EN

Поговорим о куки – и пусть пользователь подождет

1134
10

Ввиду недавней инициативы Госслужбы по защите персональных данных о необходимости получения у пользователей разрешения на использование third party cookies предлагаю посмотреть, как куки в общем регулируются на западе и какого развития регулирования ожидать в Украине.

Зачем нужно регулировать куки?

Давайте представим себе, что вы зашли в магазин. Пока вы совершаете покупки, за вами ходит человек и записывает, что вы покупаете, сколько времени проводите возле каждого продукта, сколько тратите и т.д. Далее вы идете в кафе, на работу, спортзал, к друзьям, домой. Все это время за вами ходит человек и записывает все ваши действия. Паспорт и ФИО он у вас не спрашивает. Вас идентифицируют просто как мужчину средних лет, брюнета, который проживает там-то. Что с этими данными делают дальше — вам не известно. В лучшем случае используют для статистики, в худшем – передают представителям «канадских компаний» или криминальным элементам.

Это очень похоже на слежку, на которую ввиду права на тайну личной жизни необходимо разрешение суда в рамках расследования криминального дела. Чем не оффлайн-вариант сторонних tracking cookies? Вопрос идентификации пользователя – конкретное лицо трогать не будем. При желании, идентифицировать можно. Но есть нюанс.

Дело в том, что регуляторное право – это компромисс между общественными и частными интересами. Например, существует право на занятие предпринимательской деятельностью. Это право ограничивают лицензированием, когда необходима защита общественных интересов, например, при перевозке радиоактивных грузов. В случае с куки и информационными технологиями происходит нечто похожее.

Существует общественный интерес: в широком смысле – развитие информационного общества, в узком – повышение эффективности взаимодействия между веб-сайтами и пользователями. Частный интерес в нашем случае – право на приватность. Под приватностью подразумевается право на тайну личной и семейной жизни. В Украине, например, данное право закреплено в ст. 32 Конституции:

«Ніхто не може зазнавати втручання в його особисте і сімейне життя …»

«Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди …»

Вопрос – где компромисс? В качестве примера у нас есть два подхода — Европейский и США.

Как куки регулируются в Европейском Союзе

В ЕС с 2002 года действует Директива об обработке персональных данных и защите приватности в секторе электронных коммуникаций. В этой Директиве в контексте защиты приватности упоминаются куки, признается необходимость и польза от использования куки для эффективной работы веб-сайтов и рекламы в интернете. В тоже время устанавливается общий принцип: доступ и обработка куки разрешены при условии, что пользователь ясно и полно уведомлен о целях такой обработки, дал свое согласие, и ему предложена возможность отказаться от использования куки. Согласие не требуется, если:

а) куки используются лишь для коммуникации через электронные коммуникационные сети, или

б) куки необходимы для того, чтобы провайдер информационных услуг мог предоставить запрашиваемые пользователем услуги.

Если перевод вам кажется непонятным, то, к сожалению, в оригинале текст не более ясный. Поэтому в 2012 году появилось пояснение, какие же куки не требуют согласия пользователя. Если говорить просто, то согласия не требуют куки, которые необходимы для функционирования самого веб-сайта. Причем first party analytics cookies не считаются таковыми.

Такая повышенная чувствительность в странах Европы к вопросам приватности, возможно, связана с тем, что Европа совсем недавно по историческим меркам избавилась от ряда тоталитарных режимов, в которых право на приватность безжалостным способом попиралось.

Однако Директива лишь устанавливает общий подход и обязывает каждое государство ЕС принять у себя законодательство, которое установит четкие требования по использованию куки и санкции за его неисполнение. Таким образом, появится 28 (кол-во стран ЕС) национальных законодательств по регулированию куки, которые, хотя и руководствуются общим подходом, но в деталях могут отличаться.

