Поговорим о куки – и пусть пользователь подождет

Поговорим о куки – и пусть пользователь подождетВвиду недавней инициативы Госслужбы по защите персональных данных о необходимости получения у пользователей разрешения на использование third party cookies предлагаю посмотреть, как куки в общем регулируются на западе и какого развития регулирования ожидать в Украине.

Зачем нужно регулировать куки?

Давайте представим себе, что вы зашли в магазин. Пока вы совершаете покупки, за вами ходит человек и записывает, что вы покупаете, сколько времени проводите возле каждого продукта, сколько тратите и т.д. Далее вы идете в кафе, на работу, спортзал, к друзьям, домой. Все это время за вами ходит человек и записывает все ваши действия. Паспорт и ФИО он у вас не спрашивает. Вас идентифицируют просто как мужчину средних лет, брюнета, который проживает там-то. Что с этими данными делают дальше — вам не известно. В лучшем случае используют для статистики, в худшем – передают представителям «канадских компаний» или криминальным элементам.

Это очень похоже на слежку, на которую ввиду права на тайну личной жизни необходимо разрешение суда в рамках расследования криминального дела. Чем не оффлайн-вариант сторонних tracking cookies? Вопрос идентификации пользователя – конкретное лицо трогать не будем. При желании, идентифицировать можно. Но есть нюанс.

Дело в том, что регуляторное право – это компромисс между общественными и частными интересами. Например, существует право на занятие предпринимательской деятельностью. Это право ограничивают лицензированием, когда необходима защита общественных интересов, например, при перевозке радиоактивных грузов. В случае с куки и информационными технологиями происходит нечто похожее.

Существует общественный интерес: в широком смысле – развитие информационного общества, в узком – повышение эффективности взаимодействия между веб-сайтами и пользователями. Частный интерес в нашем случае – право на приватность. Под приватностью подразумевается право на тайну личной и семейной жизни. В Украине, например, данное право закреплено в ст. 32 Конституции:

«Ніхто не може зазнавати втручання в його особисте і сімейне життя …»

«Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди …»

Вопрос – где компромисс? В качестве примера у нас есть два подхода — Европейский и США.

Как куки регулируются в Европейском Союзе

В ЕС с 2002 года действует Директива об обработке персональных данных и защите приватности в секторе электронных коммуникаций. В этой Директиве в контексте защиты приватности упоминаются куки, признается необходимость и польза от использования куки для эффективной работы веб-сайтов и рекламы в интернете. В тоже время устанавливается общий принцип: доступ и обработка куки разрешены при условии, что пользователь ясно и полно уведомлен о целях такой обработки, дал свое согласие, и ему предложена возможность отказаться от использования куки. Согласие не требуется, если:

а) куки используются лишь для коммуникации через электронные коммуникационные сети, или

б) куки необходимы для того, чтобы провайдер информационных услуг мог предоставить запрашиваемые пользователем услуги.

Если перевод вам кажется непонятным, то, к сожалению, в оригинале текст не более ясный. Поэтому в 2012 году появилось пояснение, какие же куки не требуют согласия пользователя. Если говорить просто, то согласия не требуют куки, которые необходимы для функционирования самого веб-сайта. Причем first party analytics cookies не считаются таковыми.

Такая повышенная чувствительность в странах Европы к вопросам приватности, возможно, связана с тем, что Европа совсем недавно по историческим меркам избавилась от ряда тоталитарных режимов, в которых право на приватность безжалостным способом попиралось.

Однако Директива лишь устанавливает общий подход и обязывает каждое государство ЕС принять у себя законодательство, которое установит четкие требования по использованию куки и санкции за его неисполнение. Таким образом, появится 28 (кол-во стран ЕС) национальных законодательств по регулированию куки, которые, хотя и руководствуются общим подходом, но в деталях могут отличаться.

Однако на примере Британии все оказалось не так просто. Например, большинство веб-сайтов выдают куки сразу, как только пользователь на них заходит, таким образом, уже формально нарушается принцип предварительного согласия. Часто собственники сайтов не знают, какие куки выдают их сайты. Не всегда с полной уверенностью можно сказать, без каких именно куки не может работать веб-сайт. Поп-апы с вопросом об использовании куки негативно влияют на пользовательский опыт. В UK даже отсрочивали вступление законодательства на один год с 2011 по 2012.

