Prywatność użytkowników

 

Mary Kirtland

Microsoft Corporation

14 lutego 2001 r.

W mojej ostatniej kolumnie omówiliśmy definiowanie wizji pierwszego przykładowego projektu zespołu wskazówek usług internetowych, usługi Ulubione. Przepraszam za długie opóźnienie między kolumnami; Byłem na lepszą część miesiąca z paskudnym zimnym. Mam nadzieję, że wszystko jest z powrotem na dobrej drodze teraz dla regularnych kolumn tygodniowych na następne kilka miesięcy.

Aby podsumować, celem usługi Ulubione jest zapewnienie aplikacji do przechowywania ulubionych linków użytkowników końcowych do witryn sieci Web w bezpiecznej, centralnej lokalizacji, aby użytkownik mógł uzyskać dostęp do swoich ulubionych za pośrednictwem tych aplikacji, niezależnie od tego, z której maszyny korzysta użytkownik. Z punktu widzenia technicznego wydaje się to dość prostą usługą do zaimplementowania. Jest to w zasadzie tylko wyspecjalizowany magazyn danych.

W tym samym czasie zaczęliśmy przeglądać usługę Ulubione, pojawiły się artykuły z wiadomościami o ochronie prywatności użytkowników — w szczególności informacje o informacjach, które mogą zbierać osoby trzecie, za pośrednictwem anonsów na stronach internetowych. To nas myśli: cały model usług sieci Web jest oparty na stronie sieci Web, która korzysta z usług innych firm, najprawdopodobniej bez wiedzy użytkownika końcowego. Czy były problemy z prywatnością, które należy martwić?

Nawet bez dobrej definicji prywatności użytkownika, byliśmy w stanie wymyślić kilka możliwych scenariuszy, które nasza proponowana usługa Ulubione umożliwiłaby, że wydawało się wątpliwe. Na podstawie naszych początkowych badań nad problemami postanowiliśmy wdrożyć usługę Ulubione w fazach, odroczenie wątpliwych scenariuszy do późniejszych faz. W tej kolumnie omówię to, co odkryliśmy podczas naszych początkowych badań, trudne problemy, które odroczyłyśmy, problemy z prywatnością, które pozostają w fazie jednej z projektów, oraz wpływ tych problemów na nasz projekt i implementację.

Zdefiniowana prywatność

Zacznijmy od przyjrzenia się tym, co oznacza prywatność użytkownika. Skupimy się na naszej dyskusji na temat prywatności użytkowników i sieci Web. Za każdym razem, gdy używasz sieci Web, istnieją trzy rodzaje informacji, które mogą być wymieniane między używaną aplikacją (na przykład przeglądarką sieci Web) i witrynami sieci Web, z którymi aplikacja jest połączona (na przykład z stronami wyświetlanymi w przeglądarce):

• Informacje tworzone przy użyciu niektórych kombinacji aplikacji, takich jak napisana wiadomość e-mail, zdjęcia urlopowe, rekordy finansowe itd.
• Informacje o Tobie, takie jak imię i nazwisko, adres, interesy osobiste itd., zebrane przez aplikację w celu świadczenia usług tobie.
• Informacje o używanym komputerze i/lub połączeniu sieciowym, takim jak adres IP, zbierane przez aplikację w celu świadczenia usług.

Problem z prywatnością użytkownika polega na tym, jak te informacje są zbierane, używane i dystrybuowane. Jeśli kupujesz książkę z księgarni internetowej, oczywiście musisz podać swoje imię i nazwisko, adres i numer karty kredytowej, aby księgarnia ukończyła zamówienie. Ale co zrobić, jeśli księgarnia zrzutuje te informacje w bazie danych, wraz z rekordami określonych książek, które zostały zakupione? Z jednej strony może użyć informacji, aby zapewnić przydatne usługi, takie jak powiadamianie o opublikowaniu nowych książek przez ulubionych autorów. Z drugiej strony może to sprzedawać twoje dane osobowe, co skutkuje powodzią niechcianych wiadomości-śmieci. Co stanowi sprawiedliwe wykorzystanie tych informacji przez firmy, które udostępniają używane aplikacje?

