Categories
程式開發

為什麼每個網站都想讓你接受cookies?


如果你在過去18個月訪問過新網站,可能會看到一條通知:

這個頁面正使用cookies跟踪你,並要求你同意這種行為。這個網站會讓你閱讀其“cookie政策”(你會讀嗎?),並且進一步告訴你,這種跟踪是為了“提高”用戶體驗——雖然說它給你的感覺完全相反。

為什麼每個網站都想讓你接受cookies? 1

Cookie是什麼?有何作用?

Cookies是網站發送到你設備的小文件,然後被這些網站用來監視你,並記住關於你的某些信息,比如電商網站購物車中的內容或登錄信息等等。

這種遍及整個互聯網的cookies彈出通知是善意的,旨在提升用戶線上隱私保護的透明度。

然而到頭來,它們並沒有什麼卵用:

大多數人只是下意識的點擊“同意”並繼續訪問。如果拒絕Cookie跟踪,有些網站就無法正常運行。但大多數時候,你拒絕了它依然可以繼續瀏覽。

用一句話說,它們與我們會忽略的煩人在線彈出廣告沒太大區別。

Cookies警報理應為你提供更多的隱私控制權。但大多數情況下,你會單擊”同意”然後繼續。

互聯網的困境:隱私保護

這些Cookie提示反映了互聯網當前面對的一大根本缺陷,關於在線隱私保護和誰能訪問並轉售用戶數據的問題。進一步說,誰能利用它在互聯網和現實生活中跟踪用戶。

為什麼每個網站都想讓你接受cookies? 2

Cookie警報的氾濫很大程度上源於歐盟兩項不同的法規:

《GDPR》、ePrivacy條例

它們以及隨之產生的Cookie警報有很多好的意圖。但是,它們作用不大。

digi.me的CEO稱,“我可以說,到目前為止,它們沒有什麼作用。我們又回到了1999年,到處可見彈出窗口,這相當令人討厭。”

我們先回顧下,cookie是你上網時網站保存的關於你的信息。當你瀏覽時,它們會一直跟踪你。

假設你訪問一個天氣網站並輸入自己的郵政編碼,查看自己所在地區的情況;下次你訪問同一網站時,它會記住你的郵政編碼。

你訪問的網站會保存第一方Cookie,然後是第三方Cookie,例如廣告客戶存放的Cookie,後者是用來查看你感興趣的內容並為你投放對應廣告的——即使你離開之前訪問的網站,第三方Cookie也在生效。 (這就是廣告在互聯網上跟踪你的機制。)

Cookies彈窗急劇增長的背後

關於Cookies警報的增長是一系列事件的綜合影響結果,這些事件主要發生在歐盟以外的地區。

但從更宏觀的視角來看,這些警報的背後是一場關於數字隱私保護的長期爭議,爭議內容包括要求用戶來選擇是否加入數據收集計劃是不是更好的做法,以及誰應該擁有數據並負責保護數據等議題。

2018年5月,《GDPR》在歐洲生效。該隱私保護法案旨在確保用戶知曉公司在收集有關他們的數據,並讓用戶有機會同意共享這些數據。這要求公司在收集哪些信息以及為什麼收集這些信息等問題上保持透明。個人有權訪問自己的所有數據,並控制它們的訪問和使用權限,甚至刪除它們。

《GDPR》生效後,許多網站都開始添加Cookie通知。但是,《GDPR》實際上只提到Cookie一次。它說,在一定程度上它們被用來識別用戶,所以它們有資格被視為個人數據並受《GDPR》的約束,於是公司只要徵得用戶同意或讓監管者認同某種“合法利益”,就可以處理這些數據。

但是,管理Cookie的不僅是《GDPR》,還有歐洲的ePrivacy條例,該條例的最新更新時間約為10年前。

它有時被稱為“Cookie法案”,它為在線跟踪、保密和監視制定了指南。當前,歐洲正在嘗試制定《電子隱私權法規》,該法規將取代上述條例,並為歐盟帶來跨國家的全面法規監管,而不是各自為政。目前,《GDPR》和《ePrivacy條例》共享對Cookie的治理權。但是,無論新法律是否通過,Cookie警報都不會很快消失。

為什麼每個網站都想讓你接受cookies? 3

新美國旗下數字權利排名項目研究總監Amy Brouillette說:“GDPR是一隻鞋,而另一隻鞋是正在推進的電子隱私法規。”這個項目正在推動在線自由表達和隱私保護的權利。

