P3P 简介

因特网用户越来越关注的问题是：当在线时可能会泄露哪些个人信息，这些信息最终会被传播到哪里。通常，我们总能听到这样的消息 —— 有不少公司都从他们的Web站点所搜集的个人信息中发掘财富。而用户在站点上提供的注册信息则可能会被用于电话推销或者被出售给其他公司。从表面上看，关于用户网上冲浪习性的匿名信息应该会与个人信息结伴出现，实际不然，Web 站点可以使用cookie 来收集有关用户的信息，而禁止cookie 又会防碍用户使用在线银行和在线购物。Web站点也许会发送一封电子邮件以警告用户：他们的隐私策略正要更改，但绝大多数人还是会认为，阅读和理解隐私策略或者领会如何请求以有限方式使用个人信息很难，而且也很耗费时间。隐私方面的担忧让所有消费者都对上网感到顾虑重重，然而Web站点当前的隐私策略篇幅又长又难理解，因此很少有人会去阅读它们（注1）。隐私偏好设定平台（Platform for Privacy Preference，P3P）方案通过为隐私策略提供一个标准的可机读格式，以及一个能使Web浏览器自动读取和处理策略的注1： 隐私领导倡议协会（Privacy Leadership Initiative），“Privacy Notices Research FinalResults”（由Harris Interactive 组织，2001 年12 月），http://www.ftc.gov/bcp/workshops/glb/supporting/harris%20results.pdf。16 第一章协议解决了这个问题。正因为此，万维网联盟（World Wide Web Consortium，W3C）制定了P3P，并把它作为Web 站点与它们的隐私策略相联系的标准方法。P3P可以启用可机读的隐私策略，而该隐私策略可以由Web浏览器和那些能显示符号、提示用户或采取其他适当行动的用户代理工具来自动获取。其中的一些工具也可以将各个策略与用户的隐私偏好相比较，并帮助用户决定何时与Web站点交换数据。与那些试图防止传输个人识别信息的匿名工具不同，P3P 方案着眼于通过相关工具的开发，在何时或是否透露个人信息方面做出建议性决策。这些工具可以与匿名软件或过滤器一同使用，当用户不想泄露他们的信息时，即可用来防止在该情形下的个人信息传输。当前可用的P3P 工具允许用户按他们的个人隐私偏好来配置Web 浏览器。支持P3P 的Web 浏览器可以在Web 站点上核对P3P 隐私策略，并显示符号以提醒站点上的用户：该站点与他们的隐私偏好不匹配。他们也可以提供Web站点的摘要，并使用P3P 策略对cookie 做出相应的决策（注2）。P3P 的工作原理隐私偏好设定平台1.0（Platform for Privacy Preferences 1.0，P3P1.0）规范是P3P 协议和词汇的权威信息来源，在本书中，通常把它简称为P3P 规范。您可以访问http://www.w3.org/TR/P3P/ 来获取该规范。P3P由几十个W3C的工作组成员经过协商而制定。这些参与者来自世界各地，包括工业、政府、非盈利机构和学术界代表。另外， 关于P3P 工作草案的公众意见也对P3P 规范的最终形成起了一定的作用。本节将对P3P 的工作原理做一个简要的概述。注2： cookie 是一些小的文本，Web 站点可以用它们来发送站点的HTTP 报头，并要求浏览器为它们返回同一Web站点的并发访问。它们可以帮助启用诸如电子购物车和无密码登录网站等功能。cookie 的详细信息将在本书的第二章内讨论。P3P 简介17隐私策略致力于描述一家公司对数据的处理，也就是说公司如何处理从个人（通常是客户或者潜在的客户，但有时也可以是员工和其他人）那里收集的信息。P3P规范包含了一个描述这些数据处理方式的标准词汇表，以及一个用于描述所收集信息种类的基本数据模式。P3P 策略就是一个词汇表和数据元素的集合，这个集合用于描述某个特定Web 站点（或者是Web 站点一部分）的数据处理方式。从本质上来说，P3P 策略是由一系列多选项问题的答案组成的，因此，它并不总像一个人类可读的隐私策略那样包含许多信息细节（例如，用英语或者其他某种口语语言写成的策略是用来让人阅读的，而不是让计算机识别的）。P3P策略的标准格式使它便于自动处理。同样，P3P 规范也包含有用于请求和传输P3P 策略的协议。P3P 协议所基于的HTTP 协议与Web 浏览器用来与Web 服务器进行通信的HTTP 协议相同（注3）。