P3P: Ochrana vašeho soukromí

DEFINICE Technologie P3P (Platform for Privacy Preferences) stanovuje standardy, jejichž prostřednictvím mohou uživatelé...


DEFINICE
Technologie P3P (Platform for Privacy Preferences) stanovuje standardy, jejichž
prostřednictvím mohou uživatelé internetu definovaným způsobem zjišťovat, zda
vydavatelé jimi navštívených webových stránek zacházejí s osobními údaji v
souladu s jejich požadavky na ochranu vlastního soukromí. Porovnání vlastních
preferencí s chováním vydavatelů lze přitom provádět zcela automaticky.
Technologie P3P je odpovědí konsorcia W3C (World Wide Web Consortium) na otázky
týkající se zabezpečení osobních dat na webu. Jde o protokol, jehož použití je
dobrovolné a jenž umožňuje uživatelům webu zjistit, co se stane s jejich
osobními daty na každém navštíveném webu. Současně umožňuje vydavatelům
definovaným způsobem publikovat jejich vztah k problematice zpracování těchto
citlivých údajů.
Systém P3P definuje sérii otázek, jejichž zodpovězení jasně sděluje záměry
provozovatele každého webu pokud jde o práci s informacemi, které získá (ať už
jakýmkoli způsobem) od svých návštěvníků. Problémem ovšem je, že pravdivé
zodpovězení těchto otázek není právně vymahatelné a navíc ani neexistuje
mechanismus, který by zajistil, že tvrzení organizace jsou pravdivá. Celé břímě
rozhodování tedy leží na uživateli on by měl odmítnout weby, které na první
pohled nesplňují jím stanovené požadavky. To ovšem vedlo kritiky celého
projektu P3P k tvrzení, že tato technologie vlastně dělá pro ochranu uživatele
před nekalými praktikami webových vydavatelů jen velmi málo. Právě naopak sběr
osobních dat vydavatelům usnadňuje, protože uživatelé mohou cítit falešný pocit
bezpečí.

Jak na to
Uživatelé většinou mohou používat webový prohlížeč s podporou P3P nebo
specializované aplikace podporující tuto technologii např. Privacy Bird od AT&T
(lze stáhnout zdarma na adrese www.privacybird.com.)
Privacy Bird lze používat pod operačními systémy Windows 98/2000/NT/ME/XP a s
prohlížeči Microsoft Internet Explorer od verze 5.01 výše. Jakmile je jednou
nainstalován a zkonfigurován, hledá strojově čitelné informace o politice
ochrany osobních dat na každé webové stránce, kterou uživatel navštíví. Ikona
Privacy Birdu je zelená pro webové stránky, které odpovídají požadavkům
uživatele na ochranu jeho osobních dat, červená pro ty, které jí neodpovídají,
žlutá pro stránky, které nedisponují příslušnými informacemi ve formátu P3P a
zelená s červeným vykřičníkem pro weby, které by sice vyžadované úrovni ochrany
odpovídaly, ale některé z vložených obrázků nemají nastavenou příslušnou
politiku nebo jejich politika neodpovídá požadavkům. Uživatel se tak na základě
jednoduše prezentované vizuální informace může poměrně kvalifikovaně
rozhodnout, zda s danou webovou stránkou chce nebo nechce mít něco do činění.
Před zveřejněním první specifikace P3P (verze 1.0) 28. ledna 2002 měli
propagátoři této technologie v úmyslu implementovat do ní protokol, který by
umožňoval skutečně interaktivní vyjednávání mezi uživatelem a poskytovatelem
internetového obsahu. Výsledkem měly být oboustranně přijatelné podmínky
zacházení s osobními údaji. V průběhu práce na standardu se však ukázalo, že
protokol k tomu potřebný by byl příliš komplexní a doba potřebná pro jeho vývoj
by tak neúměrně odsunula termín uvedení celé technologie P3P do praxe.

