Ви читали статтю про користь бігу і тепер вас переслідує реклама бігових кросівок? Ви іноді переглядаєте кулінарні блоги, а Instagram впевнений, що ви жити не можете без набору для фондю? Google, Facebook, Instagram та решта інтернету відстежують кожен наш клік, аби потім використати нашу історію пошуку, показати таргетовану рекламу та отримати гроші.

Часом реклама може бути настільки особистою, що ми почуваємось моторошно. Відчуття, що інтернет знає про нас все. І це недалеко від правди: наші телефони та комп’ютери містять величезну кількість інформації про нас. Наприклад, Google знає по суті кожен сайт, який ми коли-небудь відвідували, і завдяки геолокації може визначити, де ми живемо, де працюємо, куди і коли подорожували. Сільпо чи Ашан завдяки карткам лояльності знають, що ми купуємо, яким брендам віддаємо перевагу, і можуть використовувати ці дані для прогнозування майбутніх покупок. Відомий випадок – у 2012 році завдяки аналізу покупок мережа магазинів Target дізналась про вагітність дівчини раніше, ніж про це дізнався батько дівчини.

У цій аналітиці ми детальніше розглянемо, чому ви бачите рекламу, що таке поведінковий таргетинг і як він працює, які дані збирають за допомогою файлів cookie, а ще проаналізуємо правове регулювання інтернет-стеження та тиранію cookie-банерів.

Може мене підслуховують?

Уявімо, ви розмовляєте з кимось про якийсь продукт, який хочете придбати. Пізніше в той же день ви бачите у стрічці Facebook рекламу ЦЬОГО САМОГО продукту. Невже Facebook слухає нас?

НІ. Загалом, прослуховування є технічно можливим, всі додатки від Facebook, голосові помічники Siri чи Hey Google дійсно запитують доступ до мікрофону вашого смартфону. Однак, вони не слухають вас постійно! Лише, коли це потрібно для надання вам потрібних функцій – запис сторіс чи голосового повідомлення, дзвінок, відповідь на звертання до голосового помічника.

Більшість експертів переконана, що логістика активного прослуховування, запису та збереження розмов просто не має сенсу, адже обробка звуку та пошук ключових слів потребують величезної обчислювальної потужності. Комп’ютери ще не досить розумні, щоб розуміти мову, і доказ тому – голосові помічники, які не завжди розуміють звернення. Та й взагалі, якщо записувати усе, ваш телефон нагріється і батарея розрядиться. Окрім законів про захист персональних даних, нас захищають закони фізики. Ба більше, інтернет-гігантам не потрібно підслуховувати ваші розмови, щоб показувати нам рекламу – у них вже є вся необхідна інформація.

У 2016 році, коли конспірологічна теорія про прослуховування набирала обертів (це відбувалось скоріше через недовіру до інтернет-гігантів, ніж через правдивість теорії), Facebook прямо зазначив: «Facebook не використовує мікрофон вашого телефону для реклами або зміни того, що ви бачите в стрічці новин … Ми показуємо рекламу на основі інтересів людей та іншої інформації профілю, а не на тому, про що ви говорите вголос».

У середині 2018 року репортер Vice перевіряв, наскільки уважно смартфони слухають наші розмови. Журналіст промовляв заздалегідь тестові фрази протягом 5 днів поспіль і відстежував свою стрічку в Facebook. І як тільки він говорив «потрібні сорочки», як з’являлась реклама одягу.

Спеціаліст по безпеці пояснює, що ця реклама – насправді наслідок відстеження наших звичок в інтернеті, а не прослуховування. Для того, щоб телефон дійсно почав дійсно слухати нас, потрібен тригер – фрази «Привіт Siri» чи «OK Google». Після цієї фрази ваше звернення записується, а стенограми зберігаються у вашому обліковому записі. Тому, наприклад, небезпечно залишати функцію «завжди увімкнений» для голосових помічників. Щоб вловлювати слова-пробудження, такі як «Привіт Siri», мікрофон повинен бути постійно увімкнений.

