P3P

P3P
PlayStation Portable 비디오 게임은 Persona 3 Portable을 참조하십시오.
P3P
개인 정보 기본 설정을 위한 플랫폼
네이티브 이름
개인 정보 기본 설정을 위한 플랫폼
상태은퇴한
초간출판2002년 4월 16일(2002-04-16)[1][2]
최신 버전1.1 [2]
위원회P3P 규격 작업 그룹[2]
편집자
  • 리고 웬닝[2]
  • 마티아스 쿤터[2]
작가들
기준 표준
약어P3P
웹사이트www.w3.org/TR/P3P11/

P3P(Platform for Privacy Preferences Project)는 웹 사이트가 웹 브라우저 사용자에 대해 수집하는 정보의 의도된 사용을 선언할 수 있는 구식 프로토콜이다. 사용자가 브라우징할 때 개인 정보를 더 잘 제어할 수 있도록 설계된 P3P는 월드 와이드 컨소시엄(W3C)에 의해 개발되었으며, 2002년 4월 16일 공식 추천되었다. 개발은 그 직후 중단되었고 P3P의 구현은 거의 없었다. P3P를 지원하는 주요 브라우저는 마이크로소프트 인터넷 익스플로러엣지뿐이다. 마이크로소프트윈도우 10의 지원을 중단했다. Windows 10의 Microsoft Internet Explorer와 Edge는 더 이상 P3P를 지원하지 않을 것이다.[3] 트러스트 사장은 P3P가 난이도와 가치부족으로 광범위하게 구현되지 못하고 있다고 밝혀왔다.[4]

목적

월드 와이드 웹이 상품과 서비스를 판매하는 진정한 매체가 되면서, 전자 상거래 웹사이트들은 그들의 상품을 구입한 사람들에 대한 더 많은 정보를 수집하려고 노력했다. 일부 회사들은 사용자들의 인구 통계 정보와 구매 습관을 확인하기 위해 추적기 쿠키와 같은 논쟁적인 관행을 이용했고, 이 정보를 특정한 표적 광고를 제공하기 위해 사용했다. 이를 사생활 침해로 본 사용자들은 개인정보 보호를 위해 HTTP 쿠키를 끄거나 프록시 서버를 사용하는 경우도 있었다. P3P는 사용자가 공개할 수 있는 종류의 정보를 보다 정확하게 제어할 수 있도록 설계되었다. W3C에 따르면 P3P의 주요 목표는 "기술적 역량 강화를 통해 웹에 대한 사용자의 신뢰와 신뢰를 높이는 것"[5]이라고 한다.

P3P는 웹사이트의 데이터 관리 관행을 표현하는 데 도움을 주는 기계 판독 가능한 언어다. P3P는 개인정보 보호정책을 통해 정보를 관리한다. 웹사이트가 P3P를 사용할 때, 그들은 사이트 방문자들로부터 수집될 수 있는 개인정보의 의도된 사용을 진술할 수 있는 일련의 정책을 수립한다. 사용자가 P3P를 사용하기로 결정했을 때, 그들은 그들 자신의 정책 세트를 설정하고 그들이 방문하는 사이트에 어떤 개인 정보를 볼 수 있도록 허용할 것인지 명시한다. 그런 다음 사용자가 사이트를 방문할 때 P3P는 사용자가 공개하고자 하는 개인 정보와 서버가 원하는 정보를 비교하게 된다. 두 정보가 일치하지 않을 경우 P3P는 사용자에게 알려주고 사이트로의 진행 의향이 있는지 묻고, 더 많은 개인정보를 포기할 위험이 있다.[6] 예를 들어, 사용자는 브라우저 환경설정에 자신의 검색 습관에 대한 정보를 수집해서는 안 되는 정보를 저장할 수 있다. 웹 사이트의 정책에 쿠키가 이러한 목적으로 사용된다고 명시되어 있는 경우, 브라우저는 자동으로 쿠키를 거부한다. 개인 정보 보호 정책의 주요 내용은 다음과 같다.