Niestety, nie ma jednej odpowiedzi na to pytanie. Właściwe rzeczy do zrobienia jest trudne do ustalenia, zwłaszcza, że percepcja publiczna i przepisy rządowe są w strumieniu (i może się różnić od jednej jurysdykcji prawnej do innej). Standardową praktyką dla witryn sieci Web jest opublikowanie polityki prywatności, która informuje użytkowników o tym, jakie informacje są zbierane i jak mogą być używane i dystrybuowane. Nie ma jednak standardu dotyczącego tego, czy użytkownik musi odczytać zasady ochrony prywatności przed zebraniem informacji lub zanim użytkownik będzie mógł uzyskać dostęp do witryny sieci Web.

Sytuacja staje się jeszcze bardziej niepewna w przypadku usług sieci Web. Użytkownik końcowy prawdopodobnie nawet nie wie, że są używane żadne usługi sieci Web. Jeśli usługa sieci Web zbiera informacje, które mogą być powiązane z określonym użytkownikiem końcowym (znanym jako dane osobowe), w jaki sposób dostawca usług informuje użytkownika o tym, jakie informacje są zbierane i jak mogą być używane lub dystrybuowane? Czy aplikacje, które rozpowszechniają dane osobowe w usługach sieci Web, muszą ujawnić je użytkownikom końcowym? Tradycyjnie firmy nie ujawniły, że przesłoną określone aspekty procesów biznesowych. Na przykład firma może nie ujawnić, że realizacja zamówienia lub obsługa klienta są odsprzedaje, chociaż zarówno firma realizacji zamówienia, jak i organizacja pomocy technicznej klienta mają dostęp do informacji osobistych o klientach. Ale reguły mogą być inne w trybie online. Tylko czas powie...

Uczciwe praktyki informacyjne

Uczciwe praktyki informacyjne informują klientów i kontrolują ich dane osobowe. Takie informacje są chronione przed niepożądanym użyciem, dostępem lub dystrybucją, dzięki czemu klienci są pewni i zadowoleni podczas korzystania z produktów firmy. Pierwszym krokiem w kierunku zrozumienia, jakie prywatność użytkownika miała być przeznaczona dla usługi Ulubione, było zapoznanie się z zasadami dotyczącymi sprawiedliwych informacji firmy Microsoft. Firma Microsoft's Corporate Privacy Group definiuje pięć elementów uczciwych praktyk informacyjnych:

