<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><br></div><div>Only two of us were on the call. &nbsp;Aaron Titus and Myself,&nbsp;</div><div><br></div><div>A great discussion between Aaron and myself emerged and I was happy to have a chance to talk to Aaron about UMA. &nbsp; Here are some notes that were captured there was a lot of good points that didn't make the notes.&nbsp;</div><div><br></div><div><b>Notes</b>:</div><div><br></div><div>Aaron asked me to explain a bit more about UMA, I gave a brief intro of an authorising user, access manager and host that works with the Oauth 2.0. &nbsp; I</div><div><br></div><div>I brought up the idea of user driven policy and User Managed Access. The idea that individuals will have a say in setting the access policy to information.&nbsp;</div><div><br></div><div>Aaron talked about the disconnect between what privacy policies cover and what the user wants from a policy. &nbsp;</div><div>E.g. &nbsp;what type of an impact is this policy going to have on my ability to make purchases, reputation? &nbsp;</div><div><br></div><div>(Note: Interesting to discuss metrics users may want to see for making policy decisions around access)</div><div><div><br></div></div><div>Discussed how it is unclear what the future impact of information sharing is, we are all still waiting to see what access management issues &nbsp;occur. E.g. how will policies change when your Mom joins facebook.&nbsp;</div><div><br></div><div>I ask Aaron if he thought User driven&nbsp;Policy would need to constantly evolve.</div><div><br></div><div>Aaron explained some of what he has learned from his experience with policy.&nbsp;</div><div><br></div><div>Explaining that&nbsp;Privacy Policy must be complex, you do need a lawyer readable version, (corporations do have a lot to deal with), on the other hand policy needs to be easy to use. &nbsp;(example of telephone as an easy to use complex network)Which is why Aaron supports the creative commons approach to policy.&nbsp;</div><div><br></div><div>Aaron explained that the creative commons approach is useful and may be relevant in this context.&nbsp;</div><div><br></div><div>I explained my interest in policy for User Managed Access and the use of a Standard Agreement with use of UMA.&nbsp;</div><div><br></div><div>Aaron explains that he went down the path of a standard agreement and ran into some roadblocks and that standard agreements were of limited utility.&nbsp;</div><div><br></div><div>He spent alot of time on this with Privacy Commons and has never seen a standard agreement that actually works.&nbsp;</div><div>This he says is due to every business being unique and taking into consideration the needs of a corporation for every transaction or industry may be extremely difficult.&nbsp;</div><div><br></div><div>Although there may be standard activities which he has also spent some time reviewing</div><div>- privacy consideration by industries e.g. health</div><div><br></div><div>We discussed enforcement of user driven policy. &nbsp;Aaron mentions the recent FTC roundtables and the FTC favouring the angle that unfair and deceptive practices,(TOSA, PP) along with plain old contract law is an effective enforcement perspective and perhaps the &nbsp;most appropriate legal regimes for privacy policy and enforcement in the US. &nbsp;Aaron explained that its better looked at as the perceived least worst solution.&nbsp;</div><div><br></div><div>Aaron explained that &nbsp;regulation may not be addressing what users want to know when giving access to information. &nbsp;</div><div><br></div><div>Discussed transaction costs to user and the cost of tailored policy to the enterprise. &nbsp;Discussed the issues and transaction costs of negotiating and renegotiating consent. e.g. when information was paper based there was a high transaction cost to disturbing privacy. &nbsp;Today this is significantly lower and agrees that we need a low transaction cost solution for these issues. &nbsp;Negotiating consent online has a high transaction cost online.</div><div><br></div><div>Discussed transaction costs and risks in the UMA legal scenario with tripit to ical to flickr sharing scenario.&nbsp;</div><div><br></div><div>This inspired Aaron to bring up&nbsp;<a href="http://www.nstic.ideascale.com/">the</a>&nbsp;CFC on a&nbsp;Draft white house strategy for an identity ecosystem. &nbsp;&nbsp;<a href="http://www.nstic.ideascale.com/">National Strategy for Trusted Identities in Cyberspace</a>&nbsp;which may be of interest to some people on the list. I do think it is relevant to UMA. Especially the Summary of Identity Ecosystem Characteristics section. &nbsp;</div><div><br></div><div>In the end I think it was a great UMA discussion :-) &nbsp;</div><meta charset="utf-8"><div><br></div><div>- Mark</div><div><br></div><div><br></div><div><br></div></body></html>