  • 서버가 저장하는 정보:
    • 수집되는 정보의 종류(추정 여부)
    • 수집되는 특정 정보(IP 주소, 이메일 주소, 이름 등)
  • 수집된 정보의 사용:
    • 이 정보의 사용 방법(일반적인 탐색, 추적, 개인화, 텔레마케팅 등)
    • 이 정보를 받을 사람(현재 회사, 제3자 등만 해당)
  • 영속성 및 가시성:
    • 정보가 저장되는 기간
    • 사용자가 저장된 정보에 액세스할 수 있는지 여부 및 방법(읽기 전용, optin, optout)

개인 정보 보호 정책은 XML 파일로 검색되거나 HTTP 헤더에 컴팩트한 형태로 포함될 수 있다. 지정된 문서에 적용되는 XML 정책 파일의 위치는 다음과 같을 수 있다.

  1. 문서의 HTTP 헤더에 지정됨
  2. 문서의 HTML 헤드에 지정됨
  3. 위 사항 중 어느 것도 지정되지 않은 경우, 잘 알려진 위치가 사용됨(유사한 위치 비교용)

P3P는 다음을 지정할 수 있는 max-age 캐싱용 더미 파일은 다음 기능을 사용할 수 있다. 

<메타> xmlns="http://www.w3.org/2002/01/P3Pv1">   <정책-참조>     <엑스피리 최대 연령="10000000"/><!-- 약 4개월 -->   </정책-참조> </META>

사용자 에이전트 지원

Internet Explorer 6에서 본 야후의 P3P 정책.

마이크로소프트인터넷 익스플로러엣지는 P3P를 지원하는 유일한 주류 웹 브라우저였다.[7] 다른 브라우저는 그것이 제공하는 가치의 결여로 인식되어 그것을 구현하지 않았다. IE는 P3P 개인 정보 보호 정책을 표시할 수 있는 기능을 제공하고, P3P 정책을 브라우저의 설정과 비교하여 특정 사이트의 쿠키 허용 여부를 결정한다. 그러나 Internet Explorer(인터넷 익스플로러)의 P3P 기능은 쿠키 차단에만 적용되며, 사용자에게 활성 개인 정보 기본 설정을 위반하는 전체 웹 사이트에 대해 알리지 않는다. 마이크로소프트는 이 기능이 브라우저에서 더 이상 사용되지 않고 윈도우 10에서 P3P 지원을 완전히 제거했다고 생각한다.[7]

모질라는 몇 년 동안 일부 P3P 기능을 지원했지만, 2007년까지 모든 P3P 관련 소스 코드가 제거되었다.[8]

프라이버시 파인더[9] 서비스는 또한 카네기 멜론의 사용 가능한 프라이버시보안 연구소에 의해 만들어졌다. 공개 가능한 "P3P 지원 검색 엔진"이다. 사용자는 자신의 프라이버시 선호사항과 함께 검색어를 입력할 수 있으며, 검색 결과 목록이 제공되며, 검색 결과 목록은 사이트가 자신의 선호도를 준수하는지 여부에 따라 정렬된다. 이는 웹을 탐색하고 검색 질의에 나타나는 모든 사이트에 대해 P3P 캐시를 유지 관리하는 방식으로 작동한다. 캐시는 24시간마다 업데이트되어 모든 정책이 비교적 최신 상태로 유지될 수 있도록 보장된다. 이 서비스는 또한 P3P 데이터를 기반으로 동적으로 생성된 자연어 개인 정보 보호 정책을 볼 수 있을 뿐만 아니라 사이트가 자신의 선호에 부합하지 않는 이유를 빠르게 판단할 수 있게 해준다. 이것은 많은 개인 정보 보호 정책이 법률 용어로 쓰여져 있고 극도로 복잡하기 때문에 웹 사이트의 원래 자연 언어 개인 정보 보호 정책을 단순히 읽는 것에 비해 유리하다. 또한 이 경우 사용자는 개인 정보 보호 정책을 읽기 위해 웹 사이트를 방문할 필요가 없다.

혜택들

P3P는 브라우저가 전체 웹사이트를 검색하기 보다는 단순하고 조직적인 방식으로 개인 정보 보호 정책을 이해할 수 있도록 한다. 개인 정보 설정을 일정 수준으로 설정하면 P3P가 컴퓨터에서 원하지 않을 수 있는 쿠키를 자동으로 차단할 수 있다. 또한, P3P는 브라우저가 사용자 데이터를 서비스로 전송하여 궁극적으로 온라인 공유 커뮤니티를 촉진할 수 있도록 할 것이라고 W3C는 설명한다.

