另见 翻译.
Copyright © 2025 World Wide Web Consortium. W3C® liability, trademark and permissive document license rules apply.
隐私是网络的重要组成部分。本文档提供了适用于全球的隐私及相关概念的定义,并提出了一套应当指导将网络发展为值得信赖平台的隐私原则。使用网络的人们将受益于技术与政策之间更紧密的关系,本文档旨在同时适用于二者。
本节描述了本文件在发布时的状态。当前的 W3C 出版物列表和该技术报告的最新修订可在 W3C 标准和草稿索引 https://www.w3.org/TR/ 中查阅。
本文档由 Web Privacy Principles Task Force 起草,该工作组由 TAG 召集。
该文档由 技术架构小组 作为一份声明,使用 Note track 发布。
W3C 声明是在广泛协商后由 W3C 及其成员认可的文件。
W3C 专利政策 不对本文件附带任何许可要求或承诺。
本文件受 2023年11月03日 W3C 流程文档 管辖。
本文档对 伦理网络原则 中的 隐私原则 进行了阐述: “安全和隐私是必不可少的。” 虽然本文侧重于隐私,但这不应被解读为隐私始终比其他伦理网络原则更重要;如果不同的伦理网络原则发生冲突,本文也不讨论应如何在它们之间进行权衡。
网络隐私主要受两个力量调节:网络平台所暴露(或未暴露)的体系结构能力,以及在网络使用的各个司法管辖区中的法律([New-Chicago-School], [Standard-Bodies-Regulators])。这些监管机制是独立的;一个国家的法律不会(也不应)改变整个网络的体系结构,反之,网络规范也不能取代任一具体法律(尽管它们可能影响制定和执行法律的难易程度)。网络不仅仅是某一特定法律隐私体制的实现;它具有由共同价值驱动的独特特征和保证,这些特征通常超出法律对隐私的要求。
然而,当技术和法律相互补充时,网络隐私的总体目标最好地得到实现。本文档旨在建立共享概念,以帮助在技术层面上规范网络隐私。它也可能有助于实现与各法律监管体制之间或相互之间的对齐。
我们为本文档设定的目标并非覆盖所有可能的隐私问题,而是提供足够的背景,以支持网络社区就隐私做出明智决策,并将隐私编织进网络的体系结构。
很少有体系结构原则是绝对的,隐私亦然:隐私可能与伦理体系结构的其他可取特性产生冲突,包括可访问性或国际化;在这种情况下,网络社区需要共同努力以达到适当的平衡。
本文档的主要受众为
其他受众包括:
本文档旨在帮助其受众在新 web 标准或功能的生命周期早期,或在开发 Web 产品时,尽早解决隐私问题。以隐私为先有助于避免后来为应对可预见但未预料到的问题而添加特殊处理,或构建最终对用户不可接受的系统。
由于本文档指导对新标准的隐私审查,web 规范的作者应在设计的早期参考本文件,以确保其功能顺利通过审查。
本节列出所有隐私原则,并链接到文档其余部分的详细说明。
应该包含哪些受众?
这是包含技术性指南的文档。然而,为了将这些指南置于上下文中,我们必须首先定义一些术语并解释我们所说的隐私的含义。
网络是由信息流构成的社会与技术系统。因为本文档特别讨论适用于网络的隐私,所以它聚焦于与信息流相关的隐私问题。
网络属于所有人([For-Everyone])。它应当是“帮助人们并带来净正面社会收益的平台”([Ethical-Web-Principles])。网络为人们服务的方式之一是努力保护他们免受监视以及数据可能导致的操控类型的侵害。
信息可以用来预测并影响人们,也可以用来设计控制人们行为的在线空间。对信息的收集与处理——以更大规模、更高精度和可靠性、跨越来越多的数据类型提高互操作性、并以加快的速度进行——正在导致权力的集中,威胁到私人和公共自由。此外,自动化和我们生活各方面日益计算机化既增强了信息的力量,也降低了许多侵入性行为的成本,而这些行为如果肇事者必须与受害者在同一房间内,往往更容易被遏制。
当一个行为主体能够收集关于某个人的数据并自动处理它,而该人必须采取人工行动来保护他们的数据或控制其处理时,这种自动化不对称(automation asymmetry)就会产生力的失衡,偏向于该行为主体并削弱该人的能动性。本文档关注的是数据的处理对人的影响,但它也可能影响其他行为主体,例如公司或政府。
重要的是记住,并非所有人在抵抗权力不平衡方面都同等:有些人更为脆弱,因此更需要保护。
数据治理是规范信息流的原则体系。数据治理决定了哪些行为主体可以收集哪些数据、如何收集以及如何处理这些数据([GKC-Privacy], [IAD])。本文档为以数据治理为先并把人置于优先地位的构建模块提供支持。
原则会随情境而异([Understanding-Privacy], [Contextual-Integrity])。例如,人们在工作场所、咖啡馆或家庭中对隐私的期望各不相同。理解和评估隐私情境最好通过明确识别以下要素来完成:
总是存在隐私原则在起作用。有些原则集合可能更为宽松,但这并不使它们中立。所有隐私原则都会对人产生影响,因此我们必须确定哪些原则在特定的网络情境中最符合伦理网络价值([Ethical-Web-Principles], [Why-Privacy])。
