منو سایت

  • خانه
  • وبلاگ
  • ناظران اتحادیه اروپا درباره نحوه برخورد با برخی از الگوهای رضایت تاریک کوکی توافق دارند • TechCrunch

ناظران اتحادیه اروپا درباره نحوه برخورد با برخی از الگوهای رضایت تاریک کوکی توافق دارند • TechCrunch

 تاریخ انتشار :
/
  وبلاگ
ناظران اتحادیه اروپا درباره نحوه برخورد با برخی از الگوهای رضایت تاریک کوکی توافق دارند • TechCrunch

بنرهای کوکی رضایت، که از ترفندهای طراحی آشکار استفاده می کنند تا سعی کنند کاربران وب را به منظور موافقت با تحویل داده های خود برای تبلیغات رفتاری، به جای دادن یک انتخاب آزاد و منصفانه به افراد برای انصراف از این نوع ردیابی وحشتناک، دستکاری کنند، با واکنش هماهنگ از سوی مردم مواجه هستند. قانون‌گذاران حفاظت از داده‌های اتحادیه اروپا

یک گروه کاری متشکل از چندین DPA، به رهبری CNIL فرانسه به همراه مقامات اتریشی، ماه های زیادی را صرف تجزیه و تحلیل بنرهای کوکی کردند. و در گزارشی که این هفته منتشر شد، آنها در مورد نحوه برخورد با شکایات در مورد انواع خاصی از مدل‌های رضایت کوکی تیره در حوزه قضایی مربوطه خود به توافق رسیدند – پیشرفتی که به نظر می‌رسد پرواز طرح‌های تقلبی در سراسر اتحادیه اروپا را دشوارتر می‌کند.

این کارگروه در پاسخ به صدها شکایت راهبردی که بین سال‌های 2021 و 2022 توسط سازمان نظارت بر حریم خصوصی اروپا، noyb، تشکیل شد – که ابزار خود را برای کمک به خودکارسازی تجزیه و تحلیل بنر کوکی‌های وب‌سایت و ایجاد گزارش‌ها و شکایات (ترفندی هوشمندانه توسط یک غیرانتفاعی کوچک) ایجاد کرد. تا تأثیر استراتژیک آن را مقیاس بندی کند).

کوکی‌ها و سایر فناوری‌های ردیابی تحت دستورالعمل حریم خصوصی الکترونیک اتحادیه اروپا قرار می‌گیرند، به این معنی که نظارت بر بنرهای کوکی عموماً برای تنظیم‌کنندگان در کشورهای عضو غیرمتمرکز است. این به نوبه خود به این معنی است که بسته به محل میزبانی وب سایت مورد نظر، ممکن است کاربردهای متفاوتی از قوانین در سراسر بلوک وجود داشته باشد. (مثلاً، تنظیم‌کننده‌ها در برخی از کشورهای عضو به سایت‌های خبری اجازه می‌دهند تا بین پذیرش ردیابی آگهی برای دسترسی (رایگان) به محتوا یا پرداخت هزینه اشتراک برای دسترسی بدون ردیابی به کاربران پیشنهاد دهند – اگرچه چنین «دیوارهای پرداخت رضایت کوکی» همچنان باقی می‌ماند. بحث برانگیز است و بعید است که با هر DPA آزمون را بگذرانید.)

با توجه به میزان اجماع گزارش شده توسط گروه کاری، این نشان می دهد که در نحوه اجرای شکایات مربوط به طراحی بنرهای رضایت کوکی توسط DPA ها هماهنگی وجود خواهد داشت – به عنوان مثال، اکثریت قریب به اتفاق مقامات موافقند که نداشتن یک ” رد کردن همه” در همان سطحی که دکمه “پذیرش همه” نقض حریم خصوصی الکترونیکی است. بنابراین اجرای بیشتر در برابر سایت هایی که سعی در پنهان کردن گزینه انصراف دارند محتمل به نظر می رسد.

کارگروه همچنین موافقت کرد که جریان‌های رضایتی که شامل گزینه‌های از پیش غربال‌شده (یعنی به عنوان تاکتیک دیگری برای جلب رضایت) هستند نیز رضایت معتبری نیستند – که نباید کسی را متعجب کند، زیرا بالاترین دادگاه اروپا قبلاً نیاز به فعال بودن را روشن کرده است. رضایت برای ردیابی همه کوکی‌ها در سال 2019.

در پنج یا چند سال گذشته، از زمانی که قانون دیگری از اتحادیه اروپا که قوانین مربوط به رضایت را تقویت می‌کند – یعنی مقررات عمومی حفاظت از داده‌ها (GDPR) – به اجرا درآمد – مطمئناً DPAها توجه بیشتری به رضایت کوکی داشته‌اند. از جمله شکایات انباشته شده در مورد اینکه چگونه به طور معمول قوانین زیر پا گذاشته می شوند.

این به نوبه خود باعث شده است که بسیاری دستورالعمل های خود را در این مورد به روز کنند (و سخت تر کنند) – ادعای نامشخص بودن قوانین ردیابی رضایت را برای سایت ها سخت تر می کند.

