<div>One concern that I did not get raised during the UserInfo session at the IIW XII was that </div><div>we need the "specific purpose of use" statement at the time of consent. </div><div>For example, Japanese METI guideline states clearly that </div>
<div>a vague statement like "for the marketing purpose" is not sufficient. </div><div>It even goes on to state that a link in the page is not enough. </div><div>At least, the short description of the purpose of use and the name of the </div>
<div>data receiver MUST be shown on the page of consent, unless the </div><div>data release was specifically allowed by the law.</div><div><br></div><div>So, we may want a hook to do this even for the minimum UserInfo set </div>
<div>in the request i.e., hook to send the link to the ToS and jurisdiction </div><div>at the very least: In EU directive, IdP is unlikely to be allowed to </div><div>send the data to an entity in a country with inappropriate data protection. </div>
<div>I would prefer to have short description text of the purpose of use as well </div><div>so that I can display on the consent screen. </div><div>I understand that the US law does not have such constraint, but not having </div>
<div>such a hook makes UserInfo endpoint useless in many jurisdictions. </div><div><br></div><div>I know that it blows up the request. This actually was one of the main reason why I wanted Artifact Binding. </div><div>Artifact Binding request file is an (optionally) signed file that includes: </div>
<div><br></div><div>- Short description of the purpose of the use of the data</div><div>- Name and identifier of the data client. </div><div>- Set of requested claims / attributes. </div><div>- Link to the ToS or actual ToS itself. </div>
<div>- Other extension variables. </div><div><br></div><div>Contract Exchange actually is a schema that defines these in more detail. </div><div><br></div><div>-- </div>Nat Sakimura (=nat)<br><a href="http://www.sakimura.org/en/">http://www.sakimura.org/en/</a><br>
<a href="http://twitter.com/_nat_en">http://twitter.com/_nat_en</a><br>