如图1-1 所示，P3P 的用户代理使用标准的HTTP 请求从Web 站点上一个众所周知的地方获取P3P 策略引用文件，并发送给发出请求的用户。这个策略引用文件指出了Web站点上各个部分所应用的P3P策略文件的位置。整个站点有可能只应用了一种策略，也可能是网站的不同部分分别应用了几种策略。这样用户代理就可以根据用户的选择来获取合适的策略，将其解析出来并采取相应的动作。P3P 也允许站点在其他位置放置策略引用文件。在这些情况下，站点在声明策略引用文件的位置时，必须使用一个特定的HTTP 报头，或者在应用了P3P 策略的HTML 文件内嵌入一个LINK 标记。不论在何时设置cookie，都可以用特定的HTTP 报头来传送一个可选的P3P 简洁策略。简洁策略是完整P3P 策略的一个短小摘要，仅描述了与cookie 相关的数据处理方式，并且不需要P3P 策略的完整的表达性能。下面这段英文可作为一个支持P3P 策略的Web 站点的示例：注3： HTTP是超文本传输协议（HyperText Transfer Protocol）的缩写（http://www.ietf.org/rfc/rfc2616.txt）。要想获知HTTP 和相关协议的工作方式，请参看BalachanderKrishnamurthy 和Jenifer Rexford 的Web Protocols and Practice: HTTP/1.1、Networking Protocols、Caching, and Traffic Measurement （Boston：Addison Wesley，2001 年）。18 第一章GET /w3c/p3p.xml HTTP/1.1请求策略引用文件Web 服务器HTTP/1.1 200 OK发送策略引用文件GET /policy.xml HTTP/1.1请求P3P策略HTTP/1.1 200 OK发送P3P策略GET /index.html HTTP/1.1请求Web页面HTTP/1.1 200 OK发送Web页面图1-1：获取P3P 策略的基础协议We do not currently collect any information from visitors to this site exceptthe information contained in standard Web server logs ( your IP address,referer, information about your Web browser, information about your HTTPrequests, etc.). The information in these logs will be used only by us and theserver administrators for Web site and system administration, and for improvingthis site. It will not be disclosed unless required by law. We may retain theselog files indefinitely. Please direct questions about this privacy policy toprivacy@ p3pbook.com.当前，除了在标准Web 服务器日志（您的IP 地址、引用体、与您的Web 浏览器相关的信息、与您的HTTP 请求相关的信息等）外，我们将不搜集该站点访问者的任何信息。我们和服务器管理员仅会把这些日志内的信息用于Web站点和系统管理，以及对该站点的改进。除非法律要求，它将不会被公开。我们有可能无限期地保存这些日志文件。若对该隐私策略有疑问，请与privacy@p3pbook.com 直接联系。以下是使用P3P 语法和编码的隐私策略的大致框架：P3P 简介19<POLICIES xmlns="http://www.w3.org/2002/01/P3Pv1"><POLICY discuri="http://p3pbook.com/privacy.html"name="policy"><ENTITY><DATA-GROUP><DATAref="#business.contact-info.online.email">privacy@p3pbook.com</DATA><DATAref="#business.contact-info.online.uri">http://p3pbook.com/</DATA><DATA ref="#business.name">Web Privacy With P3P</DATA></DATA-GROUP></ENTITY><ACCESS><nonident/></ACCESS><STATEMENT><CONSEQUENCE>We keep standard Web server logs.