У 2019 році фахівці з кібербезпеки з Wandera повторили онлайн-експерименти і не знайшли доказів того, що телефони або додатки таємно прослуховують. Протягом кількох днів біля двох телефонів Android та iPhone вони відтворювали звук реклами корму для котів і собак, усі додатки Facebook, Instagram, Chrome, YouTube були відкриті та з дозволами. Жодної активності телефону, використання батареї абощо не було зафіксовано, як наприклад, при використанні голосових помічників, таких як Siri або Hey Google.

Але якщо нас не слухають, як наші розмови перетворюються в рекламу? Відстеження наших дій в інтернеті, при чому алгоритми відстеження настільки детальні і точні, що ми готові вірити в підслуховування розмов та думок. Ось гіпотетичний сценарій за версією маркетингового агентства McNutt & Partners:

Інтернет-гіганти знають наш вік, наше місцезнаходження, наші інтереси, політичні переконання, сторінки, які ми переглядали. Саме на основі цих даних вони можуть показувати нам гіпер-персоналізовану, таргетовану рекламу.

Як працює таргетована реклама

В часи, коли інтернет перевантажений контентом як ніколи, і кількість інформації тільки зростає, ми навчилися швидко сканувати сторінки і негайно відкидати непотрібне – все, що не відповідає нашим бажанням чи потребам. І компаніям стало не так легко привернути нашу увагу до своїх товарів чи послуг. Тому вони прагнуть персоналізувати рекламу, зробити її підходящою для вас.

Для цього їм потрібно добре розуміти свою аудиторію і спрямовувати рекламу лише на тих користувачів, що можуть бути зацікавлені у відповідному товарі чи послузі. Що більше вони знають про свого споживача, то краще зможуть націлити (таргетувати) рекламу.

Сьогодні рекламу є різні типи таргетингу на відповідні аудиторії:

• Демографічний таргетинг, коли враховується стать, вік, національність, сімейний стан, освіта, професія чи рівень доходів. Найпопулярніший спосіб таргетувати рекламу.
• Географічний таргетинг, коли враховується ваша геолокація та переміщення (може бути як країна чи регіон, так і конкретне місто у зоні поширення товару чи послуги).
• Поведінковий таргетинг, коли враховується ваша поведінка, уподобання та інтереси (аналіз історії покупок, активності в інтернеті, що переглядали, як довго, що клікали).
• Таргетинг за пристроєм, коли реклама націлена лише на власників iOS чи Android.
• Таргентинг за ключовими словами у ваших пошукових запитах, рекламні оголошення можуть показуватись одразу в результатах пошуку чи пізніше на відповідних сайтах.
• Ретаргетинг, коли рекламодавець на інших сайтах нагадує вам про товари, які ви переглядали, можливо мали намір придбати, але так і не придбали.

У будь-якому разі, саме поведінковий таргетинг вважається найбільш популярним, ефективним і небезпечним для вашої приватності. Прикладом такого таргетингу можна назвати Facebook Ads – програма не просто знає ваші демографічні риси (вік, стать, сімейний статус), вона вивчає вашу попередню поведінку, інтереси, переконання, особистість, розуміє ваші емоційні стани і майже ідеально підбирає рекламу для вас. Іноді здається, що алгоритм читає ваші думки.

До речі, ви можете переглянути ваші Ad Preferences за цим посиланням – побачити, що саме знає про вас Facebook та чи правильно він визначив ваші інтереси (Categories used to reach you – Interest Categories). Ви також можете оновити налаштування своїх рекламних оголошень і контролювати, на основі яких даних вам буде показуватись та чи інша реклама.

Отож, відстежуючи вашу поведінку на сайтах чи в мобільних додатках, рекламодавці можуть показувати рекламу, яка відповідає вашим інтересам та уподобанням. Та перш ніж почати стеження, рекламодавцям потрібно встановити на ваш пристрій файли cookie.

P.S. Звісно, ще однією поширеною практикою серед рекламних компаній є купівля даних про поведінку користувачів в інтернет-провайдерів (ISPs), які аналізують інтернет-трафік і відстежують кожен сайт, який ви відвідуєте. Однак, у цій аналітиці мова буде лише про файли cookie.

