2015年8月20日,W3C的追踪保护工作组(Tracking Protection Working Group)就追踪偏好表达(Tracking Preference Expression,DNT)候选推荐标准(Candidate Recommendation),向公众征集参考实现。该规范将DNT请求头字段(header field)定义为:一个表达用户追踪偏好的HTTP机制;一个通过脚本使用户追踪偏好表达具有可读性的HTML DOM属性;允许脚本注册经用户允许的网站特定例外的APIs。该规范同时定义了一个可以通过使用提供机器可读的追踪状态的“Tk”响应字段以及众所周知的资源来传达是否需要以及如何处理公认用户偏好的沟通机制。
8月20日,W3C的Wendy Seltzer发布博客文章“TPE to CR: Advancing the Conversation about Web Tracking Preferences”,探讨未来追踪保护工作的思路,具体内容如下。
关于“DNT”的HTTP头的讨论是一个广泛的关于公众隐私保护的讨论。TPE允许用户通过其代理(如浏览器等)向服务器发送一个信号,“不要追踪我”,或告诉服务器“我不介意你的追踪行为”。这一规范将确保服务器端能够获得用户关于追踪行为的偏好。目前,DNT头已经获得了绝大多数浏览器的支持,用户已经有一个办法通过这个“1比特”的信息来表达自己的追踪偏好了。
目前,追踪保护工作组正在尝试定义与 DNT 偏好相适应的追踪含义(meaning of tracking)。工作组的目标是,在第二份工作文档中,定义对于大部分用例有真正应用价值的表达方法,确保所定义的标准足够灵活,以适应不同的商业应用场景,从而使站点通过对追踪状态消息的响应中加入一个URI,或其他方法来表达站点所遵循的追踪规则。工业界可以选择遵循 W3C定义的追踪行为的合规性规范(Compliance specification),或选择其他的替代物来表达这一规则。
我们欢迎其他的工作组考虑 DNT 这个HTTP头部的更多使用方法。EFF等也发布了关于描述追踪偏好合规性策略(compliance policy)的替代性方案。用户可以安装 EFF 的 Privacy Badger(一个浏览器插件),从而扩展支持追踪偏好策略,帮助屏蔽哪些违反追踪偏好行为的请求。我们观察到,这一工具正是基于 TPE 规范,是对 Do Not Track 这个生态系统的有益扩展,通过 DNT 头向服务器端表达隐私请求,并给出了一些新的响应文本。
这一工作的重要性在最近 W3C技术架构组(TAG)关于“未经许可的Web追踪行为(Unsanctioned Web Tracking)” 的报告中得到了肯定。TAG认识到,基于标准Web协议的追踪行为应充分考虑并尊重用户隐私保护需求,以及用户对数据流的控制需求,同时可以为用户和其他研究者提供透明性,这是Web产业的合理组成部分。而未经许可的追踪行为将凌驾于良好定义的Web标准和机制之上,并最终将损害用户的信任。TPE响应及追踪偏好的合规性将成为Web隐私及保持透明性的重要工具,帮助站点满足用户期望的同时,准种的隐私保护需求。
更多信息,请参阅英文原文,及W3C的隐私保护标准计划(Privacy Activity)。关于博客文章的详细信息,请参阅英文原文,W3C Blog: TPE to CR: Advancing the Conversation about Web Tracking Preferences 。更多博客文章,请参阅W3C Blog(中文)。欢迎您使用W3C官方博客及W3C中国网站参与互动讨论。