<div dir="ltr">I was thinking about the assurance doc and privacy considerations. I found the following in the core oidc doc and several others. Its meaning is not clear to me<u>, purpose of use</u> seems not to be defined any where and not a current term of art.  Does anyone have any back story on this section?  If not i might try to word it in terms of EU and CA legislation.<div><br></div><div><h3 style="font-family:helvetica,monaco,"MS Sans Serif",arial,sans-serif;color:rgb(51,51,51);background-color:transparent">17.1.  Personally Identifiable Information</h3><p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">The UserInfo Response typically contains Personally Identifiable Information (PII). As such, End-User consent for the release of the information for the specified purpose should be obtained at or prior to the authorization time in accordance with relevant regulations. The purpose of use is typically registered in association with the <tt style="color:rgb(0,51,102);font-family:"Courier New",Courier,monospace">redirect_uris</tt>.</p><p style="margin-left:2em;margin-right:2em;color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">Only necessary UserInfo data should be stored at the Client and the Client SHOULD associate the received data with the purpose of use statement.</p><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Peace ..tom</div></div></div></div></div></div>