 Крихти печива та інші технології стеження

Коли ви відвідуєте сайт, у вашому браузері може бути встановлено маленькі текстові файли – файли cookie (куки). Вони запам’ятовують, яка мова сайту для вас зручна, по якому місту ви дивились прогноз погоди, які товари поклали до кошику в інтернет-магазині. Коли ви відвідаєте цей сайт наступного разу, то ваш браузер передає інформацію назад на сервер, і сайт буде налаштований під вас. Часом сайти, які ви відвідуєте, дозволяють розміщувати куки іншим компаніям – наприклад, для показу таргетованих рекламних оголошень.

Тобто, є два види кук, про які вам потрібно знати:

– Основні, які встановлюються безпосередньо сайтом, який ви відвідуєте.

– Сторонні, які встановлюються іншими компаніями (рекламодавцями чи аналітичними сервісами, наприклад, Google Analytics).

Наприклад, ви читаєте улюблений сайт новин. Він запам’ятовує, які статті ви читаєте, і наступного разу показує вам схожі статті. Це основні куки, які спрощують ваше використання сайту. На цьому ж сайті ви бачите рекламні оголошення від Розетки – рекламується ноутбук, який ви недощавно переглядали, але не купили. Це сторонні куки, які слідкують за вами по всьому інтернету.

Саме за допомогою куків рекламодавці збирають значну кількість інформації про вашу діяльність в Інтернеті, ваші інтереси та уподобання – створюють детальний профіль про вас, а потім використовують цей профіль для адаптації реклами під ваші конкретні інтереси.

Окрім кук, рекламодавці можуть використовувати й інші технології стеження:

1. Відстеження місцезнаходження за допомогою сигналів GPS, найближчих станцій мобільного зв’язку, Wi-Fi і Bluetooth. Інформація про місцезнаходження дозволяє зрозуміти, де живе, де працює, які магазини регулярно відвідує, де проводить вільний час. І ця інформація теж може вказувати про інтереси та вподобання і може бути використана у таргетингу.

2. Відстеження пристроїв: користувачі часто виходять в Інтернет з декількох пристроїв, і рекламодавці можуть зрозуміти, що всі ці пристрої належать вам. Наприклад, смартфон і ноутбук, що знаходяться за однаковою IP-адресою впродовж тривалого часу, будуть вказувати на одного користувача. Отож, переглядаючи кросівки на своєму ноутбуці, ви можете отримати рекламу кросівок на своєму смартфоні, хоча ви ніколи не шукали кросівки з цього пристрою.

3. Цифрові відбитки браузера – це набір даних про налаштування браузера або операційної системи користувача (Chrome, Safari, Opera чи Firefox, версія браузера, Windows чи MacOS, Android чи iOS, бажана мова, плагіни браузера – наприклад, чи встановлений AdBlock, налаштування конфіденційності, часовий пояс). Оскільки ви можете налаштовувати параметри свого браузера, відбиток браузера є досить унікальним і може використовуватися для вашої ідентифікації в Інтернеті. Щоб уникнути зняття відбитків браузера, деякі люди використовують анонімний браузер Tor.

Одним словом, сучасні технології дозволяють відстежувати кожен ваш рух в інтернеті. Тут не можна не згадати мем про приватність у продуктах Google (обіграна пісня «Every Breath You Take», яку Стінг написав після розлучення з першою дружиною).

Мем українського лігал-тек проєкту Bot&Partners

 Ризики для вашої приватності і не тільки

Що більше інформації можуть зібрати рекламодавці, то більш персоналізовану рекламу вони можуть вам показати, і то більше доходу вони можуть отримати. Тобто за вами весь час стежать. На жаль, так працює бізнес-модель Google чи Facebook – вони надають користувачам безкоштовні можливості обміну та пошуку інформації, а продаж реклами, в основному поведінкової, чи не основне джерело їхнього доходу (83% для Instagram, 99% для YouTube).

Масштаби зібраної про нас інформації вражають! У своєму дослідженні вчені-інформатики Прінстону змогли реконструювати 90% веб-активності користувача, усі його пошукові запити за допомогою моніторингу кук Google, зокрема, завдяки гуглівському трекеру DoubleClick.

