意请求资源。
链接的HReflang属性可用于暗示同意请求资源可用的语言:
或者,网站可以为每个语言提供自己的URL,并声明具有不同HReflang值的多个链接,以指向不同URL的翻译:
当用户代理在顶级浏览上下文中的文档中检测到同意请求链接时,通常会获取并解析链接的JSON资源,并且如果这成功,则向用户呈现请求。一旦用户决定与同意请求交互,它可以通过仅获取资源来减少流量。
网站可能希望明确表达它不请求任何同意。显而易见的方法是呈现同意请求资源与空对象作为同意的值。在基于HTTP的方法中,这可能导致获得此同意请求资源的不必要的往返。此外,在通知或提示用户在检索同意请求资源之前通知或提示用户的用户代理中,可能会导致令人困惑的体验。
因此,不同意请求的同意请求资源,因此,网站应链接到特殊目标:空白。
要同意或撤销所收到的同意请求资源中列出的零或更具体的处理目的,则用户代理将ADPC HTTP标头添加到其后续的HTTP请求到网站。
ADPC报头的值分别设置为Compersent =,或者分别提取=,后跟包含相应请求标识符的双引号字符串,由空格分隔。如果列表只有一个标识符,则可以省略双引号。如果它具有零标识符,则值可以等效为空,或者可以完全省略标题。
要传达多个决策,可以在单个HTTP请求中以任意顺序使用任何次数的ADPC报头。 与HTTP标头标准一样,多个标题值可以 ......