HTTP的header中P3P(Platform for Privacy Preferences 常见字段解析

P3P规则原文:The Platform for Privacy Preferences 1.0 (P3P1.0) Specification

P3P隐私偏好平台全部规定非常繁琐,常见的头是CP部分:
P3p:   CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR" ,  如果页面被嵌套,它会阻止一些功能如浏览器本地cookie写入。

用法:

注:compact-* 名称并非实际使用名称,仅仅是文中说明内容的代称。

compact-policy-field  = `CP="` compact-policy定义tokens`"`
P3P协议政策字段:  头内容含一个引用字符串,其包含1个或多个token,多个用空格隔开,且是无序的。

----------------------------------------------------------------------
compact-policy        = compact-token *(" " compact-token) 
协议政策, 即上面CP=""引号中的部分。

----------------------------------------------------------------------
compact-token         = compact-access           |
                        compact-disputes         |
                        compact-remedies         |
                        compact-non-identifiable |
                        compact-purpose          |
                        compact-recipient        |
                        compact-retention        |
                        compact-categories       |
                        compact-test 
用于P3P协议token的大分类,每类有多个具体参数。

----------------------------------------------------------------------
compact-access        = "NOI" | "ALL" | "CAO" | "IDC" | "OTI" | "NON"
"NOI" | ; for <nonident/> 网站不收集已识别的数据。 
"ALL" | ; for <all/> 允许访问所有已识别的数据。
"CAO" | ; for <contact-and-other/> 允许访问已验证的在线或本地物理联系人信息,以及其他已识别的数据。
"IDC" | ; for <ident-contact/> 允许访问已识别的在线或本地物理联系人信息。(例如:可以访问邮寄地址)
"OTI" | ; for <other-ident/> 允许访问某些其他已识别的数据(例如,用户可以访问其在线帐户费用等内容) 
"NON" ; for <none/> 无权访问已识别的数据。

----------------------------------------------------------------------
compact-disputes      = "DSP" 
争议类型:目前仅一个参数。

----------------------------------------------------------------------
compact-remedies      = "COR" | "MON" | "LAW"
协议补救措施: 
COR(<correct/>) 与隐私政策有关的报错或错误行为将由服务进行补救;
MON(<money/>):如果服务提供者违背隐私政策,将按照可阅读的隐私政策约定的金额 或 实际损失 赔偿用户。
LAW(<law/>):违背隐私政策的补救措施,将根据人类可读的隐私说明中引用的法律确定。

----------------------------------------------------------------------
compact-non-identifiable = "NID" 
协议不可识别:策略的每个语句中是否存在NON-IDENTIFIEABLE元素是由NID令牌发出信号的(请注意,除非策略中的每个语句都存在NON-identifieABLE元素,否则不得使用NID令牌):

