德國法院認為 DNT header 具有法律的告知效力

HN 上面看到「German court declares Do Not Track to be legally binding (vzbv.de)」這個消息,原文是德文:「Gericht untersagt Datenschutzverstöße von LinkedIn」,Google Translation 翻譯的結果:「Court bans LinkedIn data protection violations」。

LinkedIn 告知使用者他們不會理會 DNT,德國法院則是認為 DNT header 是已經告知對方不願意被追蹤了:

„Wenn Verbraucher:innen die ,Do-Not-Track‘-Funktion ihres Browsers aktivieren, ist das eine klare Botschaft: Sie wollen nicht, dass ihr Surfverhalten für Werbe- und andere Zwecke ausgespäht wird“, sagt Rosemarie Rodden, Rechtsreferenin beim vzbv. „Webseitenbetreiber müssen dieses Signal respektieren.“

“When consumers activate the 'Do Not Track' function of their browser, it sends a clear message: They do not want their surfing behavior to be spied on for advertising and other purposes,” says Rosemarie Rodden, legal officer at vzbv. “Website operators must respect this signal.”

這好像是第一次看到 DNT 相關的法律判決?可以看看後續有沒有新的消息 (上訴之類的),來看看最終的判決會是怎麼樣。

Apple 將移除掉 Safari 的 DNT 功能

在「Apple Removes Useless 'Do Not Track' Feature From Latest Beta Versions of Safari」這邊看到的,看起來包括 iOSmacOS 都會移除:

因為沒什麼單位願意遵守,沒必要多送幾個 bytes 還順便讓廣告商可以判斷...

各家 Session Replay 服務對個資的處理

Session Replay 指的是重播將使用者的行為錄下來重播,市面上有很多這樣的服務,像是 User Replay 或是 SessionCam

這篇文章就是在討論這些服務在處理個資時的方式,像是信用卡卡號的內容,或是密碼的內容,這些不應該被記錄下來的資料是怎麼被處理的:「No boundaries: Exfiltration of personal data by session-replay scripts」,主要的重點在這張圖:

後面有提到目前防禦的情況,看起來目前用 adblock 類的軟體可以擋掉一些服務,但不是全部的都在列表裡。而 DNT 則是裝飾品沒人鳥過:

Two commonly used ad-blocking lists EasyList and EasyPrivacy do not block FullStory, Smartlook, or UserReplay scripts. EasyPrivacy has filter rules that block Yandex, Hotjar, ClickTale and SessionCam.

At least one of the five companies we studied (UserReplay) allows publishers to disable data collection from users who have Do Not Track (DNT) set in their browsers. We scanned the configuration settings of the Alexa top 1 million publishers using UserReplay on their homepages, and found that none of them chose to honor the DNT signal.

Improving user experience is a critical task for publishers. However it shouldn’t come at the expense of user privacy.

Google Chrome 23 內建 DNT 設定了...

在「Google Implements Do Not Track in Chrome 23」這邊被提醒 Google Chrome 23 支援 DNT,到設定頁裡把「顯示進階設定...」展開,然後把『將「不追蹤」要求與瀏覽流量一併送出』勾起來就可以了:

開發工具可以看到送出要求時會帶 DNT: 1

網路隱私權的改善:Do Not Track

國內各網站都不太提這個東西,大概是因為他們都得靠廣告維生,所以完全不提... XD

2007 年的時候 pesty 寫過一篇文章,關於網路廣告平台要如何判斷你的「特徵」(以文章內的例子,可以判斷出你的性別):「網路廣告商怎麼知道你是誰? 從 ClickStream 來判斷用戶資料」,這樣可以藉由更精準的投放,提高廣告的成效。

以 pesty 舉出的例子來說,假設你逛過 26 個網站,其中五個有 DoubleClick 廣告,那麼 DoubleClick 就可以依據這些資料,以及統計方法,分析你的特徵:(圖有點大張,請點小圖看大圖)

不少廣告商都有提供 opt-out (退出) 的功能讓你不被分析,但網路廣告商這麼多,你不太可能一個一個去各網站設定退出。所以有些人寫了 Firefox 套件「自力救濟」,你只要裝了這些套件就可以自動退出上百個廣告商的分析:「Beef Taco (Targeted Advertising Cookie Opt-Out)」、「Targeted Advertising Cookie Opt-Out (TACO)」。

另外則是有群人開始提議,是不是可以直接在瀏覽器裡面設定,當每次開網站的時候都固定送出某個資訊,告訴這些網站 (以及廣告商) 你不願意讓他們分析使用者行為。這個提議也就是標題所提到的「Do Not Track」。這個提議也送到 IETF (網際網路工程任務組) 及 FTC (美國聯邦貿易委員會,這是個美國政府單位),希望能夠變成 IETF 標準,並且可以透過法律強制執行:「Do Not Track FTC Comment: What It Means, How to Enforce It, and More」。

最近 IE9 與 Firefox4 都內建了 Do Not Track 機制,預設是關閉的。以 Firefox 4 的設定來說,滑鼠游標在的那個選項就是 Do Not Track:

如果你還在用 Firefox 3.6 也沒關係,Adblock Plus 新版 (1.3.5) 也要支援 Do Not Track 了:「Do Not Track support in Adblock Plus」。

設上去以後連任何站台都會送 DNT header,滑鼠游標在的那個地方就是 DNT header:(圖有點大張,請點小圖看大圖)

IE9 的部份因為沒有在用,所以暫時沒有截圖可以看... XD