信息流是由行为主体交换或处理的信息。一个人的隐私既可能因他们的信息流向其他行为主体而受损,也可能因信息流向他们而受损。后者的例子包括:意外的震惊图片、当他们想睡觉时的巨大噪音、操控性信息、在他们正专注于其他事物时的打断性消息,或在他们寻求社交互动时遭受骚扰。(在某些情况下,这些信息可能并非个人数据。)
在网络上,信息流可能涉及各种各样的行为主体,这些行为主体并不总是能在特定交互中为用户识别或显而易见。访问一个网站可能涉及参与该站点运营的行为主体,但也可能涉及具有网络访问权限的行为主体,这些主体可能包括:互联网服务提供者、其他网络运营商、提供网络连接的本地机构(包括学校、图书馆或大学)、政府情报机构、以及已获得网络或任何其他行为主体系统访问权限的恶意黑客。高级威胁包括这些行为主体可能进行的监视活动([RFC6973])。大规模、无差别的普遍监控(pervasive monitoring)是已知的对互联网和网络用户隐私的攻击形式([RFC7258])。
信息流也可能涉及其他人——例如网站的其他用户——这些人可能包括朋友、家庭成员、教师、陌生人或政府官员。隐私威胁(包括泄露与骚扰)有时特别来自信息流中涉及的其他人([RFC6973])。
一个人的自主性是其按照个人意愿做出决定的能力,不受其他行为主体的不当影响。人们在权衡决策时拥有有限的智力资源和时间,他们必须依赖捷径来做决定。这使得操控他们的偏好成为可能,包括操控他们的隐私偏好([Privacy-Behavior], [Digital-Market-Manipulation])。当一个系统提供的捷径更接近该人在拥有无限时间与智力能力时会做出的决定时,该系统就提高了该人的自主性。如果类似的捷径违背在理想条件下所作出的决定,则会降低自主性。
减少自主性的功能和交互被称为欺骗性模式(或“黑暗模式”)。欺骗性模式并不一定是有意为之([Dark-Patterns], [Dark-Pattern-Dark])。在构建可能影响人们自主性的事物时,重要的是让来自多个独立视角的评审者检查其是否引入了欺骗性模式。
鉴于当今数据经济中大量潜在的与数据相关的决策,人们不可能对其数据如何被处理拥有详尽的控制权。这一事实并不意味着隐私已死。研究表明,人们仍然关心他们的数据如何被处理,并感到无力,认为他们已失去能动性([Privacy-Concerned])。如果我们仔细设计技术基础设施,就可以在与他们自己的数据相关的方面赋予人们更大的自主性。这可以通过设置适当的、有利于隐私的默认设置并设计对用户友好的选择结构来实现。
存在多种机制可以让个人控制其与数据处理系统的互动方式。增加其数据用途数量,或增加其数据被处理的数据量的机制,被称为选择加入或同意。减少这些用途数量,或减少被处理的数据量的机制,被称为 选择退出。
如果这些机制被审慎部署,可以提升个人的自主权。但它们通常被用来回避判断哪些处理行为合适、哪些不合适的艰难工作,把隐私劳动 转嫁给系统使用者。
个人应该能够同意原本受限的数据分享,比如授予访问自己的图片或地理位置的权限。 参与方需要确保,用户在授予此类同意时是知情的,并且对发生的事情有足够的意识,可以在需要时撤回同意。 同意进行数据处理以及授予对Web平台API的访问权限,这两者类似。对于同意和权限的请求,都应该让用户可以延迟或回避回答,假如他们正忙于其他操作。如果用户允许了对数据的某种持久访问,应有指示器显示此类持续访问,并允许用户随时关闭。 一般而言,提供同意应当是罕见、刻意且临时的。
当存在选择退出机制时,应优先与 全局选择退出机制配合使用。从概念上讲,全局选择退出机制是作为 用户代理一部分运行的自动装置。它相当于一个机器人,会在每一次 个人与网站互动时,根据其指示按下 选择退出按钮(或类似表达 个人权利的方式)。(例如,个人可能会反对基于合法利益的处理,撤回对特定用途的同意,或者请求其数据不被出售或分享。)用户实际上是将其 选择退出的表达权委托给 用户代理,这有助于纠正自动化不对称的情况。全球隐私控制 (GPC)就是全局选择退出机制的一个很好的例子。
在这种模式下,全局选择退出信号不应理解为个人在某个时刻切换设置或选择特定用户代理时做出的决定,而应理解为他们愿意在每次与网站互动时自动重申的偏好。
针对选择退出或其他数据权利,一种实现策略是为个人分配稳定的标识符,并维护一个中央注册表,将这些标识符与个人偏好相关联。希望处理某个人数据的参与方,需要从中央注册表获取该用户偏好,并相应调整处理流程。这种方法被用于记录人们对其电话号码或住址用于营销的选择退出操作。 但这种做法并不推荐,原因包括:无法在技术上保护免遭恶意方滥用,形成单一故障点,难以实现有效审计(尤其对于Web系统所涉及的处理规模), 以及现实经验显示该方式会使个人行使权利变得困难。
隐私劳动是指让个人 承担确保与其相关的数据处理是否合适的工作,而不是将责任归于执行处理的参与方。 基于向个人征求同意的数据系统,往往会加重 隐私劳动。
更普遍地说,隐私的实现往往将劳动转嫁给个人。这在起源于公平信息实践 (FIPs)的相关机制中尤为明显,这是一套上世纪70年代最初提出、旨在应对数据库带来隐私担忧时支持个体 自主权的原则集合。FIPs通常假定 数据处理的总量足够少,以至于任何个人都能够通过充分努力在决策时实现自主。由于这种方式将隐私劳动转由个人承担,并假定完全、无限的自主,FIPs并不禁止具体的数据处理类型,只是为其设置不同的程序性要求。这种做法已不再适用。
