<div dir="ltr">Hi Nat,<div><br></div><div>In the UK we have a Privacy and Consumer Advisory Group (<a href="https://www.gov.uk/government/groups/privacy-and-consumer-advisory-group" target="_blank">https://www.gov.uk/government/groups/privacy-and-consumer-advisory-group</a>) that advises us on how to best approach privacy when providing online access to government services using verified identities. </div><div><br></div><div>This group includes representatives from our key regulator (Information Commissioner's Office), academia, the British Computer Society, and groups such as Big Brother Watch and NO2ID. All with a direct interest in privacy and the consumer. </div><div><br></div><div>This group meets next in November - happy to get your proposal around consent on the agenda for their feedback if you think that would be useful. </div><div><br></div><div>What are the dates / time constraints you are working to for feedback?</div><div><br></div><div>Thanks,</div><div><br></div><div>Adam</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 29 September 2015 at 05:32, Nat Sakimura <span dir="ltr"><<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi<div><br></div><div>With so much echoing today, I did not dig in any further, but I still think it is a good idea to involve privacy regulators early on. As someone who is closely connected to the privacy regulators, academics and lawyers, I believe there is a good chance that we can get them on our side. </div><div><br></div><div>While we tend to position the account takeover as a security issue, it is a grave privacy issue as well. Like security, privacy is not black-or-white thing. We have to deal with a risk framework and there we measure the benefit against cost. Since the user is already using the email provider (IDP) as the reset link, there seem to be little privacy cost compared to the benefit of explicitly sharing them between the provider and the service and making the probability of chained compromise less. </div><div><br></div><div>Also, I would have to point out that user action of "consent" is not always the best way to address the "meaningful consent". That's the position of many regulators in EU, at least as I understand. Perhaps you might want to look at the explanation of "conditions for processing" by ico (UK regulator.) </div><div><br></div><div>In any case, we would have to do the PIA before completing the spec and start the trust framework, and that has to happen pretty early on: otherwise, we may have to re-do everything. IMHO, it is wise to start involving experts from regulating bodies at least informally would be a good idea. It will eventually travel up to the Article 29 Working party (WP29, the group of EU privacy regulators) and it cannot be avoided. Then, why not involve them early on and work together? </div><div><br></div><div>OpenID Foundation will be sending out liaison statement to ISO/IEC JTC 1/SC 27/WG 5 (the committee that deals with privacy technology) in a couple of weeks. My proposal is to include couple of paragraphs on the pros and cons of explicit consent / bulk roll-in, and opt-out/no-opt-out scenarios. WG meetings are very busy and usually they will not craft a detailed custom responses, but they might eventually. At least, they will be aware of the fact that they had an opportunity to input. </div><div><br></div><div>Best, </div><span class="HOEnZb"><font color="#888888"><div><br></div><div><div><br></div>-- <br><div>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div></div>
</div></font></span></div>
<br>_______________________________________________<br>
Openid-specs-risc mailing list<br>
<a href="mailto:Openid-specs-risc@lists.openid.net">Openid-specs-risc@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-risc" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-risc</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><span>Adam Cooper</span></div><span>Identity Assurance Programme</span><div>Government Digital Service</div><div>125 Kingsway, London, <span style="font-family:Arial,sans-serif;font-size:12px;background-color:rgb(255,255,255)">WC2B 6NH</span></div><div><br></div><div>Tel: 07973 123 038</div><div>official: <a href="mailto:adam.cooper@digital.cabinet-office.gov.uk" target="_blank">adam.cooper@digital.cabinet-office.gov.uk</a></div><div>official sensitive: <a href="mailto:adam.cooper@govdigital.gsi.gov.uk" target="_blank">adam.cooper@govdigital.gsi.gov.uk</a></div><div><br></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>