----------------------------------------------------------------------
协议目的:由目的 (3字母)+ 必要性(单字母) 格式拼接, 如CURa = CUR + a。带[creq]的参数值表示它必须携带[creq] (如DEVa),否则[creq]缺省值等于a(如CUR = CURa)。
compact-purpose
=
"CUR"        | ; for <current/>
完成和支持为其提供数据的活动:服务提供商可以使用信息来完成为其提供的活动,无论是一次性活动,如返回网络搜索结果、转发电子邮件或下订单;或者诸如提供订阅服务或允许访问在线地址簿或电子钱包之类的重复活动。
"ADM" [creq] | ; for <admin/>
网站和系统管理:信息可用于网站及其计算机系统的技术支持。这将包括处理计算机帐户信息、保护和维护网站过程中使用的信息,以及网站或其代理人对网站活动的核查。
"DEV" [creq] | ; for <develop/>
研究和开发:信息可用于增强、评估或以其他方式审查网站、服务、产品或市场。这不包括用于为特定个人定制或修改内容的个人信息,也不包括用于评估、定位、介绍或联系个人的信息。
"TAI" [creq] | ; for <tailoring/>
一次性定制:信息可用于定制或修改网站的内容或设计,其中信息仅用于对网站的单次访问,而不用于任何类型的未来定制。例如,在线商店可能会根据访问者已经放在购物篮中的物品来建议他可能希望购买的其他物品。
"PSA" [creq] | ; for <pseudo-analysis/>
假名分析:信息可用于创建或建立与假名标识符相关的特定个人或计算机的记录,而无需将已识别的数据(如姓名、地址、电话号码或电子邮件地址)与记录绑定。该简介将用于确定个人的习惯、兴趣或其他特征,以进行研究、分析和报告,但不会用于尝试识别特定个人。例如,营销人员可能希望了解网站不同部分访问者的兴趣。
"PSD" [creq] | ; for <pseudo-decision/>
假名决定:信息可用于创建或建立与假名标识符相关的特定个人或计算机的记录,而无需将已识别的数据(如姓名、地址、电话号码或电子邮件地址)与记录绑定。该简介将用于确定个人的习惯、兴趣或其他特征,以做出直接影响该个人的决定,但不会用于尝试识别特定个人。例如,营销人员可以基于先前访问期间查看的页面来定制或修改显示在浏览器上的内容。
"IVA" [creq] | ; for <individual-analysis/>
个人分析:信息可用于确定个人的习惯、兴趣或其他特征,并将其与已确定的数据相结合,用于研究、分析和报告。例如,实体店的在线网站可能希望分析在线购物者如何进行离线购买。
"IVD" [creq] | ; for <individual-decision/>
个人决策:信息可用于确定个人的习惯、兴趣或其他特征,并将其与已识别的数据相结合,以做出直接影响该个人的决策。例如,在线商店根据访问者在以前访问网站期间购买的物品来建议访问者可能希望购买的物品。
"CON" [creq] | ; for <contact/>
联系访客进行服务或产品营销:信息可用于通过语音电话以外的通信渠道联系个人,以推广产品或服务。这包括通知访问者网站的更新。这不包括对单个交易的问题、评论或客户服务的直接回复——在这些情况下,将使用<current/>。此外,这还不包括通过用户访问的网站中嵌入的定制Web内容或横幅广告进行营销——这些情况将包含在<剪裁/>、<伪分析/>和<伪决策/>,或<个人分析/>或<个人决策/>目的中。
"HIS" [creq] | ; for <historical/>
历史保存:根据现有法律或政策的规定,可以出于保存社会历史的目的对信息进行存档或存储。该法律或政策必须在<争议>元素中引用,并且必须包括可以访问该信息的合格研究人员类型的具体定义,该信息将存储在何处,以及该收集如何促进历史保存。
"TEL" [creq] | ; for <telemarketing/>
通过电话联系访客进行服务或产品营销:信息可用于通过语音电话联系个人,以推广产品或服务。这不包括对单个交易的问题、评论或客户服务的直接回复——在这些情况下,将使用<current/>。
"OTP" [creq]   ; for <other-purpose/>
其他用途:信息可能以上述定义未涵盖的其他方式使用。(在这些情况下,必须提供可读的解释)。
creq
=
"a"| ;"always"
总是, 无[creq]标签的选项以a为缺省值。
"i"| ;"opt-in"
只在用户明确同意时,数据才能用于此目的。例:填写调查时让用户明确勾选,才可以视为同意。 
"o"  ;"opt-out"
只在用户明确拒绝时,数据才不用于此目的,且服务方必须通过opturi提供清晰的解除用于此目的的方法。
----------------------------------------------------------------------
协议受众:由受众 (3字母)+ 必要性(单字母) 格式, 如CURa。带[creq]的表示必要性标志符是必须的(如SAMa),否则[creq]标志为可选(如CUR或CURa), 。
compact-recipient
=
"OUR"        | ; for <ours/> 
我方、代理商 或 我们代理的实体。
"DEL" [creq] | ; for <delivery/>
数据交付服务的法律实体,可能将数据应用于阐述之外 或 未知 的目的。
"SAM" [creq] | ; for <same/>
遵循我们做法的法律实体:在平等条件下用于它自己的行为。例如:服务商收集用户信息,并提供给它的合作伙伴临时使用然后丢弃,由于接收者有类似做法,无法访问丢弃的信息,他们被视为是平等的。
"UNR" [creq] | ; for <unrelated/>
无关的第三方法律实体:原始提供商并不知道它的具体用法。
"PUB" [creq] | ; for <public/>