采用程序性隐私方法的一个突出问题在于,无论当事人与另一方参与方之间存在巨大权力不对等,比如一名个人在使用由垄断平台提供的 核心服务时,还是双方处于几乎平等地位甚至个人拥有更大权力(如在竞争环境下运营的小型企业),其要求都是一致的。这些机制也未考虑某一参与方可能胁迫其他参与方协助其实施不当做法的情况,这在广告和内容聚合等领域的主导者中尤为常见 ([Consent-Lackeys], [Content-Aggregation-Technology])。
有时候,特定人群比如儿童或老年人,会被归类为脆弱人群。但实际上,任何个人在某些情境下都可能是脆弱的,有时甚至自己并未意识到这一点。 个人在披露个人数据时,可能并未意识到自己正处于脆弱状态或可能变得脆弱,而参与方也可能无从得知某个人是否脆弱。 系统设计者在设计系统时应充分考虑这一点。
由于以下原因,一些个人在个人数据被收集、滥用、丢失或被盗时,可能更易受到隐私风险或伤害:
对于脆弱人群的个人数据或敏感信息,可能需要额外的隐私保护措施,这类信息如果被收集、使用或共享,可能导致个体处于脆弱状态(例如阻止跟踪元件、传感器数据或关于已安装软件或连接设备的信息)。
虽然有时他人可以帮助脆弱人群评估隐私风险并作出决策(如父母、监护人和同伴),但每个人都拥有自身的隐私权利。
一些脆弱人群需要一个监护人来帮助他们为自己的网络使用做出良好决策(例如儿童,父母通常充当他们的监护人)。有监护人的人被称为受监护人。
受监护人有权就其隐私权做出知情决定并行使其自主权。当受监护人的能力不足时,其监护人有义务帮助受监护人这样做,即便这与监护人的个人意愿冲突。在实践中,许多监护人并未总是为其受监护人的最佳利益作出决定,因此网络平台技术不得加剧这种局面固有的风险,这是至关重要的。
用户代理应在慈善性的监护人保护其受监护人免受危险的需要,与受监护人在其能力不足时保护自己的需要之间取得平衡。
用户代理可以通过遵守2.8 设备所有者与管理员中的原则来保护脆弱的受监护人,并且仅可为帮助监护人履行其对受监护人的责任的目的向监护人提供有关受监护人的信息。用于执行该目的的机制必须包含措施,帮助那些意识到其监护人并未为其最大利益行事的受监护人。
隐私原则是通过社会过程确立的,因此,在特定情境下适用的隐私定义可能会受到争议([隐私争议])。 这使得隐私成为一个集体行动的问题([GKC隐私])。 群体层面的数据处理可能会影响到群体或个人,包括在即使按照同意最乐观假设下个人也无法控制的方式。例如,有时个人唯一愿意向特定参与方披露的信息是其属于某个群体。但同一群体的其他成员可能与同一参与方有更多互动,并披露了大量信息,这将使得可以对拒绝披露自身信息的人进行有效的统计推断。
因此,我们所要考虑的不只是数据共享者与邀请共享的参与方之间的关系([关系转向]),还包括那些即使未共享数据、也可能被间接归为某一群体的人之间的关系。一个关键认识是,这种关系可能在数据去标识后依然存在。更重要的是,这种对人的归类,无论自愿与否,都会改变现实世界的运作方式。 这可能形成自我强化的循环,对个人和群体都造成伤害([国家之眼])。
总体上,数据领域的集体性问题需要集体性解决方案。 Web标准通过在用户代理中定义结构性控制, 保证研究者与监管者能够发现群体级别的滥用情形, 并建立或委托可以应对隐私相关问题的机构,从而有助于实现数据治理。 如果治理方式主要依靠提升个体控制权而非依靠集体行动,则往往难以实现其目标。
大规模收集数据有时能带来显著的社会益处。问题往往出现在参与方同时为集体利益和不忠目的处理数据时。 这些不忠用途往往被解释为资助社会公益结果的手段,但这需要集体监督才是合适的。
人们成为群体成员有不同方式。要么他们故意加入,形成自我构成的群体,例如加入俱乐部;要么他们被外部行为主体(通常是官僚机构或其计算机化等价物)归类为某群体([Beyond-Individual])。在后者情况下,人们可能并不知道自己被分到某一群体内,而且群体的定义可能难以理解(例如如果它由不透明的机器学习技术创建)。
保护群体隐私可以在两个不同层面进行。群体的存在或至少其活动有时需要被保护,即使其成员被保证保持匿名。我们称之为“群体隐私”。相反地,人们可能希望保护他们是该群体成员的事实,即使该群体的存在及其行动可能已为人所知(例如在威权统治下异见者运动的成员资格),这一点我们称为“成员身份隐私”。前者的一个隐私侵犯示例是健身应用 Strava:它没有泄露个人行为或法定身份,但发布了受欢迎跑步路线的热力图,从而暴露了美国秘密基地周围军人经常跑步的路线([Strava-Debacle], [Strava-Reveal-Military])。
当关于一小群人的信息被处理时,即使没有暴露个体化的数据,人们的隐私利益也可能受到影响。例如,课堂中学生的浏览活动即使教师无法确切知道哪个学生访问了关于健康问题的特定资源,仍可能是敏感的。向小群体定向呈现信息也可能是不当的:例如,对访问某诊所或被召为陪审员的人群进行定向消息即使没有唯一的个体数据也可能具有侵入性。
当人们不知道自己是某一群体的成员、当他们无法轻易找到其他群体成员以共同主张权利,或当他们无法理解为何被归类到某一群体时,通过自我治理方式保护自身的能力就基本被消除了。
