![image](https://habrastorage.org/webt/ys/tt/hv/ystthvzlkk0f7yarw8uh9zaxzeg.jpeg)
Европейский совет по защите данных (EDPB) опубликовал обновленные руководящие принципы, касающиеся правил онлайн-согласия на обработку данных. В них говорится, что отказ от cookies не должен быть причиной для закрытия сайта от пользователя, а скроллинг страницы не может считаться согласием на данную политику.
Согласно регламенту о защите данных (GDPR), предложение об использовании cookies должно быть четким и информативным, а доступ на сайт должен осуществляться даже в случае отказа. В обновленных принципах говорится, что, когда содержимое сайта скрыто, а пользователь видит лишь кнопку «Принять файлы cookie» на так называемой платформе управления согласием, у него нет реального выбора.
Там же говорится, что скроллинг или свайп страницы могут работать как согласие на обработку данных, только если последовательность этих действий и их последствия четко прописаны на странице. В противном случае пользователь может выполнить случайное действие, что автоматически будет считаться согласием, но отменить его будет уже невозможно. Как отметили в EDPB, «такие действия, как прокрутка или перелистывание веб-страницы или подобная активность пользователя, ни при каких обстоятельствах не будут удовлетворять требованию четких и позитивных действий».
«Более того, в таком случае пользователю будет сложно предоставить способ отозвать свое согласие таким же простым способом, как и предоставить его», — отмечает регулятор.
Между тем Европейское бюро интерактивной рекламы, которое разрабатывает отраслевые стандарты, проводит исследования и оказывает юридическую поддержку индустрии онлайн-рекламы, в прошлом году использовало платформу согласия на cookie, если пользователи хотят просмотреть контент. Таким образом, пользователей лишили свободы выбора. Позднее, правда, оно обновило правила согласия на использование файлов cookie.
Новые требования основаны на прошлогоднем решении Европейского суда, который заявил, что для отслеживания файлов cookie требуется активное согласие. Чтобы не попасть под действие новых норм, компании теперь должны предоставлять четкий и точно обозначенный запрос на получение согласия пользователей и предлагать им такой же простой путь для отказа.
Зимой специалисты из Массачусетского технологического института вместе с институтами Великобритании и Дании выяснили, что лишь 11,8 % из 10 000 проверенных веб-сайтов «соответствуют минимальным требованиям, установленным на основе европейского законодательства». Так, чтобы усложнить отказ от отслеживания, они используют платформы управления согласием типа QuantCast, Cookiebot или TrustArc. Политику неявного согласия применяли в 32,5% случаев. В случае же отказа пользователям приходится выполнять несколько действий, чтобы найти запрещающую кнопку.
Такая политика, выяснили авторы исследования, увеличивает вероятность согласия пользователей на использование cookie-файлов примерно на 23%.
В целом, с момента вступления в силу закона ЕС о конфиденциальности данных 5 мая 2018 года регуляторы взыскали штрафов на общую сумму 114 млн евро. Зарегистрировано более 160 тысяч нарушений, причем, в 2019 году число сообщений о нарушениях выросло на 12,6%. Большинство из них пришлось на Великобританию, Германию и Нидерланды.
См. также:
ArsenAbakarov
ИМХО, вот маразм блин какой-то на счет этой политики кук, у меня почти никто из друзей не знает что это такое и для чего, а родители постоянно спрашивают «Сынок, а че это за фигня?», и всегда забывают через 5 мин, потому что обычному человеку оно нахрен не надо.
Скоро перед открытием сайта нужно будет наверное договор подписывать и хранить его 5 лет блин
amarao
Конечно, маразм. Пускай творят что хотят, лишь бы невидимо было.
Хотя да, вам от этого особой пользы нет, т.к. речь идёт по регуляции в ЕС.
ArsenAbakarov
Да никто почти и не читает что там, все клацают «ОК» и все. Всем же итак понятно что так оно все и работает
amarao
Дело не в том, что вам дают клацнуть. А в том, что для того, чему вам дают клацнуть, вводят ограничения. Например, consent не может быть без scope & purpose, у вас есть право его отозвать.
Вы этим правом можете не пользоваться. (Более того, у вас, если вы живёте в РФ, этого права нет), но в целом индустрия с криком, болью и раздираемыми засохшими бинтами медленно становится чуть менее диким западом.
