
بنرهای کوکی رضایت، که از ترفندهای طراحی آشکار استفاده می کنند تا سعی کنند کاربران وب را به منظور موافقت با تحویل داده های خود برای تبلیغات رفتاری، به جای دادن یک انتخاب آزاد و منصفانه به افراد برای انصراف از این نوع ردیابی وحشتناک، دستکاری کنند، با واکنش هماهنگ از سوی مردم مواجه هستند. قانونگذاران حفاظت از دادههای اتحادیه اروپا
یک گروه کاری متشکل از چندین DPA، به رهبری CNIL فرانسه به همراه مقامات اتریشی، ماه های زیادی را صرف تجزیه و تحلیل بنرهای کوکی کردند. و در گزارشی که این هفته منتشر شد، آنها در مورد نحوه برخورد با شکایات در مورد انواع خاصی از مدلهای رضایت کوکی تیره در حوزه قضایی مربوطه خود به توافق رسیدند – پیشرفتی که به نظر میرسد پرواز طرحهای تقلبی در سراسر اتحادیه اروپا را دشوارتر میکند.
این کارگروه در پاسخ به صدها شکایت راهبردی که بین سالهای 2021 و 2022 توسط سازمان نظارت بر حریم خصوصی اروپا، noyb، تشکیل شد – که ابزار خود را برای کمک به خودکارسازی تجزیه و تحلیل بنر کوکیهای وبسایت و ایجاد گزارشها و شکایات (ترفندی هوشمندانه توسط یک غیرانتفاعی کوچک) ایجاد کرد. تا تأثیر استراتژیک آن را مقیاس بندی کند).
کوکیها و سایر فناوریهای ردیابی تحت دستورالعمل حریم خصوصی الکترونیک اتحادیه اروپا قرار میگیرند، به این معنی که نظارت بر بنرهای کوکی عموماً برای تنظیمکنندگان در کشورهای عضو غیرمتمرکز است. این به نوبه خود به این معنی است که بسته به محل میزبانی وب سایت مورد نظر، ممکن است کاربردهای متفاوتی از قوانین در سراسر بلوک وجود داشته باشد. (مثلاً، تنظیمکنندهها در برخی از کشورهای عضو به سایتهای خبری اجازه میدهند تا بین پذیرش ردیابی آگهی برای دسترسی (رایگان) به محتوا یا پرداخت هزینه اشتراک برای دسترسی بدون ردیابی به کاربران پیشنهاد دهند – اگرچه چنین «دیوارهای پرداخت رضایت کوکی» همچنان باقی میماند. بحث برانگیز است و بعید است که با هر DPA آزمون را بگذرانید.)
با توجه به میزان اجماع گزارش شده توسط گروه کاری، این نشان می دهد که در نحوه اجرای شکایات مربوط به طراحی بنرهای رضایت کوکی توسط DPA ها هماهنگی وجود خواهد داشت – به عنوان مثال، اکثریت قریب به اتفاق مقامات موافقند که نداشتن یک ” رد کردن همه” در همان سطحی که دکمه “پذیرش همه” نقض حریم خصوصی الکترونیکی است. بنابراین اجرای بیشتر در برابر سایت هایی که سعی در پنهان کردن گزینه انصراف دارند محتمل به نظر می رسد.
کارگروه همچنین موافقت کرد که جریانهای رضایتی که شامل گزینههای از پیش غربالشده (یعنی به عنوان تاکتیک دیگری برای جلب رضایت) هستند نیز رضایت معتبری نیستند – که نباید کسی را متعجب کند، زیرا بالاترین دادگاه اروپا قبلاً نیاز به فعال بودن را روشن کرده است. رضایت برای ردیابی همه کوکیها در سال 2019.
در پنج یا چند سال گذشته، از زمانی که قانون دیگری از اتحادیه اروپا که قوانین مربوط به رضایت را تقویت میکند – یعنی مقررات عمومی حفاظت از دادهها (GDPR) – به اجرا درآمد – مطمئناً DPAها توجه بیشتری به رضایت کوکی داشتهاند. از جمله شکایات انباشته شده در مورد اینکه چگونه به طور معمول قوانین زیر پا گذاشته می شوند.
این به نوبه خود باعث شده است که بسیاری دستورالعمل های خود را در این مورد به روز کنند (و سخت تر کنند) – ادعای نامشخص بودن قوانین ردیابی رضایت را برای سایت ها سخت تر می کند.
اجرای قوانین نیز در حال افزایش است و برخی از ناظران بسیار فعال هستند – مانند CNIL فرانسه، که از سال 2020 تعدادی از غول های فناوری (از جمله آمازون، گوگل، متا، مایکروسافت و تیک تاک) را به دلیل نقض های مختلف مرتبط با کوکی ها، از جمله اجرای چندگانه جریمه کرده است. اقدامات (و جریمه) برای استفاده از الگوهای تیره برای تلاش برای دستکاری رضایت.
