Ghostery: Почему сайты вдруг начали использовать файлы cookies?

25 мая 2018 г. в странах Европейского Союза в силу вступил Общий регламент защиты данных (GDPR), и с тех пор владельцам сайтов нужно формальное согласие на сбор ваших данных. Предполагалось, что такой шаг благоприятно скажется на прозрачности онлайн-сервисов, но на деле они лишь скорректировали интерфейсы и уже заставили вас согласится со всеми их условиями. Причём решение нашлось довольно быстро: оно грубое и неотёсанное, но всё же работает. Ну а теперь давайте разбираться. Перевод заметки Ghostery и WhoTracks.me.

Что скрывается за надоедливыми предупреждениями о том, что сайт использует файлы cookies?

Общий регламент защиты данных (GDPR) вступил в силу 25 мая 2018 г. Ожидалось, что новый документ кардинально изменит подход к сбору, обработке и хранению пользовательских данных. Результат не заставил себя долго ждать: уже через несколько недель количество сайтов, подключенных к какому-либо сервису, отвечающему за уведомления о том, что сайт использует файлы cookies, увеличилось в несколько раз. Согласно GDPR, пользователь должен быть проинформирован о том, что сайт будет собирать его данные, и у него должна быть возможность оградить себя от подобных посягательств. И пользователи наконец-то заметили, что что-то не так: почти все сайты так или иначе собирают ваши данные, но раздражает вас не это. Вас раздражают надоедливые уведомления.

У нас есть собственный сервис, отслеживающий трекеры. Называется он WhoTracks.me, и с его помощью мы можем отследить, насколько быстро меняется число сайтов, предупреждающих пользователей об использовании cookies, и насколько отличаются их подходы.

TrustArc

TrustArc (бывший TRUSTe) уведомлял пользователей об использовании cookies ещё с тех пор, как подобная практика была впервые введена в старом регламенте ePrivacy. По данным WhoTracks.me охват TrustArc за первый месяц действия GDPR увеличился вдвое: очевидно именно к ним обратились сайты, чьи действия отныне нарушали новый регламент.

Окно уведомления слегка изменилось, и теперь у пользователя появилась возможность отказаться от сбора и обработки его данных. Правда, она скрыта под почти безликой надписью «Подробная информация», так что на деле для рядового пользователя всё осталось по-прежнему, ведь стиль интерфейса не предполагает выбор: лишь зная, где искать, у вас есть шанс защитить свои данные.

Всплывающее уведомление TrustArc

Кликнув по ссылке «Подробная информация», вы окажитесь на специальной странице, где сможете выбрать, от каких типов cookies вы хотели бы отказаться. Мы протестировали работу системы на сайте MyFitnessPal.com: по умолчанию все типы cookies были активны.

Настройки файлов cookies в TrustArc

На обработку внесённых вами изменений уйдёт несколько минут, и всё это время вам придётся оставаться на сайте. Вы не можете открыть сайт снова или закрыть вкладку, пока этот процесс не будет завершён. Возможно, таким способом вас пытаются заставить отказаться от своих замыслов: время дороже! Увидев подобное уведомление в следующий раз, вы дважды подумаете прежде, чем отправиться в настройки. В конце концов это всего лишь cookies, так ли это всё важно?

Принятие изменений в системе TrustArc

Но это далеко не единственный паттерн поведения TrustArc. К примеру, на сайте Weather Underground можно встретить более подробное уведомление о сборе данных (включая сведения о партнёрах сервиса в каждой категории). Хорошо ли это? Да, но, во-первых, вам нужно гораздо больше времени, чтобы изучить документ, а во-вторых, на обработку изменений также потребуется гораздо больше времени.

Подробное предупреждение о файлах cookies от TrustArc

IAB Consent Framework

Платформа IAB работает с рекламными сетями. Сервис стремится создать максимально стандартизированное уведомление, которое будет привязано к рекламным объявлениям.

Дальше немного сложно: в файлах cookie самого сайта содержится информация о том, на какие сторонние cookies пользователь уже дал своё согласие. Список сторонних cookies загружается с домена consnsu.org, и мы знаем, что сейчас системой пользуется 0,5% сайтов (к примеру, IAB используется в SourceForge и Quantserve).

