Nie zawiera baterii. Oceny Prywatności w Organizacjach Standaryzacyjnych (W3C)

Projektowanie standardów ze wsparciem dla prywatności powinno samo w sobie być standardem. Nie zawsze jednak tak było, a idea wbudowywania systemów wspierających prywatność, czy procesów Privacy by Design sąstosunkowo nowe i datują się na - mniej więcej - początek tej dekady.

Jestem szczęśliwy, że aktywnie uczestniczę w tych działaniach zarówno na polu badawczym jak i standaryzacyjnym, jako ekspert World Wide Web Consortium, W3C. Jest to jedna z najważniejszych organizacji standaryzujących technologie - bo odpowiada za “regulowanie” tego, jak działają otwarte standardy sieci. Tej sieci, z której korzystają miliardy ludzi.

Oceny standardów w W3C pod kątem prywatności to zagadnienie złożone. Jedną z cegiełek w tym temacie są moje dość długie badania nad prywatnością przeglądarek. W 2015 byłem liderem zespołu, który badał mechanizm przeglądarek internetowych umożliwiający odczyt poziomu stanu baterii urządzenia przez strony internetowe. Ustaliliśmy, że wbrew temu co twierdzono w specyfikacji - niesie on jednak znaczące konsekwencje dla prywatności, może zostać użyty do śledzenia i profilowania, itd. Był to wyniki silnie nieintuicyjny. Przewidywania te ziściły się zresztą już w 2016, co raportowała gruba badaczy z Princeton.

W efekcie - rzecz bezprecedensowa, bo przeglądarki internetowe (np. Firefox w wersji 52) - po raz pierwszy w historii Internetu - zdecydowały się zmniejszyć funkcjonalność, cytując względy prywatności. Wynik był głośny (m.in. trzy razy w the Guardian :)), ale przede wszystkim o dużym znaczeniu technicznym, organizacyjnym i rzeczywistym.

Teraz we współpracy z kolegami z Princeton zrobiłem kolejną analizę - szczegółowe studium przypadku wydarzeń związanych z mechanizmem odczytu stanu baterii, głęboką analizę procesu “oceniania specyfikacji w kontekście prywatności” w ramach W3C, a także - dalsze potwierdzenie nadużywania mechanizmu odczytu stanu baterii.

Skierowaliśmy też szereg zaleceń dla organizacji standaryzacyjnych, dla producentów przeglądarek, dla deweloperów i dla badaczy.

Badania te będą prezentowane na IEEE Privacy Engineering Workshop w San Jose. Wcześniej omówię je na seminarium Dagstuhl, na które otrzymałem zaproszenie, a także na warsztatach w Brukseli skierowanych do osób odpowiedzialnych za podejmowanie decyzji na poziomie standaryzacji i polityki ochrony danych gdzie poproszono mnie o omówienie moich badań.

Ten wpis jest skróconą wersją dłuższego wpisu na moim anglojęzycznym blogu.