1、什么是第三方cookie?
1.1 第一方Cookie(first-party cookie)
用户登录的身份凭证cookie,由用户当前浏览的网站进行管理,用于记录用户的登录状态和账号情况,如,每次重新打开窗口后不必再次登录、购物车中加入的物品不会失效。
1.2 第三方cookie(third-party cookie)
第三方Cookie主要用于跨网站追踪用户记录,通过归纳每个不同网站的浏览记录到第三方数据收集平台。它广泛应用于广告和营销行业(如:Google Analytics),通过追踪用户行为并分析收集的数据,实现精准投放个性化广告的目的。
由于第三方cookie涉及在诸多广告主(如:趣多多)、广告分析平台(如:Google Analytics、百度营销这样的平台)、各个网站(如:用户在访问Taobao、JD时根据第三方Cookie向用户展示个性化的趣多多广告)之间传输,会对用户的个人隐私造成威胁。
2、实践参考
2.1 国外网站的普遍做法
1)Cookie Banner
网站通过 Cookie Banner(“横条”)来获取用户同意。在Cookie Banner 中明确告知用户使用Cookies 的各类目的以及同意的后果,直接赋予了用户管理 Cookie 的权利。
原则上,如果用户拒绝使用Cookie,网站不得以此为由拒绝用户使用网站。拒绝使用Cookie应当仅导致部分功能不能实现。
- Cookie Banner不得妨碍用户访问网站的用户服务协议、版权声明和隐私声明,并应当附上Cookie Statement、Privacy Statement的链接。
- Cookie横条不仅应当向用户提供同意追踪的选项,也应当提供拒绝追踪的选项。同意的按钮设计不应当比拒绝的按钮在位置和技术实现方式上更显眼或方便。此外,不得默认同意,例如预先勾选相应的复选框。
- 必须向用户提供“同意”或者“拒绝同意”Cookie的选择。譬如,根据德国数据监管机构发布的指南,必须对每一个Cookie单独提供“同意”或者“拒绝”的选择。然而,在实践中常见的方式为仅对部分Cookie提供单独同意或拒绝的选项,例如分析类Cookie,市场营销类Cookie。
- 当用户点击“禁用所有(Disable All)”时,可保持非必要的Cookie处于禁用状态。用户是否点击“允许所有(Allow All)”不影响其正常浏览网页。
- 如果用户未作任何点击动作而继续浏览网站并不视为授予了同意。
2)Cookie 控制面板
通过Cookie Setting 对不同类型的Cookie进行分别同意/拒绝。
3)Cookie声明
除了设置 Cookie 横条以及 Cookie 控制面板外,同样需要向网站用户告知通过 Cookie 收集信息的情况。因此,应当在 Cookie 横条和/或控制面板上附上Cookie Statement或包含对Cookie描述的Privacy policy 或类似文件的链接。
2.1 中国境内企业
在《个保法》中个人信息的定义更为广义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
第三方Cookie可通过结合其他信息直接或间接定位到个人,因此可能被认为是个人信息,那么就需要遵循《个保法》中对于个人信息处理的要求。如:明确同意/拒绝、撤回同意等。
中国企业的普遍做法是在隐私政策中声明了第三方Cookie政策,在欧盟这种做法属于捆绑cookie声明存储合规风险。
3、合规政策要求
第三方Cookie存取过程对用户个人隐私产生侵扰,因为它存储个人数据并被用于追踪用户行为,甚至被第三方读取。
3.1 欧盟的要求
3.1.1 《电子隐私指令》:明确告知和同意后
被形象地称之为“Cookie指令”,该指南将获得用户对于 第三方Cookie 使用的同意条件归纳为具体的信息、在先同意、主动和自由作出同意的选择后,才可采集和使用,并且用户可随时撤回对上述授权的同意。
3.1.2 GDPR
2018年实施的GDPR将个人数据定义为可以直接或间接识别自然人的任何信息。如果Cookie中的数据可以单独或与其他信息结合识别特定自然人,则需要同时受到GDPR的规制。GDPR 列出了六项处理个人数据的法律依据,包括用户同意、合法利益等:
1、数据主体同意其个人数据的处理目的;
2、处理是为履行与数据主体签订的合同所必需的,或者是在签订合同前根据数据主体的请求所采取的措施;
3、处理是为履行控制者的法律义务所必需的;
4、处理是为了保护数据主体或他人的切身利益所必需的;
5、处理是为了履行公共利益任务或行使控制者公务职权所必需的;
6、处理是为了控制者或第三方追求合法利益所必需的,但需要保护数据主体的利益、基本权利和自由,特别是在涉及儿童数据主体时。(注:政府机构履行职责时的处理除外)
3.2 CCPA
《加州消费者隐私法案》将 Cookie 作为一种在线标识符(“Unique Identifier”或 “ Unique Personal Identifier ”)明确纳 入个人信息范畴内,因此对于第三方cookie的处理要求同个人信息的处理要求。
CCPA 要求企业在收集时或之前向消费者告知收集和处理个人信息类别,并赋予加州居民相关权利,包括知情权(Right to Know)、删除权(Right to Delete)、更正权(Right to Correct)、退出权(Right to Opt-out)等。
4、处罚案例
比较典型的案例,世界互联网巨头 Google、Mate等被GDPR抓“典型”,罚款数额巨大!
