研究发现 大多数欧盟cookie同意通知都是毫无意义或操纵的

自从去年对集团的在线隐私规则进行重大更新以来欧洲消费者如何与cookie同意机制相互作用的新研究,对广泛操纵一个本应保护消费者权利的系统提出了不妥协的看法。

随着欧洲的通用数据保护条例(GDPR)于2018年5月生效,为违规行为带来了严厉的新罚款制度,网站通过提出标记访客跟踪活动的法律免责声明作出回应。其中一些cookie通知甚至要求同意跟踪您。

但是很多人不会 - 甚至现在,一年多之后。

这项研究着眼于消费者如何与不同设计的饼干弹出窗口进行互动,以及各种设计选择如何能够推动和影响人们的隐私选择,这也表明消费者对饼干如何发挥作用以及普遍不信任感到困惑。术语“cookie”本身。(有这样的技巧,谁可以怪他们?)

研究人员得出结论,如果以符合欧盟现有隐私法的方式收集丢弃cookie的同意,则只有极少数消费者会同意跟踪。

我们在出版前已经草拟过的论文由德国波鸿鲁尔大学和密歇根大学的学者共同撰写。在美国 - 并且有权:(联合国)知情同意:在实地研究GDPR同意通知。

研究人员进行了大量研究,从领先网站的屏幕上收集了大约5,000个cookie通知,以编制一个快照(从1000个随机子样本中得到)的不同cookie同意机制,以绘制当前的图片。实现。

他们还与德国电子商务网站合作了四个月,研究了超过82,000名网站独立访问者如何与各种cookie同意设计进行交互,研究人员进行了调整,以探索不同的默认设置和设计选择如何影响个人隐私选择。

他们对cookie同意通知的行业快照发现,大部分被放置在屏幕的底部(58%);不阻止与网站的互动(93%);并且除了没有做任何事情的确认按钮之外不提供任何选项(86%)。所以根本没有选择。

大多数人也试图推动用户同意(57%) - 例如使用“暗模式”技术,比如使用颜色来突出显示“同意​​”按钮(如果点击接受隐私不友好的默认设置),则显示不太明显链接到“更多选项”,以便隐私选择隐藏在屏幕之外。

虽然他们发现几乎所有cookie通知(92%)都包含指向该网站隐私政策的链接,但只有三分之一(39%)提及数据收集的具体目的或谁可以访问数据(21%)。

GDPR更新了欧盟长期存在的数字隐私框架,其中包括加强关于同意的规则,作为处理人员数据的法律依据 - 法规规定必须具体(目的有限),知情并自由给予同意有效。

即便如此,自去年5月以来,根据研究结果,在网站上出现或滑动的cookie“同意”机制已经不合时宜,这些机制仍未向欧盟访问者提供必要的隐私选择。

“鉴于明确的知情同意的法律要求,很明显,绝大多数cookie同意通知都不符合欧洲隐私法,”研究人员认为。

“我们的结果表明,合理数量的用户愿意参与同意通知,特别是那些想要退出或不想选择加入的用户。不幸的是,目前的实施不尊重这一点,大多数用户都没有提供有意义的选择。 ”

研究人员还通过调整cookie通知上的位置,选项和预设,在同意通知中记录了相互作用率的较大差异 - 通常为5%到55%。

这是同意被操纵的地方 - 以转移访客对隐私的偏好。

他们发现cookie通知中提供的选择越多,访问者拒绝使用cookie的可能性就越大。(根据所谓的“透明度和同意框架”经常出现的供应商洗衣清单,这是一个有趣的发现,行业协会,互联网广告局(IAB)已将其作为其成员使用的标准推向收集GDPR同意书。)

研究人员写道:“结果显示,微调和预选对用户决策产生了很大的影响,证实了以前的工作。”“它还表明,应该强制执行GDPR默认的隐私要求,以确保同意通知收到明确的同意。”