فعالیتهای اجرایی CNIL همچنین شامل دستورات اصلاحی بود که به اعمال برخی تغییرات عمده در طراحی کمک کرد – از جمله Google در بنر کوکیهایی که در سراسر اتحادیه اروپا در سال گذشته نمایش میداد تجدیدنظر کرد تا (در نهایت) یک گزینه برتر را در سطح “انکار همه” قرار دهد. که یک برد بزرگ است.
و با توجه به اینکه CNIL نقش پیشرو در هماهنگی کار گروه ضربت دارد، به نظر می رسد که بخشی از کنوانسیون آن بر سایر DPA ها تأثیر می گذارد.
رگولاتور فرانسوی در بیانیه مطبوعاتی همراه با تصویب گزارش گروه کاری توسط هیئت حفاظت از داده های اروپا در اوایل این هفته و جمع بندی نتیجه، نوشت: «این گزارش به ویژه بیان می کند که اکثریت قریب به اتفاق مقامات معتقدند که فقدان هیچ گزینه ای برای امتناع /رد/مخالف کوکی ها در همان سطحی که برای پذیرش ذخیره آنها ارائه شده است، نقض قانون است (ماده 5، بند 3 دستورالعمل حفظ حریم خصوصی الکترونیکی). CNIL قبلاً در دستورالعمل های خود و در چارچوب چندین تحریم چنین موضعی اتخاذ کرده بود.
علاوه بر موافقت در مورد لزوم همراهی دکمه «پذیرفتن همه» به همراه دکمه «رد همه»، گروه کاری موافقت کرد که طراحی بنرهای کوکی باید اطلاعات کافی را در اختیار کاربران وب قرار دهد تا به آنها اجازه دهد درک کنند که چه چیزی به معنای رضایت است. و چگونه انتخاب خود را بیان کنند.
در این گزارش آمده است که بنرهای کوکی نباید به گونهای طراحی شوند که به کاربران این تصور را بدهند که باید با دسترسی به محتوای وبسایت موافقت کنند و یا اینکه به وضوح کاربر را به رضایت تشویق کنند.
آنها همچنین بر روی چند نمونه از طرح های کوکی توافق کردند نه منجر به رضایت معتبر می شود – مانند زمانی که طرح به گونه ای است که “تنها اقدام جایگزین ارائه شده (به غیر از رضایت) شامل پیوندی در پشت عباراتی مانند “انصراف” یا “ادامه بدون پذیرش” است که در یک پاراگراف از متن در متن موجود است. بنر «کوکی»، در غیاب پشتیبانی بصری کافی برای جلب توجه کاربر معمولی به این اقدام جایگزین»؛ یا جایی که “تنها اقدام جایگزین ارائه شده (به غیر از رضایت) شامل پیوندی در پشت عباراتی مانند “انصراف” یا “ادامه بدون پذیرش” است که در خارج از بنر کوکی که در آن دکمههای پذیرش کوکی ارائه میشود، در غیاب پشتیبانی بصری کافی قرار داده شده است. برای جلب توجه کاربران به این اقدام جایگزین در خارج از چارچوب».
بنابراین اساساً آنها در مورد حذف برخی از الگوهای رایج بنر کوکی های تیره به توافق رسیدند.
اما در مورد ترفندهای بصری – مانند استفاده از رنگهای برجسته که میتوان برای جلب چشم به سمت دکمه «پذیرش همه» انتخاب کرد و دیدن گزینه انصراف را سختتر کرد – کارگروه تصمیم گرفت که تجزیه و تحلیل ظاهری مورد به مورد و احساس (و پتانسیل این نوع تصمیمات طراحی به طور آشکار گمراه کننده) در بیشتر موارد ضروری است. و آنها موافقت کردند که جای آنها نیست که یک استاندارد عمومی بنر (از نظر رنگ و/یا کنتراست) را بر کنترل کننده های داده تحمیل کنند.
آنها همچنین موافقت کردند که عدم استفاده از تمام دکمههایی که به گونهای طراحی شدهاند که متن را «عملاً برای هر کاربری غیرقابل خواندن» میسازد، میتواند برای کاربران «آشکارا گمراهکننده» باشد.
سایر مسائلی که کارگروه با آن مواجه شده است شامل اضافه شدن جدیدتر به جهنم رضایت کوکی است – که در آن سایت ها می توانند به دنبال ادعای “منافع قانونی” برای پردازش تبلیغات باشند. گاهی اوقات اضافه کردن دسته ای از جابجایی های اضافی به همراه مبنای قانونی برای دکمه های رضایت که معمولاً فقط در یک منوی فرعی (یا سایر منوهای فرعی) نشان داده می شوند و در جایی که سطح بالا گزینه “انصراف از همه” را ارائه نمی دهد – در عوض کاربران را ملزم می کند تا روی تنظیمات کلیک کنند تا این آشفتگی گیج کننده سوئیچ ها را آشکار کنند (گاهی اوقات با LI های از پیش بررسی شده).
