Фрагментований режим на Cookie Walls - недолік у захисті даних у
Захист даних є гарячою темою у всьому світі, і особливо в Європейському Союзі - піонером у захисті персональних даних з моменту набуття чинності Загальним регламентом захисту даних 2016/679 (GDPR). Однак спроба гармонізувати обробку персональних даних у межах Європейського Союзу суперечить різним тлумаченням, прийнятим державами-членами та національними наглядовими органами. Поки європейські органи влади намагаються зробити ще один крок з проектом регламенту про електронну конфіденційність, Високий адміністративний суд Франції санкціонував CNIL за те, що він зробив один крок занадто далеко. Державна рада скасувала статтю 2 обговорення CNIL (від 4 липня 2019 р.), Яка передбачала загальну і абсолютну заборону на використання "стінок печива".
У цій статті ми обговорюємо: (I) поняття "стінки печива"; (II) положення Керівних принципів CNIL від 4 липня 2019 року та вплив рішення Державної ради від 19 червня 2020 року; (III) європейська позиція на сьогодні: керівні принципи, прийняті у Великобританії, Німеччині, Нідерландах та Іспанії; (IV) вплив чіткої згоди та неясних практик на прийняття файлів cookie користувачами; та (V) наш висновок.
I. Що таке стінка для печива ?
Стінка файлів cookie - це метод, який дозволяє веб-сайтам змусити користувачів прийняти всі файли cookie та трекери або втратити доступ до веб-сайту. Цей бар’єр створює сценарій «візьми або залиш» і не дозволяє користувачам розрізняти різні типи файлів cookie. Європейська рада з питань захисту даних (далі - ЄНОЗД) опублікувала в травні 2020 року керівні принципи [1], в яких зазначається, що стіни файлів cookie ніколи не можуть бути дійсним засобом отримання веб-сайтами згоди користувачів Інтернету на використання файлів cookie та, отже, обробки їх особистих даних.
Але, як це виглядає стіна печива на практиці ?
Швидше за все, ми всі стикалися зі стінкою печива у своїй щоденній діяльності. На практиці на веб-сайті з’являються банери або поля cookie, і єдиною можливістю для користувачів, які бажають отримати доступ до веб-сайту, є натискання кнопки «прийняти» або «я приймаю» - без можливості вибору, які файли cookie приймати або відхилити. Таким чином, стінки печива не дозволяють детально збирати згоду.
II. Настанови CNIL від 4 липня 2019 року та рішення Державної ради від 19 червня 2020 року.
4 липня 2019 року Національна комісія з питань інформаційних технологій і свобод (CNIL) прийняла обговорення № 2019-093, прийнявши вказівки щодо застосування статті 82 закону від 6 січня 1978 року зі змінами та доповненнями. термінал користувача (зокрема, файли cookie та інші індикатори) [2] .
Стаття 2 цього обговорення визначає характеристики дійсної згоди та передбачає, зокрема, під "вільним характером згоди" [3], що заінтересована особа повинна "мати можливість обґрунтовано здійснювати свій вибір і не зазнавати серйозних незручностей у разі відсутності або відкликання згоди »[4] .
Після встановлення цієї умови дійсності, CNIL нагадує заяву ЄНОЗД, яка вважає " що практика блокування доступу до веб-сайту або мобільного додатка для тих, хто не погоджується на відстеження ("стінка файлів cookie"), не відповідає GDPR "[5] .
Дійсно, на думку CNIL, користувач у такому випадку не може відмовитись від файлів cookie, не зазнаючи негативних наслідків. Отже, висловлена згода не є безкоштовною і, отже, недійсною. Рекомендації, що містяться в цьому обговоренні, забороняють використовувати стінки печива.
Асоціація комунікаційних консалтингових агентств (серед інших) захопила Державну раду, щоб подати апеляцію щодо перевищення повноважень проти цього обговорення та отримати його скасування на тій підставі, що це порушує надмірну свободу підприємництва та інформації.
Державна рада задовольнила частину клопотань заявників та скасувала статтю 2 оскаржуваного обговорення. Дійсно, на думку Високого суду, той факт, що CNIL вивести з неможливості будь-якого користувача, що відмовляє практиці стінок печива, існування великих незручностей, які можуть призвести до скасування дійсності згоди, наданої користувачем, тягне за собою незаконність нападу на обговорення. CNIL, вводячи загальну та абсолютну заборону на стіни печива, перевищив повноваження, якими він юридично наділений у контексті використання гнучких правових інструментів.
Отже, Державна рада чітко не прийняла рішення щодо дозволу стін для печива чи ні, а, скоріше, винесла рішення про обсяг юридичних повноважень, якими наділяється CNIL у контексті видачі вказівок. Роблячи це, це рішення створило нестабільну та невизначену ситуацію щодо дійсності стін печива у Франції.
III. Європейська позиція на сьогоднішній день: керівні принципи, прийняті у Великобританії, Німеччині, Нідерландах та Іспанії.
Вивчаючи керівні принципи, опубліковані різними наглядовими органами щодо проблеми стінок файлів cookie та згоди, Міжнародна асоціація професіоналів приватного життя висвітлила деякі подібності та відмінності між цими органами влади [6] .
