麻省理工學院,倫敦大學學院和奧胡斯大學的研究人員提出的一項新研究表明,歐盟提供給大多數網際網路用戶的Cookie同意彈出窗口(表面上是尋求關注人們的網絡活動的許可)很可能會違反地區隱私法。
「我們今天對CMP的實證調查「同意管理平台」的結果說明了非法行為盛行的程度,CMP的供應商對他們顯然是非法的配置視而不見,甚至不鼓勵他們研究人員爭辯說,並補充說:「非常缺乏在這一領域的執法。」
他們的發現發布在一篇題為《GDPR之後的黑暗模式:取消同意的彈出窗口並展示其彈出窗口》的論文中。「影響力」,我們在8月進行了另一篇研究,這也得出了結論。該研究還得出結論,目前大多數Cookie通知的實現方式對歐洲的網際網路用戶來說都沒有有意義的選擇-
如果將同意作為處理網絡用戶個人數據的法律依據,則有有效期(即歐盟通用數據保護條例(GDPR)所規定的法律上的同意是明確的:必須進行知情,具體和自由地提供。
歐盟法院的最新判例也進一步明確了關於Cookie的法律,明確表示必須積極表示同意-意味著數字服務不能推斷出通過間接動作進行跟蹤的同意(例如,用戶在沒有響應的情況下關閉了彈出窗口,或者為了支持與服務的交互而被忽略)
許多網站都使用所謂的CMP徵求同意以跟蹤cookie。但是,如果將其配置為包含預先選中的框,這些框默認情況下使用戶選擇共享數據-需要採取積極的用戶操作才能選擇退出-所有收集的「同意」也是不合法的。
同意跟蹤必須也可以在數字服務刪除或訪問Cookie之前獲得;
所有這些都意味著-根據歐盟法律-網站訪問者選擇not應當同樣容易地被跟蹤為:同意接受他們的個人數據處理。
但是,「GDPR之後的暗模式」研究發現,目前的情況還很遙遠。
「我們發現暗模式研究人員在總結中寫道,只有略超過十分之一(11.8%)的CMP達到了「我們根據歐洲法律設置的最低要求」,他們定義為是「如果沒有預先選定的可選框,拒絕是否像接受一樣容易,並且明確表示同意。」
對於這項研究,研究人員將英國排名前10,000的網站進行了排名,Alexa,以收集市場上最流行的CMP的數據,這些數據由五家公司製造:QuantCast,OneTrust,TrustArc,Cookiebot和Crownpe ak-並分析了這些工具的設計和配置如何影響網際網路用戶的選擇。(他們通過自己的方法獲得了680個CMP實例的數據集-他們計算出的樣本至少代表運行CMP的前10,000個站點中總人口的57%,前提是先前的研究僅發現了這樣做的五分之一。)
隱式同意-也稱(非法)通過非肯定的用戶操作(例如,用戶訪問或滾動網站或對響應彈出窗口做出響應或未能在沒有響應)-在研究的站點中被發現是常見的(32.5%)。
「受歡迎的CMP實施嚮導仍然允許其客戶選擇隱含同意,即使他們已經表明CMP應該檢查他們指出,訪問者的IP在歐盟的地理範圍內,應該相互排斥,並指出:「這對在GDPR中遵守設計保護數據保護的概念提出了重大質疑。」
他們還發現絕大多數CMP都拒絕將所有跟蹤「比接受跟蹤要困難得多」-大多數(50.1%)的研究站點沒有「全部拒絕」按鈕。雖然只有極少數(12.6%)的網站具有與「全部接受」按鈕相同或更少點擊次數的「全部拒絕」按鈕。
換句話說,研究人員繼續指出:「Ohhaidark圖案設計」……
「一個』接受所有』按鈕從未被埋在第二層中」,還發現「拒絕所有按鈕的74.3%是一層深,需要兩下點擊才能按下;他們中有0.9%位於兩層之外,至少需要三層。
預先選中的盒子也被廣泛應用於研究的CMP中-儘管這種設置在法律上無效。(對此,他們發現:「有56.2%的網站已預先標記了可選的供應商或用途/類別,其中54.1%的網站已預先標記了可選用途,32.3%的預先標記了可選類別和30.3%的預先標記了兩者。」)
