WordPress Telemetri Teklifi, GDPR Uyumluluğu Son Tarihi Geldiğinde Uzun Süreli Gizlilik Endişelerini Ele Aldı

Ekim 2016'nın sonunda, Morten Rand-Hendriksen, insanların yazılımı nasıl kullandığına dair anonimleştirilmiş veriler toplayacak bir tercih özelliği olan çekirdeğe telemetri eklemek için WordPress trac üzerinde bir teklif oluşturdu. Yeni özelliğin ilk kurulumda veya güncellemede görüntülenmesini, varsayılan olarak yöneticide Ayarlar->Genel altında bulunan bir kontrolle devre dışı bırakılmasını önerdi. Önerdiği seçeneklerden biri, bunu, kabul edildiğinde otomatik olarak yüklenen ve devre dışı bırakıldığında otomatik olarak kaldıran bir eklenti olarak göndermektir. Ayrıca, yüklenen temaların ve eklentilerin sayısı, belirli görünümlerin kullanım sıklığı (Ayarlar, Özelleştirici, vb.), mevcut sürüm, güncelleme durumu, yerel ayar ve dil dahil olmak üzere izlenebilecek birkaç temel veri örneği belirledi.

Rand-Hendriksen, "WordPress, kullanıcı tarafından kullanıcı için oluşturulmuş bir uygulama olmaktan gurur duyuyor" dedi. “Sorun, WordPress'in günümüzdeki popülaritesi ve erişimiyle ilgili, WordPress %1 (hatta %0,1) ile ortalama kullanıcı arasındaki mesafe o kadar genişliyor ki (WordPress çekirdeğine katkıda bulunan kişiler) hakkında neredeyse hiçbir şey bilmiyoruz. WordPress'i kullanan gerçek kişiler veya uygulamayı nasıl kullandıkları."

WordPress 4.7 geliştirme döngüsü sırasında Rand-Hendriksen, katılımcıların görüşlerini desteklemek için herhangi bir veri olmadan özelliklerin kullanıldığını varsaydığı birkaç sohbete dahil olduğunu söyledi. WordPress katkıda bulunanların, kullanıcıların uygulama ve özellikleriyle nasıl etkileşime girdiğini bilmek için gerekli verilere sahip olmadığını iddia ediyor.

Rand-Hendriksen, "Genel argüman, 80/20 kuralına dayalı olarak, bazı özelliklerin eklenmesi ve diğerlerinin kaldırılması gerektiğiydi" dedi. “WordPress kullanıcılarının %80'inin, hatta %20'sinin gerçekte hangi özellikleri kullandığına dair hiçbir fikrimiz olmadığı bilinen gerçeği dile getirmeye devam ettim, bu nedenle 80/20 kuralındaki herhangi bir geçerlilik iddiası en iyi ihtimalle tahminden ibarettir.”

Önerisi, toplanan tüm verilerin şeffaflık için herkese açık olması ve ayrıca yönetici ve WordPress.org'da son kullanıcılara sunulması gerektiğini belirtiyor.

Bu fikrin marine edilmesi için birkaç ayı vardı ve bir prototipin neleri gerektireceği konusunda bazı tartışmalar yarattı. Çekirdek işleyici Ella Van Dorpe, editörle birkaç basit etkileşimi izlemek için deneysel bir wp-veri bağımsız eklentisi oluşturdu. Tartışmaya katılanlar, WordPress.org sistem ekibinin daha önce dağıttığı verileri, teknolojileri depolamak için bir Elasticsearch/Logstash kurulumu oluşturmayı önerdi.

Automattic'te bir Veri Wrangler olan Greg Brown, üç hafta önce biletle ilgili bir müteakip tartışmada, "Bence iyi bir özet, yolda birçok engel var ve şu anda kimsenin üzerinde çalışmak için vakti yok," dedi. "Nihayetinde, bence en büyük engel, bunun üzerinde çalışacak zamanı, eğilimi ve ısrarı olan birini bulmak. Eninde sonunda yapılacak doğru şey onu .org'a dağıtmak, ancak bunun biraz zaman alacağından şüpheleniyorum."

WordPress lider geliştiricisi Dion Hulse, WordPress'in bu istatistiklerin çoğunu zaten izlediğini ve WordPress.org altyapısında bir prototip oluşturmanın ileriye dönük en iyi seçenek olacağını doğruladı.