또 인터넷교육재단이 개발한 P3P 툴박스는[10] 이용자의 신뢰와 프라이버시 향상이 우려되는 사람은 누구나 P3P의 실시를 검토할 것을 권고하고 있다. P3P 툴박스 사이트는 기업들이 새로운 제품이나 서비스를 홍보하기 위해 개인 데이터를 어떻게 가져갔는지 설명한다. 게다가, 최근 몇 년 동안 회사들은 개인 정보를 가져오고 프로필을 만들어, 개인 동의 없이 그것을 마케팅한다. 게다가, 이 모든 데이터는 잘못 사용되고, 우리는 소비자가 가격을 지불하고 정크 메일, 신분 도용 및 차별 형태와 같은 문제들을 걱정하게 된다. 따라서 P3P의 프로토콜을 구현하는 것은 인터넷 브라우저에 좋고 이롭다.

게다가, 브라우저가 증가했기 때문에 더 많은 사용자들이 사생활 문제에 부딪힐 위험에 처해 있다. 그러나 인터넷교육재단은 "P3P는 데이터 관리 관행의 자동 통신과 개인의 프라이버시 선호로 한 단계 더 나아가 기술의 힘을 조종할 수 있도록 개발됐다"[10]고 지적한다.

비평

전자 프라이버시 정보 센터(EPIC)는 P3P에 대해 비판적이었으며 P3P가 사용자들의 프라이버시를 보호하는 것을 너무 어렵게 만든다고 믿고 있다.[11] 2002년에 그것은 P3P를 평가하고 그 기술을 "예쁜 빈곤 정책"[11]이라고 언급했다. EPIC에 따르면 일부 P3P 소프트웨어는 일반인이 이해하기에는 너무 복잡하고 어려우며, 많은 인터넷 사용자들은 컴퓨터에서 기본 P3P 소프트웨어를 사용하는 방법이나 추가 P3P 소프트웨어를 설치하는 방법에 익숙하지 않다. 또 다른 우려는 웹사이트가 P3P를 사용할 의무도 없고 인터넷 사용자들도 P3P를 사용할 의무도 없다는 것이다. 더욱이, EPIC 웹사이트는 P3P 프로토콜이 브라우저에 부담이 되고 의도했던 것만큼 유익하거나 효율적이지 않을 것이라고 주장한다.

P3P의 사용과 관련하여 발생하는 주요 문제는 시행의 부족이다. 따라서 P3P 이용자에게 한 약속은 이행되지 않을 수 있다. 회사/웹사이트가 P3P를 사용함으로써 사이트 사용자에게 개인 정보 보호와 수집된 데이터의 사용을 약속하지만, 회사가 그 정보를 다른 기능에 사용하기로 결정한다면 실질적인 법적 영향은 없다. 현재 미국이 데이터 보호에 대해 통과시킨 실제 법률은 없다. 이상적으로는 기업이 고객의 개인정보 사용에 대해 정직해야 하지만, 회사가 준수할 것이라고 말하는 규칙을 실제로 준수해야 할 구속력이 있는 이유는 없다. P3P를 사용하는 것은 기술적으로 계약으로 인정되지만, 연방규제의 미비점은 기업이 준수해야 할 필요성을 경시한다.[12]

P3P를 사용하기로 한 합의는 집행 불가능한 약속을 할 뿐만 아니라, 실제로 민간 정보의 접근과 이용 능력을 억제하는 연방법 채택을 연장한다. 만약 정부가 개입해서 어떤 정보에 접근할 수 있는지, 그리고 사용자 정보가 어떻게 사용될 수 있는지에 대한 구체적인 규제로 인터넷 사용자들을 보호하려고 한다면, 기업들은 그들이 실제로 사용자에게 말할 수 있는 것에도 불구하고 그들이 원하는 대로 정보를 사용할 수 있는 자유를 유지하지 못할 것이다. 2002년에 당시 EPIC 직원 Chris Hoffnagle은 P3P가 정부의 프라이버시 규제 가능성을 대체하고 있다고 주장했다.[13]

P3P 비평가들은 또한 비호환 사이트들은 제외된다고 주장한다. CyLab 개인 정보 보호 그룹이 카네기 멜론 대학[14] 연구에 따르면 상위 5,000개 웹사이트 중 15%만이 P3P를 포함하고 있다. 따라서 코드를 포함하지 않지만 높은 개인 정보 보호 표준을 실천하는 많은 사이트는 P3P를 유일한 온라인 개인 정보 보호 가이드로 사용하는 사용자에게는 접근할 수 없을 것이다.

