隐私预算

限制向网站公开的用户数据量,以防止隐秘跟踪。

实现状态

本文档概述了防止隐秘跟踪的新提案:隐私预算。

为什么我们需要此提案?

随着浏览器不断改变对 Cookie 的处理方式,一些用户跟踪工作已转向难以检测的方法,而这些方法会破坏 Cookie 控制。这些方法称为“指纹”,利用各种技术来确定对用户隐藏的独特浏览器。

隐私预算提案建议限制可向网站公开的个人用户数据的数量,因此总体上不足以跟踪和识别个人。这需要量化用户与第三方分享多少信息,可通过以下方式确定:

  • k-匿名性:具有一些匿名数据的属性,其中“k”是拥有相同信息的其他用户的数量
  • :一种信息理论,应用后意味着数据可能限制存在一定的不确定性
  • 差分隐私:用于确保无法在一组汇总数据中确定单个数据的系统

对于披露的每个用户信息量,其最大容忍度是隐私预算。网站可用的数字“指纹”收集途径越少,揭示的信息粒度越低,识别任何单个用户的可能性就越低。

测量数字“指纹”收集数据

隐私预算提案的成功取决于浏览器对每个指纹表面所显示的信息的估算。浏览器还需要衡量向网站公开的信息总量。这些测量值需要报告回单个服务。

有多种可能的方法可以衡量此类数据,Chrome 正在积极探索解决方案。

减少向网站公开的信息总量

在整个网络中衡量完所有信息后,我们预计会分析公开的 API 接口,以确定哪些信息是有必要分享的信息,哪些不需要分享。

在考虑隐私预算的情况下,系统会假定网站会使用通过被动数字“指纹”收集所揭示的数据。请务必减少被动指纹识别面,例如通过用户代理减少IP 保护提议来实现。

如何执行隐私预算?

一旦平均网站访问了合理数量的数据,浏览器就可以有效地执行预算。隐私预算提案建议,超过设定的最低数据量,可以通过多种方式强制执行预算。例如:

  • 超出预算的 API 调用可能会导致错误;
  • 如果可能,可以将 API 调用替换为可保护隐私的调用,该调用会返回带有噪声的结果或未与单个用户关联的通用结果;
  • 存储和网络请求可能会被拒绝,这样该网站就不会泄露新信息。

预算例外情况

有些应用(如 3D 游戏和视频会议)可能永远无法在合理的隐私预算内运行。系统提供一些选项(包括针对用户的权限提示),可能会允许这些应用运行。有关这些异常的处理方式以供讨论。

隐私预算何时可用?

扩缩可用性的最早日期表示可以强制执行隐私预算的最早日期。这种情况在 2024 年之前不会生效。

目前,隐私预算是一项提案,尚未针对任何浏览器实施。

互动和分享反馈

隐私预算提案目前正在积极讨论中,将来可能会发生变化。