Hulse, "Mevcut istatistik sistemimizin buradaki teklifle nasıl iltifat edebileceğini veya yerini alabileceğini görmek de değerli olacaktır." Dedi. "Orijinal açıklamadaki istatistiklerin çoğu zaten izlendiğinden, herhangi bir biçimde gösterilmediğinden bundan bahsediyorum. Burada bahsedilen tek yeni şey, belirli görünümlerin (Ayarlar, Özelleştirici, vb.) Kullanım Sıklığı ve şeffaflık kısmıdır (bu, muhtemelen kesin veriler değil, yalnızca anonimleştirilmiş özetler olacaktır).

WordPress Telemetri Projesi Uzun Süreli Gizlilik Endişelerine Çözüm Sağlıyor

WordPress'in mevcut veri takibini daha şeffaf bir katılım özelliğine taşımak, aynı zamanda, altı yıllık bir takip biletinde katkıda bulunanlar tarafından dile getirilen bazı uzun süredir devam eden gizlilik endişelerine de bir çözüm sağlayacaktır. WordPress, özellikle büyük çok siteli kurulumlarda sorunlu hale gelebilecek güncelleme isteklerini kolaylaştırmak için, başlıklardaki kurulum URL'si ile birlikte belirli bir kurulumdaki blog ve kullanıcı sayısını izler.

"Bir kullanıcı, çekirdek, eklentiler veya temaların sürüm kontrolü için bazı verilerin iletilmesi gerektiğini bilse bile, uzaktan kumandaya aktarılan veri miktarı, sürüm kontrolünü yapmak için gerekenden çok daha fazladır," diye yorum yaptı bilette bir katılımcı. . “Fakat kullanıcılar önceden bilgilendirilmeli, böylece projeyi kullanım verileriyle desteklemek zorunda kalmak yerine, isterlerse kendi başlarına özgürce karar verebilsinler. Onlara bunu yapmaları için bir tercih teklif edilebilir. ”

WordPress eklentisi geliştiricisi Danny van Kooten, "Sitemde, izleme isteğiyle gönderilen URL'ye bağlı kayıtlı kullanıcı sayısı, işimin ne kadar iyi durumda olabileceğine dair hayati bilgiler veriyor - yalnızca benim ve benim olan bilgiler" dedi. . "En azından WordPress'in bu bilgiyi izlediğini ve onunla tam olarak ne yaptığını açıkça belirtebiliriz. Bunun için gerçekten bir mazeret olduğunu düşünmüyorum.”

Geliştiriciler, gizlilik endişelerini gidermek için verileri filtreleyebilir, ancak bu, daha büyük çok siteli kurulumlar için güncelleme sürecinden bir şekilde ayrılmaz. Ayrıca, veri toplamayı devre dışı bırakmalarına izin veren basit bir kullanıcı arayüzünden daha iyi yararlanabilecek olan çoğu normal kullanıcı için çok büyük bir teknik engeldir.

Rand-Hendriksen'in WordPress telemetri önerisi, projeye hangi verilerin toplandığını resmileştirme, arkasındaki amacı belirtme ve kullanıcıların dahil edilmek isteyip istemediklerini seçmelerine izin verme fırsatı verir.

Avrupa'nın Genel Veri Koruma Yönetmeliği (GDPR), WordPress'i Daha Şeffaf Veri Toplamaya Zorlayabilir

Hem Telemetri projesinde hem de gizlilik endişeleriyle ilgili bilette ilerleme yavaş oldu. Her ikisi de katkıda bulunanlar arasında bir öncelik gibi görünmüyor, ancak Avrupa'nın Genel Veri Koruma Yönetmeliği (GDPR), WordPress'i daha şeffaf ve sorumlu veri toplamaya yönlendirmek için gereken ivmeyi sağlayabilir.

GDPR, Avrupa'daki veri koruma yasasının önceki yasalardan çok daha katı gerekliliklerle elden geçirilmiş halidir. Kullanıcıların verilerin nerede ve nasıl kullanıldığını anlamalarına yardımcı olmak için herhangi bir veri toplama ve standart gizlilik bildirimleri için tam açıklama gerektirir. Verilerin toplanmasına ilişkin onay onaylanmalıdır ve kullanıcılar kendi verilerine erişme hakkına sahiptir. Ayrıca, kullanıcıların verilerini web'den kaldırmalarına olanak tanıyan silme hakkını veya "unutulma hakkını" da içerir. GDPR, Mayıs 2018'de yürürlüğe giriyor.