群体隐私中的一个常见问题是当一名群体成员的行为泄露了其他成员不希望以这种方式(或根本不希望)被分享的信息时。例如,一个人可能发布一张包含其他人的活动图片,而同被摄的其他人可能不希望他们的参与被公开。另一个例子是允许人们上传联系人信息的网站:执行上传的人可能更愿意披露其社交网络,而其联系人可能并不愿意。这类问题不一定有简单直接的解决方案,但建立和维护网站的人需要认真考虑这些问题。
虽然透明度很少足以帮助个体做出知情选择,但它在让研究人员和记者通报我们关于隐私原则的集体决策中发挥着关键作用。该考虑扩展了 TAG 关于强大且安全的网络平台的决议,以确保“当信息流和自动化决策涉及时,广泛的测试与审计仍然是可能的”。
这种透明度只有在存在强有力的数据访问权(包括从个人数据派生的数据)以及解释自动化决策结果的机制时才能发挥作用。
用户代理作为个人(其用户)与Web之间的中介。 用户代理在可能范围内实现集体治理为个人确立的原则,致力于防止信息不对称的产生,并通过自动化手段服务于其用户,以纠正自动化不对称。在可能的情况下,还会保护其用户免受侵扰性消息的干扰。
用户代理应当始终与其所服务的个人利益保持一致,并且只为该个人的利益而工作。它不是第一方。用户代理作为可信代理服务于个人: 它总是优先考虑该个人的利益。在某些情况下,这意味着通过阻止其做出危险决策或减缓决策速度,从而保护该个人免受自身行为伤害。例如, 用户代理在无法验证站点真实性时,会使用户难以访问该站点。它会检查个人是否真的打算将敏感设备暴露给页面。它还会阻止个人同意对其行为进行永久监控。其用户代理职责包括 ([认真对待信任]):
这些职责确保用户代理会关心其用户。在学术研究中,这种与值得信赖代理的关系常被描述为“受信义务”(fiduciary)([Fiduciary-Law], [Fiduciary-Model], [Taking-Trust-Seriously]); 参见 [Fiduciary-UA] 以获取更长的非正式讨论)。一些司法辖区对“受信义务”可能具有特定的法律含义。([Fiduciary-Law])
本文档其余部分描述的许多原则扩展并使用户代理的职责更加具体。
虽然隐私原则设计为相互协作并相互支持,但有时为改进系统在某一隐私原则上的表现而提出的建议可能会降低其在另一原则上的表现。
对于任何初始设计(未能完美满足所有原则),通常存在一些其他设计可以在不牺牲其他原则的前提下改善某些原则。要努力寻找这些设计。
换句话说,在开始在各原则之间进行权衡之前,先寻找帕累托改进。
一旦在帕累托前沿上需要在不同设计之间做选择,偏好哪个隐私原则的决定就变得复杂,并在很大程度上取决于每个具体情形的细节。注意,人们的隐私也可能与非隐私关切发生冲突。如在伦理网络原则中所述,“重要的是考虑特定技术应用的情境、技术的预期受众、技术使谁受益以及可能使谁受损,以及任何涉及的权力动态”([Ethical-Web-Principles])。尽管情况复杂,但有一条基本规则:
这是不将数据用于比收集时说明的目的更多用途的一般原则的一个特例。
服务有时会使用人们的数据来保护这些人或其他人。这样做的服务应解释它为此目的使用了哪些数据。它还应说明如果它认为某人违反了服务规则,它可能如何使用或共享该人的数据。
将一个人违反其所使用服务规则时,他们就牺牲了与之相称的隐私保护,这一说法很有吸引力,但
下面的示例说明了一些紧张关系:
本节描述了一组旨在普遍适用于网络情境的原则。网络上更具体的情境可能需要更多的约束或其他考虑。随着时间的推移,我们预计会为网络上更具体的情境发布更多专业化的隐私原则。
这些原则应由用户代理来强制执行。当这不可行时,我们鼓励其他实体寻找方法来执行这些原则。
一个人的身份是定义他们的一组特征。他们在情境中的身份是他们在特定情形下呈现的一组特征。
人们可以在不同的情境中呈现不同的身份,也可以在若干不同情境之间共享同一身份。
人们可能希望呈现临时或匿名的身份。这是一组过于有限或不稳定,以致无法用于随时间追踪他们的特征。
一个人的身份常常与他们持有的法律身份不同。
在某些情形下,用户代理为维护该原则,最佳做法是防止识别(例如,以防一个站点无法得知其用户在另一个站点上的行为)。
在其他情形下,用户代理维护该原则的最佳方式是支持识别(例如,帮助其用户向一个站点证明他们在另一个站点拥有特定身份)。
数据最小化能降低数据被披露或滥用的风险。它还帮助用户代理和其他行为主体更有意义地解释其用户需要做出的决定。欲了解更多信息,请参阅Web API 中的数据最小化。
数据最小化原则适用于所有个人数据,即使该数据并不被认为是识别性的、敏感的或其他可能有害的参见:2.4 敏感信息。
站点有时会以非用户主要目标所需的方式使用数据。例如,它们可能对广告商计费、衡量站点性能,或向开发者报告错误。这些都是对数据的附带用途的示例。
一种附带用途是任何在其中数据处理主要直接为除该数据所述的个人之外的行为主体提供直接利益的情况。对个人数据的附带用途可能间接为该个人提供好处,但任何好处都是间接的。例如,向广告商收费可以使站点维持其业务并在将来继续提供交互,这种好处主要由站点所有者实现。
所有这些数据来源都可能泄露关于某人的配置、设备、环境或行为的个人数据,这些数据可能是敏感的,或可被用于浏览器指纹识别以实现跨情境识别。为维护2.2 数据最小化原则,站点和用户代理应努力理解并尊重人们关于使用这些数据的目标和偏好。
