• 主頁
  • 文章
  • 指導
  • 隨著 GDPR 合規期限的臨近,WordPress 遙測提案解決了長期存在的隱私問題

隨著 GDPR 合規期限的臨近,WordPress 遙測提案解決了長期存在的隱私問題

已發表: 2017-02-01

2016 年 10 月末,Morten Rand-Hendriksen 在 WordPress trac 上創建了一項提案,要求將遙測技術添加到核心,這是一個可選功能,可以收集有關人們如何使用該軟件的匿名數據。 他建議在首次安裝或更新時顯示新功能,默認情況下在管理員中禁用,並在“設置”->“常規”下提供控件。 他建議的一種選擇是將其作為插件提供,在選擇加入時自動安裝,在選擇退出時自動卸載。 他還確定了一些可以跟踪的核心數據示例,包括安裝的主題和插件的數量、特定視圖(設置、定制器等)的使用頻率、當前版本、更新狀態、區域設置和語言。

“WordPress 以成為用戶為用戶構建的應用程序而自豪,”Rand-Hendriksen 說。 “問題在於如今 WordPress 的受歡迎程度和影響力,WordPress 1%(甚至 0.1%)與普通用戶之間的距離變得如此巨大,我們(為 WordPress 核心做出貢獻的人)幾乎對實際使用 WordPress 的人或他們如何使用該應用程序。”

在 WordPress 4.7 開發週期中,Rand-Hendriksen 說他參與了幾次對話,參與者假設使用功能沒有任何數據來支持他們的觀點。 他認為 WordPress 貢獻者沒有必要的數據來了解用戶如何與應用程序及其功能進行交互。

“普遍的論點是,基於 80/20 規則,應該添加某些功能,而應該刪除其他功能,”Rand-Hendriksen 說。 “我不斷提出一個眾所周知的事實,我們不知道 80% 甚至 20% 的 WordPress 用戶實際使用了什麼功能,因此任何關於 80/20 規則有效性的聲明充其量只是猜測。”

他的提議指出,為了透明,收集的所有數據都應該公開,並且還可以在管理員和 WordPress.org 上提供給最終用戶。

這個想法已經有幾個月的時間來醞釀,並引發了一些關於原型需要什麼的討論。 核心提交者 Ella Van Dorpe 創建了一個實驗性的 wp-data 獨立插件,用於跟踪與編輯器的一些簡單交互。 討論的參與者建議創建一個 Elasticsearch/Logstash 設置來存儲數據,這是 WordPress.org 系統團隊之前部署的技術。

“我認為一個很好的總結是,道路上有很多障礙,目前沒有人有時間解決這個問題,”Automattic 的數據管理員格雷格布朗在三週前的後續討論中說。 “歸根結底,我認為最大的障礙是讓有時間、意願和毅力的人來做這件事。 最終將其部署到 .org 是正確的做法,但我懷疑這需要相當長的時間。”

WordPress 首席開發人員 Dion Hulse 證實,WordPress 已經在跟踪其中的許多統計數據,並且在 WordPress.org 基礎設施上創建原型將是最好的選擇。

“不過,看看我們現有的統計系統如何補充或被這裡的提議取代也很有價值,”Hulse 說。 “我提到這一點是因為原始描述中的大多數統計數據都已被跟踪,只是沒有以任何形式公開。 這裡提到的唯一新事物是特定視圖(設置、定制器等)和透明度部分的使用頻率(可能仍然只是匿名摘要,而不是確切數據)。”

WordPress 遙測項目為長期存在的隱私問題提供了解決方案

將 WordPress 的當前數據跟踪轉變為更透明的選擇加入功能也將為貢獻者在 6 年前的跟踪票中提出的一些長期存在的隱私問題提供解決方案。 WordPress 跟踪給定安裝中的博客和用戶數量,以及標題中的安裝 URL,以促進可能出現問題的更新請求,特別是在大型多站點安裝的情況下。

“即使用戶知道需要傳遞一些數據來進行核心、插件或主題的版本檢查,傳遞給遠程的數據量顯然超過了進行版本檢查所需的數量,”一位貢獻者在票上評論道. “但用戶應該提前了解,這樣他們就可以自由地自行決定是否願意,而不是被迫用他們的使用數據來支持項目。 他們可以選擇加入。”

WordPress 插件開發人員 Danny van Kooten 說:“我網站上與跟踪請求發送的 URL 相關聯的註冊用戶數量提供了有關我的業務可能做得如何的重要信息——這些信息只屬於我和我自己。” . “至少我們可以非常清楚地表明 WordPress 正在跟踪這些信息以及它究竟在做什麼。 我真的不認為有任何藉口。”

開發人員可以過濾數據以滿足他們的隱私問題,但這與大型多站點安裝的更新過程有些密不可分。 對於大多數普通用戶來說,這也是一個太大的技術障礙,他們可以通過簡單的 UI 更好地服務,允許他們選擇退出數據收集。

Rand-Hendriksen 的 WordPress 遙測提案使該項目有機會正式確定正在收集的數據,說明其背後的目的,並允許用戶選擇是否要包括在內。

歐洲的通用數據保護條例 (GDPR) 可能會推動 WordPress 朝著更透明的數據收集方向發展

遙測項目和有關隱私問題的票都進展緩慢。 兩者似乎都不是貢獻者的優先事項,但歐洲的通用數據保護條例 (GDPR) 可能會提供推動 WordPress 走向更加透明和負責任的數據收集所需的動力。