• Zwróć uwagę. Firma powinna zdefiniować jasne zasady dotyczące zbierania, używania i dystrybucji danych osobowych. Te zasady powinny obejmować podstawowe i pomocnicze wykorzystanie danych, dystrybucję danych między oddziałami biznesowymi w firmie, udostępnianie danych powiązanym i niepowiązanym firmom oraz zobowiązania kontraktowe z dostawcami, którzy obsługują transakcje biznesowe. Firma powinna ustanowić wytyczne dotyczące zmian zasad oraz wpływ zmian danych zebranych przed zmianą. Chcesz pracować z doradcami prawnymi, aby upewnić się, że zasady są czymś, co można wymusić w witrynach sieci Web i usługach sieci Web. Udostępnianie zasad klientom i użytkownikom za pośrednictwem wielu kanałów dystrybucji, w tym online i offline.
• Zgoda. Należy zapewnić użytkownikom elastyczne i dostępne mechanizmy zarządzania ich preferencjami dotyczącymi zbierania, używania i dystrybucji danych. Należy podzielić informacje na rozsądne i znaczące grupy, aby użytkownicy mogli ustalić, co wyrażają zgodę, i aby użytkownik nie zbyt długo konfigurował preferencje. Ważne jest, aby zastanowić się nad wartościami domyślnymi preferencji użytkownika. Czy użytkownik musi jawnie włączyć określone użycie danych osobowych (znanych jako wyrażenie zgody) lub jawnie wyłączyć korzystanie (znane jako rezygnacja)?
• Access. Użytkownik powinien mieć możliwość wyświetlania i/lub edytowania wszelkich przechowywanych przez Ciebie danych osobowych, aby upewnić się, że jest ona aktualna i zarządzać preferencjami użycia. Musisz ustalić, które informacje użytkownik może edytować i które informacje mogą być wyświetlane tylko. Na przykład użytkownik może nie mieć możliwości edytowania unikatowego identyfikatora użytkownika, ale może mieć możliwość edytowania hasła. W idealnym przypadku narzędzia do zarządzania danymi osobowymi będą dostępne zarówno dla użytkowników online, jak i offline.
• Bezpieczeństwo. Należy wdrożyć odpowiednie środki bezpieczeństwa w celu ochrony danych osobowych użytkowników. Obejmuje to mechanizmy uwierzytelniania i autoryzacji w celu ochrony dostępu do przechowywanych danych. Może również obejmować mechanizmy ochrony danych podczas transmisji między maszynami. Środki bezpieczeństwa powinny być proporcjonalne do poufności informacji. Na przykład będziesz o wiele bardziej zaniepokojony bezpieczeństwem, jeśli pracujesz z kontem bankowym lub rejestrem medycznym użytkownika, niż jeśli pracujesz z listą swoich ulubionych autorów.
• Wymuszanie. Nie robi żadnych dobrych zasad ochrony prywatności, jeśli jej nie przestrzegasz. Firma powinna zdefiniować (i postępować zgodnie z) procedurami monitorowania systemów informacyjnych w celu zapewnienia zgodności z zasadami ochrony prywatności. Zdefiniuj procesy rozwiązywania sporów dla wszystkich usług informacyjnych klientów i zachowaj relacje bezpiecznego portu z organizacjami certyfikacji innych firm. Chociaż wymuszanie jest w dużej mierze poza witryną sieci Web lub samą usługą sieci Web, należy rozważyć, jakie rodzaje informacji inspekcji powinny być przechowywane w celu obsługi procesów wymuszania. Możesz na przykład śledzić, czy i kiedy użytkownicy czytają zasady ochrony prywatności, kiedy i jak użytkownik zmodyfikował preferencje użytkownika itd.

Fair Information Practices and Favorites

To wszystko brzmiało rozsądnie w teorii, ale nadal nie było całkowicie jasne dla nas, w jaki sposób zastosowano to do naszej usługi internetowej, lub jak wdrożyć wszystkie te elementy dla usług sieci Web w ogóle. Więc spędziłem kilka godzin omawiając problemy z członkiem grupy zasad firmy. Zaczęliśmy od listy scenariuszy, które usługa Ulubione może potencjalnie włączyć (na podstawie naszej początkowej instrukcji wizji):

1. Użytkownik instaluje dodatek do programu Internet Explorer, który udostępnia zestaw opcji menu, takich jak ulubione programu Internet Explorer, z wyjątkiem tego, że ulubione są rzeczywiście przechowywane w coldrooster.com. (Jeśli przeczytasz ostatnią kolumnę, wiesz, że zdefiniowaliśmy scenariusz biznesowy wokół firmy konsultingowej. Możemy teraz ujawnić, że nazwa tej fikcyjnej firmy konsultingowej to Cold Rooster Consulting, na cześć koguta, który wisi wokół naszego budynku na kampusie Firmy Microsoft. Stąd coldrooster.com).
2. Coldrooster.com udostępnia aplikację internetową, która umożliwia użytkownikom zarządzanie swoimi ulubionymi elementami.
3. Witryna sieci Web, na przykład msdn.microsoft.com, udostępnia przycisk na każdej ze stron, którą użytkownik może kliknąć, aby dodać tę stronę do ulubionych użytkownika przechowywanych w coldrooster.com.
4. Msdn.microsoft.com udostępnia stronę sieci Web, która wyświetla ulubione elementy użytkownika, które zostały pierwotnie przechowywane przez msdn.microsoft.com w imieniu użytkownika.
5. Msdn.microsoft.com udostępnia aplikację internetową, która umożliwia użytkownikowi zarządzanie ulubionymi elementami, które zostały pierwotnie przechowywane przez msdn.microsoft.com w imieniu użytkownika.
6. Cold Rooster Consulting okresowo pobiera wszystkie przechowywane ulubione, pozbawiony wszelkich informacji, które łączą je z powrotem do określonego użytkownika, i zrzutuje je do oddzielnej bazy danych do analizy.
7. Msdn.microsoft.com udostępnia stronę sieci Web, która wyświetla wszystkie ulubione przechowywane przez użytkownika, niezależnie od witryny sieci Web, która pierwotnie przechowywała ulubione w imieniu użytkownika.
8. Msdn.microsoft.com udostępnia aplikację internetową, która umożliwia użytkownikom zarządzanie wszystkimi ulubionymi elementami.
9. Cold Rooster Consulting udostępnia oddzielną usługę internetową, która msdn.microsoft.com może licencjonować. Ta usługa umożliwia licencjonowanie pobierania informacji, takich jak "ulubione" lub "osoby, które zapisał tę stronę, również zapisane te strony", ale tylko dla domeny msdn.microsoft.com.
10. Cold Rooster Consulting zapewnia usługę sieci Web opisaną w scenariuszu 9, z tą różnicą, że zalecenia zwrócone do msdn.microsoft.com mogą zawierać ulubione z innych domen.