工作组尚未就用户代理应如何处理从现有信息计算得出的附带 API达成共识。 这些 API 的支持者认为它们难以被用于提取个人数据,它们比通过非附带 API收集相同信息更高效,如果大量用户关闭这些 API,站点也不太可能采用它们,且关闭这些 API 的行为本身可能会导致浏览器指纹识别的增加。反对者认为,如果数据更容易或更便宜收集,将会有更多站点收集这些数据,而由于仍然存在一定风险,用户应能关闭这类 API(这些 API 很可能不会直接破坏站点功能)。
因为不同用户可能有不同偏好:
大多数附带用途并不要求站点了解任何个人数据。例如,站点性能测量和广告计费通常涉及对许多用户的数据进行平均或求和,使得任何个体的贡献都被模糊化。私有聚合技术通常可以让 API 在不暴露个人数据的情况下满足其用例,通过防止任何参与者被识别。
有些附带用途并不要求其数据与某个人相关,但跨多人进行的有用聚合很难设计成 Web API,或可能需要发明新技术。API 设计者可以采取的一些处理方式包括:
如果一个 API 必须在这些选择中做出取舍,然后该 API 的其他方面需要更改,设计者应考虑用一个避免暴露个人数据的新 API 来替换整个 API。
另一些附带用途确实要求将某人与其数据关联起来。例如,有人可能希望提交一个有关某网站在其特定计算机上出现故障的错误报告,并在开发者修复错误时能收到后续沟通。这是请求该人的许可的适当时机。
有些人可能知道关于其特定情况的某些信息,使得 API 设计者的一般性决定对他们不适用。因为提供新信息的附带 API提供的信息无法通过其他方式获得,用户代理应允许人们关闭它们,尽管这会额外增加浏览器指纹识别的风险。
可供站点使用的众多 API 暴露了大量数据,这些数据可以组合成关于人、Web 服务器及其他事物的信息。
由用户控制的设置或权限可以作为对 Web 上数据的访问保护机制(访问保护)。在设计 Web API 时,应使用访问保护以确保该 API 以适当的方式暴露信息。
添加获取信息新方法的新 API 必须至少与现有方法一样受到访问保护的保护。
在一组访问保护下可接受暴露的信息,在另一组保护下可能不可接受。当 API 设计者打算通过指出现有可接受的 API 已经暴露相同信息来证明其新 API 的可接受性时,他们必须确保其新 API 仅在至少同样严格的保护下可用。若无这些保护,他们需要从头证明其合理性,而不能依赖现有 API。
如果现有 API 提供对某些信息的访问,但计划对这些 API 进行更改以防止该访问,则不得添加提供相同信息的新 API,除非它们包含额外的访问保护以确保访问是适当的。
关于某人的许多信息在被披露时都可能造成隐私伤害。例如:
特定信息对不同人的敏感性可能不同。如果关于某人的敏感信息已被或可能被暴露,那些人可能会变得脆弱;参见 1.2 脆弱性。
尽管单独的数据权利不足以满足网络上所有的隐私原则,但它们支持自我决定并有助于提高问责性。这些权利包括:
该权利包括能够审查已关于自己收集或推断的哪些信息,并能够发现哪些行为主体已收集关于自己的信息。因此,包含关于人们信息的数据库不能被保密,且收集关于人们的数据需要对这些人具有实质性的可发现性。
无论某人是否完全终止使用某项服务,他们都有权删除关于自己的信息,尽管哪些数据可以被删除在这两种情况之间可能有所不同。在网络上,某人可能希望删除设备上的数据、服务器上的数据或两者,且数据的位置并不总是对该人清晰可见。
可携带性有助于支持某人就具有不同数据实践的服务做出选择。互操作标准对于有效重用至关重要。迁移用户数据涉及的安全和隐私风险载于 [Portability-Threat-Model]。
对于某些具有重大后果的决策,在自动化画像中能够将自己排除具有隐私利益。例如,某些服务可能基于收集到的关于一个人的数据来改变商品价格(价格歧视)或信用/保险的报价。这些改变可能具有重大影响(例如财务上的),并且那些认为基于其数据的决策不准确或不公的人可能对此表示反对。再例如,一些服务可能基于对摄像头数据运行的面部识别算法来推断用户的身份、人性或在场状态。由于面部识别算法及其训练集可能存在缺陷并体现某些偏见,人们可能不愿接受基于此类自动识别的决策。
人们可能会改变他们对同意的决定,或可能对随后对关于他们的数据的使用提出异议。数据权利意味着个人需要拥有持续的控制,而不是仅在收集时的一次选择。
经济合作与发展组织(OECD)隐私原则 [OECD-Guidelines]、[Records-Computers-Rights] 以及 [GDPR] 等文献,描述了数据主体作为人们所享有的许多权利。这些由人们对关于他们的数据所享有的参与性权利是与自主性固有相关的。
当存在高度信心认为数据所描述的任何个人无法仅凭该数据或结合其他可用信息被直接或间接识别(例如通过与某个标识符、用户代理或设备关联)时,该数据即被视为已被去标识化。许多本地法规对数据被视为去标识化定义了额外要求,但这些要求不应被视为隐私保护的上限。关于群体的进一步考虑见“隐私中的集体问题”部分。
当出现以下情况时,我们将其称为受控去标识化数据:
不同情形下涉及的受控去标识化数据将需要不同的控制措施。例如,如果受控去标识化数据仅由一个行为主体处理,典型控制包括确保数据中使用的标识符对该数据集是唯一的,任何有权访问这些数据的人员(例如该行为主体的员工)被禁止(例如基于法律条款)进一步共享这些数据,并且存在防止重新识别或连接涉及该数据的不同数据集的技术措施。
