Bộ Thông tin và Truyền thông

Cục Chuyển đổi số quốc gia

TÀI LIỆU - BÁO CÁO
Xem tất cả »

Giao thức an toàn thông tin cá nhân – Platform for Privacy Preferences Project - P3P 

Giao thức an toàn thông tin cá nhân (Platform for Privacy Preferences Project - P3P) là một giao thức cho phép các trang web công bố ý định sử dụng thông tin thu thập được về người dùng trình duyệt web, được thiết kế để cung cấp cho người dùng nhiều quyền kiểm soát thông tin cá nhân của họ hơn khi duyệt web...
: 19/11/2017
Bản in

Giới thiệu

Giao thức an toàn thông tin cá nhân (Platform for Privacy Preferences Project - P3P) là một giao thức cho phép các trang web công bố ý định sử dụng thông tin thu thập được về người dùng trình duyệt web, được thiết kế để cung cấp cho người dùng nhiều quyền kiểm soát thông tin cá nhân của họ hơn khi duyệt web. P3P được phát triển bởi Hiệp hội Web toàn cầu (World Wide Web Consortium - W3C) và chính thức được giới thiệu vào ngày 16 tháng 4 năm 2002 nhưng đã bị ngừng phát triển ngay sau đó và chỉ có rất ít hoạt động về P3P được triển khai. Chỉ có hai trình duyệt lớn duy nhất hỗ trợ P3P là trình duyệt Internet Explorer và trình duyệt Edge của Microsoft. Chủ tịch của TRUSTe cho rằng P3P đã không được triển khai rộng rãi vì gặp nhiều khó khăn và mang lại ít giá trị.

Mục đích phát triển P3P

Khi World Wide Web trở thành nơi tin cậy để bán sản phẩm và dịch vụ, các trang web thương mại điện tử cố gắng để thu thập thêm thông tin về những người mua hàng hóa của họ. Một số công ty sử dụng những thực tế gây tranh cãi như việc sử dụng cookie theo dõi để thu thập các thông tin cá nhân của người dùng và thói quen mua sắm, sau đó, sử dụng các thông tin này để cung cấp các thông tin quảng cáo có mục đích cụ thể. Người dùng coi đây là việc xâm phạm quyền riêng tư và họ phải tắt các cookie HTTP hoặc sử dụng các máy chủ proxy để bảo đảm an toàn thông tin cá nhân của họ. P3P được thiết kế để cho phép người dùng kiểm soát được chính xác những loại thông tin mà họ cho phép thu thập. Theo W3C, mục tiêu chính của P3P là "tăng sự tin tưởng của người dùng và sự bảo mật trong môi trường Web thông qua việc nâng cao kỹ thuật”.

P3P là một ngôn ngữ có thể đọc được bằng máy, giúp thực hiện quản lý dữ liệu của trang web. P3P quản lý thông tin thông qua các chính sách riêng tư. Khi một trang web sử dụng P3P, họ (bên cung cấp trang web) thiết lập một bộ các chính sách cho phép họ công bố việc sử dụng thông tin cá nhân có thể thu thập từ những người truy cập đến trang của họ. Khi người dùng quyết định sử dụng P3P, họ thiết lập chính sách riêng và xác định thông tin cá nhân nào của họ sẽ cho phép các trang web mà họ truy cập được thu thập. Sau đó, khi một người dùng truy cập đến một trang web, P3P sẽ so sánh thông tin cá nhân mà người dùng muốn công khai với thông tin mà máy chủ muốn nhận - nếu hai thông tin này không khớp, P3P sẽ thông báo cho người dùng và hỏi xem họ có sẵn sàng truy cập vào trang web mà bỏ qua nguy cơ nhiều thông tin cá nhân sẽ bị thu thập. Ví dụ, người dùng có thể thiết lập trong trình duyệt web các thông tin về thói quen duyệt web của họ mà không muốn bị thu thập. Nếu chính sách của một Website nêu rõ rằng nó sử dụng cookie cho mục đích này, trình duyệt sẽ tự động từ chối cookie. Nội dung chính của chính sách bảo mật bao gồm các thông tin sau:

  • Thông tin máy chủ sẽ lấy:
    • Loại thông tin được thu thập (có thể xác định hoặc không);
    • Thông tin cụ thể được thu thập (địa chỉ IP, địa chỉ email, tên...);
  • Việc sử dụng thông tin thu thập được:
    • Cách thức sử dụng các thông tin thu thập này (cho việc điều hướng, theo dõi, cá nhân hóa, tiếp thị từ xa...);
    • Ai sẽ nhận được các thông tin này (chỉ có công ty hiện tại, bên thứ ba...);
  • Thời hạn và khả năng hiển thị:
    • Thời gian lưu trữ thông tin thu thập được;
    • Người dùng có thể truy cập các thông tin được lưu trữ, cách thức truy cập (chỉ được đọc, tùy chọn thêm, tùy chọn bỏ)