Ponieważ musimy połączyć ulubione użytkownika z osobistą identyfikacją, taką jak adres e-mail lub identyfikator usługi Microsoft Passport, aby umożliwić udostępnienie wszystkich ulubionych użytkownika za pośrednictwem dowolnej aplikacji i dowolnej maszyny, dane ulubionych użytkowników na pewno należą do kategorii informacji osobowych. Jeśli utknęliśmy z tą definicją usługi Ulubione, musimy wdrożyć uczciwe praktyki informacyjne za pomocą kombinacji zasad, procedur i kodu.

W czasie naszej dyskusji nie było żadnych przepisów, które wymagały powiadomienia użytkownika przed zapisaniem informacji w ich imieniu. Abyśmy mogli zaimplementować element powiadomienia , publikując zasady ochrony prywatności w coldrooster.com. Jak użytkownicy będą wiedzieć, że muszą czytać zasady? Wymyśliliśmy dwie opcje: Użytkownicy musieliby zarejestrować się przy użyciu coldrooster.com, zanim będą mogli przechowywać ulubione za pośrednictwem naszej usługi, lub aplikacje klienckie muszą powiadomić swoich użytkowników, że usługa Cold Rooster Consulting Favorites Service była używana, z wskaźnikiem do naszej polityki prywatności.

Z punktu widzenia zabezpieczeń ulubione użytkowników nie należą do tej samej kategorii co dokumentacja medyczna, ale użytkownik nadal będzie chciał mieć pewną kontrolę nad tym, kto może uzyskać do nich dostęp. Na przykład, patrząc na ulubione, które mam przechowywane na mojej maszynie domowej, można dowiedzieć się, które zespoły sportowe wspieram, jakie książki lubię czytać, jakie rodzaje muzyki lubię słuchać, i gdzie mam moje konta bankowe - a nie informacje chcę, aby wszyscy na świecie mieli dostęp. A jeśli ktoś może zmodyfikować moje ulubione, mogą zastąpić linki wybrane przeze mnie innymi witrynami (prawdopodobnie w nikczemnych celach, takich jak przechwytywanie poufnych informacji) lub dodać nowe linki do moich ulubionych. Na pewno chcemy zabezpieczyć dostęp do ulubionych użytkowników. Prawdopodobnie chcemy pozwolić użytkownikom określić, które aplikacje mogą odczytywać lub zapisywać ulubione. Na przykład mogę zezwolić witrynie MSDN na modyfikowanie moich ulubionych dla domeny msdn.microsoft.com, ale nie chcę, aby MSDN mogła nawet zobaczyć linki dla moich ulubionych zespołów sportowych. Dlaczego MSDN powinna być o tym dbana?

Aby umożliwić użytkownikom kontrolowanie, które aplikacje mogą odczytywać lub zapisywać ulubione, musimy zaimplementować elementy zgody i dostępu do uczciwych praktyk informacyjnych. Prawdopodobnie chcemy również zaimplementować kod inspekcji w celu obsługi elementu wymuszania .

