Все новости от 9 августа 2002 г.

Microsoft и FTC договорились о подлинности Passport

Соглашение с FTC стало ответом на обвинения компании в том, что Passport собирает слишком много информации, использует нечестные или вводящие в заблуждение приемы и не обеспечивает адекватную защиту от вмешательства в частную жизнь и безопасность персональной информации, в частности, о детях. После серии жалоб, поступивших прошлым летом, FTC, как сообщил ее председатель Тимоти Марис (Timothy Muris), провела расследование и вынудила Microsoft заключить это соглашение.

Passport — это онлайновая система аутентификации Microsoft, которая позволяет клиентам использовать единый вход для доступа к разным веб-сервисам. Идея предельно проста: Microsoft собирает и хранит персональные идентификаторы, пароли и другую информацию, такую как адрес доставки или номер кредитной карты. Такой «электронный бумажник» перемещается по вебу вместе с пользователем, облегчая ему выполнение разных онлайновых процедур, таких как банковские операции, составление плана путешествий или подписка на онлайновые издания. AOL Time Warner и Sun Microsystems поддерживают сервисы с использованием аналогичной концепции.

Microsoft применяет систему аутентификации Passport для своих служб e-mail MSN Messenger и Hotmail, доступа к Microsoft Developer Network, магазина электронных книг Microsoft Reader и других продуктов и сервисов. Кроме того, Passport служит краеугольным камнем для .Net, неспешно развивающейся стратегии веб-сервисов Microsoft.

Однако критики атаковали план Microsoft сразу на нескольких фронтах, особенно privacy и security, и по некоторым пунктам FTC с ними согласилась. «Мы убедились, что Microsoft допустила ряд искажений. Во-первых, это относится к степени общей защиты системы Passport и хранящейся в ней информации; во-вторых, к защите онлайновых покупок, совершаемых посредством Passport Wallet; в третьих, к видам персональной информации, которую Microsoft собирает о пользователях системы Passport; и, в-четвертых, к степени контроля родителями информации, собираемой веб-сайтами, участвующими в программе Kids Passport», — сказал Марис.

FTC изложила свои выводы в претензиях на шести страницах. Причиной многих проблем служит невыполнение Microsoft своих собственных privacy-деклараций о Passport, Passport Wallet или Kids Passport. В рамках соглашения об урегулировании Microsoft отредактировала эти декларации таким образом, чтобы они точно отражали тип собираемой информации и характер ее использования, сообщил генеральный советник Microsoft Брэд Смит (Brad Smith).

В опубликованном в четверг восьмистраничном соглашении Microsoft обещает также не прибегать к нечестным или вводящим в заблуждение приемам и обеспечить неприкосновенность персональной информации. Документ «запрещает Microsoft искажать сведения о своих действиях, касающихся защиты и неприкосновенности персональной информации о клиентах, — сказал Марис. — Кроме того, соглашение требует от Microsoft организации программы защиты безопасности, конфиденциальности и целостности такой информации».

Microsoft обязуется соблюдать соглашение в течение 20 лет — это обычный срок действия подобных документов. «Наблюдение за онлайновыми службами Microsoft со стороны FTC только начинается, — убежден директор общества Electronic Privacy Information Center (EPIC) Марк Ротенберг (Marc Rotenberg). — Это большое дело».

В течение года Microsoft, говорит Марис, должна «получить в компетентной независимой организации сертификат о том, что ее меры безопасности гарантируют по крайней мере защиту, предписанную соглашением». Ревизия должна осуществляться дважды в год. По словам Смита, Microsoft относится к таким проверкам спокойно.

Кроме того, в течение пяти лет Microsoft должна предоставлять FTC всю рекламную и другую документацию, имеющую отношение к сбору персональной информации; планы, отчеты об исследованиях, протоколы проверок и другие относящиеся к делу документы, а также любую информацию, которая ставит под сомнение исполнение корпорацией условий соглашения. «Все обещания по поводу privacy и security должны выполняться, — сказал Марис. — Это требование закона, и мы будем принимать меры к компаниям, которые не выполняют своих обещаний».

Соглашение с FTC — часть предпринимаемых Microsoft усилий по урегулированию юридических проблем с властями. «Соглашение с FTC, — сказал Смит, — подтверждает, что мы как компания стремимся вступить в более конструктивный диалог с правительством по социально значимым вопросам».

Аналитик Jupiter Майкл Гартенберг (Michael Gartenberg) отмечает: «Microsoft пытается уладить свои споры с правительством и будет действовать очень активно, чтобы решить все оставшиеся проблемы. Microsoft необходимо, чтобы пользователи больше доверяли ее веб-сервисам, для которых требуется персональная информация; ей нужна уверенность, что заказчики удовлетворены предлагаемыми мерами защиты и неприкосновенности».