Однако на примере Британии все оказалось не так просто. Например, большинство веб-сайтов выдают куки сразу, как только пользователь на них заходит, таким образом, уже формально нарушается принцип предварительного согласия. Часто собственники сайтов не знают, какие куки выдают их сайты. Не всегда с полной уверенностью можно сказать, без каких именно куки не может работать веб-сайт. Поп-апы с вопросом об использовании куки негативно влияют на пользовательский опыт. В UK даже отсрочивали вступление законодательства на один год с 2011 по 2012.

На все эти вопросы ответственный госорган UK пытается ответить с помощью руководств для пользователей сайтов, но это все равно не вносит полной ясности. Параллельно в UK исследуют возможность решения этой проблемы на стороне браузеров.

Как куки регулируются в США

В США тема куки регулируется лишь в государственной сфере. Так в 2000 году был введен запрет на использование persistent cookie и технологий веб-аналитики для сайтов государственных органов США. Это произошло после того, как выяснилось, что государственный орган, отвечающий за сферу медикаментов, выдавал tracking cookie пользователям, просматривающим видео с социальной рекламой против наркотиков. Запрет был снят и заменен правилами использования куки на государственных веб-сайтах в 2010 году.

Подход правительства в США к приватности в частных онлайн-отношениях можно описать как «политика невмешательства», т.е. правительство не регулирует вопрос использования куки. Тем не менее, большинство сайтов в США имеют раздел про куки в своей политике приватности, как правило, в футере.

Нужно ли украинским веб-сайтам соответствовать требованиям по куки ЕС?

Точно таким же вопросом задались и собственники американских веб-сайтов. На данный момент наиболее часто встречающиеся мнение среди экспертов следующее: формально, если есть пользователи из стран ЕС, то нужно. Однако, если в этих странах у собственника сайта ничего нет (компании, представительства, другого бизнеса), то местные органы на практике не смогут применить к ним санкции. Будут ли они пытаться применить санкции – посмотрим. Лично я думаю, что у таких органов для этого просто ресурсов не хватит.

А если я захочу соответствовать требованиям ЕС?

Если такая необходимость есть, например, вы развиваете ваш проект в одной из стран ЕС, то я бы советовал изучить соответствующее регулирование именно данной страны ЕС. Вот здесь перечислены действия каждой страны ЕС по имплементации Директивы.

Далее необходимо предпринять три шага:

  1. Определить, какие куки выдает ваш сайт;
  2. Определить, какие из этих куки требуют согласие пользователя;
  3. Принять решение каким образом информировать пользователя о куки, и каким образом дать ему возможность отказаться от куки.

Можно заходить на свой же веб-сайт, а потом просматривать историю своего браузера, чтобы узнать, какие куки выдает сайт. Можно воспользоваться каким-либо онлайн-сервисом. Первый попавшийся мне в поиске – silktide.com работает по модели фримиум, тест первых нескольких сайтов бесплатно. Например, вот как выглядит часть отчета по google.com.ua.

cook

Касательно того, на какие куки необходимо спрашивать разрешения – см. общий подход описанный выше + законодательство конкретной страны ЕС.

Механизм уведомления и политика о куки – вот пример руководства госоргана UK о куки. См. страницы 18–23 со скриншотами и пояснениями примеров месседжей. Или еще проще – зайти на сайт самого ведомства. Сообщение о куки — внизу страницы. Примеров политик о куки в сети также предостаточно, чтобы начать составлять свою.

Чего делать Украине

Украина декларирует свой европейский вектор развития и, соответственно, сближает свое законодательство с европейским. Но на месте представителей Госслужбы я бы занял позицию выжидательную. Причина тому – выше описанный крайне негативный опыт имплементации законов, регулирующих использование куки в странах ЕС, который часто характеризуют словом «бардак». Возможным временным решением было бы включение раздела о куки в правила использования сайтом или политику конфиденциальности, как это делают собственники сайтов в США. Поп-ап-месседж вряд ли можно назвать выходом из ситуации с точки зрения пользовательского опыта. Касательно сторонних куки можно также указать, как отключить их в браузерах, просто дав ссылки на support конкретных браузеров.

