麻省理工学院,伦敦大学学院和奥胡斯大学的研究人员提出的一项新研究表明,欧盟提供给大多数互联网用户的Cookie同意弹出窗口(表面上是寻求关注人们的网络活动的许可)很可能会违反地区隐私法。
“我们今天对CMP的实证调查“同意管理平台”的结果说明了非法行为盛行的程度,CMP的供应商对他们显然是非法的配置视而不见,甚至不鼓励他们研究人员争辩说,并补充说:“非常缺乏在这一领域的执法。”
他们的发现发布在一篇题为《GDPR之后的黑暗模式:取消同意的弹出窗口并展示其弹出窗口》的论文中。“影响力”,我们在8月进行了另一篇研究,这也得出了结论。该研究还得出结论,目前大多数Cookie通知的实现方式对欧洲的互联网用户来说都没有有意义的选择-
如果将同意作为处理网络用户个人数据的法律依据,则有有效期(即欧盟通用数据保护条例(GDPR)所规定的法律上的同意是明确的:必须进行知情,具体和自由地提供。
欧盟法院的最新判例也进一步明确了关于Cookie的法律,明确表示必须积极表示同意-意味着数字服务不能推断出通过间接动作进行跟踪的同意(例如,用户在没有响应的情况下关闭了弹出窗口,或者为了支持与服务的交互而被忽略)
许多网站都使用所谓的CMP征求同意以跟踪cookie。但是,如果将其配置为包含预先选中的框,这些框默认情况下使用户选择共享数据-需要采取积极的用户操作才能选择退出-所有收集的“同意”也是不合法的。
同意跟踪必须也可以在数字服务删除或访问Cookie之前获得;
所有这些都意味着-根据欧盟法律-网站访问者选择not应当同样容易地被跟踪为:同意接受他们的个人数据处理。
但是,“GDPR之后的暗模式”研究发现,目前的情况还很遥远。
“我们发现暗模式研究人员在总结中写道,只有略超过十分之一(11.8%)的CMP达到了“我们根据欧洲法律设置的最低要求”,他们定义为是“如果没有预先选定的可选框,拒绝是否像接受一样容易,并且明确表示同意。”
对于这项研究,研究人员将英国排名前10,000的网站进行了排名,Alexa,以收集市场上最流行的CMP的数据,这些数据由五家公司制造:QuantCast,OneTrust,TrustArc,Cookiebot和Crownpe ak-并分析了这些工具的设计和配置如何影响互联网用户的选择。(他们通过自己的方法获得了680个CMP实例的数据集-他们计算出的样本至少代表运行CMP的前10,000个站点中总人口的57%,前提是先前的研究仅发现了这样做的五分之一。)
隐式同意-也称(非法)通过非肯定的用户操作(例如,用户访问或滚动网站或对响应弹出窗口做出响应或未能在没有响应)-在研究的站点中被发现是常见的(32.5%)。
“受欢迎的CMP实施向导仍然允许其客户选择隐含同意,即使他们已经表明CMP应该检查他们指出,访问者的IP在欧盟的地理范围内,应该相互排斥,并指出:“这对在GDPR中遵守设计保护数据保护的概念提出了重大质疑。”
他们还发现绝大多数CMP都拒绝将所有跟踪“比接受跟踪要困难得多”-大多数(50.1%)的研究站点没有“全部拒绝”按钮。虽然只有极少数(12.6%)的网站具有与“全部接受”按钮相同或更少点击次数的“全部拒绝”按钮。
换句话说,研究人员继续指出:“Ohhaidark图案设计”……
“一个’接受所有’按钮从未被埋在第二层中”,还发现“拒绝所有按钮的74.3%是一层深,需要两下点击才能按下;他们中有0.9%位于两层之外,至少需要三层。
预先选中的盒子也被广泛应用于研究的CMP中-尽管这种设置在法律上无效。(对此,他们发现:“有56.2%的网站已预先标记了可选的供应商或用途/类别,其中54.1%的网站已预先标记了可选用途,32.3%的预先标记了可选类别和30.3%的预先标记了两者。”)