总体目标是确保以可行的监督和问责程度使用受控去标识化数据,以便保存保证假名性维护的技术和程序手段。
隐私原则通常以扩展个人权利的方式来定义。然而,在某些情况下,决定适用哪些原则最好由群体代表集体作出。应考虑集体决策:
依据所处理的数据不同,集体决策的不同形式可能是合法的。这些形式可能是各种行政层级的政府机构、标准组织、工人谈判单位或公民社会论坛。尽管集体决策可以优于将隐私劳动转嫁给个人,但它并非灵丹妙药。决策机构需要被谨慎设计,例如使用 Institutional Analysis and Development 框架。
详见 1.2.1 监护人,了解该原则如何适用于有监护人的脆弱人群的更多细节。
计算设备有管理员,他们拥有对设备的特权访问以安装和配置运行在其上的程序。设备的所有者可以授权某个管理员对整个设备进行管理。有些用户代理的实现还可以基于登录到该用户代理的账号分配某个管理员来管理特定的用户代理。
有时使用设备的人并不拥有该设备或没有管理员访问权限(例如,雇主向雇员提供设备;朋友将设备借给客人;或父母向年幼的孩子提供设备)。另一些时候,设备的所有者和主要用户可能并非唯一拥有管理员访问权限的人。
这些关系可能涉及权力不对称。孩子可能难以访问除父母提供的设备之外的任何计算设备。虐待受害者可能无法阻止其伴侣拥有对其设备的管理员访问权限。员工可能不得不同意使用雇主的设备以保住工作。
虽然设备所有者有兴趣并有时有责任确保其设备按其意图被使用,但使用设备的个人在使用设备期间仍然享有隐私权。本原则通过两种方式确保该隐私权:
某些管理员请求对某些类型的用户(如雇员或儿童)可能是合理的,但对其他类型用户(如朋友或亲密伴侣)则不一定合理。用户代理应以帮助不同用户作出适当反应的方式解释管理员将要了解的内容。
数字滥用是通过数字手段对人进行的虐待。在线骚扰被定义为“通过有害行为对个人或群体在网上的广泛或严重针对性”([PEN-Harassment]),并构成一种滥用。骚扰在网络上是一个普遍问题,尤其是在社交媒体上。尽管骚扰可能影响任何使用网络的人,但对 LGBTQ 人群、女性、种族或民族少数群体、残障人士、脆弱人群和其他边缘化群体而言,骚扰可能更为严重,其后果也更具影响力。
骚扰既是隐私本身的侵犯,也可以被隐私的其他侵犯所助长或加剧。
骚扰可能包括:发送不想要的信息;指使他人联系或打扰某人(“蜂拥攻击”);披露某人的敏感信息;发布关于某人的虚假信息;冒充他人;侮辱;威胁;以及仇恨或贬损性言论。
识别性或联系信息的披露(包括“人肉搜索”)常被用于导致额外攻击者发送持久的等同于骚扰的不想要的信息。位置信息的披露可以被用于侵入某人的人身安全或私人空间。
报告机制是缓解手段,但在主持者、版主或其他中介支持或共谋于滥用的情况下,报告机制可能无法阻止骚扰。
有效的报告可能需要:
不想要的信息涵盖了广泛的未经请求的通信,从单个通常无害但累积起来成为滋扰的消息(垃圾邮件)到发送露骨、图形或暴力图像。
系统设计者应采取措施使发送不想要的信息变得更困难或更昂贵,并增强对发送者的问责。
为目的而设计的特性通过提供仅为特定目的有用或主要有用的功能来促进这些原则。为目的而设计的特性使得向人们解释用途更容易,并可能限制数据可行的次要用途。在构建为目的而设计的功能时,考虑高层与低层 API 之间的权衡。
受控去标识化数据可以在与已说明目的兼容的方式下用于额外目的。
透明度是同意的必要但不充分条件。相关的说明性信息包括谁在访问数据、访问了哪些数据(包括可能的推断或组合)以及数据如何被使用。为了使透明度对人们有意义,说明性信息必须在相关的情境中提供。
在设计可能涉及权限的新 Web 功能时,考虑是否需要某个权限以及如何使该权限具有实际意义 [Adding-Permissions]。
过去的研讨会探讨了在 Web 上改进权限的需求:
隐私相关做法的机器可读展示对于用户代理能够帮助人们做出一般性决定是必要的,而不是错误地依赖人们在每次访问网站之前阅读文档的想法。机器可读的展示也通过使研究人员和监管者更易发现、记录和分析数据收集与处理,从而促进集体治理。
便于访问的明文(人类可读)展示对人们在具体情况下做出知情决定时是必要的。站点、用户代理以及其他行为主体都可能需要以可访问的形式向人们呈现隐私相关做法。
非透明的识别方法有害的部分原因在于它们对用户不可见,这破坏了用户控制 [Unsanctioned-Tracking]。设计出能最小化数据并使数据请求显式的特性可以实现可检测性,这是一种重要的透明度缓解措施,有助于防范浏览器指纹识别。
试图获取与个人真实偏好不符的处理的同意,会将不受欢迎的隐私劳动强加给个人,并可能导致人们错误地给予他们后来后悔的同意。
当某人不太可能拥有足够信息做出是否同意的知情决定时,行为主体不应提示该人请求同意。在评估某人是否已被充分告知以便询问同意时,行为主体应现实地评估理解所请求处理所需的时间和精力。仅提供指向复杂政策的链接不太可能意味着该人已被告知。
替代中断用户的同意请求的示例包括:
考虑站点受众和类别中的信息共享规范,并仅请求与站点目的相适应的同意。(例如,照片分享站点的用户可能期望在分享其上传作品时被提示请求同意。)站点应考虑就人们对数据处理的期望开展用户研究。