他們還指出,站點日常使用的大量第三方跟蹤器構成了歐盟同意模式的主要問題-鑒於它需要用戶「長時間」來清楚地了解情況
他們發現像沙丁魚一樣被包裝到CMP中的第三方跟蹤器的確切數量各不相同-視站點而定,在數十到數百之間。
58是他們遇到的最低數字。在QuantCast CMP的實施中,最高的是542個供應商。(並且,好吧,想像一下手動取消所有這些操作所涉及的「摩擦」,並假設這是缺少「全部拒絕」按鈕的網站之一……)
網站依賴於大量的第三方跟蹤器,這會使用戶花費很長時間才能清楚地告知自己。在CMP中列出供應商(例如第三方跟蹤器)的網站中,有85.4%的站點中位數為315個供應商(低四分位數58,上四分位數542)。不同的CMP供應商的平均供應商數量不同,其中QuantCast最高,為542。75%的站點中有超過58個供應商。76.47%的站點提供了有關其供應商的描述。每個站點這些描述的平均總長度為7,985字:平均每分鐘250字的閱讀器大約需要31.9分鐘的閱讀時間,但不包括例如
研究的第二部分涉及一個涉及40名參與者的現場實驗,以研究八種最常見的CMP設計如何影響網際網路。用戶的同意選擇。
「我們發現通知樣式(橫幅或障礙)對「同意選擇」沒有影響;從首頁上刪除選擇退出按鈕可以使同意率提高22-23個百分點;並在首頁上提供更精細的控制會降低8-20個百分點的同意率。」他們在總結中寫道。
他們認為這部分研究支持以下兩種觀點:最常見的兩種同意介面設計-「第一頁未顯示「全部拒絕」按鈕;並在顯示精細控制之前顯示大量選項」,這使用戶更有可能提供同意,從而「違反了「GDPR」「自由給給」的原則。」
他們還提到了「質性反思」本文的參與者」(這是在實地研究期間登記了個人的同意選擇後通過調查獲得的),表明這些回答「使整個「事先徵得同意」模型產生疑問,並不是因為特定的設計決策,而僅僅是因為用戶必須先執行一項操作,然後用戶才能完成其主要任務,並且如果它們逐個網站顯示,那麼它們就會顯得過於頻繁。」
換句話說,干擾網絡用戶要求他們做出選擇的事實本身可能會施加足夠大的壓力,從而可能導致任何最終的「同意」都是無效的。
該研究發現操縱性設計的普遍性和中的配置傾向於輕推甚至強求同意,這表明歐洲的網際網路用戶實際上並未從應被保護為防止其數字數據受到不必要的利用的法律框架中受益,而是遭受了許多嘈雜,分散注意力和虛偽的「同意劇院」的攻擊。
Cookie注意到,他們在嘗試上網進行日常業務時,不僅會給普通的網際網路用戶帶來摩擦和挫敗感,而且當前的情況是在創建虛假的法規遵從表–在實際上是巨大的負擔
這裡的問題是,歐盟監管機構多年來一直在關注線上跟蹤的另一種方式,完全無法實施線上跟蹤,這是對權利的踐踏。研究人員指出,確實非常缺乏執法。
確實缺乏執法。(行業遊說/政治壓力,有限的資源,規避風險和監管抓獲以及圍繞數字權利的不作為的遺產都可能受到指責。)
儘管GDPR始於2018年5月,歐洲已有將近20年的關於cookie等數據收集機制的法規-該論文指出,早在2002年對ePrivacy指令進行的修訂就要求「不存儲或訪問用戶設備上的信息」。
對於研究結果,主要作者Midas Nouwens質疑CMP供應商為何出售所謂的「合規性」「首先允許不兼容配置的工具。
「很遺憾,但我不認為任何彈出窗口都符合GDPR的人都會感到驚訝,」他告訴TechCrunch。「令人震驚的是提供同意彈出窗口的公司如何允許不兼容的介面設計。他們為什麼要讓客戶將滾動視為同意或將拒絕按鈕埋在第三頁的某個位置?」
「如果我們不希望GDPR下降,那麼執法將是下一個重大挑戰路徑作為ePrivacy指令,」他補充說。「由於執法機構資源有限,所以關注大眾同意彈出窗口提供商可能是比針對單個網站更為有效的策略。