他们还指出,站点日常使用的大量第三方跟踪器构成了欧盟同意模式的主要问题-鉴于它需要用户“长时间”来清楚地了解情况
他们发现像沙丁鱼一样被包装到CMP中的第三方跟踪器的确切数量各不相同-视站点而定,在数十到数百之间。
58是他们遇到的最低数字。在QuantCast CMP的实施中,最高的是542个供应商。(并且,好吧,想象一下手动取消所有这些操作所涉及的“摩擦”,并假设这是缺少“全部拒绝”按钮的网站之一……)
网站依赖于大量的第三方跟踪器,这会使用户花费很长时间才能清楚地告知自己。在CMP中列出供应商(例如第三方跟踪器)的网站中,有85.4%的站点中位数为315个供应商(低四分位数58,上四分位数542)。不同的CMP供应商的平均供应商数量不同,其中QuantCast最高,为542。75%的站点中有超过58个供应商。76.47%的站点提供了有关其供应商的描述。每个站点这些描述的平均总长度为7,985字:平均每分钟250字的阅读器大约需要31.9分钟的阅读时间,但不包括例如
研究的第二部分涉及一个涉及40名参与者的现场实验,以研究八种最常见的CMP设计如何影响互联网。用户的同意选择。
“我们发现通知样式(横幅或障碍)对“同意选择”没有影响;从首页上删除选择退出按钮可以使同意率提高22-23个百分点;并在首页上提供更精细的控制会降低8-20个百分点的同意率。”他们在总结中写道。
他们认为这部分研究支持以下两种观点:最常见的两种同意界面设计-“第一页未显示“全部拒绝”按钮;并在显示精细控制之前显示大量选项”,这使用户更有可能提供同意,从而“违反了“GDPR”“自由给给”的原则。”
他们还提到了“质性反思”本文的参与者”(这是在实地研究期间登记了个人的同意选择后通过调查获得的),表明这些回答“使整个“事先征得同意”模型产生疑问,并不是因为特定的设计决策,而仅仅是因为用户必须先执行一项操作,然后用户才能完成其主要任务,并且如果它们逐个网站显示,那么它们就会显得过于频繁。”
换句话说,干扰网络用户要求他们做出选择的事实本身可能会施加足够大的压力,从而可能导致任何最终的“同意”都是无效的。
该研究发现操纵性设计的普遍性和中的配置倾向于轻推甚至强求同意,这表明欧洲的互联网用户实际上并未从应被保护为防止其数字数据受到不必要的利用的法律框架中受益,而是遭受了许多嘈杂,分散注意力和虚伪的“同意剧院”的攻击。
Cookie注意到,他们在尝试上网进行日常业务时,不仅会给普通的互联网用户带来摩擦和挫败感,而且当前的情况是在创建虚假的法规遵从表–在实际上是巨大的负担
这里的问题是,欧盟监管机构多年来一直在关注线上跟踪的另一种方式,完全无法实施线上跟踪,这是对权利的践踏。研究人员指出,确实非常缺乏执法。
确实缺乏执法。(行业游说/政治压力,有限的资源,规避风险和监管抓获以及围绕数字权利的不作为的遗产都可能受到指责。)
尽管GDPR始于2018年5月,欧洲已有将近20年的关于cookie等数据收集机制的法规-该论文指出,早在2002年对ePrivacy指令进行的修订就要求“不存储或访问用户设备上的信息”。
对于研究结果,主要作者Midas Nouwens质疑CMP供应商为何出售所谓的“合规性”“首先允许不兼容配置的工具。
“很遗憾,但我不认为任何弹出窗口都符合GDPR的人都会感到惊讶,”他告诉TechCrunch。“令人震惊的是提供同意弹出窗口的公司如何允许不兼容的界面设计。他们为什么要让客户将滚动视为同意或将拒绝按钮埋在第三页的某个位置?”