将同意提示延迟到某个将请求放入上下文的用户动作发生时,这也将帮助他们给出知情的回应。
某人可能会分享关于其他人的数据(例如包含该人和其他人的照片)。如果该人同意对该数据的处理,这并不意味着那些其他人也已同意。
通知和其他打断性的用户界面是吸引注意力的强大手段。根据所使用的操作系统,通知可能会出现在浏览器上下文之外(例如在系统通知托盘中),甚至使设备振动或播放提示音。像所有强大功能一样,通知可能被滥用,成为一种恼人乃至用于操控行为的手段,从而降低自主性。
用户代理应提供用户界面,允许其用户审计哪些 Web 站点已被授予显示警报的权限,并撤销这些权限。用户代理还应对最初请求接收通知权限的请求应用某种质量度量(例如,禁止站点在首次访问时请求权限)。
Web 站点在请求发送打断性通知的权限时,应告知其用户人们可以期待收到何种具体信息,以及如何关闭通知。Web 站点不应在用户不太可能具有足够知识(例如关于其正在注册接收何种通知的信息)以做出知情回应时请求发送通知的权限。如果不太可能提供此类信息,则用户代理应采取缓解措施(例如,警告可能的恶意使用通知 API)。权限应在上下文中请求。
人们应自由限制他们共享的私人信息量,要求行为主体限制已共享数据的用途,或请求删除数据。当某人选择拒绝或撤回对其数据的使用许可时,进行报复是不恰当的。
当拒绝提供对服务运行至关重要的数据导致服务终止时,这并非报复。然而,如果拒绝提供某些数据导致与该数据使用无关的行为,则可能构成报复。报复行为的示例包括:
使撤回同意的过程比授予同意更繁琐;
使用威胁、纠缠或欺骗([dark-patterns)鼓励人们重新考虑其选择;以及,
拒绝访问与该数据使用无关的服务。
行为主体可以投入时间和精力自动化从人们处收集数据的方式,并可以设计其产品使得披露信息比不披露信息更容易,而人们通常必须手动浏览选项、反复提示和欺骗性模式。在许多情况下,当某人拒绝提供某些信息时,数据的缺失本身也可能具有识别性或揭示性。此外,API 的定义或实现方式可能很僵化,从而阻止人们访问有用的功能。例如,我可能想在将要访问的城市中查找餐馆,但如果我的地理位置被强制设置为匹配我的 GPS,餐馆查找站点可能只允许在我当前所在位置进行搜索。在其他情况下,站点不遵守数据最小化原则并请求超过其所需的信息。本原则支持人们最小化其自身的数据。
用户代理应简化人们以其希望的身份进行呈现并以他们能控制的方式提供关于自己或其设备的信息。这有助于人们在不显眼中生活([Lost-In-Crowd],[Obscurity-By-Design]),包括通过混淆关于他们自己的信息([Obfuscation])。
取而代之,API 可以指示某人的偏好、某人选择的身份、某人的查询或兴趣、或某人选择的通信风格。
例如,用户代理可能通过以下方式支持该原则:
站点在威胁建模中应包含欺骗性因素,并不应假定 Web 平台 API 在用户方面提供任何一致性、时效性或正确性的保证。人们通常可以控制他们用于与站点交互的设备和软件。作为对站点请求的回应,人们可能会出于恶意或自我保护等多种原因任意修改或选择他们提供的信息。
在任何极少数情况下,当某个 API 必须被定义为返回真实的当前值时,用户仍可配置其代理以使用其他信息作出响应,理由包括测试、审计或缓解某些形式的数据收集,包括浏览器指纹识别。
A 人(亦称为用户或数据主体)指任何自然人。贯穿本文档,我们主要使用“人”或“人们”来指代人类,以提醒其人性。当我们使用术语“用户”时,是指正在在特定时间使用某个系统的那个具体人。
A 易受伤害的人在特定的情境中,指其自行做决定的能力比一般情况更容易被剥夺的人。在许多方面,应给予他们更严格的默认隐私保护,并且在某些情况下可能被视为无法对与系统的各种交互给予同意。人们可能因不同原因而处于脆弱状态,也可能仅在特定情境中变得脆弱。例如,儿童在许多情境中可能更脆弱,但在与雇主或其他行为主体存在权力不对等的位置上,某人也可能在这些该行为主体存在的情境中变得脆弱。参见 1.2 脆弱性。
A 情境是人们与其他行为主体交互的物理或数字环境,且该环境被人们理解为有别于其他情境的环境。
一个情境并不是根据谁拥有或控制它来定义的。在同一公司不同情境之间共享数据可能构成隐私侵犯(privacy violation),就像相同数据在互不关联的行为主体之间共享一样。
An 行为主体是一个实体,人可以合理地理解为他们正在与之交互的单一“事物”。行为主体可以是人,也可以是诸如公司、协会或政府机构之类的集体实体。
用户代理通常会向个人说明是哪一个源或站点 提供了他们正在查看的网页。就该参与方在该源或站点上对内容和数据处理做出或委托决策的情况,被称为该网页的第一方。当个人 与网页的某一部分互动时,该互动的第一方通常就是该网页的第一方。 但是,如果另一个参与方对该页面部分的工作方式做出决策,并且一个在现实时间和精力限制下的理性人会意识到该其他参与方拥有此控制权,那么该其他参与方即成为该互动的第一方。
我们将个人数据定义为任何与某一已识别或可识别的个人直接或间接相关的信息,如通过引用 标识符([GDPR], [OECD-Guidelines], [Convention-108])。
在网络上,某种类型的标识符通常被分配给网站所见的某个身份,这样便于自动系统存储关于该个人的数据。
如果通过把数据与其他数据结合,合理地能够识别或重新识别某个人,那么两组数据都属于个人数据。