Таргетинг вразливих груп. Звісно, часом виникають сумніви в етичності гіпер-персоналізованих реклам. Рекламодавці можуть націлити свою рекламу на вразливу категорію користувачів чи експлуатувати ваші емоційні стани. Наприклад, у 2013 році агентство медіапланування у своєму дослідженні виявили час і випадки, коли американські жінки відчували себе найменш привабливими. На основі цього дослідження агентство заохочувало таргетувати жінок в «моменти найбільшої вразливості», наприклад, в понеділок вранці.

Чутливі дані. Восени 2018 року група європейських організацій із захисту персональних даних подала скаргу на Google та Бюро інтерактивної реклами (Interactive Advertising Bureau, IAB) через те, рекламні категорії Google свідчать про обробку чутливих персональних даних громадян ЄС (інформації про політичні, релігійні і світоглядні переконання, стан здоров’я, статеве життя).

Безпліддя, зловживання психоактивними речовинами, праві погляди, ліві погляди, атеїзм, хвороби, що передаються статевим шляхом, рак, підтримка насилля – це перелік деяких категорій, за якими Google категоризує користувачів та дозволяють таргетувати рекламу. Більше того, він ділиться цими чутливими персональними даними з сторонніми компаніями типу IAB, які беруть участь в рекламних аукціонах. Тобто компанії збирають дані, що виходять далеко за рамки інформації, необхідної для показу рекламних оголошень.

Наразі Google стверджує, що забороняє рекламодавцям на своїх платформах таргетувати рекламу за такими чутливими (інтимними) категоріями. Розгляд скарги досі триває.

Маніпулювання поведінкою. Більше того, створення настільки детальних профілів за допомогою кук дозволяє підштовхувати, змінювати або маніпулювати поведінкою людей. Наші профілі можуть бути передані третім особам і використані для прийняття рішень щодо нас, які можуть мати суттєві наслідки – від видачі кредитів, прийняття нас на роботу до підштовхування формування наших політичних поглядів. Наприклад, у 2016 році Cambridge Analytica використовувала профілі користувачів (демографічні дані, професія, світогляд тощо) для мікротаргетингу та впливу на їхню думку під час президентських виборів у США чи референдуму про Brexit у Великобританії.

 Тиранія куки-банерів

Сьогодні практично кожен сайт вимагає вашу згоду на встановлення кук. Що не сайт, то або спливаюче вікно (поп-ап) на пів сторінки, або як мінімум повідомлення внизу сайту. Бурхливе зростання куки-банерів почалося в 2018 році і частково є наслідком Загального регламенту про захист даних, також відомого як GDPR.

Цей документ мав на меті захистити користувачів ЄС і спростити їхнє розуміння та контроль за тим, як їхню поведінку відстежують в інтернеті. Однак, більшість сайтів бездумно повісили на сайт нав’язливі куки-банери, які дратують, ускладнюють життя, і де ми швидко натискаємо так, аби він не перекривав решту сторінки.

Фактично, компанії використовують так звані dark pattern design (темні патерни чи шаблони дизайну), аби змусити вас прийняти неправильне рішення про конфіденційність своїх даних і надати їм більше інформації. Ось приклади темних шаблонів у куки-банерах:

• Поп-ап про надання згоди на використання куків, що займає пів екрану, заважає переглянути сайт та потрібну інформацію, а надання згоди є найпростішим способом позбутися нав’язливого вікна.
• Яскраві кнопки «погодитися і продовжити», які спонукають користувачів не читати, не замислюватися про використання куків і не розуміти, з чим вони погоджуються.
• Наперед поставлена галочка згоди, тобто зроблений замість вас вибір. Відповідно до рішення суду ЄС попередньо позначені поля згоди не вважаються належним способом отримання згоди на файли cookie.
• Куки-банер не пропонує жодних варіантів, крім кнопки надання згоди. Тобто відсутня можливість відмовитись від встановлення кук або ж довгий та складний пошук кнопки, яка відповідає за відмову від встановлення кук.