Poskytovatelé
Poskytovatelé internetového obsahu potřebují k tomu, aby mohli zajistit podporu
P3P, umístit na svůj web sadu souborů publikujících informace o způsobech
ochrany soukromých dat. Uvedené soubory svým formátem vycházejí ze standardu
XML a pro jejich tvorbu již existuje několik různých nástrojů. Jedním z nich je
např. P3PEdit, který je nabízen ke stažení na stránkách www.poli cyeditor.com.
Tento produkt přijde na 70 dolarů a k dispozici je i jeho webová varianta.
V současnosti však existuje jen velmi málo webových vydavatelů, kteří informace
o ochraně soukromých údajů skutečně publikují. Seznam takových webů ostatně
naleznete na adrese www.w3.org/P3P. A pokulhávající implementace na webech
vydavatelů je z něj na první zřejmá. Pokud se situace nezmění, bude to v praxi
znamenat, že většina uživatelů, kteří používají některý z klientských produktů
kontrolujících ochranu dat prostřednictvím P3P, bude po většinu svého brouzdání
internetem nucena rezignovat na dodržování svých vlastních bezpečnostních
standardů. A nakonec zřejmě, alespoň podle oponentů celé myšlenky, svého P3P
klienta prostě vypnou.

Nákupy na webu
Existují dva hlavní problémy ohledně bezpečnosti, které má P3P řešit. První z
nich je běžný požadavek na vyplnění osobních informací v okamžiku, kdy uživatel
provádí určitou e-komerční transakci např. nákup nějakého zboží, objednávku
časopisů nebo přihlášení do různých soutěží. Takový požadavek zpravidla
zahrnuje vyplnění jména a příjmení, adresy, čísla platební karty, ale třeba
také věku, úrovně příjmu nebo oblíbeného místo dovolené.
Poskytovatelé e-komerčních služeb zjistili, že až neuvěřitelně vysoké množství
uživatelů ukončí svou transakci právě v okamžiku, kdy musejí zadat svá osobní
data. Mnozí z nich věří, že by se tak nestalo, kdyby měli nakupující možnost
zjistit, že politika zacházení s osobními údaji na webu, kde nakupují, odpovídá
jejich představám. To je důvod, proč se mnozí kritici P3P domnívají, že tato
technologie jen dále zvýší množství osobních dat, která se budou přenášet
internetem. A to vlastně bez jakýchkoli skutečných záruk.
"Prostřednictvím P3P umožníme vývoj celé skupiny nových webových nástrojů a
služeb, které zákazníkům pomohou lépe chránit jejich soukromí a přitom neohrozí
provádění e-komerčních transakcí," míní naopak Daniel J. Weitzner z W3C.

Osvícené koláčky
Další kategorií problémů, na které se standard P3P soustředí, jsou cookies
(koláčky) a tzv. webové majáky (web beacon). Cookies byly původně vymyšleny
vývojáři Netscapu jako objekty, které v průběhu jedné transakce uchovají
informace na počítači uživatele. Velice rychle se však staly trvalými nebo
takřka trvalými objekty, které jsou sice uchovány na počítači uživatele, ale
při jeho připojení na některý web dojde za přesně stanovených podmínek k jejich
odeslání a následnému zpracování. Může tak dojít k propojení informací, které v
sobě obsahují, s dalšími informacemi v databázi poskytovatele obsahu nebo
některých služeb, které využívá (např. inzertní systém). Cookies a webové
majáky, jednopixelové obrázky, které vyhledávají cookies na počítačích
uživatelů, sice nemohou od uživatelů vymáhat žádné informace, ale mohou
zajistit sledování jejich chování na webu. Bannerové systémy třetích stran
mohou instalovat cookies a mít majáky k jejich čtení. Lze tak vysledovat, jak
se kdo v síti chová a za určitých okolností i to, o koho jde. Zkušení uživatelé
si mohou nastavit pravidla pro akceptování nebo odmítání cookies i bez systému
P3P prostřednictvím svého webového prohlížeče. Kontrolu chování cookies mohou
zajistit i firewally a pro lepší ochranu vlastních osobních dat lze použít i
nástroje pro maskování IP adres. Pro většinu uživatelů je však svět cookies
neviditelný a do jisté míry tajemný. P3P se tedy snaží oslovit i je. Cílem
přitom je nastavit v tomto potenciálně nebezpečném prostředí pevná pravidla,
odpovídající mj. specifikacím přijatým v rámci EU prostřednictvím EUDD
(European Unions Data Directive).
Evropská unie ovšem v roce 1998 standard P3P odmítla, protože podle jejích
zástupců byly bezpečnostní standardy, které nabízí, příliš nízké. Druhá a možná
ještě závažnější výtka směřovala k faktu, že P3P ponechává vynucování
bezpečnostních pravidel na uživateli.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.