- PVSM.RU - https://www.pvsm.ru -

Нужны ли cookie-баннеры в эпоху GDPR — обсуждаем ситуацию и требования закона

Баннеры на сайтах с информацией о cookies часто закрывают чуть ли не половину контента, чем раздражают пользователей. Разберемся, что на самом деле требуют европейские законы, из-за которых эти всплывающие окна появились, и можно ли обойтись без баннеров совсем.

Нужны ли cookie-баннеры в эпоху GDPR — обсуждаем ситуацию и требования закона - 1 [1]
/ Flickr / Ginny [2] / CC BY-SA [3]

Никто не любит баннеры

Маркетинговая компания Amazee Metrics провела опрос [4] среди ста тысяч интернет-пользователей и установила, что 76% посетителей сайтов игнорируют уведомление о cookies, а 12% — просто закрывают всплывающее окно.

Пользователи стараются как можно скорее скрыть баннеры [4], так как они мешают просматривать содержание сайта и «уничтожают» UX в мобильных версиях интернет-ресурсов. Резиденты Reddit заявляют [5]: «Уведомления о cookies — худшее, что случилось с веб-сервисами после Internet Explorer».

Для компаний и владельцев сайтов cookies-баннеры тоже стали головной болью [6], так как им пришлось тратить бюджет (платить разработчикам и дизайнерам) на создание всплывающих окон, которые никому не нравятся.

Что написано в законе

Cookie-баннеры начали появляться после того, как в силу вступила директива ePrivacy, принятая Евросоюзом в 2009 году (сейчас её хотят ужесточить, подробнее об этом мы писали в одном из прошлых материалов [7]). Появление GDPR и крупные штрафы за невыполнение его требований усугубили положение — баннеры стали показывать все сайты, работающие на европейском рынке.

Но есть интересный нюанс: согласно ePrivacy Directive и GDPR, баннеры совершенно необязательны.

В тексте GDPR конкретно про баннеры не говориться ничего. Единственное, в пункте 30 закона [8] написано, что сайт обязан уведомить пользователя об установке cookies, если с их помощью можно определить личность человека. Можно не получать согласия пользователя, если cookies нужны лишь для сохранения сессионных данных, воспроизведения видео- и аудиоконтента, балансировки нагрузки на сайте и работы сторонних плагинов, позволяющих делиться контентом в социальных сетях.

Что касается ePrivacy Directive (PDF [9]), то он также обязывает владельцев сайтов уведомлять пользователей об обработке cookies, но только в том случае, если те связаны с аналитикой и проведением маркетинговых кампаний. Однако про форму этих уведомлений ничего не сказано.

«Таким образом, за реализацию требований GDPR и ePrivacy Directive отвечают сами владельцы сайтов, — комментирует Сергей Белкин, начальник отдела развития IaaS-сервиса 1cloud.ru [10]. — Баннеры были выбраны как самый простой и в какой-то степени очевидный способ соблюдать закон».

Можно ли обойтись без баннеров

Поскольку закон не обязывает использовать баннеры, и они всем надоели, сейчас разрабатываются альтернативные решения, которые бы упростили жизнь людям. Однако пока они не получили широкого распространения или большой популярности.

Инициатива в ЕС

В 2017 году Еврокомиссия предложила [11] новый закон. Он должен будет на законодательном уровне утвердить механизм автоматической обработки cookie-баннеров. Идея — дать пользователям возможность указать в настройках браузера, разрешено ли ресурсам в сети ставить необязательные cookies. Пользователи и владельцы сайтов сразу поддержали законопроект, однако нашлись представители ИТ-индустрии, которым такое решение пришлось не по вкусу.

Против инициативы выступили компании, работающие в рекламной сфере. Они говорят, что закон нанесет серьезный удар по индустрии маркетинга и продвижения в интернете. По их оценкам, доход от таргетированной рекламы в сети сократится в два раза. Если учесть, что в 2018 году глобальные затраты на рекламу в сети составили [12] 630 млрд долларов, ущерб будет ощутимым.

Также критики закона считают, что новые правила будут раздражать людей еще больше, чем всплывающие cookie-уведомления. Пользователям придется [13] менять настройки браузеров на всех устройствах. При этом владельцы интернет-ресурсов всегда смогут добавить всё те же баннеры, только теперь с запросом на активацию сбора cookies в браузере.

Нужны ли cookie-баннеры в эпоху GDPR — обсуждаем ситуацию и требования закона - 2
/ Flickr / calebdcochran [14] / CC BY [15]

Из-за неоднозначной реакции сообщества, законопроект пока был отложен. Представители отрасли отмечают [13], что у закона нет будущего без внесения поправок.

Фреймворк DNT

Еще одним вариантом решения ситуации с баннерами является фреймворк Tracking Protection Expression (или Do Not Track, DNT [16]). Впервые его представила [17] Федеральная торговая комиссия (FTC [18]) в 2010 году. Принцип его действия аналогичен механизму, который предложили в Еврокомиссии. DNT добавляет в браузеры функцию, которая сообщает сайтам о том, разрешил пользователь установку cookies или нет.

Пару лет назад Консорциум Всемирной паутины (W3C [19]), который разрабатывает и внедряет интернет-стандарты, разработал рекомендации [20] для владельцев сайтов по использованию фреймворка с учетом требований GDPR.

Разработка DNT еще ведется, однако первые экспериментальные исследования аналитиков из Forrester показывают, что он не работает [21]. Популярные ресурсы игнорируют DNT и продолжают поступать согласно внутренним политикам безопасности. При этом фреймворк опять же столкнулся с сопротивлением маркетинговых сервисов и компаний, бизнес которых зависит от таргетированной рекламы.