Кстати, представителям Госслужбы на заметку – в Safari third party coockies заблокированы по дефолту, пока пользователь их не разрешит. В ближайших релизах Firefox также планируется реализовать блокировку сторонних куки по дефолту. Chrome и Explorer на очереди.Тогда планируемые рекомендации потеряют большую часть своего смысла.

А тем временем сменится поколение пользователей, которые не знали, что такое куки, и наивно полагали, что конфиденциальность в интернете презюмируется, как когда-то сменилось поколение котов, гревшихся на мониторах.

Оставить комментарий

Комментарии | 10

  • В большинстве торговых центорв и магазинов стоят счетчики и другие устройства, которые собирают информацию о поведении посетителей, потом эта ифнормация используются в маркетинговых целях (выстраивают разного рода тепловые карты, маршруты посетителей, время и продолжительность посещения итд) и при этом нас никто не спрашивает разрешение на сбор информации. Если копнуть глубже, то в оффлайновых магазинах обычно стоят камеры и посетитель светит номер кредитки, так что будь я параноиком, я бы больше боялся ходить в торговые центры :).

    • «Кукиидальная паранойя» 🙂 Идея поста была:

      а) показать причины паранойи,
      б) чрезмерность реакции в ЕС,
      б) призвать укр. гос. органы повременить с повторением практики ЕС.

      • Отлично.
        Жаль что:
        а)да,
        б)да
        в) и еще раз — нет. Понятно же, что ради «кредитов»;) от ЕС наши политики пойдут на все. Никто не будет слушать народ снизу. Выхода у нас будет два: подчиниться или выражать свое недовольство в будущем как можно громче

        • Посмотрим. Начинать с чего-то надо.

          О причинах — не уверен, что дело в кредитах. Боюсь, что могут быть другие, приближающиеся во времени причины.

          Но на месте наибольшик укр. информационных порталов я бы действовал привентивно и проверил бы свои политики конфиденциальности.

  • кстати, этот самый disqus, в котором создаются и отображаются комментарии на ain.ua — при выключенных third party cookies перестает работать 🙂 так что не все эти куки одинаково вредны

  • Интересно, а за Web Storage забыли (хранилище данных в браузере)? По сути — это аналог куки. Что про это говорить будут?

    • Не волнуйтесь, ничего не забыли 🙂

      На самом деле Директива ЕС говорит о куки и схожих с ней технологиях хранения данных. Ответсвенный орган UK приводит примеры таких технологий кроме куки: «local shares object (flash cookies), web beacons and bugs (including clear gifs)»

      Думаю web storage туда же.

  • какой бред технически неграмотных журналистов. вот начитаются такого и следующий шаг нашего правительства — налог на куки, обязательная регистрация в единой базе сайтов которые используют куки и, понятное дело, абонплата за нахождение в базе.
    ну и реестр создать как в России, всех кто не в базе — закрыть нафиг

  • Цены на ремонт квартиры рассчитываются за квадратный метр. Расценки на косметический ремонт квартиры по видам работы Вы можете узнать в прайс-листе. Чтобы подсчитать полную стоимость, Вам лучше обратиться к нам напрямую. По Вашему плану мы бесплатно составим предварительную смету. Для этого Вы можете отправить заявку онлайн.
    Не забудьте, про скидки, которые предлагаем. Если у Вас нет денег на предоплату в полном объёме, заплатите часть денег, а остальную часть суммы Вы можете отдать по частям, согласно условиям рассрочки, которые мы предлагаем нашим клиентам. Подробную смету на косметический http://otdelkin.spb.ru/uslugi/plitochnye-raboty/ ремонт квартиры для Вас составит специалист после обследования помещений и согласования проекта.

  • Дія City
  • Истории компаний
  • Расследования AIN.UA
  • Спецпроекты
  • Безопасность номера
  • Безпека гаманця
Реклама на AIN.UA

Поиск