Подібну техніку важкодоступної кнопки використовував Facebook у 2016 році, коли передав дані користувачів WhatsApp до Facebook з рекламною метою. А меню Ad Preferences, про яке я писала раніше, й досі важко знайти звичайному користувачі, не кажучи про те, що воно незручно і заплутано побудовано.

• Формулювання куки-банера, що вводять в оману (наприклад, що відмова від встановлення маркетингових кук неможлива), збивають з пантелику чи написані незрозумілою складною юридичною мовою маленькими літерами тощо.

Переклад картинки TechCrunch

Описані темні шаблони куки-банерів можуть вважатися порушенням законодавства про захист персональних даних. Наприклад, наприкінці 2020 року Національна комісія з інформатики та свободи, французький регулятор у сфері захисту даних, оштрафувала Google на 100 мільйонів євро та Amazon на 35 мільйонів євро. В обох випадках причиною стало розміщення кук без згоди користувачів. Крім того, на думку регулятора, куки-банери не надавали користувачам необхідну інформацію про використання кук, а також можливості відмовитись від їх встановлення. Протягом трьох місяців компанії повинні змінити куки-банери, інакше ризикують отримати додатковий штраф у розмірі 100 тисяч євро за кожен день затримки.

А недавно, 31 травня 2021 року, група з конфіденційності NOYB розпочала цілу кампанію проти незаконних куки-банерів і подала 560 скарг до сайтів в ЄС:

• Група розробила програмне забезпечення, яке автоматично сканує сайти і може визначати, чи відповідає куки-банер вимогам GDPR.
• Якщо куки-банер використовує темні шаблони (не мають опції відмовитись від кук, наперед відмічена згода, дизайн підштовхує до прийняття кук, надають неточну класифікацію кук тощо), NOYB відправляє скаргу власнику відповідного сайту та інструкцію, як зробити куки-банер відповідно до стандартів GDPR.
• NOYB дає один місяць на виправлення куки-банера. Якщо цього не відбувається, група подає офіційну скаргу до органу із захисту даних в країні ЄС, у якій знаходиться сайт.

На цьому NOYB не планує зупинятися і хоче подати 10 тисяч скарг до кінця 2021 року. Таким чином група хоче змусити сайти спрощувати навмисно складні куки-банери, аби вони пропонували чітку згоду (прийняти чи відхилити куки, так чи ні).

Яким же має бути куки-банер?

Умови використання кук та необхідність отримання згоди на їх використання встановлено у декількох європейських документах – добре відомий всім GDPR, а також Директива № 2002/58/ЄС обробки персональних даних та захисту права на недоторканність особистого життя в сфері електронних засобів зв’язку (ePrivacy Директива).

GDPR. Цей документ встановлює найбільш суворі стандарти використання даних користувачів, поширюється на компанії, зареєстровані в ЄС, а також на інші компанії, які збирають і використовують дані громадян ЄС.

GDPR має на мені спростити розуміння пересічних користувачів про те, як і хто використовує їхні дані. Так, одним з основних правил є те, користувачі мають право бути поінформованими, коли хтось збирає їхні дані – тобто компанії повинні повідомити, чому вони збирають дані, як довго зберігають дані та з ким діляться даними. Крім того, користувачі мають право заперечити проти обробки своїх персональних даних за певних обставин.

Особливі правила встановлені і для отримання згоди на обробку персональних даних, у тому числі даних, зібраних за допомогою кук. Згода має бути вільно надана, конкретна, поінформована та однозначна, сформульована зрозумілою мовою, а відкликати її має бути так само легко, як і надавати. Важливо, що згода має бути виражена у чіткій позитивній дії. Для встановлення кук недостатньо, аби користувач просто побачив куки-банера, він має натиснути відповідну кнопку «Я приймаю» чи «Я згоден».