Chính sách riêng tư có thể được nhận về dưới dạng một tệp tin XML hoặc có thể được bao gồm ở dạng nhỏ gọn trong phần tiêu đề (header) của HTTP. Vị trí của tệp chính sách XML áp dụng cho một tài liệu nhất định có thể là:

  • Cụ thể trong tiêu đề của tài liệu HTTP
  • Cụ thể trong phần đầu của tài liệu HTML
  • Nếu không cụ thể như trên, vị trí /w3c/p3p.xml được sử dụng.

P3P cho phép cụ thể “max-age” cho thời gian lưu trữ cache. Một tệp tin /w3c/p3p.xml có thể sử dụng tính năng này:

<META xmlns="http://www.w3.org/2002/01/P3Pv1">
  <POLICY-REFERENCES>
    <EXPIRY max-age="10000000"/><!-- khoang bon thang -->
  </POLICY-REFERENCES>
</META>

 

Hỗ trợ người dùng

Microsoft's Internet Explorer và Edge là những trình duyệt web duy nhất có hỗ trợ P3P. Những trình duyệt khác không hỗ trợ P3P do nhận thức không đầy đủ về những giá trị mà nó cung cấp. Internet Explorer cung cấp khả năng hiển thị các chính sách riêng tư P3P và so sánh chính sách P3P với những cài đặt của trình duyệt để quyết định có cho phép cookie từ một trang cụ thể hay không. Tuy nhiên, chức năng P3P trong Internet Explorer chỉ mở rộng đến việc chặn cookie và sẽ không cảnh báo người dùng tới toàn bộ trang web vi phạm các ưu tiên về quyền riêng tư đang hoạt động. Tuy nhiên, tới Windows 10, P3P này đã bị loại bỏ hoàn toàn do Microsoft cho rằng các tính năng này không được sử dụng trong các trình duyệt của họ.

Đối với Mozilla, trình duyệt Mozilla đã hỗ trợ một vài tính năng P3P, nhưng tất cả mã nguồn liên quan đến P3P đã bị xóa vào năm 2007.

Phòng thí nghiệm Khả năng An toàn và Riêng tư của Đại học Carnegie Mellon cũng từng tạo ra Dịch vụ tìm kiếm thông tin riêng tư. Đây là một công cụ tìm kiếm P3P công cộng. Người dùng nhập từ khóa tìm kiếm cùng với các lựa chọn riêng tư, kết quả tìm kiếm được trình bày ở dạng danh sách được sắp xếp dựa trên các trang web phù hợp với sở thích của họ. Công cụ này hoạt động bằng cách thu thập thông tin từ web và từ bộ nhớ cache P3P, cache được cập nhật mỗi 24 giờ để đảm bảo tính cập nhật. Dịch vụ này cho phép người dùng nhanh chóng biết được tại sao trang web không phù hợp với sở thích của họ và họ cũng biết được những chính sách riêng của mỗi trang web (do chính sách đã được tạo tự động dựa trên dữ liệu P3P).

Những lợi ích của P3P

P3P cho phép các trình duyệt hiểu được chính sách riêng tư của các trang web một cách đơn giản và có tổ chức thay vì phải tìm kiếm trên toàn bộ trang web. Tùy vào các tùy chỉnh cài đặt, người dùng cho phép P3P chặn bất kỳ cookie nào mà người dùng không muốn có trên máy tính của mình. Ngoài ra, theo W3C, P3P sẽ cho phép các trình duyệt chuyển dữ liệu người dùng đến các dịch vụ để thúc đẩy cộng đồng chia sẻ trực tuyến.

Tổ chức Đào tạo Internet (một tổ chức phi lợi nhuận được hỗ trợ bởi các nhóm lợi ích công cộng, các công ty và hiệp hội đại điện cho cộng đồng Internet), đã phát triển hộp công cụ P3P (P3P Toolbox) cho những người quan tâm đến lòng tin và sự riêng tư của người dùng nên cân nhắc sử dụng P3P. Trang của P3P Toolbox giải thích cách thức các công ty đã lấy dữ liệu cá nhân để quảng bá sản phẩm hoặc dịch vụ mới. Hơn nữa, trong những nằm gần đây, các công ty còn lấy thông tin cá nhân để tạo ra các hồ sơ cá nhân, sau đó, bán ra mà không được sự đồng ý của cá nhân đó. Các dữ liệu này, sau đó, sẽ bị lạm dụng và người dùng phải đối mặt với những vấn đề như thư rác, trộm danh tính, các hình thức kỳ thị... Dó đó, sử dụng P3P là cách thức tốt và có lợi nhất cho các trình duyệt Internet.