اجرای قوانین نیز در حال افزایش است و برخی از ناظران بسیار فعال هستند – مانند CNIL فرانسه، که از سال 2020 تعدادی از غول های فناوری (از جمله آمازون، گوگل، متا، مایکروسافت و تیک تاک) را به دلیل نقض های مختلف مرتبط با کوکی ها، از جمله اجرای چندگانه جریمه کرده است. اقدامات (و جریمه) برای استفاده از الگوهای تیره برای تلاش برای دستکاری رضایت.

فعالیت‌های اجرایی CNIL همچنین شامل دستورات اصلاحی بود که به اعمال برخی تغییرات عمده در طراحی کمک کرد – از جمله Google در بنر کوکی‌هایی که در سراسر اتحادیه اروپا در سال گذشته نمایش می‌داد تجدیدنظر کرد تا (در نهایت) یک گزینه برتر را در سطح “انکار همه” قرار دهد. که یک برد بزرگ است.

و با توجه به اینکه CNIL نقش پیشرو در هماهنگی کار گروه ضربت دارد، به نظر می رسد که بخشی از کنوانسیون آن بر سایر DPA ها تأثیر می گذارد.

رگولاتور فرانسوی در بیانیه مطبوعاتی همراه با تصویب گزارش گروه کاری توسط هیئت حفاظت از داده های اروپا در اوایل این هفته و جمع بندی نتیجه، نوشت: «این گزارش به ویژه بیان می کند که اکثریت قریب به اتفاق مقامات معتقدند که فقدان هیچ گزینه ای برای امتناع /رد/مخالف کوکی ها در همان سطحی که برای پذیرش ذخیره آنها ارائه شده است، نقض قانون است (ماده 5، بند 3 دستورالعمل حفظ حریم خصوصی الکترونیکی). CNIL قبلاً در دستورالعمل های خود و در چارچوب چندین تحریم چنین موضعی اتخاذ کرده بود.

علاوه بر موافقت در مورد لزوم همراهی دکمه «پذیرفتن همه» به همراه دکمه «رد همه»، گروه کاری موافقت کرد که طراحی بنرهای کوکی باید اطلاعات کافی را در اختیار کاربران وب قرار دهد تا به آنها اجازه دهد درک کنند که چه چیزی به معنای رضایت است. و چگونه انتخاب خود را بیان کنند.

در این گزارش آمده است که بنرهای کوکی نباید به گونه‌ای طراحی شوند که به کاربران این تصور را بدهند که باید با دسترسی به محتوای وب‌سایت موافقت کنند و یا اینکه به وضوح کاربر را به رضایت تشویق کنند.

آنها همچنین بر روی چند نمونه از طرح های کوکی توافق کردند نه منجر به رضایت معتبر می شود – مانند زمانی که طرح به گونه ای است که “تنها اقدام جایگزین ارائه شده (به غیر از رضایت) شامل پیوندی در پشت عباراتی مانند “انصراف” یا “ادامه بدون پذیرش” است که در یک پاراگراف از متن در متن موجود است. بنر «کوکی»، در غیاب پشتیبانی بصری کافی برای جلب توجه کاربر معمولی به این اقدام جایگزین»؛ یا جایی که “تنها اقدام جایگزین ارائه شده (به غیر از رضایت) شامل پیوندی در پشت عباراتی مانند “انصراف” یا “ادامه بدون پذیرش” است که در خارج از بنر کوکی که در آن دکمه‌های پذیرش کوکی ارائه می‌شود، در غیاب پشتیبانی بصری کافی قرار داده شده است. برای جلب توجه کاربران به این اقدام جایگزین در خارج از چارچوب».

بنابراین اساساً آنها در مورد حذف برخی از الگوهای رایج بنر کوکی های تیره به توافق رسیدند.

اما در مورد ترفندهای بصری – مانند استفاده از رنگ‌های برجسته که می‌توان برای جلب چشم به سمت دکمه «پذیرش همه» انتخاب کرد و دیدن گزینه انصراف را سخت‌تر کرد – کارگروه تصمیم گرفت که تجزیه و تحلیل ظاهری مورد به مورد و احساس (و پتانسیل این نوع تصمیمات طراحی به طور آشکار گمراه کننده) در بیشتر موارد ضروری است. و آنها موافقت کردند که جای آنها نیست که یک استاندارد عمومی بنر (از نظر رنگ و/یا کنتراست) را بر کنترل کننده های داده تحمیل کنند.

آنها همچنین موافقت کردند که عدم استفاده از تمام دکمه‌هایی که به گونه‌ای طراحی شده‌اند که متن را «عملاً برای هر کاربری غیرقابل خواندن» می‌سازد، می‌تواند برای کاربران «آشکارا گمراه‌کننده» باشد.