Согласие на использование cookies от IAB

Стоит отметить, что IAB позволяет отдельно согласиться или отказаться от cookies разного уровня (то есть от cookies, размещённых администрацией сайта, и cookies рекламных сетей).

Согласие на использование cookies от IAB

В отличие от TrustArc отказ от использования конкретных типов cookies происходит мгновенно. Кроме того, при тестировании на нескольких сайтах, по умолчанию все параметры были выключены, а полный отказ от сбора данных был существенно упрощён на фоне конкурентов.

По данным WhoTracks.me, летом 2018 г. появился новый сервис уведомлений – Cookiebot. Он уже представлен на 0,3% сайтов (в списке клиентов, к примеру, и сайт GitLab). Пока это самый простой способ получить согласие на обработку пользовательских данных. Однако, стоит отметить, что по умолчанию все параметры включены до тех пор, пока пользователь вручную не откажется от сбора данных.

Уведомление от Cookiebot

Подробная информация о том, к каким категориям относятся конкретные файлы cookies и какие компании могут собирать данные на данным сайте, можно узнать, нажав кнопку «Показать детали».

Подробная информация о cookies от Cookiebot

В случае отказа изменения принимаются мгновенно.

OneTrust

Ну и наконец OneTrust. В лидеры первого месяца после вступления в силу GDPR он так и не вошел, но свою долю популярности всё-таки получил (например, им пользуется сайт CNN).

Судя по всему, создатели OneTrust делают ставку на кастомизацию. Мы нашли несколько видов уведомлений об использовании cookies: к примеру, самый распространённый из них – банер внизу страницы (от сбора данных можно отказаться, перейдя по ссылке «Подробная информация»).

Уведомление OneTrust

Однако на некоторых сайтах (к примеру, express.de) возможности отказаться от сбора данных попросту нет, и пользователь может лишь согласиться на использование сторонних cookies.

Уведомление OneTrust на сайте express.de

Давайте сравним уведомления OneTrust на cnn.com и mailchimp.com: на сайте MailChimp вы действительно можете отказаться от cookies, а вот на сайте CNN вам лишь объяснят, зачем нужны файлы в каждой категории.

Уведомление OneTrust на сайте CNN
Уведомление OneTrust на сайте MailChimp

Кстати, отказ от сбора данных (если он, конечно, доступен), происходит мгновенно.

Выводы

С тех пор, как Общий регламент защиты данных (GDPR) вступил в силу, всё больше и больше пользователей дают формальное согласие на сбор и обработку своих данных, однако многие сайты полностью блокируют доступ к сервису до тех пор, пока пользователь не примет навязанные ему условия. Универсальные платформы вроде TrustArc должны быть направленны на стандартизацию настроек сбора пользовательских данных, но на практике их подход к проблеме существенно отличается от подхода конкурентов, что в свою очередь сбивает с толку неопытных пользователей.

Цель любого сайта – получить от пользователя согласие на обработку максимального объёма его данных, а значит, у подобных сервисов всегда будет стимул манипулировать поведением пользователей: прятать настройки под несколько пунктов меню, намеренно замедлять обработку принятых изменений и маскировать кнопки под ссылки на FAQ. Платформы, которые действительно отказались от молчаливого сбора данных, находятся в заведомо проигрышном положении: им всё так же приходится уведомлять пользователей, не получая при этом никаких данных.

Потеряв доступ к пользовательским данным, сайты потеряют и доход от рекламы. Видимо, осознавая это, некоторые сайты решили подстраховаться: вы либо принимаете их условия и соглашаетесь на слежку, либо сайт попросту откажется работать. Впрочем некоторые сайты далеко не так агрессивны: к примеру, если вы откажитесь от сбора данных на сайте GHacks, сервис объяснит, почему это так важно, и вежливо попросит вас пересмотреть своё решение.

Просьба согласиться на сбор данных на сайте GHacks

Сервис IAB Framework пока кажется чересчур мудрёным и сложным для рядовых пользователей, однако это важный шаг на пути стандартизации подобных уведомлений: если у администрации сайта не будет возможности менять интерфейс уведомлений, они не смогут манипулировать действиями пользователей.

Сэм Макбет,
разработчик ПО
WhoTracks.me / Ghostery / Cliqz
7 июня 2018 г.

Comment