</CONSEQUENCE><PURPOSE><admin/><current/><develop/></PURPOSE><RECIPIENT><ours/></RECIPIENT><RETENTION><indefinitely/></RETENTION><DATA-GROUP><DATA ref="#dynamic.clickstream"/><DATA ref="#dynamic.http"/></DATA-GROUP></STATEMENT></POLICY></POLICIES>如果您对可扩展标记语言（eXtensible Markup Language，XML）比较熟悉的话，那么，您会觉得这段代码似曾相识。但是，如果不熟悉，也不用担心！我们会在接下来的章节中讲解编写策略的方法，并指导您使用一些工具，这样不必亲自动手编写XML 就可以创建策略。此外，要特别注意的是P3P 策略被设计成面向计算机而非供人阅读的。用户代理将出于对用户利益的考虑来解释这些策略。此外，每个策略都将包含Web 站点的人们可读取的隐私策略的URL，因此，更多的详细信息都将有处可寻。以上的策略示例相当简洁，这是因为这个Web站点不打算从访问者处收集过多信息。商业Web 站点通常会使用更加冗长的策略来描述他们更复杂的数据处理方式。P3P 用户代理通常都允许用户指定他们自己的隐私偏好，以便用户可以自动地将Web 站点的策略与这些偏好进行对比。P3P 用户代理也可以提供一些工具，以便20 第一章用户自己能够更快速地访问站点的隐私行为。一些用户代理可显示一些符号，这些符号总结了站点隐私策略，或表明该站点有一个隐私封印（站点将遵循其声明的隐私策略、和/ 或与其他隐私标准集相兼容的一种认证）或者受隐私法律的限制；一些用户代理还带有一些按钮，用以加载站点的用户可读取隐私策略，这样用户就不必在站点上四处查找隐私策略了。用户代理P3P 规范很少使用“浏览器（browser）”或“客户（client）”这类术语，它使用的术语是“用户代理（user agent）”。尽管终端用户P3P 实现可以很自然地作为Web浏览器的一部分，但同时，它还可以被当作电子钱包（electronicwallet）、独立应用程序（standalone application）、ISP 软件或其他工具的一部分。因此，规范及本书的全文中使用的是更普遍的术语“用户代理”。P3P 规范仅对用户代理做了少许规定，这样一来，P3P 用户代理的范围就更不受拘泥了。本书将针对几个P3P用户代理和其多种可能的功能进行一些描述。图1-2 为我们展示的示例是通过P3P 用户代理来显示的一类信息，该用户代理为AT&T Privacy Bird beta 1.1（http:// privacybird. com）。AT&T Privacy Bird 会在使用了与用户隐私偏好相匹配的P3P策略站点上显示一个绿色的、“欢快的”鸟形图标，同样，那些使用了与用户隐私偏好不相匹配的P3P 策略站点上则会显示一个红色的、“愤怒的”鸟形图标。用户可以单击这个鸟形图标，来查看从站点P3P 策略自动生成的站点隐私策略。在那些与用户偏好不匹配的站点上，策略摘要还会对策略与用户偏好的不同之处进行说明。另一个P3P 用户代理，Microsoft Internet Explorer 6 Web 浏览器，可以自动核对设置了cookie 的站点的P3P 简洁策略。用户也可以配置IE6 来过滤那些没有简洁策略的cookie，或那些具有与他们的偏好不相匹配的简洁策略。当cookie 被阻止时，IE6 还会在浏览器的右下角显示一个“眼睛”符号。用户也可以从View（查看）菜单中选择Privacy Report（隐私报告）命令来让IE6 获取站点的P3P 策略，并生成及显示一个人们可读取的版本。