关于 第三方Cookie 的学习

0、法规依据

e-privacy(欧盟电子隐私指令)、GDPR

第三方Cookie存取过程对用户个人隐私产生侵扰,因为它存储个人数据并被用于追踪用户行为,甚至被第三方读取。

0.1 欧盟的要求

0.1.1 《电子隐私指令》:明确告知和同意后

《隐私与电子通信指令》(或称E-Privay指令

被形象地称之为“Cookie指令”,该指南将获得用户对于 第三方Cookie 使用的同意条件归纳为具体的信息、在先同意、主动和自由作出同意的选择后,才可采集和使用,并且用户可随时撤回对上述授权的同意。

0.1.2 GDPR

2018年实施的GDPR将个人数据定义为可以直接或间接识别自然人的任何信息。如果Cookie中的数据可以单独或与其他信息结合识别特定自然人,则需要同时受到GDPR的规制。GDPR 列出了六项处理个人数据的法律依据,包括用户同意、合法利益等:

1、数据主体同意其个人数据的处理目的;

2、处理是为履行与数据主体签订的合同所必需的,或者是在签订合同前根据数据主体的请求所采取的措施;

3、处理是为履行控制者的法律义务所必需的;

4、处理是为了保护数据主体或他人的切身利益所必需的;

5、处理是为了履行公共利益任务或行使控制者公务职权所必需的;

6、处理是为了控制者或第三方追求合法利益所必需的,但需要保护数据主体的利益、基本权利和自由,特别是在涉及儿童数据主体时。(注:政府机构履行职责时的处理除外)

0.2 CCPA

《加州消费者隐私法案》将 Cookie 作为一种在线标识符(“Unique Identifier”或 “ Unique Personal Identifier ”)明确纳 入个人信息范畴内,因此对于第三方cookie的处理要求同个人信息的处理要求。

CCPA 要求企业在收集时或之前向消费者告知收集和处理个人信息类别,并赋予加州居民相关权利,包括知情权(Right to Know)、删除权(Right to Delete)、更正权(Right to Correct)、退
出权(Right to Opt-out)等。

1、什么是第三方cookie?

用户正在访问的网站的域名(即浏览器地址栏中的域名)直接设置的 Cookie。

  • 用途
    • 维持用户登录状态(如 sessionid
    • 记住用户的语言、购物车内容
    • 分析站内流量(如自建的统计系统)
  • 特点:只能被设置它的域名访问,通常不会自动跨站点

非用户当前访问的网站域名 设置的 Cookie。通常是网页中嵌入的广告、追踪像素、社交分享插件等外部资源加载时写入的。

用于跨站点追踪,是隐私监管的重点对象。

  • 用途
    • 跨站点广告追踪(广告联盟识别同一用户在不同网站的行为)
    • 社交平台跟踪(Facebook Like、Google Analytics)
  • 特点:可被不同网站共享和访问 → 用于跨站用户画像。

2、实践参考

2.1 国外网站的普遍做法

1)Cookie Banner

Cookie Banner通常展示的内容:

  • 简要说明
    • “我们使用 Cookie 来提升体验、分析流量、个性化广告。”
  • 分类展示
    • 必要 Cookie(不可关闭)
    • 分析 Cookie(可选)
    • 广告 Cookie(可选)
    • 功能 Cookie(可选)
  • 用户选项
    • “接受所有”
    • “拒绝非必要”
    • “自定义选择”
  • 进一步信息
    • 链接到 详细 Cookie 政策,列出每个 Cookie 名称、提供者、用途、存储时间。

关键点:

  • Banner 里呈现的是 所有“非必要”Cookie 的类别和用途,而不是逐个 Cookie 技术细节(那在 Cookie Policy 里)。
  • “严格必要 Cookie” 会在政策中列明,但不会在 Banner 中给“选择关掉”的按钮(否则网站无法运行)。
  • 广告/追踪类 Cookie 是监管重点:必须 opt-in,不能预勾选。

案例:Ontrust


网站通过 Cookie Banner(“横条”)来获取用户同意。在Cookie Banner 中明确告知用户使用Cookies 的各类目的以及同意的后果,直接赋予了用户管理 Cookie 的权利。

原则上,如果用户拒绝使用Cookie,网站不得以此为由拒绝用户使用网站。拒绝使用Cookie应当仅导致部分功能不能实现。

  • Cookie Banner不得妨碍用户访问网站的用户服务协议、版权声明和隐私声明,并应当附上Cookie Statement、Privacy Statement的链接。
  • Cookie横条不仅应当向用户提供同意追踪的选项,也应当提供拒绝追踪的选项。同意的按钮设计不应当比拒绝的按钮在位置和技术实现方式上更显眼或方便。此外,不得默认同意,例如预先勾选相应的复选框。
  • 必须向用户提供“同意”或者“拒绝同意”Cookie的选择。譬如,根据德国数据监管机构发布的指南,必须对每一个Cookie单独提供“同意”或者“拒绝”的选择。然而,在实践中常见的方式为仅对部分Cookie提供单独同意或拒绝的选项,例如分析类Cookie,市场营销类Cookie。
  • 当用户点击“禁用所有(Disable All)”时,可保持非必要的Cookie处于禁用状态。用户是否点击“允许所有(Allow All)”不影响其正常浏览网页。
  • 如果用户未作任何点击动作而继续浏览网站并不视为授予了同意。