İnternet yasaları ve politikalarına danışan ve kapsamlı bir şekilde konuşan bir dijital hukuk uzmanı olan Heather Burns, WordPress katılımcılarını belirli bir çerçeveye uyum için çalışma açısından gizlilik endişeleriyle ilgili tartışmayı çerçevelemeye teşvik etti.

Burns, "Bu tartışmanın amaçları doğrultusunda, çekirdek iki nedenden dolayı GDPR standardına uygun olmalıdır" dedi. “Birinci neden kültürel farklılıklarda yatıyor. Kullanıma, formata veya sektöre bakılmaksızın tüm kişisel veriler için geçerli olan bu veri koruma rejimine sahip olduğumuz Avrupa'nın aksine ABD'de tek bir kapsamlı veri koruma ve gizlilik düzenlemesi yoktur. Bu nedenle GDPR, geliştiricilere - AB dışındakilere bile - takip etmesi gereken sağlam, sağlıklı ve çok zorlu bir standartlar dizisi sağlar. Geçen hafta Beyaz Saray'dan öğrendiklerimiz göz önüne alındığında, GDPR ayrıca savunma amaçlı kullanıcı koruması için herhangi bir başlangıç ​​noktası kadar iyi bir başlangıç ​​noktası sağlar.

“İkincisi, GDPR'nin ülke dışı olması. Çevrimiçi hizmetin nerede olduğuna bakılmaksızın, Avrupa'daki herkesin kişisel verileri için geçerlidir. İşletmeniz ABD'de, Avustralya'da veya İsrail'deyse ancak Avrupalı ​​kullanıcılarınız varsa, onların verilerini Avrupa GDPR standartlarına göre korumanız gerekir.”

Pricewaterhouse Coopers yakın zamanda 500'den fazla çalışanı olan 200 ABD merkezli çok uluslu şirketi araştırdı ve %77'sinin GDPR uyumluluğu için 1 milyon dolar veya daha fazlasını harcamayı planladığını tespit etti. Ankete katılanların yarısından fazlası, veri gizliliği ve güvenlik gündemlerinde GDPR hazırlığını en yüksek öncelik olarak belirtti.

Uyumsuzluğun ağır cezaları, Amerikan şirketlerinin bu yeni Avrupa düzenlemesinin gerekliliklerini yerine getirmek için milyonlarca dolar harcamasının arkasındaki itici faktörlerden biridir.

Burns, "GDPR, çevirmeli ağ dönemi (1995) selefinin tam bir revizyonudur ve güçlendirilen alanlardan biri de dişleridir" dedi. “İster küçük uygulama stüdyonuz olsun, ister Automattic'e kadar bir Avrupa üye devletinin veri koruma düzenleyicisi tarafından uygunsuz olduğu tespit edilen işletmeler, işletmenin küresel yıllık cirosunun %4'üne kadar cezalarla karşı karşıya kalabilir. Artık felsefi tartışma için sağlam bir bağlam var.”

Ancak, herkes GDPR'nin tüketiciler için faydalı olacağına ikna olmuş değil. Piyasa verilerini tedarik etme konusunda uzmanlaşmış uluslararası bir şirket olan Infocore Inc'in CEO'su ve başkanı Kitty Kolding, ExchangeWire'a GDPR'nin “tüketicilerin veri gizliliğinin ve güvenliğinin kutsallığını” baltalayacağına ve dünya çapında pazarlama ve reklamcılığı engelleyeceğine inandığını söyledi.

Müşteri verilerinin aktif kullanım süresinin ötesinde saklanmasını gerektiren “unutulma hakkı” gibi hükümlerin, bu verileri bilgisayar korsanlığına karşı daha duyarlı hale getireceğini iddia ediyor. Ayrıca, yeni mevzuatın uygulama organı, herhangi bir gözetim veya itiraz olmaksızın, kayıtları araştırma ve el koyma hakkı ile şirketler üzerinde yetki talep etmektedir.