Nagle nasza prosta mała usługa internetowa nie brzmi tak prosto! Jaki poziom kontroli powinien dać użytkownikom? Czy pozwolić im określić dokładnie, które aplikacje mogą odczytywać lub zapisywać ulubione z każdej domeny? Czy też należy grupować aplikacje i domeny w strefy, aby uprościć konfigurację? A które z wymienionych powyżej scenariuszy powinny być domyślnie włączone?

Nasz ekspert w dziedzinie prywatności nie miał żadnych obaw dotyczących scenariuszy 1–5. Typowe zasady ochrony prywatności obejmowałyby te scenariusze. Jednak w scenariuszu 2 należy rozważyć, czy coldrooster.com powinny być w stanie zarządzać wszystkimi ulubionymi użytkownika, niezależnie od aplikacji przechowywanej ulubionych dla użytkownika, czy tylko ulubionych dodanych aplikacji Cold Rooster Consulting. Prawdopodobnie błędniemy po stronie ostrożności i mówimy, że aplikacje Cold Rooster Consulting mogą zarządzać tylko ulubionymi użytkownikami dodanymi za pośrednictwem tych aplikacji, chyba że użytkownik jawnie określił, że aplikacje mogą być używane do wyświetlania lub edytowania wszystkich ulubionych przechowywanych w imieniu użytkownika.

Nawet scenariusz 6 nie jest zbyt dużym problemem, o ile zasady ochrony prywatności wskazują, że możemy użyć przechowywanych ulubionych użytkowników do dalszej analizy. Ponownie musimy rozważyć, czy dane muszą być podzielone na partycje — według domeny lub przez aplikację, która pierwotnie dostarczyła dane — zanim zostaną przeanalizowane. Ponieważ wiele osób uważa za profilowanie danych, możemy chcieć dać użytkownikom możliwość rezygnacji z korzystania z ulubionych uwzględnionych w danych w puli używanych do analizy.

Pozostałe scenariusze stają się coraz bardziej kostkami z perspektywy prywatności. To nie znaczy, że nie powinny być implementowane, tylko że trudniej byłoby napisać dokładne, ale zrozumiałe oświadczenie zasad, a użytkownicy mogą nie być komfortowo ze scenariuszami, więc prawdopodobnie powinny być domyślnie wyłączone (użytkownik musi wyrazić zgodę).

Scenariusz 7 początkowo brzmi dość nieszkodliwie, ale to, co naprawdę oznacza z perspektywy usługi internetowej, jest to, że aplikacja może uzyskać kopię wszystkich ulubionych użytkownika z usługi Ulubione. Gdy aplikacja ma kopię danych, może wykonać niezależnie od potrzeb. Jeśli dostarczamy usługę sieci Web, która obsługuje ten scenariusz, prawdopodobnie chcemy ograniczyć dostęp do usługi sieci Web znanym klientom z zasadami ochrony prywatności spełniającymi minimalne kryteria.

Scenariusz 8 jest jeszcze bardziej problematyczny. Gdy aplikacja ma możliwość modyfikowania ulubionych użytkownika, co uniemożliwia aplikacji dodawanie losowych stron do listy użytkownika lub usuwanie ulubionych wskazujących witrynę konkurenta? Innymi słowy, w jaki sposób usługa sieci Web może rozróżniać prawidłowe żądania obsługi wysyłane przez aplikację w imieniu użytkownika końcowego z żądań obsługi wysyłanych przez aplikację, której użytkownik końcowy nie zna? Dostępne mechanizmy zabezpieczeń, które działają z protokołem HTTP i XML, nie obsługują tego rodzaju scenariusza klienta/serwera/usługi bezpośrednio — musimy zaimplementować niestandardowe rozwiązanie zabezpieczeń. Nawet w przypadku niestandardowego mechanizmu zabezpieczeń prawdopodobnie będzie wymagana dodatkowa praca umożliwiająca użytkownikom określenie, które aplikacje mogą edytować, które ulubione.

Na koniec scenariusze 9 i 10 są jeszcze bardziej szczegółowe w obszarze profilowania online niż scenariusz 6. Problemy techniczne naprawdę nie różnią się od wymienionych, ale poziom dyskomfortu użytkownika byłby jeszcze wyższy.