公共论坛:如公告牌、公共目录、商业光盘只读存储器目录。
"OTR" [creq]   ; for <other-recipient/>
其他受众:遵循不同的做法。
*[creq]参考compact-purpose部分。
----------------------------------------------------------------------
每个没有NON-IDNETIFIABLE的STATEMENT元素都必须包含一个提示保留政策的RETENTION元素。
compact-retention
=
"NOR" | ; for <no-retention/>
无限期:信息保留的时间不确定。没有保留政策将反映在这一备选方案下。如果收件人是公共论坛,这是适当的保留政策。
"STP" | ; for <stated-purpose/>
为所述目的:保留信息以满足所述目的。这就要求尽早丢弃信息。站点必须具有建立销毁时间表的保留策略。保留政策必须包含在网站的人类可读隐私政策中或与之链接。
"LEG" | ; for <legal-requirement/>
法律要求或适用法律规定的责任:保留信息是为了达到既定目的,但由于法律要求或责任,保留期更长。
"BUS" | ; for <business-practices/>
由服务提供商的业务实践决定:信息根据服务提供商规定的业务实践保留。站点必须具有建立销毁时间表的保留策略。保留政策必须包含在网站的人类可读隐私政策中或与之链接。
"IND"   ; for <indefinitely/>
无限期:信息保留的时间不确定。没有保留政策将反映在这一备选方案下。如果收件人是公共论坛,这是适当的保留政策。
----------------------------------------------------------------------
category
=
"<physical/>"    | ; Physical Contact Information
物理联系信息:允许个人在物理世界中联系或定位的信息,如电话号码或地址。
"<online/>"      | ; Online Contact Information
在线联系信息:允许个人在互联网上联系或定位的信息,如电子邮件。通常,这些信息独立于用于访问网络的特定计算机。(请参阅“计算机信息”类别)
"<uniqueid/>"    | ; Unique Identifiers
唯一标识符:非金融标识符,不包括政府发布的标识符,用于一致识别或识别个人。其中包括由网站或服务发布的标识符。
"<purchase/>"    | ; Purchase Information
购买信息:通过购买产品或服务主动生成的信息,包括有关付款方式的信息。
"<financial/>"   | ; Financial Information
财务信息:个人财务信息,包括账户状态和活动信息,如账户余额、付款或透支历史,以及个人购买或使用金融工具的信息,包括信用卡或借记卡信息。“采购信息”中所述的个人离散采购信息不属于“财务信息”的定义范围
"<computer/>"    | ; Computer Information
计算机信息:个人用于访问网络的计算机系统的信息,如IP号码、域名、浏览器类型或操作系统。
"<navigation/>"  | ; Navigation and Click-stream Data
导航和点击流数据:通过浏览网站被动生成的数据,例如访问了哪些页面,以及用户在每个页面上停留的时间。
"<interactive/>" | ; Interactive Data
交互式数据:通过服务提供商的网站主动生成或反映与服务提供商的明确交互的数据,如对搜索引擎的查询或帐户活动日志。
"<demographic/>" | ; Demographic and Socioeconomic Data
人口和社会经济数据:关于个人特征的数据,如性别、年龄和收入。
"<content/>"     | ; Content
内容:包含在通信主体中的词语和表达方式,如电子邮件文本、公告栏帖子或聊天室通信。
"<state/>"       | ; State Management Mechanisms
状态管理机制:用于维护与用户的有状态会话或自动识别以前访问过特定网站或访问过特定内容的用户的机制,如HTTP cookie。
"<political/>"   | ; Political Information
政治信息:加入或加入宗教组织、工会、专业协会、政党等团体。
"<health/>"      | ; Health Information
健康信息:关于个人的身体或心理健康、性取向、对医疗保健服务或产品的使用或查询,以及购买医疗保健服务和产品的信息。
"<preference/>"  | ; Preference Data
偏好数据:关于个人喜欢和不喜欢的数据,比如最喜欢的颜色或音乐品味。
"<location/>"    | ; Location Data
位置数据:可用于识别个人当前物理位置并在位置变化时跟踪他们的信息,如GPS位置数据。
"<government/>   | ; Government-issued Identifiers
政府发布的身份识别码:政府为一致识别个人而发布的身份标识。
"<other-category>" PCDATA "</other-category>" ; Other
其他:上述定义未捕获的其他类型的数据。(在这些情况下,应在<其他类别>和</其他类别>标签之间提供人类可读的解释。)
 
----------------------------------------------------------------------
compact-test          = "TST"
TEST元素的存在由TST令牌发出信号。

 

由 @明月照大奔 翻译整理,部分赘述内容由机器翻译。
由于需求有限,暂不整理P3P相关的其他文章内容。

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值