Propunerea de telemetrie WordPress abordează preocupările de lungă durată privind confidențialitatea, pe măsură ce termenul limită de conformitate cu GDPR se profilează

La sfârșitul lunii octombrie 2016, Morten Rand-Hendriksen a creat o propunere pe WordPress trac pentru adăugarea de telemetrie la bază, o funcție de înscriere care ar colecta date anonimizate despre modul în care oamenii folosesc software-ul. El a propus ca noua caracteristică să fie afișată la prima instalare sau actualizare, dezactivată implicit în administrator, cu un control disponibil în Setări->General. O opțiune pe care o sugerează este să-l expedieze ca plugin care se instalează automat la înscriere și se dezinstalează automat la renunțare. El a identificat, de asemenea, câteva exemple de date de bază care ar putea fi urmărite, inclusiv numărul de teme și pluginuri instalate, frecvența de utilizare a vizualizărilor specifice (Setări, Personalizare etc.), versiunea curentă, starea actualizării, localitatea și limba.

„WordPress se mândrește cu faptul că este o aplicație creată de utilizator pentru utilizator”, a spus Rand-Hendriksen. „Problema este cu popularitatea și acoperirea WordPress astăzi, distanța dintre WordPress 1% (sau chiar 0,1%) și utilizatorul mediu devine atât de mare că noi (oamenii care contribuie la nucleul WordPress) nu știm aproape nimic despre persoane reale care folosesc WordPress sau cum folosesc aplicația.”

În timpul ciclului de dezvoltare WordPress 4.7, Rand-Hendriksen a spus că a fost implicat în mai multe conversații în care participanții au presupus utilizarea funcțiilor fără date care să le susțină opiniile. El susține că colaboratorii WordPress nu au datele necesare pentru a ști cum interacționează utilizatorii cu aplicația și cu caracteristicile acesteia.

„Argumentul general a fost că, pe baza regulii 80/20, anumite caracteristici ar trebui adăugate, în timp ce altele ar trebui eliminate”, a spus Rand-Hendriksen. „Am continuat să amintesc bine-cunoscutul fapt că nu avem habar ce caracteristici folosesc de fapt 80%, sau chiar 20% dintre utilizatorii WordPress, așa că orice pretenție de valabilitate a regulii 80/20 este în cel mai bun caz o presupunere.”

Propunerea sa prevede că toate datele colectate ar trebui să fie publice pentru transparență și, de asemenea, puse la dispoziția utilizatorilor finali în admin și pe WordPress.org.

Ideea a avut câteva luni de marinat și a generat o discuție despre ce ar presupune un prototip. Core committer Ella Van Dorpe a creat un plugin experimental wp-data independent pentru urmărirea câtorva interacțiuni simple cu editorul. Participanții la discuție au recomandat crearea unei configurații Elasticsearch/Logstash pentru stocarea datelor, tehnologii pe care echipa de sisteme WordPress.org le-a implementat anterior.

„Cred că un rezumat bun este că există o mulțime de obstacole în cale și în prezent nimeni nu are timp să lucreze la asta”, a spus Greg Brown, Data Wrangler la Automattic, într-o discuție ulterioară despre bilet în urmă cu trei săptămâni. „În cele din urmă, cred că cel mai mare blocant este obținerea pe cineva cu timp, înclinație și perseverență pentru a lucra la asta. A fi implementat pe .org este lucrul corect de făcut în cele din urmă, dar bănuiesc că va dura destul de mult.”

Dezvoltatorul principal WordPress Dion Hulse a confirmat că WordPress urmărește deja multe dintre aceste statistici și că crearea unui prototip pe infrastructura WordPress.org ar fi cea mai bună opțiune.

„Ar fi, de asemenea, valoros să vedem cum sistemul nostru de statistici existent poate fi completat sau înlocuit de propunerea de aici”, a spus Hulse. „Menționez acest lucru deoarece majoritatea statisticilor din descrierea originală sunt deja urmărite, dar nu sunt expuse sub nicio formă. Singurul lucru nou menționat aici este Frecvența de utilizare a vizualizărilor specifice (Setări, Personalizare etc.) și partea de transparență (care ar fi probabil doar rezumate anonimizate, nu date exacte).”

Proiectul de telemetrie WordPress oferă o soluție pentru preocupările de lungă durată privind confidențialitatea

Mutarea urmăririi actuale a datelor WordPress într-o funcție de înscriere mai transparentă ar oferi, de asemenea, o soluție la unele preocupări de lungă durată privind confidențialitatea ridicate de colaboratori într-un bilet trac vechi de șase ani. WordPress urmărește numărul de bloguri și utilizatori dintr-o anumită instalare, împreună cu adresa URL de instalare din anteturi, pentru a facilita solicitările de actualizare care pot deveni problematice, în special în cazul instalărilor mari cu mai multe site-uri.