案例:LEXOLOGY
通过Cookie Setting 对不同类型的Cookie进行分别同意/拒绝。

案例:微软

除了设置 Cookie 横条以及 Cookie 控制面板外,同样需要向网站用户告知通过 Cookie 收集信息的情况。因此,应当在 Cookie 横条和/或控制面板上附上Cookie Statement或包含对Cookie描述的Privacy policy 或类似文件的链接。

4、处罚案例

比较典型的案例,世界互联网巨头 Google、Mate等被GDPR抓“典型”,罚款数额巨大!

德国 Planet49 网站预选勾选获取用户Cookie

CNIL再次对谷歌、脸书下达2.1亿欧元罚款

【最新】CNIL对GOOGLE和SHEIN因违反 cookie 规定处以罚款

5、主流浏览器的做法

  • Safari 和 Firefox:早就全面封杀第三方 Cookie。

  • Chrome:因为市占率最高(~65%),淘汰进度谨慎,转向 Privacy Sandbox(不会完全放任广告生态消失,而是推替代技术)。

  • Edge:紧随 Chrome 内核,但比 Chrome 更积极一些,已经阻止大多数第三方 Cookie。

  • 新兴隐私浏览器(Brave、DuckDuckGo 等):主打“隐私优先”,对 Cookie 和指纹追踪几乎是“零容忍”。

如图:Safari 、FireFox和Edge 都默认禁止第三方Cookie跨站追踪

5.1 Google 隐私沙盒方案

那么占据浏览器市场半壁(不止)江山的Google浏览器呢?第三方cookie带来的广告盈收给Google带来了不菲的收入,默认禁止的方式过于粗暴,因推出了“Privacy Sandbox计划(隐私沙盒)”来温和地完成对第三方Cookie的逐步取代。

5.1.1 隐私沙盒工作原理

其实除了通过第三方Cookie,其他信息,比如设备指纹也是同样可实现追踪用户行为的。Google作为行业龙头,与其把广告商逼上“绝境”采取更差劲、更低劣的手段,不如发挥大厂风范建立行业标准,大家共同发财,在隐私保护和广告投放之间做一个平衡。

隐私沙盒要做的,是让浏览器接管一部分此前需要服务器来做的工作,把可能涉及用户隐私的内容迁移到浏览器本地进行存储和处理,从而达到网站只能通过隐私沙盒中包含的 API 获取必需的信息,但无法逆向定位到某个确定的用户身上的效果。

6、其他

即 Cookie Wall,指数据控制者在网站中放置一个脚本,通过该脚本可以阻止用户访问网站的内容,如果用户不单击“接受 Cookie”的按钮,则无法访问网站的内容

比如,用户浏览网页之前,要求用户先接受网站的cookie设置。如果用户不点击通知中的“接受”按钮,则无法访问网站的任何内容。这种cookie通知通常不提供个性化设置选项,而是要求用户接受所有cookie条款(包括同意网站为追踪、分析、营销等目的使用非必要的cookie)。

这是不符合GDPR中:用户自愿、自由同意的要求,也就是说数据处理者这样的处理方法是不合法的。

6.2 Do not track机制(客户端限制)

Do Not Track 机制通俗来讲就是:浏览器在发送请求时,在 HTTP 协议的头字段声明“不要追踪我”,随之把这个信息发给被请求的网站,一些大的网站会遵循这个“约定”,但这依赖于应用网站的自觉性,可靠性不高。

6.3 避免暗黑模式

按钮的样式、大小、颜色,有倾向性和引导性,违背用户“知情同意”、“自愿做出”的原则。

正确的做法是:使用现代、简洁的布局,分类清晰,按钮设计对称友好,避免暗黑模式干扰用户。

6.4 opt-in VS opt-out

opt-in:主动同意后,采集(推荐)

opt-out:默认采集,拒绝后不采集(有风险)

总结

技术上,虽然第三方 Cookie 正在被淘汰,但广告商和追踪方转而依赖 设备指纹、CNAME cloaking、浏览器指纹 等更隐蔽的技术 → 合规风险依然存在。

Reference:

你的“饼干”安全吗?——Cookie 与个人信息保护 - Lexology

Microsoft Word - Cookie合规指引_20210317-final(格式更新.docx (glo.com.cn)

Cookie政策调整对隐私保护的影响 - Chuanwei "David" Zou - Medium

注定影响你我的新标准:Google 的「隐私沙盒」究竟在为什么抗争? - 少数派 (sspai.com)

posted @ 2023-12-05 18:57  人间修行  阅读(1898)  评论(0)    收藏  举报