Отож, для дотримання GDPR сайти повинні використовувати інформативні куки-банери:

• Кнопка «прийняття кук». Текст у банері та кнопці повинен чітко пояснювати, що натискаючи кнопку, користувач погоджується на встановлення кук.
• Мета використання кук. Банер повинен пояснювати, чому сайт використовує куки (для реклами, статистики тощо), аби ми могли зробити усвідомлений вибір, чи приймати куки.
• Треті особи. Якщо сайт передає дані, зібрані за допомогою кук, третім особам, наприклад, рекламним партнерам, банер повинен пояснити це нам.
• Посилання на Політику використання кук (Сookies policy). У цьому документі сайт може надати усю додаткову інформацію про використання кук.
• Кнопка «відхилення кук» або дати можливість самостійно налаштувати куки. Налаштування не вимагається згідно з GDPR, однак так користувач може не просто відхилити усе, а відхилити маркетингові куки і дозволити аналітичні куки.
• Дозволити користувачеві доступ до ваших послуг (прочитати матеріали сайту абощо), навіть якщо він відхилив усі куки, окрім суворо необхідних.

Ось приклад куки-банера, що відповідає вимогам GDPR:

Куки-банер Європейської ради захисту даних (European Data Protection Board, EDPB)

Цей куки-банер задовольняє усі перелічені вище вимоги: є чіткі кнопки, які дозволяють прийняти чи відхилити куки, надано інформація про мету використання кук та посилання на Cookies policy.

Він належно інформує користувача і дозволяє йому зробити усвідомлений вибір, приймати чи відхилити куки. І якби усі куки-банери були такими, дійсно дотримувались існуючих законів, значно менше користувачів погоджувались би на відстеження та натискали кнопку «прийняти».

ePrivacy Директива. Ця Директива також відома як «закон про куки» доповнює GDPR. Якщо GDPR встановлює загальні вимоги до обробки персональних даних та отримання згоди, то Директива зосереджується електронних комунікаціях, куках та інших технологіях стеження.

Саме вона вимагає запитувати користувачів згоду на обробку всіх несуттєвих кук, перш ніж сайт почне їх використовувати. Встановлювати і використовувати суворо необхідні куки (ті, які потрібні для функціонування сайту) можна і без згоди. Саме тому деякі куки-банери містять наперед проставлену галочку біля категорії «необхідні куки».

Куки-банер Cookiebot

Цей куки-банер відповідає вимогам GDPR, зазначеним вище. Незважаючи на відсутність кнопки «відхилити», кнопка чорного кольору по суті дозволяє відхилити усі куки, окрім необхідних.

Заборона куки-стін. Як ми зазначали раніше, далеко не всі сайти дотримуються вимог GDPR, навпаки, вони користуються темними шаблонами для отримання вашої згоди. Дослідження 2020 року показало, що лише 11,8% відсотків куки-банерів відповідають мінімальним вимогам європейського законодавства.

Тож у травні 2020 року ЄС опублікував оновлені рекомендації, що забороняють деякі темні шаблони і неправильні тлумачення GDPR. Перш за все, ЄС заборонив cookie wall (куки- стіну) – стіну, яка не дозволяє використовувати сайт поки користувач не дасть згоду на використання кук. Це не може вважатися добровільною згодою, адже користувач просто немає вибору.

Крім того, рекомендації пояснюють, що просте прокручування (скролінг) сторінки не може вважатися згодою, адже по скролінгу не зрозуміти хоче користувач встановити куки чи ні.

Прийняття ePrivacy Регламенту. У ЄС вже давно хочуть замінити ePrivacy Директиву на Регламент. По перше, на відміну від Директиви, яку країни ЄС мають включати у національне законодавство, Регламент є актом прямої дії і підлягає негайному застосуванню на території ЄС. По-друге, Директива потребує оновлення у зв’язку з розвитком нових технологій таких як голосовий зв’язок, месенджери, нові методи відстеження поведінки користувачів в Інтернеті.

10 лютого 2021 року, після чотирьох років переговорів, Рада ЄС представила проєкт Регламенту, який охоплює усі електронні комунікації (електронні листи, повідомлення Facebook, SnapChat тощо), захищає громадян ЄС від втручання третіх сторін у їх приватне спілкування і, звісно, регулює куки. Як і ePrivacy Директива, Регламент буде доповнювати GDPR.