„Chiar dacă un utilizator știe că anumite date trebuie să fie transmise pentru verificarea versiunii de bază, pluginuri sau teme, cantitatea de date transmisă la distanță este evident mai mult decât este necesară pentru verificarea versiunii”, a comentat un colaborator pe bilet . „Dar utilizatorii ar trebui să fie informați din timp, astfel încât să poată decide liber singuri dacă doresc, în loc să fie forțați să susțină proiectul cu datele lor de utilizare. Li s-ar putea oferi un opt-in pentru a face acest lucru.”

„Numărul de utilizatori înregistrați pe care îi am pe site-ul meu legat de adresa URL care este trimisă cu cererea de urmărire oferă informații vitale despre cât de bine ar putea merge afacerea mea – informații care sunt numai ale mele și ale mele”, a spus Danny van Kooten, dezvoltator de plugin WordPress. . „Cel puțin am putea spune foarte clar că WordPress urmărește aceste informații și ce face exact cu ele. Chiar nu cred că există nicio scuză pentru asta.”

Dezvoltatorii pot filtra datele pentru a-și satisface preocupările legate de confidențialitate, dar acestea sunt oarecum inextricabile din procesul de actualizare pentru instalări mai mari pe mai multe site-uri. Este, de asemenea, un obstacol tehnic prea mare pentru majoritatea utilizatorilor obișnuiți, care ar fi mai bine deserviți de o simplă interfață de utilizare care să le permită să renunțe la colectarea datelor.

Propunerea de telemetrie WordPress a lui Rand-Hendriksen oferă proiectului o oportunitate de a oficializa ce date sunt colectate, de a preciza scopul din spatele acestora și de a permite utilizatorilor să aleagă dacă doresc să fie incluse.

Regulamentul general european privind protecția datelor (GDPR) poate împinge WordPress către o colectare de date mai transparentă

Progresul atât în ​​ceea ce privește proiectul Telemetrie, cât și biletul privind problemele legate de confidențialitate a fost lent. Nici unul nu pare a fi o prioritate în rândul colaboratorilor, dar Regulamentul general european pentru protecția datelor (GDPR) poate oferi impulsul necesar pentru a împinge WordPress către o colectare de date mai transparentă și responsabilă.

GDPR este o revizuire a legii privind protecția datelor în Europa, cu cerințe mult mai stricte decât legile anterioare. Necesită dezvăluirea completă pentru orice colectare de date și notificări de confidențialitate standardizate pentru a ajuta utilizatorii să înțeleagă unde și cum sunt utilizate datele. Consimțământul pentru colectarea datelor trebuie confirmat, iar utilizatorii au dreptul de a accesa propriile date. Include, de asemenea, dreptul de ștergere sau „dreptul de a fi uitat”, care permite utilizatorilor să-și elimine datele de pe web. GDPR intră în vigoare în mai 2018.

Heather Burns, un specialist în drept digital care consultă și vorbește pe larg despre legile și politicile internetului, i-a încurajat pe colaboratorii WordPress să încadreze discuția cu privire la preocupările legate de confidențialitate în ceea ce privește lucrul în vederea respectării unui cadru specific.

„În scopul acestei discuții, core ar trebui să funcționeze conform standardului GDPR din două motive”, a spus Burns. „Primul motiv constă în diferențele culturale. SUA nu au o singură reglementare globală privind protecția datelor și confidențialitatea, spre deosebire de Europa, unde avem acest regim de protecție a datelor care se aplică tuturor datelor cu caracter personal, indiferent de utilizare, format sau sector. Prin urmare, GDPR oferă dezvoltatorilor – chiar și celor din afara UE – un set de standarde robuste, sănătoase și foarte dure de urmat. Având în vedere ceea ce am văzut ieșind de la Casa Albă în ultima săptămână, GDPR oferă, de asemenea, un punct de plecare la fel de bun ca oricare pentru protecția defensivă a utilizatorilor.

„Al doilea este că GDPR este extrateritorial. Se aplică datelor cu caracter personal ale oricărei persoane din Europa, indiferent de locul în care se află serviciul online. Dacă afacerea dvs. se află în SUA, Australia sau Israel, dar aveți utilizatori europeni, trebuie să le protejați datele conform standardelor europene GDPR.”

Pricewaterhouse Coopers a chestionat recent 200 de companii multinaționale din SUA cu peste 500 de angajați și a constatat că 77% plănuiesc să cheltuiască 1 milion de dolari sau mai mult pentru conformitatea cu GDPR. Mai mult de jumătate dintre cei chestionați au menționat pregătirea GDPR drept cea mai mare prioritate în agendele lor de confidențialitate și securitate a datelor.

Sancțiunile uriașe de nerespectare sunt unul dintre factorii care stau la baza companiilor americane care cheltuiesc milioane de dolari pentru a îndeplini cerințele acestei noi reglementări europene.

