Вячеслав Ансимов

Браузер Internet Explorer 6 получит поддержку формата защиты персональных данных Platform for Privacy Preferences Project (P3P). Ресурсы, собирающие информацию о посетителях и не реализующие данный стандарт, могут стать недоступными для пользователей. В первую очередь это затронет интернет-магазины, рекламные сети, системы рейтингов и счетчики.

С приближением выхода Windows XP многие интернет-ресурсы стали беспокоиться о совместимости с форматом защиты конфиденциальной информации Platform for Privacy Preferences Project (P3P). Поддержка этого стандарта появилась в Internet Explorer 6, созданном специально для Windows XP. В зависимости от установленных в новом браузере параметров сайты, собирающие данные о посетителях, могут блокироваться при отсутствии поддержки протокола P3P.

Прежде всего это коснётся интернет-магазинов, рекламных сетей, рейтинговых систем и счётчиков, а также других ресурсов, собирающих персональную информацию пользователей без их явного разрешения.

Стандарт P3P разрабатывается консорциумом W3C. Первая черновая версия была выпущена для публичного обсуждения в 1998 году. В ходе дальнейших доработок стандарт подвергался как критике, так и поддержке, а также вызывал насмешки, однако не привлекал массового внимания. Поддержка Microsoft изменила ситуацию. Общественный резонанс возник ближе к выпуску IE 6, когда стало понятно, что новая версия популярного браузера способна блокировать или некорректно отображать сайты, не поддерживающие P3P. К августу 2001 года была готова рабочая версия стандарта, над которой продолжается работа.

К категории конфиденциальных данных, защищаемых P3P, относят персональные сведения пользователя — такие как имя, электронный адрес, место проживания, род занятий, возраст, семейное положение и прочее. Также охраняется информация о поведении пользователя в сети, сохраняемая в Cookies. Эти файлы создаются сайтами на устройстве пользователя и могут быть доступны третьим лицам, что способно привести к нежелательным последствиям. Например, недавно командующий Тихоокеанским флотом Канады был отстранён за посещение порносайтов на рабочем месте.

Для соответствия протоколу P3P веб-ресурс обязан разработать и описать политику конфиденциальности: какие данные собираются, где и как долго хранятся, с кем могут быть переданы, а также какие cookies используются. Затем данная политика формализуется по спецификации P3P и предоставляется в машиночитаемом формате на XML-языке. Существуют программные генераторы P3P, например PrivacyDot.com. Полученный файл p3p.xml размещается в корневой директории сайта, где IE 6 его и обнаруживает для проверки совместимости со стандартом. При необходимости для разных разделов сайта создаются отдельные P3P-файлы. В настоящее время W3C ведёт разработку языка APPEL (A P3P Preferences Exchange Language), предназначенного для формирования privacy-спецификаций.

Спецификация P3P не требует от клиентских программ использования конкретных настроек конфиденциальности. Единственное условие — наличие по умолчанию требования на явное согласие пользователя для передачи личных данных. По мнению специалистов российской компании SpyLOG, большинство пользователей IE 6 оставят стандартные настройки без изменений.

Главными каналами утечки конфиденциальной информации считают сторонние сайты, к которым обращается пользователь одновременно с загрузкой основной страницы. К ним относятся статистические системы (счётчики) и рекламные сети.

В бета-версии IE 6.0 по умолчанию активирован уровень защиты, блокирующий Cookies сторонних сайтов, если они:

• не поддерживают P3P, то есть не декларируют политику конфиденциальности,
• запрашивают персональные данные без явного согласия пользователя,
• запрашивают персональные данные без неявного согласия.

Рейтингово-статистические системы, такие как SpyLOG и Rambler’s Top 100, на многих российских сайтах находятся в статусе третьих сторон. Именно они прежде всего должны адаптироваться под P3P.

Тем не менее, представители компаний «Рамблер» и SpyLOG высказываются спокойно относительно появления IE 6 с поддержкой P3P. Один из ведущих специалистов SpyLOG заявил, что не видит в этом серьёзных препятствий:

«Главная сложность — выделение времени разработчиками на изучение стандарта и интеграцию функций в существующее программное обеспечение, а также формулировка политики техническим руководителем. Однако эта задача кажется трудной лишь сначала. Уверен, что серьёзные проекты справятся с проблемами, вызванными IE 6».

В настоящий момент компания занимается решением этой задачи. В то же время некоторые сервисы придётся прекратить использовать. Речь идёт об услугах, связанных с передачей личной информации за стороннее использование, даже при согласии пользователя. Например, в некоторых случаях передача данных за пределы компании вызывает сложности. Также вне ограничений P3P остаются скрытые веб-жучки, собирающие любую информацию, кроме IP-адреса, без ведома пользователей.

Менее серьёзные трудности с IE 6 видят и в «Рамблере». Руководитель проекта Rambler’s Top100 Алексей Тутубалин отметил, что «в Рамблере, включая Top100, данные пользователей обезличены, а слежки за ними не ведётся. Основная задача в контексте P3P — корректное внедрение поддержки протокола».

Тутубалин добавил, что «в Рамблере (включая Top100 и почту) готовится security policy в терминах W3C, над которой сейчас работают юристы компании».

На вопрос о влиянии распространения IE 6 на общее состояние Интернета руководитель Rambler’s Top100 ответил:

«Считаю, что к концу года около 10% пользователей будут использовать MS IE 6. Если cookies необходимы для работы сайта, а не просто по желанию веб-мастера (так как отслеживание на одном сайте можно организовать и по-другому), то тем сайтам, которые не хотят терять эти примерно 10% аудитории, придётся внедрять P3P. Остальные же могут этого и не делать».

В стандарте P3P отсутствует механизм постоянного контроля за исполнением сайтов своей политики конфиденциальности. Однако специалисты полагают, что серьёзные компании, заботящиеся о репутации, вряд ли будут нарушать правила. Что касается менее ответственных ресурсов, контроль будет осуществляться согласно национальному законодательству и с опорой на международные юридические и общественные механизмы. Протокол P3P задумывался W3C как фундамент для создания инфраструктуры защиты приватности в интернете.