隱私預算

限制網站瀏覽的個別使用者資料量,防止有心人士透過竊取追蹤。

導入狀態

本文件概略說明新的防範隱密追蹤提案:隱私預算。

為什麼需要這項提案?

隨著瀏覽器持續變更 Cookie 的處理方式,有些使用者追蹤措施也改採更難偵測的方法,以防 Cookie 控制項遭到破壞。這些稱為「指紋」的方法,仰賴不同的技術來判斷使用者看不到的不重複瀏覽器。

隱私預算提案會建議網站可公開的個別使用者資料量,因此總體數量不足以追蹤及識別個人。因此需要量化使用者與第三方分享多少內容,判斷依據如下:

  • K-anonymity:該資源由某些匿名資料所擁有,其中「k」是資訊相同資訊的其他使用者人數
  • Entropy:這個資訊理論,套用後意味著對於可能的資料量上限有一定程度的不確定性
  • 差異化隱私:確保一組匯總資料無法確定任何個人資料的系統

對於每位使用者可公開的資訊量,最大容忍度就是隱私預算。網站的指紋識別介面越少,資訊越精細,就越容易識別任何單一使用者。

評估數位指紋採集資料

隱私預算提案能否成功,取決於瀏覽器估算每個指紋介面顯示的資訊。瀏覽器也必須評估網站公開的資訊總數。這些測量結果必須回報給單一服務。

評估這類資料的方法有很多種,Chrome 也會主動探索解決方案。

減少提供給網站的所有資訊

評估網路上的所有資訊後,我們預計會分析公開的 API 介面,優先處理必要資訊,看看不需要分享的資訊。

在考量隱私設定方面,網站會使用被動數位指紋採集所揭露的資料。請務必減少被動指紋表面,例如由 User-Agent 縮減 實現,以及由 IP Protection 提議。

如何實行隱私預算?

一旦一般網站存取量合理的資料,瀏覽器就可能徹底強制執行預算。隱私預算提案建議,如果高於固定的資料門檻,則可採取多種方式強制執行預算。例如:

  • 違反預算的 API 呼叫可能會導致錯誤
  • 如果可以,將 API 呼叫替換為隱私權保護呼叫,以傳回雜訊的結果或不與單一使用者相關的一般結果;
  • 儲存空間和網路要求可能會遭到拒絕,因此網站無法竊取新資訊。

預算例外狀況

某些應用程式 (例如 3D 遊戲和視訊會議) 可能無法在合理的隱私預算內執行。您可以選擇幾個選項,包括向使用者提供權限提示,讓這些應用程式可以執行。您可以公開討論這些例外狀況的處理方式。

隱私預算將於何時推出?

可按比例調整的可用性最早日期,代表可強制執行隱私預算的最早日期。這項措施不會在 2024 年之前生效。

目前隱私預算是提案,尚未針對任何瀏覽器實作。

互動並提供意見

隱私預算提案目前仍在積極討論,日後可能會有變動。