На все эти вопросы ответственный госорган UK пытается ответить с помощью руководств для пользователей сайтов, но это все равно не вносит полной ясности. Параллельно в UK исследуют возможность решения этой проблемы на стороне браузеров.

Как куки регулируются в США

В США тема куки регулируется лишь в государственной сфере. Так в 2000 году был введен запрет на использование persistent cookie и технологий веб-аналитики для сайтов государственных органов США. Это произошло после того, как выяснилось, что государственный орган, отвечающий за сферу медикаментов, выдавал tracking cookie пользователям, просматривающим видео с социальной рекламой против наркотиков. Запрет был снят и заменен правилами использования куки на государственных веб-сайтах в 2010 году.

Подход правительства в США к приватности в частных онлайн-отношениях можно описать как «политика невмешательства», т.е. правительство не регулирует вопрос использования куки. Тем не менее, большинство сайтов в США имеют раздел про куки в своей политике приватности, как правило, в футере.

Нужно ли украинским веб-сайтам соответствовать требованиям по куки ЕС?

Точно таким же вопросом задались и собственники американских веб-сайтов. На данный момент наиболее часто встречающиеся мнение среди экспертов следующее: формально, если есть пользователи из стран ЕС, то нужно. Однако, если в этих странах у собственника сайта ничего нет (компании, представительства, другого бизнеса), то местные органы на практике не смогут применить к ним санкции. Будут ли они пытаться применить санкции – посмотрим. Лично я думаю, что у таких органов для этого просто ресурсов не хватит.

А если я захочу соответствовать требованиям ЕС?

Если такая необходимость есть, например, вы развиваете ваш проект в одной из стран ЕС, то я бы советовал изучить соответствующее регулирование именно данной страны ЕС. Вот здесь перечислены действия каждой страны ЕС по имплементации Директивы.

Далее необходимо предпринять три шага:

  1. Определить, какие куки выдает ваш сайт;
  2. Определить, какие из этих куки требуют согласие пользователя;
  3. Принять решение каким образом информировать пользователя о куки, и каким образом дать ему возможность отказаться от куки.

Можно заходить на свой же веб-сайт, а потом просматривать историю своего браузера, чтобы узнать, какие куки выдает сайт. Можно воспользоваться каким-либо онлайн-сервисом. Первый попавшийся мне в поиске –silktide.com работает по модели фримиум, тест первых нескольких сайтов бесплатно. Например, вот как выглядит часть отчета по google.com.ua.

cook

Касательно того, на какие куки необходимо спрашивать разрешения – см. общий подход описанный выше + законодательство конкретной страны ЕС.

Механизм уведомления и политика о куки – вот пример руководства госоргана UK о куки. См. страницы 18–23 со скриншотами и пояснениями примеров месседжей. Или еще проще – зайти на сайт самого ведомства. Сообщение о куки — внизу страницы. Примеров политик о куки в сети также предостаточно, чтобы начать составлять свою.

Чего делать Украине

Украина декларирует свой европейский вектор развития и, соответственно, сближает свое законодательство с европейским. Но на месте представителей Госслужбы я бы занял позицию выжидательную. Причина тому – выше описанный крайне негативный опыт имплементации законов, регулирующих использование куки в странах ЕС, который часто характеризуют словом «бардак». Возможным временным решением было бы включение раздела о куки в правила использования сайтом или политику конфиденциальности, как это делают собственники сайтов в США. Поп-ап-месседж вряд ли можно назвать выходом из ситуации с точки зрения пользовательского опыта. Касательно сторонних куки можно также указать, как отключить их в браузерах, просто дав ссылки на support конкретных браузеров.

Кстати, представителям Госслужбы на заметку – в Safari third party coockies заблокированы по дефолту, пока пользователь их не разрешит. В ближайших релизах Firefox также планируется реализовать блокировку сторонних куки по дефолту. Chrome и Explorer на очереди.Тогда планируемые рекомендации потеряют большую часть своего смысла.

А тем временем сменится поколение пользователей, которые не знали, что такое куки, и наивно полагали, что конфиденциальность в интернете презюмируется, как когда-то сменилось поколение котов, гревшихся на мониторах.