Ось основні ідеї щодо регулювання кук:

• Згода залишається. Власники сайтів повинні отримати чітку згоду користувачів перед використанням кук, трекерів або будь-яких інших технологій відстеження. Адже за допомогою цих технологій збираються наші персональні дані, такі як IP-адреса, історія пошуку, перегляду, інформація про браузер тощо.
• Винятки – згода не потрібна, якщо куки необхідні для надання відповідних послуг електронного зв’язку (наприклад, запам’ятовує товари, що ви додали до кошику). Для використання маркетингових куків завжди потрібна згода.
• Куки-стіни можливі, тільки користувачу пропонується альтернативний шлях отримати послуги без надання згоди на куки (платна підписка).
• Білі списки. Користувачі повинні мати можливість додавати в білий список провайдерів кук у налаштуваннях свого браузера та відкликати свою згоду в будь-який час. Тобто браузери мають забезпечити простий спосіб прийняти чи відхилити куки у своїх налаштуваннях. Це має вирішити так звану «втому від згоди на куки», коли користувачі перевантажені постійною необхідністю читати куки-банери на сайтах.

Зараз тривають тристоронні переговори між Радою ЄС, Європейським парламентом та Європейською комісією. І залишається незрозумілим, коли буде нарешті прийнято Регламент, вже зараз є зауваження щодо повернення практики куки стін, яка була заборонена. Поки зрозуміло лише одне – встановлення кук, як і раніше, потребуватиме згоди користувачів.

А як в Україні?

Чинний Закон України «Про захист персональних даних» не регулює куки чи інші технології стеження. Він передбачає лише загальне право користувача знати, для чого збираються їхні персональні дані, хто саме їх збирає, де зберігає, а також інформацію про третіх осіб, яким передаються їхні персональні дані.

Однією з підстав збирання персональних даних є згода. Стаття 2 зазначає, що згода користувача має бути добровільна та поінформована, а в інтернеті вона може бути надана шляхом проставлення відмітки на відповідному повідомленні, при чому запитувати згоду потрібно до початку обробки його персональних даних.

Отож, незважаючи на те, що куки та необхідність отримання згоди прямо не регулюється, можна зробити висновок, що для використання кук потрібно повідомити про це користувача.

Значно детальніше куки регулює новий законопроєкт № 5628 про захист персональних даних, зареєстрований 7 червня 2021 року. Стаття 17 цього законопроєкту передбачає:

• Підстави відстеження. Відстежувати поведінку користувачів за допомогою кук чи подібних технологій можна лише за явною згодою користувача, коли це необхідно для функціонування сайту чи мобільного додатку (наприклад, суворо необхідні куки), або ж якщо це необхідно для надання послуги користувачу.
• Повідомлення. Перш ніж почати таке відстеження власники сайтів чи мобільних додатків мають описати технологію користувачу, а також повідомити його, які дані збираються, з якою метою, хто матиме доступ до ваших даних, які ваші права тощо.
• Заборона куки стін. Забороняється відмовляти користувачу у доступі до сайту чи мобільного додатку на підставі його відмови у наданні згоди на відстеження.

В цілому можна сказати, що законопроєкт прагне привести у відповідність українське законодавство у відповідність до положень GDPR. Нетиповим положенням є лише необхідність описати користувачу технологію, яка використовується.

Чи закінчиться епоха кук?

Кажуть, що епоха поведінкової реклами та сторонніх кук добігає кінця, адже деякі браузери такі як Safari та Firefox вже блокують їх. А цього року до них приєднався і Chrome.

3 березня 2021 року Google оголосив, що до кінця 2023 року припинить використовувати сторонні cookie-файли, які відстежують дії відвідувачів сайтів для створення рекламних профілів. Однак, на своїх платформах (у пошуковику, Gmail чи YouTube), Google продовжить відстежувати користувачів і використовувати інформацію для таргетування. Іншими словами, відмова Google від сторонніх cookie створить проблеми для інших рекламодавців, але не для Google.

Більше того, Google пропонує браузерам використовувати альтернативні методи збору інформації для реклами – новий стандарт FLoC (Federated Learning of Cohorts), який може лише ускладнити приватність користувачів.