GDPR 是對歐洲數據保護法的全面改革,其要求比以前的法律嚴格得多。 它要求對任何數據收集和標準化隱私聲明進行全面披露,以幫助用戶了解數據的使用地點和方式。 必須確認同意收集數據,並且用戶有權訪問自己的數據。 它還包括刪除權或“被遺忘權”,允許用戶從網絡上刪除他們的數據。 GDPR 於 2018 年 5 月生效。

Heather Burns 是一位數字法律專家,他就互聯網法律和政策進行了廣泛的諮詢和演講,他鼓勵 WordPress 的貢獻者在努力遵守特定框架的過程中圍繞隱私問題展開討論。

“出於本次討論的目的,核心應該符合 GDPR 標準有兩個原因,”伯恩斯說。 “第一個原因在於文化差異。 美國沒有單一的總體數據保護和隱私法規,不像歐洲,我們有適用於所有個人數據的數據保護製度,無論其用途、格式或部門如何。 因此,GDPR 為開發人員(甚至是歐盟以外的開發人員)提供了一套強大、健康且非常嚴格的標準可供遵循。 鑑於我們在過去一周從白宮看到的情況,GDPR 也為防禦性用戶保護提供了一個很好的起點。

“第二個是GDPR是域外的。 它適用於歐洲任何人的個人數據,無論在線服務位於何處。 如果您的企業位於美國、澳大利亞或以色列,但您擁有歐洲用戶,則您必須按照歐洲 GDPR 標准保護他們的數據。”

普華永道最近對 200 家擁有 500 多名員工的美國跨國公司進行了調查,發現 77% 的公司計劃在 GDPR 合規上花費 100 萬美元或更多。 超過一半的受訪者將 GDPR 準備就緒列為其數據隱私和安​​全議程的最高優先事項。

對違規行為的巨額處罰是美國公司花費數百萬美元來滿足這項新的歐洲法規要求的驅動因素之一。

“GDPR 是對其撥號時代 (1995) 前身的徹底改革,其中一個得到加強的領域是它的牙齒,”伯恩斯說。 “被歐洲成員國的數據保護監管機構發現不合規的企業,無論是您的小型應用程序工作室一直到 Automattic,都可能面臨高達該企業全球年營業額 4% 的處罰。 現在,哲學討論有了堅實的背景。”

然而,並非所有人都相信 GDPR 將對消費者有利。 專門從事市場數據採購的國際公司 Infocore Inc 的首席執行官兼總裁 Kitty Kolding 告訴 ExchangeWire,她認為 GDPR 將破壞“消費者數據隱私和安​​全的神聖性”,並阻礙全球營銷和廣告。

她認為,諸如“被遺忘權”之類的規定要求保留客戶數據超過其有效使用時間,這將使這些數據更容易受到黑客攻擊。 此外,新立法的執行機構聲稱對公司擁有權力,有權搜索和沒收記錄,無需任何監督或上訴。

“世界各地處理歐盟公民數據的每家公司也自動受到該組織的絕對權力的約束——儘管有人猜測歐盟如何相信他們可以在自己的邊界之外執行如此廣泛的任務,”科爾丁說。

目前,只有兩張 trac 票提到了 GDPR,因此尚不清楚 WordPress 核心將如何響應新立法的要求。 Burns 建議 WordPress 核心貢獻者通過進行隱私影響評估的過程來確定正確的前進方向。

無論 WordPress 的反應如何,依賴該軟件的公司和組織都需要承擔自己的合規責任,因為這些要求遠遠超出了核心。 GDPR 適用於添加到收集用戶數據的網站或應用程序中的任何內容。 例如,許多聯繫表單插件將提交的內容存儲在 WordPress 數據庫中,網站所有者將希望重新檢查用戶是如何收到通知的。

“GDPR 的主要變化之一被稱為問責制原則,”伯恩斯說。 “收集個人數據的企業必須完全透明,並對他們收集的數據、存儲方式、存儲位置、傳遞給誰(例如第三方)、誰可以訪問以及持續多長時間負責保留。 用戶還有權要求必須刪除收集到的有關他們的任何數據。”

沒有 WordPress 插件可以立即使網站與 GDPR 兼容。 Drupal 有一個 GDPR 模塊,旨在確保網站遵循歐盟制定的指導方針和法規,但並不涵蓋所有要求。 使用 CMS 和可能的數十個第三方擴展自動評估網站的隱私影響是一項複雜的工作。 這是一項要求企業主進行自我教育並實施將用戶利益放在首位的隱私實踐的法規。

隨著合規性最後期限的臨近,WordPress 有機會重新評估該項目如何處理用戶隱私並採取措施提高透明度。 如 Rand-Hendriksen 的遙測提案中所述,如果貢獻者正在研究收集更多數據以協助做出功能決策,則該項目為實現 GDPR 合規性提供了一條途徑。 在為政府、醫療保健、教育機構和其他數據敏感網站考慮使用 WordPress 時,這些隱私問題尤其重要。

Burns 將 GDPR 的合規期限視為 WordPress 建立更好的隱私結構和法律確定性的新機會,將法規用作所有用戶的健康基線。

“除了需要在 WP 代碼中進行的任何更改之外,在任何情況下,每個人都需要在截止日期之前為自己的業務和站點進行實施工作,”伯恩斯說。 “重要的是要記住,GDPR 合規性不是你可以在明年 4 月擠壓的複選框。 這與您的流程、工作流程和問責制有關。 現在開始。”