Kolding, "Her yerde AB vatandaşlarıyla ilgili verileri işleyen her şirket, otomatik olarak bu grubun mutlak gücüne tabidir - AB'nin bu kadar geniş bir yetkiyi kendi sınırları dışında uygulayabileceğine nasıl inandığını kimse tahmin edemez," dedi.

Şu anda, GDPR'den yalnızca iki iz bileti söz konusu olduğundan, WordPress çekirdeğinin yeni mevzuatın gereksinimlerine nasıl yanıt vereceği henüz net değil. Burns, WordPress ana katkıda bulunanların doğru yolu belirlemek için bir gizlilik etkisi değerlendirmesi yapma sürecinden geçmelerini önerir.

WordPress'in yanıtı ne olursa olsun, bu gereksinimler özün çok ötesine geçtiğinden, yazılıma bağımlı olan şirketler ve kuruluşlar, kendi uyumluluklarının sorumluluğunu üstlenmeleri gerekecektir. GDPR, kullanıcıların verilerini toplayan bir web sitesine veya uygulamaya eklenen her şey için geçerlidir. Örneğin, birçok iletişim formu eklentisi, gönderimleri WordPress veritabanında saklar ve site sahipleri, kullanıcıların bundan nasıl haberdar edildiğini yeniden incelemek isteyecektir.

Burns, "GDPR'deki ana değişikliklerden birine hesap verebilirlik ilkesi deniyor" dedi. “Kişisel verileri toplayan işletmeler, hangi verileri topladıklarına, bunları nasıl ve nereye sakladıklarına, kimlere (üçüncü şahıslar gibi) aktarıldığına, bu verilere kimin eriştiğine ve ne kadar süreyle tutulduğuna dair tamamen şeffaf ve hesap verebilir olmalıdır. tutuldu. Kullanıcılar ayrıca kendileri hakkında toplanan verilerin silinmesini talep etme hakkına da sahiptir.”

Bir siteyi anında GDPR uyumlu hale getirecek hiçbir WordPress eklentisi yoktur. Drupal, sitenin AB tarafından belirlenen yönergelere ve mevzuata uymasını sağlamayı amaçlayan bir GDPR modülüne sahiptir, ancak tüm gereksinimleri karşılamamaktadır. Bir CMS ve potansiyel olarak düzinelerce üçüncü taraf uzantısı kullanan bir site için gizlilik etkisinin değerlendirilmesini otomatikleştirmek karmaşık bir çabadır. Bu, işletme sahiplerinin kendilerini eğitmelerini ve kullanıcıların çıkarlarını ilk sıraya koyan gizlilik uygulamalarını uygulamalarını gerektiren bir düzenlemedir.

Uyumluluk için son teslim tarihi yaklaştıkça, WordPress, projenin kullanıcı gizliliğini nasıl ele aldığını yeniden değerlendirme ve daha fazla şeffaflığa yönelik adımlar atma fırsatına sahiptir. Katkıda bulunanlar, Rand-Hendriksen'in telemetri teklifinde belirtildiği gibi, özelliklerle ilgili karar vermeye yardımcı olmak için daha fazla veri toplamak istiyorsa, bu proje GDPR uyumluluğu için çalışmak için bir yol sağlar. Hükümet, sağlık, eğitim kurumları ve diğer veriye duyarlı web siteleri için WordPress düşünüldüğünde bu gizlilik endişelerinin ele alınması özellikle önemlidir.

Burns, GDPR'nin uyumluluk son tarihini, yönetmeliği tüm kullanıcılar için sağlıklı bir temel olarak kullanarak daha iyi gizlilik yapıları ve yasal kesinlik oluşturması için WordPress için yeni bir fırsat olarak görüyor.

Burns, “WP kodunda yapılması gereken değişikliklere ek olarak, herkesin kendi işletmeleri ve siteleri için uygulamalarda her halükarda son tarihten önce çalışması gerekiyor” dedi. “GDPR uyumluluğunun önümüzdeki Nisan ayında sıkıştırabileceğiniz bir onay kutusu olmadığını hatırlamak önemlidir. Bu, süreçleriniz, iş akışlarınız ve hesap verebilirlik sistemlerinizle ilgilidir. Şimdi başla."