DNT не получил широкого распространения даже среди тех, кто его изначально поддержал. Например, Mozilla, — из-за того, что фреймворк и новые стандарты не стали внедрять другие игроки рынка, в компании внедрили собственные инструменты [22]. Разработчики добавили в Firefox [23] функцию, которая позволяет человеку выбирать, какие ПД сайт получит, а какие нет.

Можно отказаться от cookies

Как мы уже говорили, сайтам, которые не собирают cookies для таргетированной рекламы, не нужно получать согласие пользователя. Потому у интернет-ресурсов есть возможность вовсе не показывать всплывающие баннеры пользователям.

В USA Today [24], например, обходятся без оповещений о сборе cookies, что дает возможность дополнительно оптимизировать вес стартовой странички. К тому же без рекламных объявлений страница выглядит «чистой» и аккуратной.

Еще такой вариант сгодится для персональных блогов. Один бельгийский бэкенд-разработчик с помощью фреймворка Laravel [25] избавил свой веб-сайт [26] от cookies и даже привел подробную инструкцию [27], как это сделать на других сайтах.

В итоге ситуация получается следующая. Баннеры никому не нравятся, но пока они массово используется, чтобы соблюдать требования закона. Возможно, когда Еврокомиссия внесет правки в свой законопроект или фреймворк DNT станет более распространён, пользователей избавят от надоевших всплывающих окон.

P.S. Материалы по теме из нашего корпоративного блога:

P.P.S. О чем еще мы пишем на Хабре:

Автор: 1cloud

Источник [33]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/cookies/303091

Ссылки в тексте:

[1] Image: https://habr.com/company/1cloud/blog/434006/

[2] Ginny: https://www.flickr.com/photos/ginnerobot/3226941566/

[3] CC BY-SA: https://creativecommons.org/licenses/by-sa/2.0/

[4] провела опрос: https://www.theguardian.com/technology/askjack/2018/jul/05/what-should-i-do-about-all-the-gdpr-pop-ups-on-websites

[5] заявляют: https://www.reddit.com/r/web_design/comments/93o0eg/cookie_policy_notifications_have_ruined_user/

[6] тоже стали головной болью: https://medium.com/@bratsun/how-to-fix-gdpr-disaster-of-endless-cookie-consents-b6a878110aad

[7] в одном из прошлых материалов: https://habr.com/company/1cloud/blog/432452/

[8] пункте 30 закона: https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1528874672298&uri=CELEX%253A32016R0679

[9] PDF: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:en:PDF

[10] 1cloud.ru: https://1cloud.ru/?utm_source=habrahabr&utm_medium=cpm&utm_campaign=cookies&utm_content=site

[11] предложила: https://www.theverge.com/2017/1/11/14238348/proposed-eu-law-ban-cookie-banners-online-tracking

[12] составили: https://www.emarketer.com/content/emarketer-total-media-ad-spending-worldwide-will-rise-7-4-in-2018

[13] придется: http://www.iabeurope.eu/policy/press-release-proposed-eprivacy-regulation-fails-to-improve-cookie-rules/

[14] calebdcochran: https://www.flickr.com/photos/44563197@N00/5320820938/

[15] CC BY: https://creativecommons.org/licenses/by/2.0/

[16] Do Not Track, DNT: https://allaboutdnt.com/

[17] представила: https://www.ftc.gov/news-events/press-releases/2010/12/ftc-staff-issues-privacy-report-offers-framework-consumers

[18] FTC: https://ru.wikipedia.org/wiki/%D0%A4%D0%B5%D0%B4%D0%B5%D1%80%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D1%82%D0%BE%D1%80%D0%B3%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BA%D0%BE%D0%BC%D0%B8%D1%81%D1%81%D0%B8%D1%8F

[19] W3C: https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BD%D1%81%D0%BE%D1%80%D1%86%D0%B8%D1%83%D0%BC_%D0%92%D1%81%D0%B5%D0%BC%D0%B8%D1%80%D0%BD%D0%BE%D0%B9_%D0%BF%D0%B0%D1%83%D1%82%D0%B8%D0%BD%D1%8B

[20] рекомендации: https://www.w3.org/TR/2016/CR-tracking-compliance-20160426/

[21] не работает: https://gizmodo.com/do-not-track-the-privacy-tool-used-by-millions-of-peop-1828868324

[22] внедрили собственные инструменты: https://blog.mozilla.org/futurereleases/2018/08/30/changing-our-approach-to-anti-tracking/

[23] Firefox: https://wiki.mozilla.org/Nightly

[24] USA Today: https://www.usatoday.com/

[25] фреймворка Laravel: https://laravel.com/

[26] свой веб-сайт: https://dieterstinglhamber.me/

[27] подробную инструкцию: https://dieterstinglhamber.me/join-the-light-side-we-have-no-cookies

[28] «О персональных данных»: суть ФЗ-152: https://1cloud.ru/blog/personalnye-dannye-chast-1?utm_source=habrahabr&utm_medium=cpm&utm_campaign=cookies&utm_content=blog

[29] Что поможет защитить персональные данные: https://1cloud.ru/blog/personalnye-dannye-chast-2?utm_source=habrahabr&utm_medium=cpm&utm_campaign=cookies&utm_content=blog

[30] Как защитить персональные данные в публичном облаке: https://1cloud.ru/blog/personalnye-dannye-chast-3?utm_source=habrahabr&utm_medium=cpm&utm_campaign=cookies&utm_content=blog

[31] Как сделать оплату услуг удобнее: опыт IaaS-провайдера: https://habr.com/company/1cloud/blog/433948/

[32] Большая фотоэкскурсия по московскому облаку 1cloud: https://habr.com/company/1cloud/blog/430974/

[33] Источник: https://habr.com/post/434006/?utm_source=habrahabr&utm_medium=rss&utm_campaign=434006