5、浏览器对第三方Cookie的处理
随着隐私安全的重视度不断提高,浏览器对第三方cookie的容忍度也逐渐降低。
Safari 、FireFox和Edge 都默认禁止第三方Cookie跨站追踪
5.1 Google 隐私沙盒方案
那么占据浏览器市场半壁(不止)江山的Google浏览器呢?第三方cookie带来的广告盈收给Google带来了不菲的收入,默认禁止的方式过于粗暴,因而退出了“Privacy Sandbox计划(隐私沙盒)”来温和地完成对第三方Cookie的逐步取代。
5.1.1 隐私沙盒工作原理
其实除了通过第三方Cookie,其他信息,比如设备指纹也是同样可实现追踪用户行为的。Google作为行业龙头,与其把广告商逼上“绝境”采取更差劲、更低劣的手段,不如发挥大厂风范建立行业标准,大家共同发财,在隐私保护和广告投放之间做一个平衡。
隐私沙盒要做的,是让浏览器接管一部分此前需要服务器来做的工作,把可能涉及用户隐私的内容迁移到浏览器本地进行存储和处理,从而达到网站只能通过隐私沙盒中包含的 API 获取必需的信息,但无法逆向定位到某个确定的用户身上的效果。
6、其他
6.1 Cookie Wall 是什么
即 Cookie Wall,指数据控制者在网站中放置一个脚本,通过该脚本可以阻止用户访问网站的内容,如果用户不单击“接受 Cookie”的按钮,则无法访问网站的内容
比如,用户浏览网页之前,要求用户先接受网站的cookie设置。如果用户不点击通知中的“接受”按钮,则无法访问网站的任何内容。这种cookie通知通常不提供个性化设置选项,而是要求用户接受所有cookie条款(包括同意网站为追踪、分析、营销等目的使用非必要的cookie)。
这是不符合GDPR中:用户自愿、自由同意的要求,也就是说数据处理者这样的处理方法是不合法的。
6.2 Do not track机制
Do Not Track 机制通俗来讲就是:浏览器在发送请求时,在 HTTP 协议的头字段声明“不要追踪我”,随之把这个信息发给被请求的网站,一些大的网站会遵循这个“约定”,但这依赖于应用网站的自觉性,可靠性不高。
6.3 Apple ATT 隐私框架
ATT(App Tracking Transparency)是苹果官方从 iOS 14.5 开始重点强调的 申请用户广告追踪权限相关的famework。
在推出ATT隐私框架前,苹果是默认允许应用采集IDFA(广告标识符,用于在App间实现对用户身份的追踪),但在这之后,需要弹窗让用户主动授权后才可采集IDFA,这对广告供应商产生了一定的影响。
Reference:
你的“饼干”安全吗?——Cookie 与个人信息保护 - Lexology
Microsoft Word - Cookie合规指引_20210317-final(格式更新.docx (glo.com.cn)