P3P 규약의 이해 정보
기타 P3P 규약의 이해본문
엔피씨입니다.
여러분은 P3P 규약에 대해서 알고 계시나요?
Platform for Privacy Preferences Protocol 의 약자이고, 개인정보보호정책이라고 읽는 이 규칙은
그누보드의 common.php 파일 상단에 설정되어있는 header 값입니다.
header('P3P: CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE LOC OTC"');
하지만 어디를 둘러보아도 해더에 쓰여진 P3P규약에 대한 풀이가 없고, W3C의 영문 문서밖에 찾을 수 없어서 답답했었습니다. 이 규약을 모른다고 해서 문제가 되지는 않습니다. 오히려 복사 붙여넣기 해도 아무런 문제가 안생길 정도로 대한민국은 표준화 되어있습니다.
그러나!
저처럼 궁금증이 생겼거나 심심하여, 알아보고자 하시는 분이나 커스터마이징 해서 쓰고 싶다는 분이 있을까 해서 적게 되었습니다. 인용된 내용은 한국정보통신기술협회 '[2006-858]개인정보보호정책 설정 및 협상 규격.hwp'파일내용과 'W3C P3P'항목, 그리고 위키피디아 등 여러곳에서 참고하였습니다.
P3P 프로토콜은 아래와 같이 이루어져 있습니다.
P3P: CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE LOC OTC" |
|
노란색(P3P) |
P3P 선언 |
분홍색(CP) |
개인정보보호정책 엘리먼트 |
연두색(Access) |
개인정보 접근제어 |
주황색(Category) |
카테고리 |
이 중에서 연두색 부분을 보면 대부분의 사이트 들이 'ALL'로 되어있는데, 식별자에 포함되어 있는 항목들에 대해서는 접근을 허용한다는 것입니다. 항목들은 여러가지가 있는데 기본적으로 어떠한 정보든지 브라우저가 접근할 수 있게 하겠다는 방침입니다. 접근제어 항목에는 아래와 같은 것들이 있습니다.
Access ( 개인정보 접근제어 )
NOI |
nonident |
식별된 데이터를 웹 사이트가 수집하지 않음 |
ALL |
all |
식별된 데이터 접근 허용 |
CAO |
contact-and-other |
식별된 온라인 및 대인 접촉 정보와 식별된 기타 특정 정보에 대해 접근 허용 |
IDC |
ident-contact |
식별된 온라인 및 대인 접촉 정보에 대해 접근 허용 |
OTI |
other-ident |
식별된 기타 특정 정보에 대해 접근 허용 |
NON |
none |
식별된 데이터 접근 불가 |
그 다음으로 작성되는 주황색 영역이 카테고리입니다. 카테고리는 '이 사이트에서 어떠한 정보에 접근하게 될지 간략하게 알려주는 역할'을 합니다. 여기서 특이한 점이 있는데, 카테고리에는 또 다른 하나의 옵션이 있습니다. 소문자로 적혀있는 부분이 그 부분인데요, 저는 이것을 승인여부라고 부릅니다. 우선은 카테고리 부터 짚고 넘어가도록 하겠습니다.