Наприклад, щодо проблеми стінок файлів cookie, тоді як позиція CNIL полягала в тому, що стінки файлів cookie не дозволені, оскільки користувач зазнає негативних наслідків, якщо він відмовиться прийняти відстеження за допомогою файлів cookie, Управління інформаційного уповноваженого (ICO), наглядовий орган у Великобританія, заявила, що “ згода, яку примушує стіна cookie, ймовірно, недійсна ".
ICO також зазначила, що GDPR має бути збалансована з іншими правами, такими як право на свободу слова та свобода ведення бізнесу. Таким чином, ICO, на даний момент, має зважений підхід.
Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), німецький орган із захисту даних, прийняв позицію, подібну до позиції CNIL, в тому сенсі, що згода, отримана через стінки файлів cookie, є недійсною або дозволеною.
Голландський орган, Autoriteit Persoonsgegevens, також заявив, що стінки печива не відповідають положенням GDPR [7] .
Однак цікаво зауважити, що Іспанська агенція захисту даних (Agencia Española de Protección de Datos) (AEPD) заявила, що стінки файлів cookie дозволені " доки користувач проінформований, і якщо відмова не означає, що користувач не зможе скористатися законним правом "[8] .
Крім того, щодо питання надання детальної згоди, вимоги CNIL включають використання другого компонента, що дозволяє користувачеві давати конкретну та окрему згоду на кожну категорію файлів cookie, згрупованих відповідно до їх цілей. Іспанська влада також вимагає детальної згоди на кожну категорію файлів cookie, додаючи посилання на інструмент, що дозволяє це, з першого кроку.
Так само німецька влада також вимагає детальної згоди, але не вказує, чи слід це надавати на першому чи другому рівні. ICO не вказав необхідність отримання детальної згоди для кожної мети відстеження, але це вважається доброю практикою.
Аналогічним чином, органи влади досить фрагментовані у своєму підході давати згоду на аналітичні файли cookie; CNIL та BfDI, що вказують, що згода не завжди потрібна для аналітичних файлів cookie, якщо вони відповідають певним умовам, а AEPD та ICO заявляють, що навіть аналітичні файли cookie завжди повинні бути затверджені перед використанням.
Однак останній орган кваліфікував цю позицію, заявивши, що " малоймовірно, що пріоритет для офіційних дій буде надаватися використанню файлів cookie з низьким рівнем вторгнення та низьким ризиком заподіяння шкоди людям "[9]. причому аналітичні файли cookie сторони наводяться як приклад " печиво з низьким ризиком ".
IV. Вплив детальної згоди та неясних практик на прийняття користувачами файлів cookie.
Незалежно від підходів різних національних наглядових органів, дослідження показують, що використання стінок печива та інші подібні "темні практики" широко поширені. У дослідницькій роботі під назвою "Темні закономірності після GDPR: скасування спливаючих вікон згоди та демонстрація їх впливу" [10] дослідження, проведене дослідниками з Орхуського університету в Данії, MIT у Сполучених Штатах та UCL у Великобританії, поза п’ять найпопулярніших „платформ управління згодами”, що використовуються на 10 000 основних веб-сайтах Великобританії, показали, що мається на увазі згода всюдисуща. Лише 11,8% цих веб-сайтів відповідають мінімальним вимогам, встановленим законодавством Європейського Союзу.
Крім того, будь-який аргумент про те, що впровадження механізму детальної згоди, тобто надання користувачам можливість вибрати тип файлів cookie, на який вони погоджуються чи ні, матиме значний вплив на використання веб-сайту, також є помилковим.
Вищезазначене дослідження показало, що надання більш детального контролю над веб-сайтом лише зменшує рівень згоди на 8-20 відсоткових пунктів. Дослідження також виявило, що стиль повідомлення, наприклад, використання банера або перешкоди, не впливає на вибір згоди, і що видалення кнопки відмови з першого екрана лише збільшує згоду на 22-23 відсоткові пункти.
Крім того, німецьке дослідження, проведене дослідниками з Рурського університету в Бохумі під назвою "(Не) інформована згода: вивчення повідомлень про згоду GDPR на місцях" [11], показало, що 57% досліджених сайтів використовують інші методи, ніж стінки печива щоб змусити користувачів прийняти менш вигідне відстеження, такі методи, включаючи використання яскравішого кольору для кнопки "прийняти", або показ набагато менш видимих посилань на "більше опцій/інформації".
VI. Висновок.
Очікуючи офіційної рекомендації Європейської Комісії, яка має бути опублікована приблизно у вересні 2020 року, очевидно, що не лише правила, що стосуються заборони стінок печива, мають бути узгоджені на європейському рівні, але й те, що застосування та регулювання цих заходів буде величезним завданням для європейських наглядових органів у найближчі роки, якщо ми хочемо гарантувати захист персональних даних, що обробляються цими інспекторами. Тому ми з нетерпінням чекаємо остаточної версії обговорюваного Регламенту електронної конфіденційності.