P3P 简介21图1-2：AT&T Privacy Bird 会在站点上显示一个绿色鸟形图标，以表明该站点与用户隐私偏好相匹配；单击这只鸟即可获取该站点隐私策略的摘要Netscape 公司早在2002 年5 月便发布了Netscape Navigator 7 软件的测试版，该软件包括与IE6十分相近的P3P功能。用户可以配置Netscape来过滤那些基于P3P公司策略的cookie。还可以从View（查看）菜单中选择Page Info（页面信息）命令，并跳转到Privacy（隐私）选项卡，以便Netscape 获取站点的P3P 策略，并生成和显示一个人们可读取的版本。在IE6 和Netscape P3P 实现成功地迈出鼓励采用P3P 的第一步时，它们仅制定出了基于简洁策略的cookie 过滤方案，而没有把这些方案着眼于整个P3P策略的基础之上。但是Microsoft 和Netscape 有希望在不久的将来提供可以利用整个P3P策略的配置选项。第十二章将讨论P3P 用户代理的不同概念。例如，P3P 用户代理可以被内置于电子钱包或其他软件中（包括用来存储用户与Web 站点之间频繁交换数据的数据库），而该数据库中的数据可以由P3P基础数据模式来识别。在自动填写表格或提交代表用户利益的数据时，支持P3P 的电子钱包也可以获取相关的P3P 策略，并将其与用户的偏好相比较。如果一个站点没有P3P策略或者拥有的策略与用户偏22 第一章好不匹配的话，那么电子钱包也可以提醒用户。此外，电子钱包还可以自动创建或使用请求数据填充表单，并使用站点的数据处理方式来注释表单。P3P 还有一种用于编写用户隐私偏好的标准语言，它被称为P3P 偏好交换语言（P3P Preference Exchange Language， APPEL）。APPEL 文件可以指定用户代理将采用的举措，并基于Web 站点公布的类型而有所不同。APPEL 文件为P3P 用户代理所用，而这些用户代理并不要求将其送往Web 站点。APPEL 并未设计成终端用户可读的形式，对于组织机构（如隐私提倡组织、隐私封印供应商或政府隐私代理）来说，它更有用处 —— 这些组织机构不愿意使用P3P 用户代理提供的默认设置，他们希望开发出自己“灌制的”P3P 配置文件并发布给用户。它还可以帮助那些已经创建了自己理想的配置设置的用户从用户代理那里导出设置，并将设置导入到其他用户代理中。然而，并非所有的P3P 用户代理都具有导入或导出APPEL文件的功能。APPEL文件也是用XML编写的，与P3P 策略一样。本书将在第十三章内讨论APPLE 文件的细节。支持P3P 的Web 站点从技术角度看，使Web站点支持P3P 是一个很容易的过程。但是，它要求网络运营商在审视数据处理方式时比以前更加仔细，并要求他们协调域内各个主机上的策略和处理方式。以下是如何使站点支持P3P 技术的具体步骤。整个过程的详细内容将在本书第二部分中介绍。1. 创建一个隐私策略。2. 分析cookie 的使用情况以及您的站点上的第三方内容。3. 确定要对整个站点应用一个P3P 策略，还是对站点的不同部分应用不同的P3P 策略。4. 为站点创建一个或几个P3P 策略。5. 为站点创建一个策略引用文件。6. 为P3P 配置服务器。7. 测试站点，以确定它确实支持P3P。P3P 简介23大多数支持P3P 的Web站点会在每台服务器上放置一个P3P策略引用文件，同时它还会在中央服务器上放置一个或多个P3P策略。这些站点也会将自己的服务器配置为用户在设置cookie 时发送P3P 的简洁策略。P3P 策略包括以下信息：● 如何与拥有该站点的公司、组织或个人进行联系的信息。● 用户是否可以查找该站点的数据库中保存了自己的哪些个人信息。● 如何解决与站点之间有关隐私的纠纷（如客户服务台、隐私封印以及与隐私相关的法律等）。● 所收集数据的种类。● 所收集数据的使用方式，以及用户是否能选择接受或拒绝这些用途。● 信息是否会被共享以及何时被共享，用户是否有选择的权力。● 对所收集的用户信息进行定期清除的策略。有很多软件工具可以帮助Web站点开发人员开发支持P3P的站点。本书后面就介绍了一些。要想了解最新的P3P 工具列表，请访问http://p3ptoolbox.org/tools/ 和http://www.w3.org/P3P/implementations/。Web 站点为何要采用P3P 技术自从Microsoft 于2001 年发布其支持P3P 技术的IE6 Web 浏览器之后，越来越多的Web 站点开始采用P3P 技术。