誰かがP3Pポリシーをサポート/実装する必要がありますか？彼らは重要ですか？彼らは法的拘束力がありますか？

Question

GoogleとFacebookの認証は両方とも、サポートしていない理由を説明するウェブページにリンクするHTTPヘッダーに偽のP3Pポリシーを持っています。

CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p"

上記の企業ビジネスに携わっているソーシャルネットワーキングのためにPII情報を収集することを考えると、彼らの主張を信じたいとは思いません。また、YahooやMicrosoftのWebサイトで同様の無効なP3Pポリシーを見つけられないことにも注意してください。誰を信じればよいかわかりません。

グーグルとフェイスブックはこれが時代遅れのテクノロジーであると言って悪いアドバイスを出しているのですか？（おそらく自分自身の利益を守るため）

テクノロジーが本当に時代遅れである場合、IEでクロスドメインCookieを許可する「偽の」P3Pポリシーを持つことの法的影響はありますか？

誰かがP3Pポリシーをまったくサポートする必要がありますか（実際には古い可能性があります）

彼らは法的拘束力がありますか？

Lorrie Cranor · Accepted Answer

以前のほとんどの回答に同意しますが、FBおよびGoogleコンパクトポリシーはP3P要素を省略し、P3P構文が定義されているため、不正な要素と見なされる可能性があることに注意してください。その要素によって表される練習をしないでください。（たとえば、P3P仕様のセクション3.3.4を参照してください：「サービスプロバイダーは該当するすべてを開示する必要があります。サービスプロバイダーがデータ要素が特定の目的で使用されることを開示しない場合、それはデータがまた、IEユーザーはIEに依存して、CPのないWebサイトからのCookieをブロックする可能性があり、これらのCPはIEを回避するように設計されているためです。ブロッキング。ただし、私は弁護士ではありません。

同様の問題について、Amazonに対して集団訴訟が係争中です http://www.infolawgroup.com/tags/p3p/

そして関連する研究論文が http://www.cylab.cmu.edu/research/techreports/2010/tr_cylab10014.html にあります

同様の問題について、Amazonに対して集団訴訟が係争中です http://www.infolawgroup.com/tags/p3p/

そして関連する研究論文が http://www.cylab.cmu.edu/research/techreports/2010/tr_cylab10014.html にあります

Piskvor left the building · Answer

P3Pコンパクトポリシーの仕様によると、FacebookとGoogleが提示する「P3Pポリシー」は実際には詐欺ではなく、構文的に無効であることに注意してください。これらのポリシーには、許可されるP3P要素が含まれていません。それらが何を含んでいるかは、パーサーの観点からはかなりのゴミです。 IIRC、ブラウザはこれを「null/undefined」P3Pポリシーのように扱う必要があります。

実際に不正確なP3P要素が実際に含まれている場合、それらは不正です（例：NOI-「Webサイトは識別されたデータを収集していません。」）。これはここでは当てはまりません。

また、P3Pポリシーはaプライバシーポリシーを表現する方法であることにも注意してください（P3Pは、個人情報保護方針）; P3Pの欠如は、anyプライバシーポリシーの欠如を意味するものではありません。

D.W. · Answer

P3Pが有益な目的を果たしているかどうかは、議論の余地のある主観的な質問です。私の個人的な見解では、おそらくそうではありませんが、他の人は合理的に反対するかもしれません。

多くのサイトがP3Pポリシーを宣言している主な理由の1つは、IEがデフォルトでP3Pポリシーを宣言しているサイトのサードパーティCookieを許可するためです。これにより、サイトがコピーするインセンティブに問題が生じますP3Pポリシーの意味を理解せずにP3Pポリシーを貼り付けます。P3Pポリシーは、サイトのプライバシー慣行のステートメントであると想定されますが、多くの場合、そのように扱われず、IEサードパーティのCookieを受け入れます。これはP3Pの悪用ですが、広く使用されています。GoogleとFacebookは、彼らの功績として、そうする誘惑を回避しています。

法的な問題はありますか？知りません。私の知る限り、法律は解決されていません。ただし、米国では、連邦取引委員会（FTC）が管轄しています。彼らは「不公正または詐欺的な取引慣行」に従事している企業に対して訴訟を起こす権限を有しており、彼らは繰り返しそうしている。 Webサイトでプライバシーポリシーが宣言されているが、宣言されたプライバシーポリシーに準拠していない場合、不公正または詐欺的な取引慣行に従事しており、FTC規制当局がいるFTCは複数回行われ、勝ちました。P3Pポリシーは基本的に宣言されたプライバシーポリシーの形式です。したがって、私は信じていますが準拠していないP3Pポリシーを宣言している場合、法的リスクを負うことになります。影響を理解するために法律の専門家に相談することなく、企業にそうするように勧めません。

法的な影響は別として、個人的には、サイトが準拠するつもりのないP3Pポリシーを宣言することは、サイトを悪用し、不適切で、欺瞞的であると考えます。私が頻繁に訪れたサイトがそうしたことに気づいた場合、彼らは私の信頼を失い、私はそれらとの関係を再考するでしょう。言い換えれば、法的リスクを超えて、独自の宣言されたP3Pポリシーに違反することに関連するブランド/評判リスクもあります。