سایر مسائلی که کارگروه با آن مواجه شده است شامل اضافه شدن جدیدتر به جهنم رضایت کوکی است – که در آن سایت ها می توانند به دنبال ادعای “منافع قانونی” برای پردازش تبلیغات باشند. گاهی اوقات اضافه کردن دسته ای از جابجایی های اضافی به همراه مبنای قانونی برای دکمه های رضایت که معمولاً فقط در یک منوی فرعی (یا سایر منوهای فرعی) نشان داده می شوند و در جایی که سطح بالا گزینه “انصراف از همه” را ارائه نمی دهد – در عوض کاربران را ملزم می کند تا روی تنظیمات کلیک کنند تا این آشفتگی گیج کننده سوئیچ ها را آشکار کنند (گاهی اوقات با LI های از پیش بررسی شده).

یادداشت‌هایی در این مورد گزارش می‌دهد: «ادغام این مفهوم از علاقه مشروع برای پردازش بیشتر «در لایه‌های عمیق‌تر بنر» می‌تواند برای کاربرانی که ممکن است فکر کنند برای پردازش نشدن اطلاعات شخصی‌شان باید دو بار انصراف دهند، گیج‌کننده در نظر گرفته شود.

این کارگروه همچنین موافقت کرد که چگونه تنظیم‌کننده‌ها باید تعیین کنند که آیا پردازش مبتنی بر کوکی‌های بعدی قانونی است یا خیر – گفت که این امر مستلزم تعیین این است که آیا ذخیره/دسترسی به اطلاعات از طریق کوکی‌ها یا فناوری‌های مشابه مطابق با ماده 5، بند 3 این قانون انجام می‌شود یا خیر. دستورالعمل حفظ حریم خصوصی الکترونیکی (و قوانین اجرایی ملی) – هر پردازش بعدی مطابق با GDPR انجام می شود. 24”

«در این راستا، اعضای کارگروه بر این نظر بودند که مغایرتی بر اساس ماده وجود دارد. 5 (3) در دستورالعمل حفظ حریم خصوصی الکترونیکی (به ویژه در مواردی که رضایت معتبر در صورت نیاز دریافت نشده است) به این معنی است که پردازش بعدی نمی تواند مطابق با GDPR 5 باشد. علاوه بر این، اعضای TF تأیید کردند که مبنای قانونی برای قرار دادن/خواندن کوکی ها تحت بند 3 ماده 5 نمی تواند منافع مشروع مدیر باشد.»

اگرچه به نظر می رسد که آنها تا حد زیادی در مورد نحوه برخورد با آفت جدید سوئیچ های LI که در جریان های رضایت کوکی ظاهر می شوند محتاط هستند – و می گویند که آنها “توافق کرده اند در صورت مواجهه با موارد خاصی که در آن بحث های بیشتر برای اطمینان از نیاز به بحث بیشتر در مورد این نوع از روش ها بازگشایی شود. یک رویکرد منسجم».

گروه کاری همچنین در مورد اینکه با سایت‌هایی که به‌دنبال طبقه‌بندی برخی پردازش‌های داده‌های غیر ضروری به‌عنوان کاملاً ضروری/ضروری هستند، چه باید کرد – و بنابراین آن‌ها را در دسته‌ای دسته‌بندی کرد که نیازی به رضایت تحت عنوان ePrivacy یا GDPR ندارند. با این حال، آنها معتقد بودند که مشکلات عملی در تعیین اینکه کدام پردازش به شدت ضروری است وجود دارد.

وی افزود: «اعضای گروه کاری توافق کردند که ارزیابی کوکی‌ها برای تعیین اینکه کدام ضروری هستند، مشکلات عملی را به همراه دارد، به ویژه به دلیل این واقعیت که ویژگی‌های کوکی‌ها به طور منظم تغییر می‌کنند، که از ایجاد فهرستی پایدار و قابل اعتماد از این کوکی‌های ضروری جلوگیری می‌کند.» نوشت. وجود ابزارهایی برای ایجاد فهرستی از کوکی‌های مورد استفاده توسط یک وب‌سایت و همچنین مسئولیت صاحبان وب‌سایت برای حفظ چنین فهرست‌هایی و ارائه آنها به مقامات ذیصلاح در صورت درخواست و نشان دادن اهمیت کوکی‌ها مورد بحث قرار گرفت.» ذکر شده.”

در مورد دیگر – در مورد لغو رضایت – آنها توافق کردند که صاحبان وب سایت باید “راه حل هایی با دسترسی آسان به کاربران اجازه دهند رضایت خود را در هر زمانی پس بگیرند”، با مثالی از یک نماد کوچک (“آویز و همیشه قابل مشاهده”) یا لینک “قرار گرفته در مکان برجسته و استاندارد”.

با این حال، آنها دوباره از الزام کردن یک روش استاندارد خاص برای کاربران برای پس گرفتن رضایت مالکان سایت خودداری کردند و گفتند که آنها فقط می توانند ملزم به اجرای آن باشند. “راه حل های در دسترس” پس از کسب رضایت.

«تحلیل مورد به مورد تصمیم مشخص شده برای لغو رضایت همیشه مورد نیاز است. این تجزیه و تحلیل باید بررسی کند که آیا این منجر به الزام قانونی می شود که انصراف به راحتی رضایت است یا خیر.”