First-Party Set (FPS) 旨在为 Chrome 中弃用第三方 Cookie 后的用户提供网页浏览体验提供支持。在 FPS 孵化期间,该提案在开放网络论坛上发生了显著变化。最初是在 W3C 的 Privacy Community Group(W3C 的 Privacy Community Group),现在则加入 Web Incubator 社区群组。
在这篇博文中,我们将回顾演变过程,重点介绍关键变化,并讨论为什么我们认为这些变化可以改善网络隐私保护,同时继续为生态系统提供支持。
背景
网站通常依靠在第三方环境中访问其 Cookie 来为用户提供顺畅的定制体验。除了可保护隐私的广告 API(Topics、Protected Audience API 和 Attribution)之外,Chrome 团队还希望了解第三方 Cookie 的使用范围,而不仅限于广告个性化或效果衡量,以便为用户提供增强型浏览体验。
我们发现,某些组织可能会依赖第三方 Cookie,因为其网络架构旨在利用多个网域。例如,组织可能为其远足博客和露营商店分别使用一个网域,并且希望支持这些网站上的用户历程。组织还可以维护多个国家/地区代码网域,并为其网络服务的共享基础架构。对于此类情况,我们着手开发了一项解决方案来满足此类组织的需求,同时确保用户对网络隐私权的期望始终如一。
起点
由于浏览器目前使用网站级边界来解读“第一方”与“第三方”,以解释组织可能管理的网域范围,因此似乎应当用更精细的定义来替换此技术边界。
2021 年,Chrome 最初提议为 First-Party Set 采用 SameParty Cookie 属性,以便网站可以定义来自“同一方”中网站的 Cookie。我们使用用户代理政策来定义哪些行为属于“同一方”。此政策定义尝试在现有的“方”框架基础上构建而成(例如,来自 W3C DNT 规范),并纳入了相关隐私权论述中的建议(例如 2012 年美国联邦贸易委员会报告,标题为“在快速变化的时代保护消费者隐私”)。
当时,我们认为这种方法为不同行业的不同类型的组织提供了足够的灵活性,同时符合我们最大限度地减少通过第三方 Cookie 进行广泛跟踪的基本目标。
有关初始方案的反馈
通过与 Web 生态系统中的利益相关方进行多次对话,我们发现这一初始设计存在一些限制。
通过 SameParty 属性被动访问 Cookie 所面临的隐私挑战
其他浏览器供应商首选采用需要显式 API 调用的第三方 Cookie 访问的主动方法,而不是建立可以维护被动 Cookie 访问的边界。针对 Cookie 访问的有效请求可以提供浏览器的可见性和控制,从而降低通过第三方 Cookie 进行隐秘跟踪的风险。此外,这种可见性可让浏览器为用户提供是允许还是阻止此类 Cookie 访问的选项。
为了寻求跨浏览器的网络互操作性以及提升隐私保护方面的优势,我们决定朝着这个方向前进。
所提议的政策在实施过程中面临的挑战
原始政策提议将三个网域归入一个集合:“共同所有权”“共同的隐私权政策”和“共同的群组身份”。
我们从更广泛的生态系统中收集了收到的有关此政策的反馈,以遵循四个主要主题。
共同所有权的限制过于严格
关于“共同所有权”要求,我们收到了以下反馈:与小型公司相比,针对仅关注公司所有权的 FPS 定义可让大型公司更好地汇总各种网域和面向用户的服务中的数据。我们的目标是为整个生态系统构建 Privacy Sandbox,因此我们认真考虑了这些反馈,优先开发更具包容性的解决方案。
单项政策限制了用例的可扩展性
虽然制定用于治理边界的整体政策的想法旨在为需要采用组织 FPS 的不同类型的网域提供灵活性,但我们发现一些关键用例不符合此政策设计的要求。例如,服务网域(比如托管用户生成的内容的网域)可能需要在第三方情境中访问其 Cookie,以对用户进行身份验证或识别用户。此类网域很少具有可供用户访问的首页,因此无法满足“通用群组身份”或“通用隐私权政策”与同一 FPS 中其他网域的要求。
用户对群组身份的认知和理解可能有所不同
我们最初提出了一些安全措施,旨在将“共同群组身份”定义为尝试将单个集合中的网域范围限定为可以轻松与共同群组身份相关联的网域。但是,我们无法定义衡量和评估通用群组身份是否“易于用户发现”的技术方法。这可能会导致滥用问题和违规处置方面的问题。
我们还收到了 反馈,指出用户对“共同所有权”边界的含义可能因用户而异,这使得创建适用于所有网站的指南变得非常困难。
主观性政策很难大规模执行
鉴于某些要求(如“共同的群体身份”)属于主观性质,并且需要为其他要求涵盖例外情况或极端情况(关于“常见隐私权政策”),我们收到了许多要求,对方希望我们提供更详细的准则。
为确保政策的公平性和一致性,Chrome 不得不为网站作者提供更具体的指南。我们认为,试图制定更严格的准则可能会损害整个生态系统。
