Как подготовиться к решению браузеров блокировать cookies

Влад Некрутенко, прайваси юрист Legal Nodes в колонке для AIN.UA рассказал о блокировке third-party cookies и о том, как подготовиться к таким изменениям.

Уже в 2022 году Chrome — самый популярный браузер мира и один из последних в принятии этого решения — по-умолчанию заблокирует размещение файлов cookie от сторонних провайдеров на сайте. Это решение изменит архитектуру интернета, а в особенности — его маркетинговую составляющую. Мы сделали обзор того, останутся ли существовать Cookie Policy и баннеры для сбора согласия внизу сайта, какие альтернативы разрабатываются уже сейчас, и как к этому подготовиться.

Как построен cookie-трекинг сегодня

Стандартный подход к сбору cookies сегодня — это уведомление посетителя сайта о том, какие файлы cookie собираются на сайте. Уведомление обычно всплывает внизу сайта в форме cookie-баннера. 

Далее пользователь сайтом должен сделать выбор касательно того, хочет ли он чтобы на его девайс размещали cookies. Юридически правильный подход — это дать возможность как согласиться, так и отказаться от трекинга. При этом, до того момента пока пользователь не сделает выбор, файлы должны блокироваться и не размещаться на устройстве.

На девайс пользователя размещается файл-трекер, который отслеживает его действия на сайте, а также при переходе на другие сайты, который используют cookies одного и того же провайдера. Такие провайдеры как Google благодаря этому имеют представление о значительной части всего интернет-трафика. По данным исследований только к Google Analytics подключены порядка 55 миллионов веб-сайтов. 

Информирование про файлы cookies и сбор согласия диктуется нормами европейских GDPR и ePrivacy Директивы. Даже в текущей форме возможность отказаться от cookies может значительно понизить маркетинговую конверсию на сайте, поэтому маркетинговый отдел часто размещает баннер лишь с одной кнопкой — «Got it!». 

Пользователь фактически остаётся без выбора, но сайт не теряет нужный ему трафик. Такой подход не соответствует требованиям европейских законов, но может применяться в серых юрисдикциях, где трекинг файлами «cookies» не регулируется.

Что изменится

В посте для своего блога зимой 2020 года Google Chrome заявил, что с 2022 года будет блокировать все «third-party cookies» в браузере своих пользователей по-умолчанию. Любой сторонний сервис на сайте, работающий через файлы cookies, не сможет функционировать пока пользователь не поменяет настройки своего браузера.

Браузеры Safari, Mozilla и Brave заявляли о подобных намерениях еще раньше. В перспективе это может сделать cookie-баннеры и настройки выбора cookies на сайте менее актуальными, так как они не будут влиять на настройки самого браузера.

Решение блокировать один из самых сильных инструментов онлайн-трекинга объяснимо. На протяжении последних 10 лет на маркетинговую индустрию идет постоянное давление ввиду того, что с помощью файлов cookie про каждого пользователя интернета строится профиль из сотен атрибутов. Часто это происходит без ведома или выбора самого пользователя, а информация продается за деньги любому желающему. Текущая ситуация вызывает вопросы касательно приватности конечного пользователя.

В ответ на беспокойство интернет-пользователей и регуляторных органов, браузеры следуют тренду возвращения контроля пользователю над его данными и концепту «privacy by-default». В этот раз приватность — настройка по-умолчанию, и для ее изменения нужно будет активное действие/решение пользователя браузера.

Сегодня до 50% интернет-трафика держится на трекинге через файлы third-party cookies. Кроме рекламы, на файлах cookies основываются ключевые аналитические инструменты как, например, Google Analytics или Hotjar. Если по умолчанию отключить и аналитические cookies, то отслеживать трафик станет значительно сложнее.

Какие будут альтернативы

Профиль в интернет-браузере

Вместо накопления данных через файлы cookie, информацию о привычках и предпочтениях будет накапливать сам браузер, а точнее его провайдер. Через настройки своего браузера пользователь сможет разрешать либо запрещать их распространение, сохраняя контроль над данными у себя.

Над подобными решениями уже работает Chrome, а также инициатива «Global Privacy Control», куда входят браузеры Mozilla и Brave, поисковик DuckDuckGo и ряд других организаций, продвигающих защиту приватности в сети.

Email-address tracking

Такие компании, как, к примеру, BritePool и NetID, разрабатывают трекинг пользователя через его зашифрованный адрес электронной почты вместо файлов cookie. Зашифрованная электронная почта используется маркетологами для идентификации пользователей на сайтах, а сам электронный адрес оставляя нераскрытым.

IDFA и его аналоги

Система предоставления профиля человека через IDFA — идентификатора iOS устройств — активно реализовывается компанией Apple. Организация, продуктами которой человек пользуется в повседневной жизни — например, айфоном — накапливает данные о привычках пользователя под уникальным идентификатором. 

Согласно объявленным изменениям IDFA задумывается, что Apple будет делиться данными с разработчиками приложений только по предварительному opt-in согласию пользователя, а по-умолчанию оставаться приватной. Ужесточение правил работы с IDFA вызвало ряд негативных отзывов со стороны маркетинговой индустрии. Основная причина в том, что нужда в сборе согласия каждым приложением по отдельности в перспективе может значительно снизить доход от рекламы.

Распределенные системы по управлению личностью (Federated Identity Management)

Идея схожа с принципом работы IDFA. Ключевое отличие: вместо централизованного провайдера идентификации и связанных с человеком данными, участники обмена данными соглашаются пользоваться единым протоколом обработки и хранения информации. «Провайдером» данных может быть любая организация, которая приняла правила протокола и накапливает информацию от своего пользователя. Данные распространяются по информированному согласию самого человека.

Идея была описана более десяти лет назад и имела многообещающее будущее, но так и не получила массового распространения. Текущая ситуация может вдохнуть в неё новые силы.

Data Trusts

В рамках стратегии ЕС касательно данных предлагается свежий взгляд на управление данными.

Стратегия предусматривает создание кооперативов (data cooperatives) или трастов (data trusts) данных, которые будут выступать нейтральные посредники между компаниями и их целевой аудиторией.

Посредник будет нести доверительную ответственность информацию перед человеком. У самого человека будет возможность управлять правами доступа и разрешением на обработку персональных данных. Взамен, компании будут предоставлять материальное вознаграждение за пользование данными человека.

Один из таких проектов под названием «Trusted Secure Data Sharing Space» (TRUSTS)  уже профинансирован на 6 млн евро в рамках программы Horizon 2020. Насколько проект реализуем далее теории — покажет время.

Как подготовиться к изменениям

Однозначного ответа на вопрос, каким образом будет построена модель работы с такими платформами, не существует.

Для получения данных с платформы, которой пользуется человек, по-прежнему нужно будет взять согласие. Формат согласия, как и условия работы с данными пользователя, будут диктовать сама платформа и пользователь через настройки своего маркетингового профиля.

С высокой вероятностью можно сказать, что перед подключением сайта или сервиса к подобной платформе нужно будет пройти верификацию. Поскольку сами платформы строятся по международным стандартам защиты данных, можно вывести несколько шагов для подготовки:

1. Privacy Policy и opt-in согласие пользователя. Перед запросом на получение данных нужно будет указать, какие данные и зачем вы запрашиваете. Чтобы это сделать, можно предоставить краткую справку с целями сбора, контактами компании и ссылкой на полную версию Privacy Policy. Доступ к профилю можно будет получить только после решения конечного пользователя.
2. Техническая защита и стандартизированный подход к обработке данных. Для работы с платформами данных нужно будет адаптироваться под их технические требования и обеспечить информационную безопасность полученных данных.
3. Настройки приватности и права пользователя. У человека остается право контроля за тем, как вы используете его данные: он может запросить, чтобы компания удалила или исправила данные о нем, а также чтобы данные перестали использовать в целях маркетинга.
4. Целевое ограничение трекинга и отчетность. Доступ к данным не будет значить, что их можно использовать без ограничений. Информация будет предоставляться под конкретные цели, указанные при сборе согласия пользователя, а сама компания должна будет отчетную документацию по тому, как использовались данные.

Автор: Влад Некрутенко, прайваси-юрист в Legal Nodes