یادداشتهایی در این مورد گزارش میدهد: «ادغام این مفهوم از علاقه مشروع برای پردازش بیشتر «در لایههای عمیقتر بنر» میتواند برای کاربرانی که ممکن است فکر کنند برای پردازش نشدن اطلاعات شخصیشان باید دو بار انصراف دهند، گیجکننده در نظر گرفته شود.
این کارگروه همچنین موافقت کرد که چگونه تنظیمکنندهها باید تعیین کنند که آیا پردازش مبتنی بر کوکیهای بعدی قانونی است یا خیر – گفت که این امر مستلزم تعیین این است که آیا ذخیره/دسترسی به اطلاعات از طریق کوکیها یا فناوریهای مشابه مطابق با ماده 5، بند 3 این قانون انجام میشود یا خیر. دستورالعمل حفظ حریم خصوصی الکترونیکی (و قوانین اجرایی ملی) – هر پردازش بعدی مطابق با GDPR انجام می شود. 24”
«در این راستا، اعضای کارگروه بر این نظر بودند که مغایرتی بر اساس ماده وجود دارد. 5 (3) در دستورالعمل حفظ حریم خصوصی الکترونیکی (به ویژه در مواردی که رضایت معتبر در صورت نیاز دریافت نشده است) به این معنی است که پردازش بعدی نمی تواند مطابق با GDPR 5 باشد. علاوه بر این، اعضای TF تأیید کردند که مبنای قانونی برای قرار دادن/خواندن کوکی ها تحت بند 3 ماده 5 نمی تواند منافع مشروع مدیر باشد.»
اگرچه به نظر می رسد که آنها تا حد زیادی در مورد نحوه برخورد با آفت جدید سوئیچ های LI که در جریان های رضایت کوکی ظاهر می شوند محتاط هستند – و می گویند که آنها “توافق کرده اند در صورت مواجهه با موارد خاصی که در آن بحث های بیشتر برای اطمینان از نیاز به بحث بیشتر در مورد این نوع از روش ها بازگشایی شود. یک رویکرد منسجم».
گروه کاری همچنین در مورد اینکه با سایتهایی که بهدنبال طبقهبندی برخی پردازشهای دادههای غیر ضروری بهعنوان کاملاً ضروری/ضروری هستند، چه باید کرد – و بنابراین آنها را در دستهای دستهبندی کرد که نیازی به رضایت تحت عنوان ePrivacy یا GDPR ندارند. با این حال، آنها معتقد بودند که مشکلات عملی در تعیین اینکه کدام پردازش به شدت ضروری است وجود دارد.
وی افزود: «اعضای گروه کاری توافق کردند که ارزیابی کوکیها برای تعیین اینکه کدام ضروری هستند، مشکلات عملی را به همراه دارد، به ویژه به دلیل این واقعیت که ویژگیهای کوکیها به طور منظم تغییر میکنند، که از ایجاد فهرستی پایدار و قابل اعتماد از این کوکیهای ضروری جلوگیری میکند.» نوشت. وجود ابزارهایی برای ایجاد فهرستی از کوکیهای مورد استفاده توسط یک وبسایت و همچنین مسئولیت صاحبان وبسایت برای حفظ چنین فهرستهایی و ارائه آنها به مقامات ذیصلاح در صورت درخواست و نشان دادن اهمیت کوکیها مورد بحث قرار گرفت.» ذکر شده.”
در مورد دیگر – در مورد لغو رضایت – آنها توافق کردند که صاحبان وب سایت باید “راه حل هایی با دسترسی آسان به کاربران اجازه دهند رضایت خود را در هر زمانی پس بگیرند”، با مثالی از یک نماد کوچک (“آویز و همیشه قابل مشاهده”) یا لینک “قرار گرفته در مکان برجسته و استاندارد”.
با این حال، آنها دوباره از الزام کردن یک روش استاندارد خاص برای کاربران برای پس گرفتن رضایت مالکان سایت خودداری کردند و گفتند که آنها فقط می توانند ملزم به اجرای آن باشند. “راه حل های در دسترس” پس از کسب رضایت.
«تحلیل مورد به مورد تصمیم مشخص شده برای لغو رضایت همیشه مورد نیاز است. این تجزیه و تحلیل باید بررسی کند که آیا این منجر به الزام قانونی می شود که انصراف به راحتی رضایت است یا خیر.”