EPIC는 P3P의 개발과 구현이 어떻게 개인 정보의 독점을 야기할 수 있는지에 대해서도 이야기한다. 그들의 웹사이트에서 P3P를 실행하는 것은 오직 주요 회사들만이 되기 때문에, 오직 그들의 개인 정보 보호 정책만이 사용자의 개인 정보 선호와 비교할 수 있기 때문에, 이들 주요 회사들만이 이 정보를 수집하려고 하고 있다. EPIC 웹사이트는 P3P의 믿을 수 없을 정도로 복잡하고 인기 있는 브라우저가 프로토콜을 구현하는 방식이 프라이버시 보호 기술로서 이를 방해하는 것 같다고 말하고 있다. EPIC는 P3P는 미국 데이터 마케터들이 현재 누리고 있는 개인정보에 대한 독점적 지위를 실제로 강화할 수도 있다고 말한다.."[11]

그 즉각적인 채택의 실패는 그것이 공정한 정보 관행에 부합하지 않는 통지 및 선택 접근법이라는 개념과 관련될 수 있다. 공정위의장에 따르면,[15] 개인정보 보호법은 소비자가 다른 사람의 이익을 위해 너무 많은 개인정보를 제공하는 것을 막기 위해 오늘날 사회에서 핵심이다. 온라인에서 소비자의 개인 데이터를 수집하고 이용하는 데 한계가 있어야 한다는 의견도 있다. 현재, 사이트들은 그들이 발행하는 개인 정보 보호 정책을 준수하도록 미국 법률에 따라 요구되지 않기 때문에, P3P는 개인 정보 공개에 대해 염려하고 그들의 개인 정보를 보호하기 위해 P3P의 프로토콜에만 의존할 수 있는 소비자와 약간의 논쟁을 야기한다.

IBM의 Michael Kaply는 2004년 모질라 재단이 브라우저 라인에서 P3P 지원을 없애는 것을 고려하고 있을 때 다음과 같이 말한 것으로 보도되고 있다.[16]

아 추억이여.

우리(IBM)는 P3P 구현 원본을 작성했고, 넷스케이프는 자체 작성 작업을 진행했다. 그래서 우리 두 회사 모두 엄청난 시간을 허비했고 모두가 처음에는 형편없는 제안이라고 생각했다.

그것을 제거해라.

Opera Software의 PR 매니저인 Live Leer는 2001년 브라우저에서 의도적인 P3P 지원 부족에 대해 다음과 같이 설명했다.[17]

현재 우리는 P3P가 최선의 해결책인지 확신할 수 없다. P3P는 향후 지원을 위해 검토 중인 사양 중 하나이다. P3P가 프라이버시를 얼마나 잘 보호할 것인가에 대한 몇 가지 문제가 있어왔고, 그러한 이유로 우리는 이러한 문제가 해결될 때까지 기다리기로 결정했다.

대안

P3P 사용자 에이전트만이 인터넷 사용자들이 프라이버시를 보장할 수 있는 유일한 옵션은 아니다. P3P에 대한 몇 가지 주요 대안으로는 웹 브라우저의 개인 정보 모드, 익명 전자 메일러, 익명 프록시 서버 사용 등이 있다.

P3P의 주요 대안은 이러한 기술이 아니라, 인터넷 사용자들로부터 수집되고 웹사이트에 의해 유지될 수 있는 어떤 종류의 정보를 규제하기 위한 더 강력한 법률일 수 있다. 예를 들어, 유럽의 경우, 일반 데이터 보호 규정은 개인에게 개인 정보가 수집되는 방법과 개인 데이터 보호에 대한 개인의 권리에 대한 일정한 원칙을 제공한다.[18] 그 법은 개인들이 자신들로부터 수집되고 있는 정보의 유형을 통제할 수 있게 한다. 특정 조건에서 개인이 자신에 대해 수집된 데이터를 언제든지 회수할 수 있는 권리를 갖는 규칙 등 다양한 원칙이 법 안에 포함된다. 더욱이 개인의 개인정보는 필요 이상으로 오래 보관할 수 없으며, 처음부터 합의된 목적 이외의 용도로는 사용할 수 없다.