Category ( 개인정보의 분류 )
PHY |
physical |
대인 접촉 정보 |
현실에서 개인을 접촉 및 찾게 해주는 정보 (전화번호, 주소 등) |
ONL |
online |
온라인 접촉 정보 |
온라인에서 사용자를 접촉 및 찾게 해주는 정보 (아이디, 메일 등) |
UNI |
uniqueid |
고유 식별자 |
개인을 지속적으로 식별 또는 인지하기 위해 발행하는 정보 |
PUR |
purchase |
구매 정보 |
제품이나 용역의 구매에 의해 생성되는 정보 (지불정보 포함) |
FIN |
financial |
금융 정보 |
개인의 금융 정보 (계좌현황,거래정보,지불기록,신용직불카드등) |
COM |
computer |
컴퓨터 정보 |
접속한 단말기의 정보 (IP,도메인,브라우저,운영체제등 agent) |
NAV |
navigation |
내비게이션 |
브라우저 데이터 (방문 페이지 기록,페이지 머문 시간기록 등) |
INT |
interactive |
인터렉티브 데이터 |
검색엔진으로 전송되는 쿼리, 계좌정보, 활동 로그 등 |
DEM |
demographic |
인구통계, 경제 데이터 |
개인 특성 데이터 (성별,연령,우편번호,위치정보) |
CON |
content |
컨텐츠 |
이메일 내용, 게시물, 채팅대화 로그 등 |
STA |
state |
상태관리 메커니즘 |
사용자 자동인식 메커니즘 (세션, 쿠키 등) |
POL |
political |
정치적 정보 |
집단 또는 단체 소속정보 (종교, 조합, 전문가협회, 정당 등) |
HEA |
health |
보건 정보 |
보건 데이터 (정신적 건강, 성적 성향, 의료정보, 의료품구매 정보) |
PRE |
preference |
선호도 데이터 |
개인선호도 데이터 (색상, 음악취향 등) |
LOC |
location |
위치 데이터 |
어떤 개인의 현재 물리적 위치 식별 및 추적 정보 (GPS 등) |
GOV |
government |
정부 발행 식별자 |
개인을 지속적으로 식별하는 목적으로 정부에서 발행된 식별자 |
OTC |
other-category |
기타 |
위 정의에 속하지 않은 기타 유형의 데이터 |
주로 카테고리는 대문자 3글자로 이루어집니다. 위에 언급한 대로 승인여부에 대해서는 아래와 같은 옵션이 소문자로 붙습니다.
승인여부
a |
always |
항상 허용 |
i |
opt-in |
사용자가 일괄 허용 |
o |
opt-out |
사용자가 일괄 거부 |
쉽게 설명하려고 노력하였지만, 저 역시 이제서야 보고 확인하면서 의미를 축약하여 썼기 때문에 이해를 시켜드리기에 충분하지 않았을 수도 있습니다. 그럼에도 이 자료를 통해 좀더 많은 분들이 P3P를 이해하는데 도움이 되길 바랍니다.
---------------------------------------------------------------
출처 및 참고자료
깃허브 : 그누보드5 / common.php
한빛미디어 - "P3P:개인정보 입문" 게시글
W3C - "The Platform for Privacy Preferences 1.0 (P3P1.0) Specification"
한국정보통신기술협회 - "표준번호 : TTAS.KO-12.0051/개인정보보호정책 설정 및 협상 규격 한글파일"
5
댓글 6개
그누보드 P3P 를 W3C 에 있는 설명대로 풀이하면 아래처럼 되는군요.
header('P3P: CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE LOC OTC"');
P3P 선언 : 정책 = 식별된 데이터 접근 허용
PURPOSE(목적,용도) = CURa ADMa DEVa TAIa
CUR -> current / ADM -> admin / DEV -> develop / TAI -> tailoring(재단)
RECIPIENT(받는사람) = OUR -> ours
RETENTION(보유) =
BUS -> business-practices(상업적 관습) / IND -> indefinitely(무기한으로)
CATEGORY(분류) = 본문 설명
복잡네요~ㅎ
밤늦게 적다보니 내용을 대거 빠트렸네요. 감사합니다 !
이 규약은 회원가입약관의 개인정보보호정책과 유사합니다.
그래서 정부에서는 한국형 P3P를 규격화 하여 생성기를 만들려고 하였죠.
그 첫번째 시도가 , 과거 개인정보보호법이 계도기간에 있을 때 KISA에 레이어로 붙어있던 개인정보처리방침 생성기 였습니다.
http://privacy.go.kr/a3sc/per/inf/perInfStep01.do
과거에는 이것을 생성하면 xml 파일 이나, 소스도 보여줬던 것 같았는데 가물가물하네요.
실제로 정책을 수립할 사이트관리자가 알기 쉽게 잘 풀어서 생성기를 만들면
괜찮을것 같다는 생각을 했습니다.
제 기억에는 html 소스를 제공해준 걸로 알고 있습니다.
or.kr에서 운영했던 정부나 지자체 서비스가 안보일때는 go.kr로 검색해보시면 어느정도 나옵니다.
정부가 날로 주워먹는 기분이 들지만.. : )
소중한 정보 베풀어 주셔서 고맙습니다..
스크랩 해두고 봐야겠네요 :)