虽然我们最初提议由独立的违规处置实体负责调查和强制执行政策合规性,但在当前的生态系统中,寻找具有适当专业知识的独立违规处置实体以公正的方式履行这些责任并非易事。相反,我们努力转向能够在技术上强制执行的政策,以确保可以一致且客观地应用实现。
演变
根据反馈,我们重新设计了 FPS。我们回到了尝试解决的具体问题,并决定围绕我们想要解决的具体用例更直接地制定提案。
解决关键应用场景
Chrome 开发了三种不同的专用“子集”,以满足 Web 上的关键用例。子集方法比旧方法改进,因为它更私密、更具体、更易于一致地执行。
- “ccTLD”(国家/地区代码顶级域名)- 组织可能会维护使用不同 ccTLD 的网站以实现本地化体验,但这些网站可能仍需要访问共享服务和基础架构。
- “服务”网域 - 网站可能会出于安全或性能方面的目的使用独立的网域,这些网站可能需要访问用户的身份才能执行其功能。
- “关联”网域 - 组织可能会针对不同且相关的品牌或产品维护多个网站。他们可能希望在使用场景中跨网站 Cookie 访问,例如分析相关网站的用户转化历程,以更好地了解组织的用户群与其网站的互动情况,或者记住用户在依赖同一登录基础架构的相关网站上的登录状态。
对于其中每个用例,都有不同的政策要求、相应的技术验证检查和特定的浏览器处理行为(如需了解详情,请参阅提交准则)。这些更改解决了原始方案中的局限性问题,即放弃“一刀切”设计,并支持应用场景驱动的划分框架。
通过有效的第三方 Cookie 访问请求实现互操作性
Chrome 热切希望促进与其他浏览器之间的互操作性,以维持网络平台的正常运行。由于 Safari、Firefox 和 Edge 等其他浏览器目前使用 Storage Access API (SAA) 来促进有效的 Cookie 请求,因此我们选择在 Chrome 中利用 SAA,这不仅有助于处理我们收到的关键反馈,还有助于支持 Web 互操作性。
为了给开发者提供更大的灵活性并解决 SAA 的已知限制,我们还提出了 requestStorageAccessForOrigin API。
有机会同时使用 Storage Access API 和 FPS
在实现 Storage Access API (SAA) 时,浏览器可能会选择直接向用户请求权限,其他浏览器可能会选择在没有权限提示的情况下允许有限数量的请求。
Chrome 相信,FPS 可以提供比 SAA 透明层,可以限制用户摩擦并防止密钥受限用例出现提示疲劳。FPS 还让浏览器能够灵活地为用户提供与集合成员资格有关的额外背景信息,前提是用户选择提示用户授予权限。
借助 FPS,开发者有机会找出自己的受影响网站,为关键应用场景提供服务。这让代理机构能够利用 FPS 或第三方 Cookie 替代方案来预测其网站会如何为用户提供,并采取措施限制对用户体验的影响。此外,FPS 为开发者提供平台可预测性,这与可能会随时间而变化或导致不同用户行为有所不同的启发法相反。
最后,开发者如果实施 SAA 以在 Chrome 中与 FPS 配合使用,将能够利用 SAA 在其他浏览器上提升网站性能,即使是那些不支持 FPS 的浏览器也是如此。
继续讨论
我们认为,最新的方案在兼顾用户和开发者需求的具有挑战性的权衡方面取得了适当的平衡。我们非常感谢 Web 生态系统利益相关方的反馈,这些反馈帮助我们完善了 FPS 方案。
我们了解到,网络生态系统利益相关方仍在熟悉更新后的方案。请与我们联系,以便我们继续以对开发者更有用的方式改进设计,并持续加强网络隐私保护。Google 还将继续与英国竞争和市场管理局 (CMA) 合作,确保遵守这些承诺。
如需互动,请查看以下资源:
- 在 WICG 进行孵化
- FPS 测试说明
- First-Party Set:集成指南
- FPS 提交指南
与生态系统合作
我们很高兴看到 Salesforce 和 CafeMedia 等公司就 First-Party Set 的重要反馈和开发展开积极反馈。这些技术对推动技术的进步发挥了重要作用。此外,其他一些用户也分享了他们对于 First-Party Set 以及 Chrome 为与网络生态系统合作所做的努力的看法:
“Chrome 正在开发第一方集合来配合我们的许多用例,例如保留用户历程。这向我们表明,Google 团队正在努力了解网络上网站所有者的各种需求。”- Mercado Libre
“VWO 非常感谢 Google 在提升隐私权标准方面所做的努力,同时确保处理真实的应用场景。很高兴该团队能够与开发者生态系统开展协作,并根据 Web 利益相关方的反馈不断改进第一方集合提案的实施。能参与这项提案的测试,我们非常高兴,也期待能够将它整合到浏览器中。”- Nitish Mittal,VWO 工程总监