大多數公司都會向你拋出Cookie警報,因為他們不想出了問題再後悔

《GDPR》生效後,全球各地的公司(不僅是歐洲公司)都競相遵守,並開始為各地用戶實施隱私政策更新。這一改變就包括了Cookie彈出窗口。

“所有人都不想出了問題再後悔,所以拋出了一個橫幅——所有人都承認這並不能起到很大作用,”民主與技術中心隱私與數據項目前政策顧問Joseph Jerome說到。這是一家注重隱私保護的非營利組織。 Cookies彈出窗口惡化了用戶體驗,卻沒有帶來真正的回報。

科技公司和網站所有者在如何處理和跟踪用戶數據方面變得更透明,這無疑是一件好事。並且,《GDPR》和其規定的巨額罰金促使一些公司針對違規通知等問題進行自我糾正。

事實上,《GDPR》實施後,歐盟的數據共享和濫用情況變好。

但對於Cookies而言,這些彈出通知的作用並不大。輕鬆訪問用戶數據,並用這些數據來做任何想做的事,這就是互聯網和頭部網站的“生存方式”。

而且坦率說,我們在慫恿這種行為。大多數用戶只需單擊或輕觸“確定”即可清除彈出窗口,並訪問他們要看的頁面。他們很少會去了解自己同意的到底是什麼內容。

研究表明,絕大多數互聯網用戶沒有閱讀服務條款或隱私權政策信息。因此,他們也不會去閱讀Cookie政策。這些政策條款的頁面很長,並且說得不是“人話”(不是以普通人能理解的話寫的)。

關於Cookie警報是否符合歐洲法律,這一點甚至還未達成共識。荷蘭數據保護局在5月表示,這些披露方式實際並不符合《GDPR》,因為不同意就無法訪問網站。

Brouillette表示,“除非採取執行行動,或監管機構出具一份實際的指導文件,上面寫著'我們想要的就是這些,我們認為用戶會去閱讀這些內容',否則你還要面對這種糟糕的用戶體驗。“

有更好的解決方案嗎?也許有,但沒人能說明白它們是什麼樣子。

一方面,用戶訪問網站應該知道自己正進入怎樣的領域,以及有哪些公司跟踪自己;另一方面,要求他們對不甚了解的協議選中一個複選框,並不給他們其他任何可行的選擇,這似乎並不是理想的解決方案。

這會惡化用戶體驗,卻不會帶來什麼有價值的回報。這再次反映了互聯網上隱私和數據收集方面的“根本缺陷”。

有更好的答案嗎?

Green建議使用某種認可或評級系統,來向用戶表明網站是否遵循良好的隱私慣例。當然,我們必須決定由誰制定這些標準(公共部門、私營部門或某種組合)以及標準應該是什麼。並且,要在這些問題上達成共識將很困難。

Jerome指出美國互動廣告局(IAB)提出的透明性和許可框架。 IAB是一個行業貿易組織,致力於研究互動廣告並製定符合歐盟規則的標準和最佳實踐。 “這不一定是解決方案…但我們確實需要某種標準化的方案。”他說。

瀏覽器Brave的首席政策和產業關係官Johnny Ryan表示,IAB的框架實際上是有害的。他說,“實際上,當他們要求你回答ok時,你會被他們的展示信息所誤導。最重要的是,在許多情況下,他們不允許你說不。”

Ryan稱,《GDPR》導致科技行業和監管機構間的“貓鼠大戰”,公司試圖找出可鑽的“漏洞”,並採取最低限度的對策,而不是有意義的行動,甚至在實際上不會遵守法律。 “《GDPR》的紙面意義非常好,內容也幾近完美,但其訴求還未得到執行。“

歐洲之外,美國也在開展一場在線隱私保護運動,並有一些潛在法規可能某天改變互聯網上的數據收集機制,包括Cookie的工作機制。例如,加州民主黨的議員提出《互聯網權利法案》,列出數字時代的用戶保護清單;參議院民主黨人提出《消費者在線隱私權法案》(COPRA),該法案旨在擴大數字隱私權利的範圍,並增強其保護力度,具體做法類似於《GDPR》。

但因共和黨人控制眾議院,並且相關法案在國會幾乎沒任何進展,因此尚不清楚這些想法何時或是否成為法律。

而在州一級,旨在保護隱私權並改善消費者數據保護的法律《CCPA》於2020年1月1日正式生效。

目前而言,我們還要面對Cookie彈窗,這給在線瀏覽增添許多麻煩,卻沒有真正意義。

英文原文:

Why every website wants you to accept its cookies