进步与自由基金会（Progress and FreedomFoundation）于2001 年12 月进行的一项调查显示，在最受欢迎的Web 站点中，有23% 的站点支持P3P技术；在对排名位于前5625 名的域的随机抽样中表明：有5% 的域在收集个人可识别数据时采用了P3P 技术（注4）。报告的作者总结道：注4： 引自 William F. Adkinson,Jr.、Jeffrey A. Eisenach 和Thomas M. Lenard 的PrivacyOnline: A Report on the Information Practices and Policies of Commercial Websites（进步与自由基金会，2 0 0 2 年3 月），h t t p : / / w w w . p f f . o r g / p u b l i c a t i o n s /privacyonlinefinalael.pdf。该报告所做的Web 站点调查数据均基于2001 年10 月的Nielson/ NetRatings 数据。24 第一章“就这种产品的新颖程度以及相对较少的用户安装了IE6的事实来看，这个速度是相当惊人的”。截止到2002 年4 月，前100 名最受欢迎的Web站点中大约有三分之一采用了P3P技术。最先采用P3P 技术的用户来自于以下几个行业：● 新闻和信息站点，如CNET 和About.com● 专门提供搜索引擎的站点，如Yahoo!和Lycos● 广告网，如DoubleClick 和Avenue A● 电信公司，如AT&T● 金融机构，如Fidelity● 计算机硬件、软件制造商，如IBM、Dell（戴尔）、Microsoft（微软）和McAfee● 零售商店，如Fortunoff 和Ritz Camera● 政府机构，如美国联邦贸易委员会（U.S. Federal Trade Commission）、美国商业部（U.S. Department of Commerce）和美国邮政服务（U.S. PostalService）● 非盈利性组织，如民主和科技中心（Center for Democracy and Technology）● 理论研究机构，如Vanderbilt大学电子实验室（Vanderbilt University eLab）美国境外的站点也开始采用P3P技术，包括一些商业站点和几个数据保护委员会的Web 站点，如安大略湖信息和隐私委员会（Ontario Information and PrivacyC o m m i s s i o n e r ）以及德国巴伐利亚数据保护委员会（D a t a P r o t e c t i o nCommissioner）等。很多早期的P3P 采用者在构建Web 站点时采用P3P 技术，是为了显示他们对P3P做出的努力的支持，同时也显示了他们在保护隐私方面共同的领导地位。他们的动机既包括向顾客表明他们尊重顾客隐私，也包括向管理者显示业界正自觉采取有关举措，来解决顾客在隐私方面的顾虑。虽然P3P 只涉及了保护隐私的一小部分，但是它丰富了其他保护隐私的手段，包括法律、技术工具及隐私封印程序。P3P 简介25一些公司开始借助对隐私的保护来突出他们的品牌 —— 他们在广告中加入了保护隐私的信息，着重强调其产品与隐私相关的特征。通过采用P3P，他们强化了对尊重客户隐私的认知。另外，他们也可以帮助客户很快地找到隐私策略并大致了解其内容，这样顾客就可以从营销和邮件列表中删除自己的名字了。一些公司采用了P3P是希望它可以很快地成为用户在访问站点时的标准。如果用户适应了可以从Web浏览器上请求隐私报告或者可以看到一个快乐的隐私鸟形图标的情况，他们就会对那些不使用P3P 的站点产生怀疑。在不久的将来，可使用P3P 的搜索引擎将会让用户更容易地识别出那些支持P3P 的Web 站点。一些公司已经察觉到，如果他们的站点不支持P3P，那么在使用最近发布的Web浏览器对其进行访问时，他们的Web站点就会出现运行不正常的现象。默认情况下，IE6 会在Web站点上查找与第三方cookie（将在第二章中讨论）相关联的P3P简洁策略。当第三方cookie 不具备简洁策略时便会被自动阻止。因而，除非站点支持P3P，否则，基于第三方cookie 的站点广告、页面计数器和其他特性均不能运作。最后，有许多Web 站点都采用了P3P，这是因为其职员很看重个人隐私，他们要求自己所在的公司采取一定的措施以便为个人提供更多的个人信息控制。