현재 미국은 온라인에서 공유되는 개인정보의 사생활을 보호하는 연방법이 없다. 그러나 개인에 대해 수집된 특정 유형의 정보에 대해 어느 정도 보호를 제공하는 연방 및 주 차원의 부문별 법률이 있다.[19] 예를 들어, 1970년의 공정신용보고법(Fir Credit Reporting Act, FCDA)은 소비자 신고기관이 신용, 고용 또는 보험 평가, 정부 보조금 또는 면허, 또는 소비자와 관련된 "합법적인 사업 요구"의 세 가지 특정 상황에서만 개인정보를 공개하는 것을 합법화한다. 미국의 다른 부문별 개인 정보 보호법 목록은 소비자 개인 정보 보호 가이드의 웹사이트에서 볼 수 있다.[19]

P3P의 미래

사람들이 사용하기 쉽게 하기 위해 P3P의 미래를 더욱 발전시키기 위해 노력하고 있는 많은 그룹들이 있다. 이러한 그룹 중 일부는 다음과 같다.

TAMI(Transparent Responsible Datamining Initiative)는 MIT의 컴퓨터 과학 및 인공지능 연구소의 그룹이다. TAMI의 목표는 대규모 집계의 투명성과 책임성을 위한 기술적, 법적, 정책적 기반을 조성하는 것이다. TAMI는 기술이 끊임없이 변화하는 세계에서 사람들이 사생활의 위험을 관리하는 데 도움을 주기를 바라고 있다.

Policy Aware(PAW)는 웹에 대한 무제한 액세스 제어를 위한 규칙 및 증명 교환을 위한 확장 가능한 메커니즘이다. "정리 프로베른과 함께 체계적인 웹 규칙 언어를 사용하여 정책 인식 기반 구조의 시스템을 구축한다."[20]

참고 항목

참조

  1. ^ "The Platform for Privacy Preferences 1.1 (P3P1.1) Specification Publication History - W3C". W3C. Retrieved 2021-04-04.
  2. ^ Jump up to: a b c d e f g h i j k l m n o p q Cranor, Lorrie; Dobbs, Brooks; Egelman, Serge; Hogben, Giles; Humphrey, Jack; Langheinrich, Marc; Marchiori, Massimo; Reagle, Joseph; Schunter, Matthias; Stampley, David A.; Wenning, Rigo. Wenning, Rigo; Matthias, Schunter (eds.). "The Platform for Privacy Preferences 1.1 (P3P1.1) Specification". Retrieved 2021-04-04.
  3. ^ "P3P is no longer supported". Microsoft Docs. 15 December 2016. Retrieved 8 July 2020.
  4. ^ Richmond, Riva (17 September 2010). "A Loophole Big Enough for a Cookie to Fit Through". The New York Times: Bits. Retrieved 8 July 2020.
  5. ^ "Michael Young – Binäre Optionen – Tipps und Tricks – p3ptoolbox.org". www.p3ptoolbox.org (in German).
  6. ^ http://www.p3ptoolbox.org/guide/section2.shtml
  7. ^ Jump up to: a b Internet Explorer 및 Edge의 P3P 지원[데드링크]
  8. ^ 버그 225287 - 기본 빌드에서 p3p 제거
  9. ^ www.privacyfinder.org
  10. ^ Jump up to: a b http://www.p3ptoolbox.com/guide/section1.shtml
  11. ^ Jump up to: a b c "Pretty Poor Privacy: An Assessment of P3P and Internet Privacy". Electronic Privacy Information Center. June 2000.
  12. ^ http://www.kcoyle.net/p3p.html
  13. ^ Tech Republic: 유명인사 지원에도 불구하고, 2002년 6월 10일, 새로운 프라이버시 표준이 인기를 끌지 못했다.
  14. ^ 2006년 개인정보 보호정책 동향 보고서
  15. ^ 전자 시장의 공정한 정보 관행, 2000년
  16. ^ https://bugzilla.mozilla.org/show_bug.cgi?id=225287#c12
  17. ^ http://www.informationweek.com/story/IWK20010816S0004
  18. ^ https://ec.europa.eu/info/law/law-topic/data-protection_en
  19. ^ Jump up to: a b "Archived copy". Archived from the original on 2002-02-06. Retrieved 2008-03-08.CS1 maint: 제목으로 보관된 복사본(링크)
  20. ^ W3C P3P 사이트

외부 링크