„GDPR este o revizuire completă a predecesorului său din era dialup (1995), iar una dintre domeniile care a fost consolidată este dinții”, a spus Burns. „Afacerile despre care se constată nerespectarea de către autoritatea de reglementare a protecției datelor dintr-un stat membru european, fie că este micul tău studio de aplicații până la Automattic, s-ar putea confrunta cu sancțiuni de până la 4% din cifra de afaceri anuală globală a companiei. Acum există un context solid pentru discuția filozofică.”

Cu toate acestea, nu toată lumea este convinsă că GDPR va fi benefic pentru consumatori. Kitty Kolding, CEO și președinte al Infocore Inc, o companie internațională specializată în aprovizionarea datelor de pe piață, a declarat pentru ExchangeWire că crede că GDPR va submina „sfințenia confidențialității și securității datelor consumatorilor” și va împiedica marketingul și publicitatea la nivel mondial.

Ea susține că prevederi precum „dreptul de a fi uitat”, care impun ca datele clienților să fie păstrate dincolo de timpul în care sunt în utilizare activă, vor face ca datele să fie mai susceptibile la piratare. În plus, organul de executare a noii legislații revendică autoritate asupra companiilor, cu dreptul de a căuta și sechestra înregistrări, fără nicio supraveghere sau contestație.

„Fiecare companie de pretutindeni care gestionează date despre cetățenii UE este, de asemenea, supusă automat puterii absolute a acestui grup – deși oricine poate ghici cum crede UE că poate aplica un mandat atât de larg în afara propriilor sale granițe”, a spus Kolding.

În prezent, doar două bilete de trac menționează GDPR, așa că nu este încă clar cum va răspunde core-ul WordPress la cerințele noii legislații. Burns recomandă colaboratorilor de bază WordPress să treacă prin procesul de realizare a unei evaluări a impactului asupra confidențialității pentru a determina calea corectă de urmat.

Indiferent de răspunsul WordPress, companiile și organizațiile care depind de software vor trebui să își asume responsabilitatea conformității lor, deoarece aceste cerințe se extind cu mult dincolo de bază. GDPR se aplică oricărui lucru adăugat într-un site web sau aplicație care colectează datele utilizatorilor. De exemplu, multe pluginuri de formulare de contact stochează trimiterile în baza de date WordPress, iar proprietarii de site-uri vor dori să reexamineze modul în care utilizatorii sunt notificați despre acest lucru.

„Una dintre principalele schimbări ale GDPR se numește principiul responsabilității”, a spus Burns. „Afacerile care colectează date cu caracter personal trebuie să fie complet transparente și responsabile cu privire la datele pe care le colectează, la modul în care le stochează și unde, cui sunt transmise (cum ar fi terții), cine are acces la ele și cât durează acestea. reţinut. Utilizatorii au, de asemenea, dreptul de a cere ca orice date colectate despre ei să fie șterse.”

Nu există un plugin WordPress care să facă instantaneu un site compatibil cu GDPR. Drupal are un modul GDPR care urmărește să se asigure că site-ul respectă liniile directoare și legislația stabilite de UE, dar nu acoperă toate cerințele. Automatizarea unei evaluări a impactului asupra confidențialității pentru un site folosind un CMS și, potențial, zeci de extensii terță parte este un efort complex. Aceasta este o reglementare care va cere proprietarilor de afaceri să se educe și să implementeze practici de confidențialitate care pun interesele utilizatorilor pe primul loc.

Odată cu închiderea termenului limită pentru conformitate, WordPress are ocazia să reevalueze modul în care proiectul gestionează confidențialitatea utilizatorilor și să facă pași către o mai mare transparență. Dacă colaboratorii caută să colecteze mai multe date pentru a ajuta la luarea deciziilor cu privire la funcții, așa cum se subliniază în propunerea de telemetrie a lui Rand-Hendriksen, acest proiect oferă o cale de lucru pentru conformitatea cu GDPR. Aceste preocupări legate de confidențialitate sunt deosebit de importante de abordat atunci când luați în considerare WordPress pentru guvern, asistență medicală, institute de învățământ și alte site-uri web sensibile la date.

Burns consideră termenul limită de conformitate cu GDPR ca o nouă oportunitate pentru WordPress de a construi structuri de confidențialitate și securitate juridică mai bune, folosind regulamentul ca o bază sănătoasă pentru toți utilizatorii.

„Toată lumea trebuie să lucreze la implementări pentru propriile afaceri și site-uri în orice caz înainte de ziua limită, în plus față de orice modificări care trebuie făcute în codul WP”, a spus Burns. „Este important să ne amintim că conformitatea cu GDPR nu este o casetă de bifare pe care o puteți bifa în aprilie viitor. Este vorba despre procesele, fluxurile de lucru și sistemele de responsabilitate. Începe acum."