Nova EU pravila za piškotke
Mandi
28. maj 2011 ob 19:35:04
Pred poldrugim letom sta Evropski parlement in Svet sprejela serijo amandmajev, s katerimi so pomembno spremenili ureditev hranjenja piškotkov v krovni Direktivi o zasebnosti in elektronskih komunikacijah. Določilo 3. odstavka petega člena, ki bi ga države članice morale v svojo zakonodajo vnesti do tega četrtka, tako predvideva, da rabijo spletne strani pred shranjevanjem piškotka na uporabnikov računalnik od uporabnika pridobiti informirano soglasje (angl. informed consent). To pomeni, da morajo biti uporabniku še pred uporabo strani znani vsi piškotki in namen njihove uporabe, izvzemši piškotke, ki so bistveni za uporabo storitve.
Nov sistem obvezne predhodne privolitve (opt-in) je diametralno nasproten prejšnji ureditvi, ki je uporabniku omogočala izključitev uporabe piškotkov. Spletne strani so v splošnih pogojih oz. izjavi o zasebnosti piškotke navedle kot pogoj za uporabo strani, ter uporabnika poprosile, naj stran zapusti, če jih ne želi uporabljati. Z novo ureditvijo to naj ne bi bilo več mogoče in večina spletnih strani bo morala izvesti bistvene popravke.
Pod "naj ne bilo" je treba razumeti, da sta določila spremenjene direktive do predvidenega roka v svojo nacionalno zakonodajo vnesli le Danska in Estonija, ostalih 25 držav članic Evropske Unije pa tega preprosto ni storilo (direktive so sicer lahko neposredno izvršljive, vendar v zelo omejenih pogojih). Najbližje so v Združenem Kraljestvu, kjer so se odločili za mehkejši prehod. Informacijski pooblaščenec je obvestil zasebni sektor, da imajo za iskanje smortne tehnološke rešitve na voljo eno leto, šele po tem bodo pričeli preganjati kršitelje. Ustanovili so tudi delovno skupino, ki bo v sodelovanju s pisci spletnih brskalnikov poskusila rešiti vprašanje z uvedbo splošne nastavitve za sprejemanje piškotkov. Tako bi se uporabnik odločil enkrat in mu ne bi bilo treba vsakokrat znova potrjevati namestitve.
Določilo 5(3) se ne nanaša na vse piškotke, ampak le na tiste, ki niso "nujno potrebno za zagotovitev storitve [..], ki jo naročnik ali uporabnik izrecno zahtevata.". Spletne trgovine tako ne bodo potrebovale dovoljenja za shranjevanje prijavnega piškotka (ker je nujen za vodenje košarice, plačila, ipd), bodo pa morale pridobiti dovoljenje za številne ostale storitve, ki so povezane na njeno spletno stran:
- raziskave branosti, npr. NRB, ki se izvaja z zahtevkom na strežnik si.hit.gemius.pl
- facebook connect, ki se uporablja za Fabookoov socialni vtičnik ("všeč mi je", "objave uporabnikov", ..)
- google analytics, ki se uporablja za beleženje natančnih statistik obiska
- oglaševalske piškotke
- druge storitve zunanjih partnerjev
Tu je tudi srž problema z novo ureditvijo. Kot pravi direktiva v svoji preambuli, si "tretje strani morebiti želijo shranjevati informacije o uporabnikovi opremi ali pridobiti dostop do že shranjenih podatkov iz najrazličnejših razlogov, ki zajemajo vse od legitimnih namenov [..] do tistih, ki obsegajo neupravičen vdor v zasebnost (na primer vohunska programska oprema ali virusi). Zato je izjemno pomembno, da so uporabniki jasno in izčrpno obveščeni pri vseh dejavnostih, ko bi lahko prišlo do takšnega shranjevanja ali dostopanja.". Posledice prekomernega nadziranja uporabnikov so pogosto in lepo ilustrirane v filmih, npr. Minority Reportu:
Te tretje strani, zlasti Facebook, svoj poslovni model stavijo na ciljano (targetirano) oglaševanje, ki temelji na zbiranju čimveč podatkov o uporabniku, da se mu potem lahko pokaže bolj relevantne in posledično dražje oglase. Za vsako spletno stran, ki smo jo obiskali, Facebook ve, če je bil seveda na tej strani njihov "socialni vključek". Podobno velja za Google, ki poleg rezultatov iskanja, e-pošte, blogganja in še česa ve tudi za vsako spletno stran, ki vsebuje Google Analytics. Microsoft si medtem prizadeva vstopiti v ta bogat trg, vendar za zdaj brez pretiranega uspeha.
Industrija je, razumljivo, zgrožena nad tako vseobsežnim omejevanjem zbiranja informacij o uporabnikih. V zameno so predlagali samoregulacijo v obliki Do-Not-Track headerja. Gre za poseben dodatek za brskalnike, ki ga mora uporabnik ročno vklopiti (opt-out), nakar se sproti z vsakih spletnim zahtevkom v zaglavju pošlje informacija, da naj se ta zahtevek ne uporablja za sledenje uporabniku. Spletišča (oglaševalci) lahko podatke še vedno zbirajo, le uporabiti jih ne smejo (smajli), predvsem pa nad njimi ne visi grožnja obvezne uporabnikove potrditve ali nadzora s strani vladnega regulatorja. Ta ureditev postaja popularna v Združenih državah, podporo zanjo pa so v zadnjih mesecih ekspresno izvedli skoraj vsi ponudniki brskalnikov (timing, smajli).
Ali bodo direktiva, nacionalni parlamenti in potem še regulatorji pokazali zobe, bo vidno v prihodnjih mesecih. Po vsej verjetnosti bodo pomembnejši portali ponovno dobili vstopno stran (landing page), na kateri si bodo izborili potrebna dovoljenja. Med čakanjem si lahko ogledate zanimiv in humorističen post na blogu Davida Naylorja, ki z javascript pozivi prosi za dovoljenje za vse živo.