Вот я GDPR просто нарадоваться не могу. Помню, как мне дядька в агентстве недвижимости с сожалением говорил, что они вынуждены удалять все сканы всех паспортов с кем они работали по истечении пол-года с момента окочания сопровождаемого контракта/сделки. Я сочувственно покивал головой, а в нутри меня прямо пёрло "так так и должно быть".
akuzmin
А меня напрягает постоянно кликать эту кнопку на каждом сайте. Это похоже на очередную бюрократическую процедуру, и как минимум в моем случае, ненужную. Было бы супер, если бы разрешили браузерам автоматически кликать на эту кнопку, если пользователь, например, где-то в настройках один раз и навсегда даст свое согласие.
amarao
Всему своё время. Пока, вот, ещё индустрия находится во третьей стадии переживания (торг). Дальше будет принятие.
VEG
А вот представьте, дальше примут закон, который запретит под угрозой штрафов вмешательство в работу сайтов (что поставит блокировщики рекламы вне закона). И все будут обязаны смотреть рекламу. На выбор — нерелевантную рекламу Tampax (если не согласился на сбор статистики о своих предпочтениях) или релевантную рекламу новых инструментов для разработчиков. Вроде как и пользователей защитили от трекинга предпочтений без явного согласия, и создателей сайтов от недобросовестного использования их сайтов, а в итоге все недовольны.
amarao
Давайте уточним, что такое "работа сайта"? Если я отказываюсь выполнять код с сайта, то это моё право.
(почему вы прямо сейчас не выполняете код с сайта desunote.ru/malware, я настаиваю!)
Я имею право запросить well-known ресурсы сайта (index.html, robots.txt, etc), и есть судебные прецеденты на этот счёт. Я имею право запросить ресурсы, указанные в этих файлах. Я не обязан интепретировать их каким-либо специальным образом.
И я не понимаю как вы примете закон об обязательности исполнения чьего-либо кода.
VEG
Предположим, что такой нелепый закон был принят. Тогда у вас есть право отказаться от выполнения кода какого-то сайта. Для этого вы просто не заходите на него, вообще. А вот если вы уж зашли на сайт, то будьте добры — используйте сертифицированное ПО, которое выполнит весь код, который необходим для работы сайта. Код, что показывает рекламу — тоже часть сайта, и тоже должен быть выполнен, а результат — отображён. Попытка намеренно избавиться от рекламы путём использования запрещённого браузера поддерживающего установку блокировщика рекламы — не случайность, а явно злой умысел, который тянет на большой штраф.
Вернёмся в сегодняшнюю реальность. Если вы возьмёте триальную версию программы, и при её выполнении пропустите часть кода, что проверяет наличие лицензии, получив таким образом возможности полной версии — это нарушение, или реализация «права» решать какой код выполнять?
amarao
curl http:/google.com — я зашёл на сайт или нет?
Если я буду использовать чужую программу, на которую у меня нет лицензии, это будет нарушением авторского права. Вне зависимости от того, "отказывался" я от выполнения куска триального кода или нет. (если я буду использовать ворованный ключик — ситуация будет аналогичной). Наоборот, если у меня есть лицензия на использование программы, я могу отказываться от выполнения любой её части. Я не слышал про судебные случаи из-за выключения компьютера (частный случай отказа выполнять программу).
VEG
Постойте, но у вас же есть право выполнять триальную версию программы. По задумке авторов она должна работать, но с заложенными ограничениями, пока пользователь не оплатит полную версию. Или ещё лучше — пока программа не оплачена, она работает, но время от времени просто показывает рекламу. Легально ли вмешиваться в её код, чтобы спрятать рекламу?
amarao
В общем случае такого права нет. Надо смотреть условия лицензии. Так как в общем случае нет разрешения на исполнение программы, то что разрешили — то разрешили.
Насчёт "спрятать рекламу" — чтобы спрятать рекламу не нужно менять программу. Достаточно отключить интернет (в доме). Или наклеить стикер на этом месте экрана. Какое из этих действий запрещено?
VEG
amarao
Повторю, для кода нет разрешения на запуск "по-умолчанию" и взаимоотношения с пользователем регулируются eula:
Вот, например, и EULA у MS:
SCOPE OF LICENSE. The software is licensed, not sold. Microsoft reserves all other rights. Unless applicable law gives you more rights despite this limitation, you will not (and have no right to):
work around any technical limitations in the software that only allow you to use it in certain ways;
Раз и два. Насколько я понимаю, сейчас существует странная биекция о "разрешении на запуск" js'а без лицензии (т.е. лицензии нет, а запускать js, вроде бы, можно). Если будет требование принять EULA перед запуском JS'а, то у меня всегда есть право эту лицензию не принимать, а ограничиться всего лишь обозреванием отданного мне без авторизации.
Кто-то может поставить авторизацию (да хоть и paywall) с лицензией; но мы-то говорим о публично доступных ресурсах, да?