Do ngày càng có nhiều trình duyệt nên ngày càng có nhiều người dùng có nguy cơ gặp phải các vấn đề riêng tư. Nhưng Tổ chức Đào tạo Internet cho biết “P3P đã được phát triển để giúp đẩy mạnh công nghệ tiến thêm một bước theo hướng tự động kết nối về quản lý dữ liệu thực tiễn và những ưu tiên riêng tư cá nhân”.

Những chỉ trích liên quan đến P3P

Trung tâm Thông tin Riêng tư Điện tử (Electronic Privacy Information Center - EPIC) đã chỉ trích P3P và tin rằng P3P khiến cho người dùng khó bảo vệ sự riêng tư của họ. Theo EPIC, một số phần mềm P3P quá phức tạp và khó hiểu đối với người dùng bình thường và nhiều người dùng Internet không quen với cách sử dụng phần mềm P3P mặc định trên máy tính của họ hoặc cách thức cài đặt thêm các phần mềm P3P. Một mối quan tâm khác là cả trang web hay người dùng Internet đều không bắt buộc phải sử dụng P3P. EPIC cũng cho rằng P3P sẽ làm nặng trình duyệt và không có lợi ích hoặc hiệu quả như dự kiến.

Ý tưởng cơ bản về sự bảo vệ riêng tư có thể gây hiểu nhầm cho khách truy cập trên trang web. Ví dụ, mọi người nghĩ rằng sự riêng tư của họ đang thực sự được bảo vệ nhưng lại không phải như vậy. P3P tạo điều kiện thu thập dữ liệu các trang web. Nếu ý định thực tế của P3P là để bảo vệ khách truy cập vào các trang web thì không nên thu thập thông tin thông tin cá nhân. Ngoài ra, những người truy cập vào các trang web có P3P không được thông báo và hiểu rõ mức độ riêng tư mà P3P cung cấp. Cần phải có những cách thức hiệu quả hơn để giáo dục mọi người về mức độ riêng tư và những gì P3P thực sự làm để bảo vệ con người.

Một mối quan tâm chính khác là dữ liệu thu thập không có ngày hết hạn. Mọi người mua thứ gì đó trên mạng Internet sẽ được lưu lại thông tin đó trong khoảng thời gian không xác định, cho dù nó được ghi lại trong một năm hay mười năm. Vấn đề này khiến mọi người đặt câu hỏi về thông tin của họ sẽ được đưa đến đâu và bên thứ ba có quyền truy cập thông tin của họ trong thời gian bao lâu. Ý nghĩ rằng thông tin cá nhân của họ có thể được phân phối cho bên thứ ba trong khoảng thời gian không xác định sẽ khiến người ta cảm thấy không thoải mái.

Trong một giải thích của Opera Software vào năm 2001 về việc không hỗ trợ P3P trong trình duyệt của họ, Live Leer, Quản lý PR đã phát biểu rằng: “Hiện tại, chúng tôi không chắc liệu P3P có phải là giải pháp tốt nhất hay không. P3P là một trong những đặc tả kỹ thuật mà chúng tôi đang cân nhắc để hỗ trợ trong tương lai. Có một số vấn đề về việc P3P sẽ bảo vệ sự riêng tư như thế nào, và vì thế chúng tôi đã quyết định đợi cho đến khi vấn đề được giải quyết”.

Còn Michael Kaply của IBM, khi Mozilla Foundation đang xem xét việc loại bỏ hỗ trợ P3P khỏi trình duyệt của họ vào năm 2004, đã nói rằng: “Chúng tôi (IBM) đã viết bản thực hiện P3P ban đầu và sau đó Netscape tiếp tục viết riêng của họ. Vì vậy, cả hai công ty của chúng tôi đã lãng phí một khoảng thời gian to lớn để bắt đầu một đề xuất tồi tệ. Hãy loại bỏ chúng”.

Lựa chọn thay thế

Sử dụng các phương tiện của P3P không phải là lựa chọn duy nhất có sẵn cho người dùng Internet muốn bảo đảm sự riêng tư của họ. Một số lựa chọn thay thế chính cho P3P bao gồm việc sử dụng chế độ riêng tư của trình duyệt web, các email ẩn danh hay các máy chủ proxy ẩn danh.

