¿Alguien debe apoyar / implementar las políticas P3P? ¿Importan? ¿Son legalmente vinculantes?

Navega tus respuestas
12

La autenticación de Google y Facebook tienen políticas P3P falsas en los encabezados HTTP que enlazan a una página web que explica por qué no lo admiten:

  • CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

  • CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p"

Teniendo en cuenta que las empresas enumeradas anteriormente están en el negocio de recopilar información de PII para redes sociales, no estoy seguro de querer creer sus afirmaciones. También tenga en cuenta que no puedo encontrar una política P3P no válida similar en el sitio web de Yahoo o Microsoft, no estoy seguro de a quién creer.

  

¿Google y Facebook están dando malos consejos, diciendo que esto no está actualizado?   ¿tecnología? (tal vez para proteger sus propios intereses)

     

Si la tecnología realmente está desactualizada, ¿hay ramificaciones legales de tener   ¿Una política P3P "falsa" para permitir cookies de dominio cruzado en IE?

     

¿Debería alguien respaldar las políticas P3P (dado que pueden estar desactualizadas)?

     

¿Son legalmente vinculantes?

    
pregunta random65537 29.10.2011 - 18:05
fuente

3 respuestas

10

Estoy de acuerdo con la mayoría de las respuestas anteriores, pero tenga en cuenta que las políticas compactas de FB y Google pueden considerarse fraudulentas debido a que omiten los elementos P3P y la forma en que se define la sintaxis P3P, omitir un elemento es una afirmación afirmativa Que no hagas la práctica representada por ese elemento. (Consulte, por ejemplo, la sección 3.3.4 de la especificación P3P: "Los proveedores de servicios DEBEN divulgar todo lo que corresponda. Si un proveedor de servicios no revela que un elemento de datos se utilizará para un propósito determinado, es una representación de que los datos no serán utilizado para ese propósito. ") Además, las políticas pueden considerarse engañosas ya que un usuario de IE puede confiar en IE para bloquear las cookies de sitios web sin PC y estas PC están diseñadas para evadir el bloqueo de IE. Sin embargo, no soy abogado.

Hay una demanda colectiva pendiente contra Amazon en un asunto similar enlace

Y hay un documento de investigación relevante en enlace

    
respondido por el Lorrie Cranor 03.11.2011 - 15:55
fuente
7

Tenga en cuenta que, de acuerdo con la especificación de la Política P3P Compact, las "políticas P3P" presentadas por Facebook y Google no son realmente fraudulentas, sino sintácticamente no válidas: no contienen ninguno de los elementos P3P permitidos; Lo que contienen es bastante basura desde el punto de vista del analizador. IIRC, un navegador debe tratar esto como una política P3P "nula / indefinida".

Serían fraudulentos si en realidad contuvieran elementos P3P incorrectos (por ejemplo, NOI - "El sitio web no recopila datos identificados"). Este no es el caso aquí.

Tenga en cuenta también que la política de P3P es la forma a de expresar una política de privacidad (P3P es un subconjunto de todas las formas posibles de expresar una política de privacidad); la falta de P3P no implica una falta de any política de privacidad.

    
respondido por el Piskvor 31.10.2011 - 09:55
fuente
4

Si el P3P tiene un propósito beneficioso es una pregunta subjetiva que está abierta al debate. Mi opinión personal es que probablemente no, pero otros pueden estar razonablemente en desacuerdo.

Una de las razones principales por las que muchos sitios declaran políticas P3P es porque IE de forma predeterminada permitirá cookies de terceros para sitios que sí declaran una política P3P. Esto conduce a incentivos problemáticos, donde los sitios copian y pegan una política P3P sin entender lo que significa. Se supone que una política P3P es una declaración de las prácticas de privacidad del sitio; pero a menudo no se trata de esa manera, solo se copia y pega para que IE acepte cookies de terceros. Esto es un abuso de P3P, pero está muy difundido. Para su crédito, Google y Facebook han evitado la tentación de hacerlo. Bien por ellos.

¿Hay ramificaciones legales? No lo sé. Por lo que yo sé, la ley no está resuelta. Sin embargo, en los Estados Unidos la Comisión Federal de Comercio (FTC) tiene jurisdicción. Tienen autoridad para presentar una demanda contra cualquier compañía que se involucre en "prácticas comerciales desleales o engañosas", y lo han hecho repetidamente. En general, se acepta que si un sitio web declara una política de privacidad, pero luego no cumple con su política de privacidad declarada, se involucra en prácticas comerciales desleales o engañosas y la FTC tiene autoridad reguladora para presentar una demanda contra la empresa. La FTC lo ha hecho varias veces, y ha ganado. Una política P3P es básicamente una forma de política de privacidad declarada. Por lo tanto, creo que una empresa está asumiendo algún riesgo legal si declara una política de P3P que no lo hace cumplir con . No alentaría a ninguna compañía a hacerlo, sin consultar con expertos legales para comprender las ramificaciones.

Aparte de las ramificaciones legales, personalmente lo consideraría abusivo, impropio y engañoso para que un sitio declare una política de P3P que no tiene intención de cumplir. Si descubriera que un sitio que frecuentaba lo había hecho, perderían mi confianza y volvería a considerar mi relación con ellos. En otras palabras, más allá del riesgo legal, también existe un riesgo de marca / reputación asociado con la violación de sus propias políticas P3P declaradas.

    
respondido por el D.W. 30.10.2011 - 02:36
fuente

Lea otras preguntas en las etiquetas

FTP, archivo plantado [cerrado] ¿Cómo encuentra dnsleaktest.com mi proveedor de DNS?