Hi. <div><br></div><div>I have started to contemplate on the privacy considerations. </div><div><br></div><div>Several questions arises: </div><div><br></div><div>- When is the purpose of the use of the attribute determined? </div>
<div>    -> either the claim request, or the redirect_url registration time. </div><div>- Is it not a good practice to return the terms of use of the data with it? </div><div>- Is it not releasing too much information as a default? </div>
<div>- Should not the access log to the UserInfo made accessible to the user? </div><div><br></div><div>Best, <br clear="all"><br>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>
@_nat_en</div><br>
</div>