Bên cạnh đó, có thể sử dụng các quy định pháp lý mạnh mẽ hơn thay vì những công nghệ để quy định các loại thông tin của người dùng Internet có thể được thu thập và lưu giữ bởi các trang web. Ví dụ, ở Châu Âu, Chỉ thị về Bảo vệ Dữ liệu cung cấp cho các cá nhân một số nguyên tắc nhất định về cách thu thập thông tin cá nhân và quyền của người đó để bảo vệ dữ liệu cá nhân của họ. Hành động này cho phép kiểm soát loại thông tin cá nhân đang được thu thập từ họ.

Hiện tại, ở Hoa Kỳ không có có luật liên bang bảo vệ sự riêng tư thông tin cá nhân được chia sẻ trực tuyến. Tuy nhiên, có một số luật về ngành ở cấp liên bang và cấp bang cung cấp một số bảo vệ đối với một số loại thông tin nhất định được thu thập về các cá nhân. Ví dụ, Đạo luật Báo cáo Công bằng Tín dụng (FCRA) năm 1970 cho phép các cơ quan báo cáo người tiêu dùng tiết lộ thông tin cá nhân chỉ trong ba trường hợp cụ thể: tín dụng, việc làm hoặc đánh giá bảo hiểm; cấp phép hoặc giấy phép của chính phủ; hoặc “một nhu cầu kinh doanh hợp pháp” liên quan đến người tiêu dùng.

Tương lai của P3P

Các công việc nghiên cứu phát triển P3P đã dừng lại. Sau khi hoàn thành bản lấy ý kiến thành công lần cuối cùng, Nhóm làm việc P3P đã quyết định xuất bản Bản đặc tả P3P v1.1 như là một Bản dự thảo của Nhóm làm việc để đưa P3P v1.1 là phiên bản tạm thời.

Nhóm làm việc đặc biệt của P3P đã thực hiện bước này vì không có sự hỗ trợ từ các trình duyệt để tiếp tục thực hiện P3P v1.1. Bản ghi chép của P3P có tất cả những thay đổi từ bản lấy ý kiến và Nhóm cho rằng P3P v1.1 đã sẵn sàng để sử dụng. Cũng không loại trừ khả năng W3C sẽ tiếp tục ra bản Khuyến nghị P3P v1.1 nếu có đủ sự hỗ trợ để thực hiện.

Mặt khác, P3P vẫn là cơ sở của một số hướng nghiên cứu trong lĩnh vực bảo mật trên toàn thế giới, ví dụ như dự án PRIME hay Nâng cao nhận thức về Chính sách Web (Policy Aware Web - PAW).

Ứng dụng

Do thiếu các quy định cụ thể của các cơ quan nhà nước có trách nhiệm về việc thu thập thông tin người dùng thông qua việc duyệt web của người sử dụng Internet, người dùng không có cách nào để biết được các thông tin của mình đang bị thu thập và sử dụng như thế nào. Ứng dụng P3P vào trình duyệt web là một trong những cách để người dùng có thể kiểm soát được những thông tin cá nhân mà họ cho phép bên thứ ba khai thác và chia sẻ trên mạng Internet thông qua việc duyệt web.

Trong Thông tư số 22/2013/TT-BTTTT ngày 23/12/2013 của Bộ trưởng Bộ Thông tin và Truyền thông Công bố Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước quy định Khuyến nghị áp dụng P3P v1.0 và được xếp vào nhóm Tiêu chuẩn về an toàn thông tin.

Nguồn tham khảo

1. w3.org

2. wikipedia.org

3. A Loophole Big Enough for a Cookie to Fit Through

4. developer.microsoft.com

5. mozilla.org

 

Lê Nhật

2917 Go top

Sự kiện nổi bật

Bình chọn
Ý kiến về Trang thông tin điện tử Cục Chuyển đổi số quốc gia?
1. Đạt yêu cầu, 1180 phiếu (88 %)
2. Chưa đạt yêu cầu, 107 phiếu (8 %)
3. Cần thêm chủ đề, 57 phiếu (4 %)
Tổng số phiếu: 1344
THÔNG KÊ TRUY CẬP
  • Người trực tuyến Người trực tuyến
    • Khách Khách 33
    • Thành viên Thành viên 0
    • Tổng Tổng 33
    • Tổng lượt truy cập: Tổng lượt truy cập: 19817820
Người chịu trách nhiệm: Nguyễn Khắc Lịch

Chức vụ: Cục trưởng

Email:nklich@mic.gov.vn
Trụ sở chính: Tầng 21, Tòa nhà Cục Viễn thông, số 68 đường Dương Đình Nghệ, Yên Hòa, Cầu Giấy, Hà Nội.

Điện thoại: 024.37821766 Fax: 024.35378208

Ghi rõ nguồn "Trang thông tin điện tử Cục Chuyển đổi số quốc gia" hoặc "www.aita.gov.vn" khi bạn phát hành lại thông tin từ Website này.