StSav012
Вы это сейчас из головы или 2GIS описывали?
bgBrother
В таком случае будет более очевидное поведение с точки зрения пользователя и рынок относительно быстро сам себя отрегулирует. Кто захочет смотреть рекламу — будет её смотреть. Кто не захочет — уйдёт на другие ресурсы: бесплатные без рекламы, платные без рекламы.
rtkprg2
Ура, Ростелеком и некоторых мобильных операторов будут штрафовать за подделку трафика!
VEG
Вмешательство в трафик со стороны провайдера совершенно точно должно быть под запретом =)
bgBrother
Запретить! Но разрешить (роскомнадзору)!
Oplkill
Есть плагин который за тебя ставит согласие на куки, скрывая от тебя все эти всплывающие окна. На большинства сайтах работает отлично
firefox
Chrome
lgorSL
Есть uMatrix, который наоборот блокирует куки.
Oplkill
суть в том, что uMatrix не заблокирует само окно принятия кукисов. Удобно их комплексное использование
Krapivnik
В огнелисе установите аддон "I don't care about cookies". И ремайндеры о кукисах больше не побеспокоят
https://addons.mozilla.org/android/downloads/file/3422556/i_dont_care_about_cookies-3.0.5-an+fx.xpi?src=search
VEG
Ну не знаю, меня раздражают все эти плашки в рандомных местах на разных сайтах. Огорчает, что нет универсального способа убрать всех их разом. Это было большой глупостью заставлять сайты делать эти плашки, так как предупредить пользователя о том, что на сайте (обожемой, какой кошмар!) используются куки, вполне может сам браузер, с кнопкой для запрета приёма кук для текущего сайта, если вдруг это пользователю зачем-то нужно. В случае с плашкой, соглаешься ты с тем что там написано, или нет — сайт всё равно может использовать куки. Если вы на сайте отключили JS, то плашка эта может вообще не показаться, а куки будут продолжать работать. Встроенное в браузер решение могло бы надёжно и универсальным способом решить эту проблему, если кому-то это вдруг важно. Ну и для таких как я — возможность полностью убрать это недоразумение с глаз было бы полезным. Все были бы в выигрыше. А сейчас выходит, что все в проигрыше. Разработчикам сайтов — лишние телодвижения, пользователям — плохой UX и отсутствие гарантий что куки не устанавливаются.
OnYourLips
Я вот всегда замечал: почему-то очень много высказываний негативных про GDPR со стороны людей, которые даже не пытались разобраться, что это такое и не понимают, как он работает.
Попробуйте ответить на вопрос: как можно отключить рекламные куки в браузере и трекинг для текущего сайта средствами браузера, но оставить куки для функционирования логина и куки кешбека от партнера на этом сайте?
VEG
Никак. Но это даёт гарантию, что куки не установлены. А остальное всё — полумеры. Какая вообще разница, кука используется только для рекламных целей (кешбек тоже ведь для рекламных целей существует), или нет? Любая сессионная кука позволяет вас отследить. Одна и та же кука может использоваться для того, чтобы показывать именно вашу корзину, и чтобы отслеживать вашу активность на сайте, чтобы понять, какие товары вы смотрели чаще и какого плана товары вам нужно показывать в реклманых блоках. Если вам действительно принципилаьно важно, чтобы вам никак не могли дать таргетированную рекламу, никакие куки нельзя принимать, нужно отключить кэширование в браузере, отключить JS, периодически менять свои внешние IP, и стараться при этом не сильно страдать.
Вообще, обязательство сайтов предупреждать об установке кук появилось за годы до GDPR. Последние наверное лет 10 уже докучают пользователям. Если на какой-то сайт заходишь из приватного режима (идеальный инструмент для того, чтобы попользоваться каким-то сайтом, и он тебя не запомнил), то эти плашки приходится закрывать при каждом посещении.
OnYourLips
Ну вот смотрите: в уголовном кодексе есть статья об убийстве. Но это не мешает людям иногда убивать других людей. Значит ли это, что запрет на убийства с последующим наказанием — бессмысленная полумера?
Именно поэтому GDPR и появился, чтобы такое поведение сайта было нарушением.
Сейчас просто еще мало штрафуют за нарушения, закон то новый.
Я очень надеюсь, что GDPR будет набирать силу, его начнут массово соблюдать под угрозой реальных штрафов, и даже что появятся автоматизации в виде API на стороне браузеров. Но пока что надежды на последнее мало: основной игрок на рынке браузеров первый пострадает от GDPR.
VEG
По-моему гораздо проще не гадать, чем там занимается сайт, а просто всегда по умолчанию считать, что любой сайт трекает чем ты на нём занимаешься, и действовать исходя из этого предположения.
Боязнь что кто-то натрекает что тебе интересен какой-то товар и покажет (о ужас!) релевантную рекламку мне напоминает боязнь ГМО. И то и другое, на мой взгляд, иррационально.