「不幸的是,在我們等待執法期間,這些機構中的黑暗模式
本文的另一位研究人員,UCL數字權利和法規講師Michael Veale也對CMP供應商允許他們使用工具表示震驚。以明顯旨在操縱網際網路用戶的方式進行配置-從而蔑視法律。
研究人員敦促監管者採取更明智的方法來解決這種廣泛的違規行為,例如通過利用自動化工具「加快發現和執行不符合要求的Cookie通知,並建議它們在「更上游」工作-例如通過對CMP供應商提出要求」,以僅允許符合要求的設計被放置
「令人震驚的是,有多少大型的同意彈出窗口提供商允許他們的系統被錯誤地配置,例如通過隱式同意,從而明顯地違反了數據保護法,Veale告訴我們,並補充說:「我懷疑數據保護機構會看到這種廣泛的違法行為,並且不確定確切的起點。但是,如果他們不開始執行這些準則,那麼這種廣泛的違法行為何時會開始停止還不清楚。」
「該研究甚至高估了合規性,因為我們不關注何時跟蹤實際發生了什麼。您單擊這些按鈕後,最近的研究就強調了這些按鈕在許多情況下會誤導個人,什麼也不做。」他還指出。
我們與英國的數據保護監管機構ICO聯繫,對這項研究的回應-一位女發言人向我們指出了去年發布的cookie建議博客,指出該建議包含「靜止不動」。
在博客中,ICO技術政策負責人Ali Shah,Shah寫道:「今年監管機構可能會採取一些行動(儘管數量有限)來清理Cookie同意書:「遵守Cookie的規定將成為ICO越來越優先的監管重點。但是,就像我們所有權力一樣,任何未來的行動都將是相稱且基於風險的。」
歐洲公民在等待數據保護監管機構針對系統性違反GDPR採取有意義的行動,包括那些與未經同意的網絡用戶跟蹤相關的郵件-歐洲網絡用戶可以採取措施來減輕Cookie同意彈出式窗口的痛苦:這項研究的研究人員已經構建了一個開源瀏覽器擴展程序,可以自動回答彈出式窗口
它被稱為Consent-o-Matic,並且有適用於Firefox和Chrome的版本。
我們在* AarhusUni提供的節日禮物*:同意-o-Matic!一個瀏覽器擴展程序,可以自動為您答覆同意彈出式窗口。Firefox:https://t.co/5PhAEN6eOd
Chrome:https://t.co/ob8xrLxhFW
Github:https://t.co/0Xe9xNwCE
* @ cklokmose; Janus Bager Kristensen; Rolf Bagge
1 / 8pic.twitter.com / 3ooV8ZFTH0
-Midas Nouwens(@MidasNouwens)2019年12月24日
該工具可以自動響應五家大型CMP供應商(QuantCast,OneTrust,TrustArc,Cookiebot和Crownpeak)構建的cookie標語。
由於它是開源的,希望其他人可以在此基礎上進行擴展能夠自動響應的彈出窗口的類型。在沒有法律強制執行的「請勿關注」瀏覽器標準的情況下,這對於那些渴望在線上關注行業中尋求更便捷的代理機構的網際網路用戶來說是一樣好的。
上個月在Twitter線程中宣布了該工具,Nouwens將這個項目描述為利用「對抗性互操作性」作為親隱私策略。
「自動化同意和隱私偏好並不是新事物(DNT和P3P),但是該項目使用了對抗性,而不是依靠行業的自我監管或根本反對的利益相關者(瀏覽器,廣告商,出版商)的購買。」
但是他添加了一個警告,提醒用戶注意謹防數據濫用者進一步違規-指出也由Veale標記的早期研究論文,該論文發現一小部分網站(約7%)完全忽略了對Cookie彈出窗口的響應並跟蹤用戶,無論響應如何。
所以有時甚至可以無縫地自動執行ed「否」進行跟蹤可能仍等於被跟蹤…
Adtech要求保持冷靜並解決其「合法性」問題