以下是论文中的一节,讨论了他们所描述的“轻推和预选的强烈影响”:

总体而言,轻推(作为二元因子)和选择之间的效应大小是CV = 0.50。例如,在通知仅要求用户确认将跟踪它们的通知的情况下,更多用户在轻推条件下单击“接受”按钮,其中突出显示(50.8%在移动设备上,26.9%在桌面上) ,而不是在非接受条件下,“接受”显示为文本链接(39.2%m,21.1%d)。对于基于类别和供应商的通知,效果最为明显,其中所有复选框都是在轻推条件下预先选择的,而它们不在默认隐私版本中。一方面,预先选择的版本占据了大约30%的移动用户和10%的桌面用户接受所有第三方。另一方面,只有一小部分(<0。1%)允许所有第三方选择加入,大约1%至4%允许一个或多个第三方(4中标记为“其他”)。没有桌面访问者允许所有类别。有趣的是,非交互用户的数量在基于供应商的情况下平均最高,尽管它占据了任何屏幕的最大部分,因为它提供了六个可供选择的选项。

关键的含义是,只有0.1%的网站访问者可以自由选择启用所有cookie类别/供应商 - 即,由于缺乏选择或通过操纵黑暗模式(例如预选)而不被强制这样做。

将一小部分提高到1-4%之间,谁将在默认情况下启用某些cookie类别。

“我们的结果......表明GDPR提出的默认隐私和基于目的的同意要求将要求网站使用同意通知,这些通知实际上会导致使用第三方的主动同意不到0.1%,”他们写下了结论。

他们确实标注了该研究的一些限制,指出他们使用的数据集达到0.1%的数字是有偏见的 - 因为访问者的国籍通常不代表公共互联网用户,以及从单个生成的数据零售网站。但他们用来自公司(Cookiebot)的数据补充了他们的调查结果,该公司提供cookie通知作为SaaS - 称其数据显示更高的接受所有点击率但仍然只略高:仅5.6%。

因此得出的结论是,如果欧洲网络用户对他们是否在互联网上被跟踪进行了诚实和真实的选择,绝大多数人会选择通过拒绝跟踪cookie来保护他们的隐私。

这是一个重要的发现,因为GDPR明确指出,如果互联网服务依赖同意作为处理访问者个人数据的法律依据,则必须在处理数据之前获得同意(因此在删除跟踪cookie之前) - 并且同意必须具体,知情和自由。

然而,正如该研究所证实的那样,在地区互联网上点击并发现一个萤火虫饼干通知并不需要太多点击就会发出一条嘲弄的消息,通过使用本网站表示您同意您的数据正在处理该网站如何看待适合 - 只需一个“确定”按钮即可确认您在此事上缺乏发言权。

同样常见的是,有些网站会将访问者推向一个色彩鲜艳的“点击此处”按钮来接受数据处理 - 将任何选择退出到复杂的子菜单中,有时需要数百次单击才能拒绝每个供应商的同意。

您甚至可以找到完全控制其内容的网站,除非或直到用户点击“接受” - 即cookie墙。(这种做法最近引起了监管干预。)

当前混乱的cookie通知也不能归咎于缺乏关于有效且因此合法的cookie同意的具体指导。至少不再是这样了。例如,英国信息专员办公室(ICO)上个月发布的一个神话破坏博客是非常明确的,可以用饼干做什么,不能做什么。

例如,在饼干墙上,ICO写道:“使用诸如此类的一揽子方法不太可能代表有效的同意。诸如“继续使用本网站即表示您同意使用cookies”的声明并非根据更高的GDPR标准获得有效同意。“(监管机构在此处提供更详细的建议。)

虽然法国的数据监管机构CNIL上个月也发布了自己的详细指导- 如果你更喜欢用爱和外交的语言消化cookie指导。

(那些你在2018年1月阅读TechCrunch的人也可能还记得我们的GDPR解释者提供的这种圣人英语建议:“在GDPR下,处理个人数据的同意要求也大大增强 - 意味着冗长,不可思议,预先勾选的条款和条件可能是不可行。“所以不要说我们没有警告你。”