Na podstawie tej analizy scenariuszy postanowiliśmy wycofać się i przemyśleć wizję początkowego dostarczania usługi Ulubione. Nowa wizja fazy pierwszej koncentruje się na scenariuszach 3–5 powyżej. Zasadniczo każda aplikacja ma własny prywatny sklep dla ulubionych użytkowników. Jeśli przejdźę do msdn.microsoft.com i zapiszę link do tej kolumny, mogę wyświetlić lub edytować ten link tylko za pośrednictwem interfejsu użytkownika msdn.microsoft.com.

Takie podejście eliminuje kilka trudnych problemów. W rzeczywistości eliminuje cały problem z prywatnością użytkownika, ponieważ odnosi się do ulubionych użytkowników! Ponieważ każda aplikacja korzystająca z usługi Ulubione skutecznie ma oddzielny magazyn ulubionych użytkowników, nie ma potrzeby globalnego schematu identyfikacji użytkowników, który rozumie usługa Ulubione. Każda aplikacja może używać dowolnego żądanego identyfikatora. Usługa Ulubione nie może interpretować tych identyfikatorów ani korelować informacji przechowywanych przez różne aplikacje. Ponieważ dostęp do danych można uzyskać tylko za pomocą pojedynczej aplikacji (lub, dokładniej, pojedynczej licencji usługi Ulubione), nie musimy martwić się o zapewnienie użytkownikom możliwości rezygnacji z różnych scenariuszy. Skutecznie delegowaliśmy problem prywatności użytkownika z powrotem do aplikacji wywołującej.

To nie znaczy, że nie obchodzi nas rozwiązywanie problemów technicznych zgłoszonych w naszej analizie powyższych scenariuszy. Chcemy rozwiązać te elementy w przyszłej fazie usługi Ulubione. Po prostu chcemy trochę więcej czasu myśleć o rzeczach i wymyślić rozwiązanie, które czujemy się komfortowo, zalecając społeczność deweloperów.

Więc co zrobić, jeśli chcesz rozwiązać problem dzisiaj? Nie widzę żadnego sposobu wdrażania mechanizmu licencjonowania zarówno dla użytkowników, jak i aplikacji. Użytkownicy muszą zarejestrować się w celu uzyskania konta w usłudze. Oznacza to, że masz witrynę sieci Web, w której można odczytać zasady ochrony prywatności, zarejestrować się na koncie i zarządzać ich preferencjami. Firmy tworzące aplikacje muszą również zarejestrować się w celu uzyskania licencji na korzystanie z usługi internetowej. Umowa licencyjna powinna określać sposób powiadamiania użytkowników o korzystaniu z usługi sieci Web. Musisz dowiedzieć się, czy możesz ufać licencjom tylko w celu odpowiedniego korzystania z usługi sieci Web. Jeśli tak, prawdopodobnie możesz uciec od umożliwienia witrynie sieci Web zbierania poświadczeń użytkownika i przekazywania ich do usługi sieci Web. Jeśli nie, musisz podać kod, który licencjonuje może użyć do zapewnienia bezpiecznego mechanizmu pobierania poświadczeń użytkownika i przekazywania ich do usługi sieci Web. Tak czy inaczej, będzie znaczna ilość pracy.

Pozostałe problemy z prywatnością

Chociaż nie musimy martwić się o prywatność użytkowników w odniesieniu do ulubionych użytkowników w fazie pierwszej, nadal istnieją pewne problemy z prywatnością, o których należy myśleć. Postanowiliśmy licencjonować dostęp do usługi Ulubione. Oznacza to, że będziemy musieli zachować pewne informacje kontaktowe dotyczące licencji. Informacje te należą do kategorii informacji osobowych. Mamy więc standardowe problemy z prywatnością, przed którymi stoi każda aplikacja, która przechowuje informacje o koncie.

