<div dir="ltr">Hi, Nat:<div>Thanks for summarizing. I agree that we'll need to find a comfortable privacy position early on. My hope is that we can devise a few proposals that might be approved, as well as get counseling on how to best position the approach for the larger group. Clearly what we're trying to do is pro-user, so this should be solvable as long as we can read users' minds about what they want ;)</div><div><br></div><div>I have some time blocked on Friday to sketch out the privacy proposals we discussed yesterday, and then we can use John's help and others to find some possible advisors/consultants/regulators (including within our companies).</div><div><br></div><div>Talk soon,</div><div>/m</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><br></div><div><br></div>--<br style="color:rgb(80,0,80)"><div dir="ltr" style="color:rgb(80,0,80)"><table cellspacing="0" cellpadding="0" style="color:rgb(136,136,136)"><tbody><tr style="color:rgb(85,85,85);font-family:sans-serif;font-size:small"><td nowrap style="border-top-style:solid;border-top-color:rgb(213,15,37);border-top-width:2px">Mark E. Risher |</td><td nowrap style="border-top-style:solid;border-top-color:rgb(51,105,232);border-top-width:2px"> Group Product Manager |</td><td nowrap style="border-top-style:solid;border-top-color:rgb(0,153,57);border-top-width:2px"> <a href="mailto:risher@google.com" style="color:rgb(17,85,204)" target="_blank">risher@google.com</a> |</td><td nowrap style="border-top-style:solid;border-top-color:rgb(238,178,17);border-top-width:2px"> <a value="+13109201977" style="color:rgb(17,85,204)">650-253-3123</a></td></tr></tbody></table></div></div></div></div>
<br><div class="gmail_quote">On Mon, Sep 28, 2015 at 9:32 PM, Nat Sakimura <span dir="ltr"><<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi<div><br></div><div>With so much echoing today, I did not dig in any further, but I still think it is a good idea to involve privacy regulators early on. As someone who is closely connected to the privacy regulators, academics and lawyers, I believe there is a good chance that we can get them on our side. </div><div><br></div><div>While we tend to position the account takeover as a security issue, it is a grave privacy issue as well. Like security, privacy is not black-or-white thing. We have to deal with a risk framework and there we measure the benefit against cost. Since the user is already using the email provider (IDP) as the reset link, there seem to be little privacy cost compared to the benefit of explicitly sharing them between the provider and the service and making the probability of chained compromise less. </div><div><br></div><div>Also, I would have to point out that user action of "consent" is not always the best way to address the "meaningful consent". That's the position of many regulators in EU, at least as I understand. Perhaps you might want to look at the explanation of "conditions for processing" by ico (UK regulator.) </div><div><br></div><div>In any case, we would have to do the PIA before completing the spec and start the trust framework, and that has to happen pretty early on: otherwise, we may have to re-do everything. IMHO, it is wise to start involving experts from regulating bodies at least informally would be a good idea. It will eventually travel up to the Article 29 Working party (WP29, the group of EU privacy regulators) and it cannot be avoided. Then, why not involve them early on and work together? </div><div><br></div><div>OpenID Foundation will be sending out liaison statement to ISO/IEC JTC 1/SC 27/WG 5 (the committee that deals with privacy technology) in a couple of weeks. My proposal is to include couple of paragraphs on the pros and cons of explicit consent / bulk roll-in, and opt-out/no-opt-out scenarios. WG meetings are very busy and usually they will not craft a detailed custom responses, but they might eventually. At least, they will be aware of the fact that they had an opportunity to input. </div><div><br></div><div>Best, </div><span class="HOEnZb"><font color="#888888"><div><br></div><div><div><br></div>-- <br><div>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div></div>
</div></font></span></div>
<br>_______________________________________________<br>
Openid-specs-risc mailing list<br>
<a href="mailto:Openid-specs-risc@lists.openid.net">Openid-specs-risc@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-risc" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-risc</a><br>
<br></blockquote></div><br></div>