Почему Евросоюз искореняет cookie-стены
В конце прошлого года Суд Европейского союза запретил сайтам устанавливать cookies по умолчанию и использовать предварительно заполненные чек-боксы на соответствующих баннерах. Регулятор заявил, что эти практики противоречат требованиям Общего регламента по защите данных.
В начале мая Европейский совет по защите данных (European Data Protection Board, EDPB) поставил точку еще в одном вопросе — cookie-стены нарушают GDPR. Обсуждаем ситуацию.
Фото — Erol Ahmed — Unsplash
Постановление EDPB
В марте прошлого года нидерландский регулятор назвал cookie-стены незаконными. Это — баннеры, блокирующие доступ к контенту, пока пользователь не даст согласие на обработку персональных данных. Решение агентства по защите данных в Нидерландах спровоцировало дискуссию среди владельцев сайтов, юристов и политиков. И в начале месяца представители European Data Protection Board (занимается вопросами правоприменения GDPR) выпустили официальное разъяснение, в котором подтвердили — куки-стены противоречат требованиям GDPR. Они вынуждают пользователей принять условия сбора данных, в то время такое согласие должно быть добровольным.
Дополнительно комиссия EDPB разъяснила, что пролистывание веб-страницы также нельзя считать разрешением на обработку ПД.
Какие есть подводные камни
EDPB лишь принимает новые правила и разъясняет законы, связанные с защитой персональных данных. За их исполнением следят местные власти стран-членов Евросоюза. Но ряд экспертов отмечает, что дела с этим обстоят не лучшим образом. Несмотря на штрафы по GDPR — которые могут достигать 20 млн евро — многие ресурсы устанавливают куки без согласия пользователей.
Специалисты из Орхусского университета, Университетского колледжа Лондона и MIT отмечают, что лишь 11,8% баннеров соответствуют минимальным требованиям законодательства ЕС.
Также журналисты The Verge пишут, что запрет cookie-стен не станет панацеей. В арсенале нечистых на руку веб-мастеров есть множество инструментов, с помощью которых они заставляют пользователей дать согласие на установку cookies. К «темным практикам» относят излишне сложные интерфейсы и расплывчатые формулировки.
Фото — Kari Shea — Unsplash
Что интересно, необходимости строго регулировать куки можно было избежать, если бы все компании изначально следовали рекомендациям, прописанным в оригинальной спецификации cookies (RFC 2109). На этот факт обратил внимание Томас Бикдал (Thomas Baekdal), основатель одноименного технологического журнала Baekdal.
Спецификацию разработали инженеры из Netscape Communications еще в 1997 году. Документ запрещает интернет-ресурсам ставить сторонние cookies или как минимум активировать их по умолчанию. При этом сайты должны предоставлять пользователям возможность удалять данные о себе и отзывать разрешение на установку cookies. Аналогичные требования сегодня можно найти в статьях №17 и №21 GDPR.
Как самостоятельно заблокировать нежелательные cookies
Можно воспользоваться инструментами, которые предлагают различные браузеры. В Mozilla разработали утилиту, запрещающую установку сборщиков цифровых отпечатков и отслеживающих куков. Аналогичные решения есть в Safari и Brave, а Google пока только планирует их внедрить. Соответствующая функциональность в Chrome появится в ближайшие два года.
Еще одним инструментом защиты может быть фреймворк Do Not Track (DNT). Он разработан консорциумом W3C и должен автоматизировать работу с куками. В браузер добавляется специальная функция. Она сообщает сайтам, установку каких cookies разрешил пользователь. Однако исследования Forrester показали, что популярные ресурсы игнорируют новый механизм. По этой причине в начале прошлого года инженеры из W3C прекратили работу над проектом. Остается надеяться, что кто-нибудь продолжит начатое консорциумом дело и доведет его до логического завершения.
Посты из блога 1cloud.ru:
Ситуация: нарушают ли AdTech-компании GDPR?
Потенциальные атаки на HTTPS и как от них защититься
Какие инструменты помогут соответствовать GDPR
Почему разработчики мейнстрим-браузера снова отказались от отображения поддомена