Нелегальный Passport
В июле 2001 года группа privacy-организаций, включая EPIC и Junkbusters, подала жалобу, в которой обвиняет Passport и сопутствующую службу Wallet в нарушении Статьи 5 закона о Федеральной торговой комиссии. Это статья о нечестных или вводящих в заблуждение приемах. В августе 2001 года свободное объединение 14 общественных групп дополнило свою первоначальную жалобу. В числе прочего они обвинили Microsoft в том, что ее программа Kids Passport не отвечает требованиям Акта о защите детей в онлайне (Children's Online Privacy Protection Act, COPPA).

Группы утверждали также, что Microsoft использует Windows XP для того, чтобы заставить пользователей участвовать в системе аутентификации. Passport требуется некоторыми функциями ХР, такими как Windows Messenger. После установки операционной системы пользователю пять раз предлагается завести счет в системе Passport. Microsoft пообещала ликвидировать эти приглашения в Windows XP Service Pack 1.

По словам Смита, FTC обратилась к Microsoft вскоре после поступления жалоб. «В ходе этого процесса мы все время взаимодействовали», — сказал он. «В течение последних недель» стороны пришли к соглашению: Microsoft внесет в свою программу многочисленные изменения, направленные на ограничение количества собираемых сведений и доскональное информирование о способах их использования клиентов. Претензии в отношении privacy со стороны FTC сводятся к одному: Microsoft собирает слишком подробную информацию о подписчиках и веб-сайтах, которые они посещают, не информируя их об этом. Смит пояснил, что эта информация нужна для обслуживания клиентов. «Microsoft изменила текст privacy-декларации таким образом, что теперь в нем очень четко прописано, какую информацию мы собираем», — сказал он.

FTC обнаружила потенциальные проблемы и в средствах защиты Passport, которые Microsoft также решает. «Я хочу подчеркнуть, что в процессе расследования мы не вскрыли ни одного пробела в защите, — сказал Марис. — Тем не менее мы обнаружили потенциальные проблемы безопасности и теперь можем предотвратить их превращение в реальные». В ответ на опасения FTC, сказал Смит, Microsoft организует широкую программу безопасности: «Конечно, FTC очень высоко поднимает планку security и privacy — не только для Microsoft, но и для всей индустрии... Тот уровень безопасности, который казался достаточным в момент запуска Passport в 1999 году, с такой же очевидностью не соответствует сегодняшним нормам».

Пока не ясно, как все это скажется на других компаниях, занимающихся операциями или сбором персональной информации через интернет. Возможно, что многие обвинения, выдвинутые против Microsoft, будут предъявлены и ее конкурентам, таким как Sun и AOL. «Мы вполне удовлетворены, — сказал Ротенберг. — В некоторых случаях FTC пошла даже дальше, чем мы ожидали... Важное значение имеет и участие FTC в контроле над новыми службами, которые становятся доступны потребителям в онлайне. То, что комиссия задала Microsoft очень высокий стандарт, которому та должна следовать при информировании клиентов о своих приемах работы, в корне меняет ситуацию. Ужесточились и стандарты безопасности. Главное — теперь для всех игроков на этом поле установлены обязательные правила».

Ротенберг отметил также, что соглашение создает важный прецедент, который окажет влияние на все компании, так как FTC будет применять свою власть в соответствии со Статьей 5 закона о Федеральной торговой комиссии для регулирования онлайновых транзакций. «Этот прецедент указывает на то, что у FTC есть власть для защиты онлайновой неприкосновенности», — сказал он. 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	- 9 Aug 2002 5:46 PM
Пока эти какашки не перестанут продавать базу hotmail-a (читай, паспортов), в жизни не воспользуюсь. И так спама немеряно валится...
	Someone 10 Aug 2002 3:44 AM
Так они и не продают. С чего ты взял?
	Игорь 12 Aug 2002 8:37 AM
Хорошая статья. Извечный вопрос - мы бараны (быдло) или мы все до одного Энштейны и Гейтсы. Вообще, стоит ли заглядывать к нам в задницу и что там есть? Ну, а вообще вещь хорошая. И степень доверия к поставщику web- услуг сопоставима с его репутацией. И MS времени не теряет...
	SlvUn - slvunmail.ru 12 Aug 2002 10:10 AM
В опубликованном в четверг восьмистраничном соглашении Microsoft обещает также не прибегать к нечестным или вводящим в заблуждение приемам и обеспечить неприкосновенность персональной информации ...нет они летають, но низэнько-низэнько :)