“如果我们不希望GDPR下降,那么执法将是下一个重大挑战路径作为ePrivacy指令,”他补充说。“由于执法机构资源有限,所以关注大众同意弹出窗口提供商可能是比针对单个网站更为有效的策略。
“不幸的是,在我们等待执法期间,这些机构中的黑暗模式
本文的另一位研究人员,UCL数字权利和法规讲师Michael Veale也对CMP供应商允许他们使用工具表示震惊。以明显旨在操纵互联网用户的方式进行配置-从而蔑视法律。
研究人员敦促监管者采取更明智的方法来解决这种广泛的违规行为,例如通过利用自动化工具“加快发现和执行不符合要求的Cookie通知,并建议它们在“更上游”工作-例如通过对CMP供应商提出要求”,以仅允许符合要求的设计被放置
“令人震惊的是,有多少大型的同意弹出窗口提供商允许他们的系统被错误地配置,例如通过隐式同意,从而明显地违反了数据保护法,Veale告诉我们,并补充说:“我怀疑数据保护机构会看到这种广泛的违法行为,并且不确定确切的起点。但是,如果他们不开始执行这些准则,那么这种广泛的违法行为何时会开始停止还不清楚。”
“该研究甚至高估了合规性,因为我们不关注何时跟踪实际发生了什么。您单击这些按钮后,最近的研究就强调了这些按钮在许多情况下会误导个人,什么也不做。”他还指出。
我们与英国的数据保护监管机构ICO联系,对这项研究的回应-一位女发言人向我们指出了去年发布的cookie建议博客,指出该建议包含“静止不动”。
在博客中,ICO技术政策负责人Ali Shah,Shah写道:“今年监管机构可能会采取一些行动(尽管数量有限)来清理Cookie同意书:“遵守Cookie的规定将成为ICO越来越优先的监管重点。但是,就像我们所有权力一样,任何未来的行动都将是相称且基于风险的。”
欧洲公民在等待数据保护监管机构针对系统性违反GDPR采取有意义的行动,包括那些与未经同意的网络用户跟踪相关的邮件-欧洲网络用户可以采取措施来减轻Cookie同意弹出式窗口的痛苦:这项研究的研究人员已经构建了一个开源浏览器扩展程序,可以自动回答弹出式窗口
它被称为Consent-o-Matic,并且有适用于Firefox和Chrome的版本。
我们在* AarhusUni提供的节日礼物*:同意-o-Matic!一个浏览器扩展程序,可以自动为您答复同意弹出式窗口。Firefox:https://t.co/5PhAEN6eOd
Chrome:https://t.co/ob8xrLxhFW
Github:https://t.co/0Xe9xNwCE
* @ cklokmose; Janus Bager Kristensen; Rolf Bagge
1 / 8pic.twitter.com / 3ooV8ZFTH0
-Midas Nouwens(@MidasNouwens)2019年12月24日
该工具可以自动响应五家大型CMP供应商(QuantCast,OneTrust,TrustArc,Cookiebot和Crownpeak)构建的cookie标语。
由于它是开源的,希望其他人可以在此基础上进行扩展能够自动响应的弹出窗口的类型。在没有法律强制执行的“请勿关注”浏览器标准的情况下,这对于那些渴望在线上关注行业中寻求更便捷的代理机构的互联网用户来说是一样好的。
上个月在Twitter线程中宣布了该工具,Nouwens将这个项目描述为利用“对抗性互操作性”作为亲隐私策略。
“自动化同意和隐私偏好并不是新事物(DNT和P3P),但是该项目使用了对抗性,而不是依靠行业的自我监管或根本反对的利益相关者(浏览器,广告商,出版商)的购买。”
但是他添加了一个警告,提醒用户注意谨防数据滥用者进一步违规-指出也由Veale标记的早期研究论文,该论文发现一小部分网站(约7%)完全忽略了对Cookie弹出窗口的响应并跟踪用户,无论响应如何。
所以有时甚至可以无缝地自动执行ed“否”进行跟踪可能仍等于被跟踪…
Adtech要求保持冷静并解决其“合法性”问题