Як працює FLoC – історія відвіданих сайтів зберігається в таємниці і не передається, але сам браузер переглядає історію, аналізує її за допомогою алгоритмів штучного інтелекту і переводить користувача в одну з когорт (група людей за інтересами і якостям). Таким чином, технологія дозволяє показувати рекламу користувачам на основі його інтересів, але не передає рекламодавцям інформацію про особу користувача.

Поки жоден розробник браузерів не підтримав FLoC, а деякі розкритикували – на думку компаній Brave і Vivaldi, стандарт тільки зміцнить домінування Google на ринку браузерів, збиратиме значно більше даних про користувачів, ніж сторонні куки, в тому числі чутливі дані, а ще допомагатиме рекламодавцям ідентифікувати користувачів.

Незважаючи на те, що браузери потроху вбивають сторонні куки, альтернативних способів стеження поки немає. Більше того, в живих залишаються основні куки. Сайти зможуть і далі аналізувати поведінку своїх користувачів, зобов’язані запитувати у вас згоди на це за допомогою куки-банерів, а потім передавати зібрану інформацію рекламодавцям для таргетування. Сторонні куки вмирають, але стеження за вами продовжується. Отож, вам варто вживати певних заходів захисту своєї приватності.

Як можна відмовитись від кук і поведінкового таргетингу?

Ви можете зробити це, вибравши відповідні налаштування у вашому браузері. Посилання нижче можуть бути корисними, аби ви могли вибрати найкращу опцію для вашого браузера:

Для користувачів Internet Explorer

Для користувачів Firefox

Для користувачів Opera

Для користувачів Chrome

Для користувачів Safari web та iOS.

Додаткові рекомендації зі збереження приватності:

1. Змініть свої налаштування в обліковому записі Facebook. За цим посиланням (Ad Preferences) ви можете переглянути та відредагувати перелік інформації, яку рекламодавці можуть використовувати для таргетингу, а також перелік рекламодавців, які можуть показувати вам рекламу. А ось тут (Apps and Websites) можна переглянути та змінити перелік платформ, у яких ви авторизувались за допомогою вашого облікового запису Facebook. Ви можете переглянути налаштування й інших мобільних додатків від компанії Facebook, зокрема Instagram.

2. Змініть свої налаштування в обліковому записі Google. За цим посиланням ви можете вимкнути персоналізацію реклами, а ось тут переглянути перелік додатків та сайтів, для входу в які використовується ваш обліковий запис Google.

3. Ви можете відхиляти встановлення куків, коли з’являються нові куки-банери. Для цього ви можете встановити відповідне розширення у браузері – наприклад, Consent Manager (Chrome, Firefox). Система відхиляє всі куки, де це можливо, і повідомляє вас, якщо сайт не приймає це до уваги. Подібним чином працює і NinjaCookie, є розширення для Chrome, Firefox, Safari, Edge і Opera. Обидві системи запевняють, що не збирають дані про вашу поведінку.

Варто зазначити, що зазначені розширення підходять лише для веб-браузерів. На даний момент немає простого способу автоматично блокувати відстеження в мобільних додатках.

4. Якщо ви просто хочете перестати бачити рекламу, завантажте AdBlock для свого браузера, який позбавить від більшості рекламних оголошень.

5. Використовуйте браузери, призначені для захисту приватності – наприклад, Brave, Ghostery, Tor та DuckDuckGo. Адже незважаючи на те, що ера сторонніх кук закінчується, є інші способи відстеження вашої поведінки (наприклад, цифрові відбитки браузера).

Хочеться вірити, що рано чи пізно, поведінкова реклама стане непотрібною, і стеження за нами зменшиться – стануть непотрібні як куки, так і альтернативні способи збори даних, як-от стандарт FLoC від Google. Адже набагато безпечнішою є звичайна контекстуальна реклама, коли враховується наповнення сайту. Наприклад, коли рекламодавець показує рекламу іграшок на сайті бля батьків, рекламу кросівок на спортивному форумі чи рекламу посуду на сайті рецептів. Такий спосіб реклами не залежить від неймовірної кількості даних, не потребує згод чи суворого дотримання GDPR чи інших правових актів. Та поки це лише мрії.