Rozwiązaliśmy te problemy przy użyciu kombinacji zasad i kodu. Na poniższym diagramie przedstawiono ogólny widok architektury systemu:

Rysunek 1. Architektura usługi Ulubione w fazie jednej

Nasza usługa jest implementowana przy użyciu architektury warstwowej i jest wdrażana w dwóch warstwach fizycznych, farmie sieci Web i klastrze danych. Informacje o koncie licencjonowania są przechowywane w bazie danych w klastrze danych. Nasza usługa sieci Web i witryna sieci Web, za pośrednictwem której licencje zarządzają informacjami o koncie, są wdrażane w farmie sieci Web. Istnieje kilka warstw ochrony informacji licencyjnych:

• Klaster danych nie jest dostępny z maszyn spoza cold rooster Consulting.
• Usługa Ulubione nie musi uzyskiwać dostępu do informacji kontaktowych licencjonowania, dlatego używa składnika Logon do uwierzytelniania licencji. Składnik Logon pobiera tylko potrzebne informacje.
• Z drugiej strony witryna sieci Web zarządzania licencjami musi uzyskać dostęp do informacji kontaktowych licencji. W jaki sposób może pozwolić licencjonerowi na edytowanie danych? Witryna sieci Web wykonuje cały dostęp do danych za pośrednictwem składnika Licencjonowanie. Kontrola dostępu w składniku Licencjonowanie uniemożliwia wywoływanie składnika innego niż witryna sieci Web zarządzania licencjami.
• Mechanizmy kontroli dostępu w bazie danych licencjonowania uniemożliwiają dostęp do bazy danych innym niż składnik Logon i składnik licencjonowania.
• Wiadomość e-mail z potwierdzeniem jest wysyłana na adresy określone w informacjach kontaktowych przy każdej modyfikacji informacji kontaktowych.

Efekt netto: Nieautoryzowani użytkownicy powinni mieć dostęp do informacji kontaktowych licencji lub zmodyfikować je, chyba że naruszono identyfikator i hasło licencji. Nawet w takiej sytuacji, jeśli ktoś próbował zmienić informacje kontaktowe, bieżący kontakt zostanie poinformowany.

Ponadto opublikujemy zasady ochrony prywatności w naszej witrynie internetowej. Możemy również udostępnić zasady ochrony prywatności wraz z inną dokumentacją, którą udostępniamy nowym licencjom, na przykład dokumentację dotyczącą sposobu pisania aplikacji korzystających z usługi Ulubione.

Podsumowanie

Prywatność użytkowników jest drażliwym problemem dla deweloperów usług sieci Web i aplikacji, które ich używają. Nasza analiza problemu dla usługi Ulubione spowodowała ponowne przemyślenie całego celu usługi. Nawet w przypadku ograniczonego zakresu dodano znaczną liczbę wymagań w celu zapewnienia, że informacje o użytkowniku były chronione przed niewłaściwym użyciem. Najważniejszym wymaganiem było ograniczenie dostępu do licencjonowanych aplikacji. W przyszłym tygodniu przyjrzymy się licencjonowaniu bardziej szczegółowo: rozważanych modeli biznesowych, wybranego modelu oraz wpływu modelu na nasz projekt i implementację.

Jeśli usługa sieci Web musi zachować dane osobowe, musisz wykonać wiele pracy poza wdrożeniem podstawowych funkcji usługi. Należy uwzględnić wszystkie pięć elementów uczciwych praktyk informacyjnych: powiadomienia, zgody, dostępu, zabezpieczeń i wymuszania. Musisz określić, kiedy musisz rozwiązać te problemy bezpośrednio z użytkownikami, a kiedy można odroczyć problemy z prywatnością aplikacji przy użyciu usługi internetowej. Zdecydowanie zalecamy udział doradców prawnych w dyskusjach dotyczących tych problemów, aby upewnić się, że jesteś aktualny w zakresie przepisów dotyczących prywatności użytkowników, gdziekolwiek znajdują się Twoi użytkownicy. Następujące zasoby zawierają dodatkowe informacje o ochronie prywatności użytkowników:

• Informacje o ochronie prywatności w microsoft.com
• Centrum demokracji i technologii — przewodnik po ochronie prywatności
• Privacy Foundation
• Zaufanie i prywatność online: Dlaczego Amerykanie chcą przepisać zasady
• Sieć prywatności