Другое дело, если вы вводите на сайте какие-то личные данные. В таком случае объяснение, что будет с этими данными, всё же нужно. Но это не то же самое, что вы зашли на какой-то сайт, и покликали там по каким-то ссылкам, а сайт это запомнил, и предложил потенциально интересную вам рекламку или контент.
amarao
Тут несколько уровней. Во-первых, уже есть ощутимый корпус случаев, когда "контекстная реклама" показывает человеку что-то, что он не готов показывать окружающим в тот момент, когда он показывает какую-то страницу кому-то. Это очевидное нарушение прайваси. Если человек до этого десять часов искал подгузники для взрослых и читал статьи про недержание мочи, это не означает, что он дал согласие на "таргетирование реклама для пользователей подгузников для взрослых" для него, тем самым раскрывая medical condition.
Второе: время жизни моего устройства от батареи — это моя личная проблема. И мне не нравится, когда чьи-то потребности трекать этот процесс находятся в конфликте с решением моей личной проблемы. То же касается и excessive traffic, потому что интернеты иногда платные по трафику.
Третье. Исполнение скриптов с посторонних ресурсов — один из простейших методов компрометации браузера через известные используемые уязвимости.
VEG
bgBrother
Как будто приватный режим поможет от генерации отпечатка по канвасу, Audio Context'у или подобным техникам с последующим показом «нужной» рекламы.
ookami_kb
Как будто несогласие с установкой куков от этого поможет.
bgBrother
Законы для того и применяются, что бы помогло. Они не только регулируют не только то, что мы называем «cookies», если я верно понимаю.
faoriu
А можно как-то отказаться от регуляций ЕС, а то они подзадолбали спамить этой фигней весь мир?
amarao
Конечно, можно. Вам надо:
а) находиться вне территории ЕС
б) взаимодействовать с компаниями, которые не расположены на территории ЕС.
Если же кто-то выполняет требования GDPR для субъектов, на которых действие GPPR не распространяется, то это их личное персональное решение и оно ничем не отличается от решения использовать comic sans в качестве основного шрифта на сайте.
stardust1
Ну раз вашим друзьям и родителям это не нужно, то значит и всем не нужно. Это же логично.
Житель ЕС и полностью поддерживаю GDPR. Всё правильно делают. Ещё бы «Сахарную горку» прижучили, чтобы не лепил везде свою «мордокнигу». И производителям смартфонов запретили предустанавливать свои приложения, которые только с танцами с бубном удалить можно. Да и то не полностью. Кому надо пусть сам с любого магазина качает и через него обновляется.
ArsenAbakarov
в своем комменте я лишь забыл написать что я про Россию, и да, тут почти никто не знает зачем что это за «куки» такие
не забывайте, что мы технически подкованы, но подавляющее большинство людей в этом ничего не соображают
vikarti
А это хорошая идея. Была бы хорошая идея если можно было бы договора писать в машинно-понимаемым виде и была возможность договариваться об условиях (а не соглашаться на оферту). Только вот для этого похоже ИИ будет будет. В том числе потому что договора ж мало будет.
«Алиса, если сайт хранит данные об активности моей активности на территории Европы(Эстония Европой не считай) или США(кроме как там этого штата с мормонами) и выдает эти данные в <название стандартного формата> то согласится на максимальный уровень отслеживания, предоставить доступ ко все датчикам устройства в автоматическом режиме, в противном случае я против отслеживания, к датчикам доступ запретить, если сайт хранит данные в стране которая находится ниже 50 места в Мировом Рейтинге Конфеденциальности Данных по версии EFF или против сайта ведется расследования в отношении нарушения заключенных контрактов — то делай доступ только через Tor, и не давай никакие согласия на отслеживания больше чем на сутки (а лучше вообще). Если тематика сайта явно относится к интересным мне — предложи отключить рекламу за 0.1 цент в сутки, если при этом к сайту приходится производить доступ через Tor — то 1 сатоши в сутки, если сайт не согласен — врубай блокировку рекламы, если тематика сайта не относится к списку мне интересных — сразу врубай блокировку рекламы но если уже третий раз в неделю посещаю — напомни рассмотреть добавление сайта в интересные».
Мечты -:(
Rigidus
Описанное — не мечты, а rule-based decision system. Похожую модель уже используют броузер и сервер, выбирая протокол шифрования внутри ssl — нет технических причин не использовать её для того что вы хотите
vikarti
Модель в браузере — это достаточно сложный код на C++.
А я хочу именно реализацию когда я могу голосовому помошнику сказать то что выше, и он поймет меня правильно, и сделает. И все необходимые данные — доступны. А сайты — имеют машинно-понимаемый протокол согласования уровня отслеживания или там платного отключения рекламы.