欧洲的数据保护监管机构也没有对不正当应用“同意”以证明处理人员数据的投诉缺乏抱怨。

事实上,“强制同意”是亲隐私NGO noyb的一系列相关投诉的实质内容,该投诉针对Facebook使用的T&C,WhatsApp,Instagram和GoogleAndroid立即GDPR于去年5月开始应用。

虽然没有特定的cookie通知,但这组投诉说明了相同的基本原则 - 即当被要求同意其数据被处理时,必须向欧盟用户提供特定的,知情的和自由的选择。否则“同意”无效。

到目前为止,谷歌是唯一一家因第一轮同意相关的GDPR投诉而受到处罚的公司;法国数据监管机构1月份发布了5700万美元的罚款。

但是,爱尔兰DPC向我们证实,在与noyb的同意相关的投诉之后,它对Facebook及其子公司进行的11项公开调查中有三项是开放的。(“这些调查中的每一项都处于后期阶段,我们无法进一步评论,因为这些调查正在进行中,”一位女发言人告诉我们。所以,呃,看那个空间。)

欧盟cookie同意合规的问题看起来既是执法失败又缺乏监管一致 - 后者是由于ePrivacy指令(最直接涉及cookie)仍未更新,导致混淆(如果不是直接的冲突)与闪亮的新GDPR。

然而,ICO对cookie的建议直接解决了ePrivacy和GDPR之间声称的不一致问题,明确指出前者的Recital 25(其中指出:“访问特定网站内容可能以明智地接受cookie或类似设备为条件,如果它用于合法目的“)实际上并不制裁将您的整个网站贴在”接受或离开“cookie墙后面。

以下是ICO对ePrivacy Directive的Recital 25所说的内容:

“特定网站内容”是指您不应在要求用户接受非必要cookie的条件下进行“一般访问” - 如果用户不同意,您只能限制某些内容;

“合法目的”一词是指促进提供信息社会服务 - 即用户明确要求的服务。这不包括第三方,如分析服务或在线广告;

所以没有饼干墙;并且没有部分墙壁强制用户同意广告定位以访问内容。

值得指出的是,其他类型的隐私友好型在线广告可用于通过访问网站获利。(研究表明,有针对性的广告只比非定位广告提供的价格略高,即使选择隐私恶意广告路径的发布商现在必须将数据保护合规成本计入其计算 - 以及大规模的成本和风险如果他们的安全失败或被发现违反了法律,GDPR将被罚款。)

通过最新的电子隐私条例进行谈判以取代现在非常长期的电子隐私保护 - 适当考虑到互联网信息的激增以及在此期间涌现的所有广告跟踪技术 -是非常激烈游说的主题,包括来自广告技术行业,迫切希望保持cookie数据。但欧盟隐私法是明确的。

“[Cookie consent]’s definitely broken (and has been for a while). But the GDPR is only partly to blame, it was not intended to fix this specific problem. The uncertainty of the current situation is caused the delay of the ePrivacy regulation that was put on hold (thanks to lobbying),” says Martin Degeling, one of the research paper’s co-authors, when we suggest European Internet users are being subject to a lot of ‘consent theatre’ (ie noisy yet non-compliant cookie notices) — which in turn is causing knock-on problems of consumer mistrust and consent fatigue for all these useless pop-ups. Which work against the core aims of the EU’s data protection framework.