个人在特定情境下,如果该情境中的参与方遵循该情境的原则来展示信息和使用个人数据,则认为该个人拥有隐私。 若未遵循该情境原则,则构成隐私侵犯。我们认为,如果遵循了原则,则某一行为是 适当的,反之即为不适当。
当参与方处理数据时,不论是否采用自动化方式,只要对个人数据进行:收集、记录、组织、结构化、存储、调整、提取、查询、使用、通过传输披露、共享、传播或以其他方式提供、出售、对齐或合并、限制、擦除或销毁等操作,即视为数据处理。
当一个参与方将数据提供给任何其他数据控制者时,即视为共享数据。注意,在此定义下,如果参与方只是将数据提供给自己的服务提供商,则不属于共享。
当一个参与方出售数据时,指该方以换取某种价值为代价共享了数据,即使该价值不一定是金钱。
某次数据处理的目的 是指在特定情境下,为实现、预期或计划中的处理结果。当描述用途时,应具体到相应情境的知情者能提出某种 手段去达成该目的。
手段 指为实现特定目的,在指定情境中对数据处理的总体方式。手段比较抽象,不包括所有实现细节。例如,为了恢复个人偏好,“手段”可以是从偏好存储中查找其标识符。
数据控制者是指决定数据处理 手段和目的的参与方。任何不是服务提供商的参与方都是数据控制者。
服务提供商或数据处理者:
识别是意识到某一给定的身份与另一个可能在另一个情境中观察到的身份对应为同一人的行为。识别可为概率性的,即当某人意识到两种身份很可能對應同一個人時,即使并非完全确定,也可视为识别。
无论识别中是否包含其法律身份或法律身份的特征,某个人都可以被识别。
可能发生若干种类型的识别。
跨情境识别仅在被识别的那个人可以合理预期识别会发生且能控制其是否发生时,才是适当的。
如果某人在两个不同情境中使用了某个识别信息(例如电子邮件或电话号码),这并不自动意味着他们打算在两个情境中使用相同的身份。除非有其它迹象表明其打算使用单一身份,否则基于该信息对其进行识别是不适当的。同样,寻求额外的识别信息以辅助跨情境识别也是不适当的。
那些在不同情境间识别人们的系统,需要小心避免将一個情境的原則适用到在不同情境获取的信息上,从而违反另一情境有关信息使用的原则。这对脆弱人群尤为重要,因为在不同情境中识别他们可能暴露出揭示其脆弱性的特征。例如,如果你在派对上遇到你的治疗师,你会期望他们在该场合与通常不同的话题与你交谈,甚至可能假装不认识你。
跨站点识别是指当这些身份在不同的站点上被观察到时的识别。在通常情况下,若这些站点属于不同的情境,则跨站点识别在与跨情境识别相同的情形下被视为不适当。
如果某人合理预期他们在对同一站点的不同访问中会使用不同的身份,但该站点仍然在任一情况下对其进行识别,則會产生隱私伤害。
注意这些类别是重叠的:跨站点识别通常是跨情境识别(且始终在跨 分区的情形下進行識別);而同站点识别有時亦屬於跨情境识別(且可能涉及或不涉及多個分區)。
A 分区是用户代理试图匹配其用户如何理解某一情境的尝试。用户代理并不能完美理解其用户如何体验所访问的站点,因此在构建分区时,常需近似地确定这些情境之间的边界。
在没有更好信息的情况下,分区可被定义为:
iframe、worker
和頂級頁面)對於用戶代理來說,偵測單一站點內何時包含多個不同的情境可能很困難。當用戶代理能夠檢測到這種情形時,應相應地調整其分區,例如按子域或站點路徑對身份進行分區。用戶代理應致力於提高其在站點內區分情境的能力。
注意即便站点并不完全确定多次访问是否来自同一人,也可能造成伤害,因此用户代理也应采取措施防止此类概率性识别。關於此類权衡,請參見 目標隱私威脅模型(Target Privacy Threat Model)(參見 [Privacy-Threat])。
如果用户代理能夠判斷其用戶在某網站上使用了特定身份,則應向用戶清楚展示該活動身份(例如:若用戶透過像 Credential Management Level 1 這樣的 API 登入該站點時)。
本文件不遵循严格的 [RFC2119] 术语, 因为其主要是信息性质,不易用于约束一致性分类。 但在原则的表述中,我们注意使用“should”以表示在有正当理由的极少数情况下原则可以被覆盖, 并使用“must”以表示我们认为没有任何情况能证明背离该原则是合理的。
本文件中的一些定义基于 Tracking Preference Expression (DNT) 的工作之上。
下列人员按名字字母顺序排列,对本文件的制作起到了关键作用并作出了宝贵贡献: Amy Guy, Ben Savage, Chris Needham, Christine Runnegar, Dan Appelquist, Don Marti, François Daoust, Ian Jacobs, Irene Knapp, Jonathan Kingston, Kyle Den Hartog, Mark Nottingham, Martin Thomson, Nick Doty, Peter Snyder, Sam Weiler, Shubhie Panicker, Tess O'Connor,以及 Wendy Seltzer。
本规范中未列出任何问题。
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in:
Referenced in: