Cookie 同意横幅使用公然的设计技巧试图操纵网络用户同意交出他们的数据用于行为广告,而不是给人们自由和公平的选择来拒绝这种令人毛骨悚然的跟踪,正面临来自欧洲的协调抵制联盟的数据保护监管机构。
由法国 CNIL 和奥地利当局领导的几个 DPA 的工作组已经花费了数月的时间共同分析 cookie 横幅。在本周发布的一份报告中,他们就如何在各自的司法管辖区内处理对某些类型的 cookie 同意暗模式的投诉达成了一些共识——这一发展看起来将使欺骗性设计更难在欧盟传播。
该工作组是为了回应欧洲隐私权组织noyb在2021 年至2022 年间提出的数百起战略投诉而召集的——该组织开发了自己的工具来帮助自动分析网站的 cookie 横幅并生成报告和投诉(一个聪明的技巧是一个小型非营利组织以扩大其战略影响)。
Cookie 和其他跟踪技术属于欧盟的电子隐私指令,这意味着对 Cookie 横幅的监督通常下放到成员国的监管机构。这反过来意味着,根据相关网站的托管位置,欧盟可能会采用不同的规则。 (例如,某些成员国的监管机构允许新闻网站为用户提供选择,是接受广告跟踪以获取(免费)内容访问权限,还是付费订阅以获取无跟踪访问权限——尽管此类“cookie 同意付费墙”仍然存在有争议,不太可能通过每个 DPA 的审核。)
鉴于工作组报告的共识程度,它表明 DPA 如何执行与 cookie 同意横幅设计相关的投诉将有一些协调——例如,绝大多数当局同意缺乏“拒绝所有” ‘ 与“全部接受”按钮处于同一级别的选项违反了 ePrivacy。因此,看起来可能会对试图隐藏拒绝跟踪选项的网站采取更多执法措施。
特别工作组还同意,具有预先检查选项(即作为尝试推动达成协议的另一种策略)的同意流程也不是有效的同意——鉴于欧洲最高法院已经澄清需要主动同意以跟踪所有 cookie,这应该不会让人感到惊讶。 2019年的回归之路。
在过去五年左右的时间里,自从另一项加强同意规则的欧盟法律——即通用数据保护条例 (GDPR)——开始实施以来,DPA 无疑更加关注 cookie 同意。包括对规则被无视的抱怨越来越多。
这反过来又导致许多人更新(并收紧)他们在这个问题上的指导——这使得网站更难声称关于跟踪同意的规则不明确。
执法力度也在加强,某些监管机构非常活跃——例如法国的 CNIL,自 2020 年以来,它已因各种与 cookie 相关的违规行为对大量科技巨头(包括亚马逊、谷歌、Meta、微软和 TikTok)处以罚款,包括对使用暗模式试图操纵同意的多次执法(和罚款)。
CNIL 的执法活动还包括纠正命令,这些命令有助于强制进行一些重大的设计更改——包括谷歌修改了它去年在整个欧盟展示的 cookie 横幅,以(最终)具有顶级的“全部拒绝”选项。这是相当大的胜利。
鉴于 CNIL 在协调工作组的工作中发挥了主导作用,它的一些公约似乎正在影响其他 DPA。
在本周早些时候欧洲数据保护委员会通过工作组报告并总结结果的新闻稿中,法国监管机构写道:“该报告特别指出,绝大多数当局认为没有任何选择拒绝/拒绝/不同意与为接受其存储而提供的级别相同的 cookie 构成违反法律(电子隐私指令第 5(3) 条)。 CNIL 已经在其指导方针和几项制裁的背景下采取了这样的立场,”
除了同意“接受所有”按钮需要伴随“拒绝所有”按钮外,工作组还同意 cookie 横幅的设计需要为网络用户提供足够的信息,使他们能够理解它们是什么同意以及如何表达他们的选择。
正如报告所说,cookie 横幅的设计方式不得给用户“他们必须同意才能访问网站内容的印象,也不能明确地促使用户同意”。
他们还就一些不会导致有效同意的 cookie 设计示例达成一致——例如设计是这样的:“提供的唯一替代操作(除了授予同意之外)包括‘拒绝’或‘继续’等措辞背后的链接在没有足够的视觉支持来吸引普通用户注意此替代操作的情况下,不接受“嵌入 cookie 横幅中的一段文本”;或“提供的唯一替代行动(除了同意之外)包括在 cookie 横幅之外的‘拒绝’或‘继续而不接受’等措辞背后的链接,在没有足够的视觉支持将用户的注意力吸引到框架外的这个替代动作”。
所以基本上他们就排除某些常见的 cookie 横幅黑暗模式达成了一些共识。
但在视觉技巧上——例如使用高亮颜色可能会被选择来吸引眼球到“全部接受”按钮并使拒绝选项更难看到,工作组决定对外观进行逐案分析在大多数情况下都需要感觉(以及这些设计选择明显具有误导性的可能性)。他们同意,他们无权对数据控制者强加通用的横幅标准(相对于颜色和/或对比度)。
他们还同意拒绝所有设计为使文本“几乎任何用户都无法阅读”的按钮可能对用户“明显误导”。
工作组解决的其他问题包括最近添加的 cookie 同意地狱——网站可能会(也)寻求对广告处理的“合法利益”。有时在同意法律依据按钮旁边添加一堆额外的切换按钮,这些按钮通常只显示在二级(或其他子菜单)中,并且顶级不提供“全部拒绝”选项 – 而是要求用户点击进入设置以发现这种混乱的切换(有时会预先检查 LI 的)。
“将这种合法利益的概念整合到‘横幅的更深层’的后续处理中,可能会让用户感到困惑,他们可能认为他们必须拒绝两次才能不处理他们的个人数据,”报告对此进行观察。
该工作组还就监管机构应如何确定基于 cookie 的任何后续处理是否合法达成一致——称这将需要确定“通过 cookie 或类似技术存储/获取信息的访问权限是否符合电子隐私第 5 条第 3 款的规定”指令(和国家实施规则)——任何后续处理均按照 GDPR 进行。 24”。
“在这方面,工作组成员认为不合规行为与艺术有关。 ePrivacy 指令中的第 5 (3) 条(特别是在未获得有效同意的情况下)意味着后续处理不符合 GDPR 5。此外,TF 成员确认放置/阅读的法律依据根据第 5 条第 3 款,cookie 不能成为控制者的合法利益,”他们在报告中补充道。
尽管他们似乎在很大程度上保留了对如何处理 cookie 同意流程中出现的 LI 切换的新祸害的判断——说他们“同意在遇到需要进一步讨论以确保一致的方法”。
工作组还讨论了如何处理那些试图将一些非必要数据处理归类为绝对必要/必要的网站——从而将其捆绑到一个不需要根据 ePrivacy 或 GDPR 获得同意的类别。然而,他们认为在确定哪些处理是绝对必要的方面存在实际困难。
“工作组成员一致认为,评估 cookie 以确定哪些是必不可少的会带来实际困难,特别是由于 cookie 的功能会定期更改,这会妨碍建立此类基本 cookie 的稳定可靠列表,”他们写了。 “已经讨论了建立网站使用的 cookie 列表的工具的存在,以及网站所有者维护此类列表的责任,并根据要求将其提供给主管当局并证明 cookie 的重要性上市。”
在另一个问题——撤回同意——他们同意网站所有者应该实施“易于访问的解决方案,允许用户随时撤回他们的同意”,例如一个小图标(“悬停和永久可见”)或一个链接“放置在可见且标准化的地方”。
然而,他们再次回避为用户强加一种特定的标准化方式来撤回对网站所有者的同意,并表示一旦收集到同意,他们只能被要求实施“易于访问的解决方案”。
“始终有必要对显示的撤回同意的解决方案进行逐案分析。在此分析中,必须检查是否因此满足了撤回与同意一样容易的法律要求,”他们补充说。
欧盟监管机构就如何处理Natasha Lomas最初发布于TechCrunch的某些 cookie 同意暗模式达成一致
原文: https://techcrunch.com/2023/01/20/cookie-taskforce-report-consent-dark-patterns/