“同意疲劳和不信任绝对是个问题,”他表示赞同。“经历过点击'拒绝'的用户可能会阻止他们使用网站,可能会因为一次糟糕的体验而无论他们真正想要什么而在任何其他网站点击'接受'(在大多数情况下都是这样:跟踪)。“

“我们没有强有力的统计证据,但是用户在调查中报告了这一点,”他补充说,引用一项民意调查,研究人员还向网站访问者询问他们的隐私选择和对cookie的一般看法。

Degeling说,他和他的共同作者赞成一种同意机制,使网络用户能够在浏览器级别指定他们的选择- 而不是当前混乱和混乱的永久,混乱和通常不符合每个网站的弹出窗口。虽然他指出了一些警告。

“DNT [Do Not Track]可能也不符合GDPR,因为它只知道一个目的。然而,类似的东西会很棒,“他告诉我们。“但我不确定是否将责任转移到浏览器供应商以设计一个可以获得同意的界面,这将为用户带来最好的结果 - 我们现在看到的界面,例如关于cookie的界面,不是一个好的解决方案。

“谷歌与Chrome的利益冲突显而易见。”

欧盟对隐私的不幸监管问题 - 它现在有一个现代化的,世界级的隐私法规,与过时的指令相抵触(其进展一直被既得利益者阻止,意图能够继续推动消费者隐私) - 可能会出现一些解释为什么成员国的数据监管机构迄今为止一直不愿意表达他们对于特定的cookie同意问题的看法。

至少在最初阶段,数据保护机构(DPA)之间的希望可能是更新ePrivacy,因此他们应该拭目以待。

毫无疑问,他们还为数据处理者提供了获得数据库和cookie同意的时间。但是,当GDPR被允许“卧床”时,无摩擦的过渡时间看起来不太可能持续更长时间。

首先,因为没有强制执行的法律不值得撰写论文(欧盟的基本权利比GDPR早得多)。其次,随着ePrivacy更新仍然被阻止,DPA已经证明他们不仅会坐在他们的手上并且看到隐私权被回滚 - 因此他们提出了指导,明确了GDPR对cookie的意义。他们在沙滩上绘制线条,而不是等待电子私人保护(这也是后者被游说者用作试图攻击和降低GDPR的工具)。

第三,欧洲的政治机构和政策制定者一直在关注他们闪亮的隐私框架(GDPR)所获得的地缘政治关注。

欧洲最高层能够指出美国同行,在持续的技术隐私和安全丑闻中崭露头角,而欧盟政策制定者则沾沾自喜,看到他们的美国同行被迫公开询问是否及时让美国拥有自己的GDPR。

凭借其域外范围,GDPR始终旨在在全球地图上彰显欧洲的规则制定能力。欧盟立法者会觉得他们可以轻松地检查那个盒子。

然而,他们也意识到世界正在密切关注着 - 这使得执法变得非常关键。它也必须插入。他们需要GDPR在纸上工作,并被视为在实践中工作。

因此,目前的饼干混乱是一个有问题的信号,可能会出现监管失败的风险 - 这根本不可持续。

欧盟委员会发言人告诉我们,它不能对具体研究发表评论,但表示:“保护个人数据是欧盟的一项基本权利。而容克委员会非常重视这个话题。“

“GDPR加强了个人控制个人数据处理的权利,强化了对个人做出选择至关重要的信息的透明度要求,以便自由,具体和明智地给予同意。 ,“发言人补充道。

“Cookies,只要用于识别用户,就有资格作为个人数据,因此受GDPR的约束。只要公司获得同意或者他们有合法利益,公司就有权处理用户的数据。“

所有这些都表明,这一运动必须来自改革的广告技术行业。

随着强大的隐私监管到位,现在可以自由地进行写作,以便不受限制地跟踪互联网用户进行高速,实时的人们眼球交易,广告行业在没有人知道人们做了什么的时候为自己设计了这种眼球。数据。

GDPR已经带来了更大的透明度。一旦欧洲人不再被迫交易他们的隐私,很明显他们将通过他们的点击进行投票,而不是在互联网上进行交易。

因此,目前不合规的cookie通知的混乱是一个指向潜在的隐私滞后的路标 - 也可能是数字商业模式的最后一个喘息标志远远超过他们的销售日期。