Google Analytics và chỉ thị cookie của EU. Ai sẽ phạm lỗi của pháp luật? Google hay nhà phát triển?


16

Vì vậy, Google sử dụng cookie khi thực hiện nhiệm vụ thông thường là theo dõi người dùng trên trang web. Đó chỉ là nó mặc dù; Google đang thiết lập cookie chứ không phải trang web của bạn như vậy. Điều này là do thực tế là tất cả các JS được lưu trữ bởi Google và chỉ được đưa vào trang web của bạn.

Wolf Software, người đã phát hành một plugin jQuery để yêu cầu sự đồng ý của người dùng trước khi cho phép GA dường như ngụ ý rằng đó sẽ là vấn đề của nhà phát triển trên trang web được liên kết của họ.

Đây có phải là vấn đề của Google khi ICO xuất hiện hay nhà phát triển không nên triển khai GA nếu họ biết về vấn đề cookie tiềm ẩn?

Câu trả lời:


10

Câu trả lời ngắn gọn là chưa ai biết.

Câu trả lời dài là cookie của bên thứ 3 là một khu vực mờ ám; không rõ ràng từ chỉ thị (PDF), người sẽ bị truy tố vì không nhận được sự đồng ý khi lưu trữ cookie của bên thứ 3.

Lời giải thích và lời khuyên hiện tại của ICO, được xuất bản trong "Thay đổi quy tắc sử dụng cookie ..." , thừa nhận rằng họ không biết lệnh này áp dụng cho cookie của bên thứ 3 như thế nào:

"Quá trình nhận được sự đồng ý cho các cookie [bên thứ 3] này phức tạp hơn và quan điểm của chúng tôi là mọi người đều có một phần để đảm bảo rằng người dùng nhận thức được những gì đang được thu thập và bởi ai."

Nhấn mạnh mỏ. Họ không nói ai chịu trách nhiệm, chỉ có ai đó . Hơn nữa, họ nói rằng họ đang cố gắng làm rõ các quy tắc này:

"[Cookie của bên thứ 3] có thể là lĩnh vực thách thức nhất để đạt được sự tuân thủ các quy tắc mới và chúng tôi đang làm việc với ngành công nghiệp và các cơ quan bảo vệ dữ liệu châu Âu khác để hỗ trợ giải quyết sự phức tạp và tìm ra câu trả lời đúng."

Họ đang mong đợi rằng các dịch vụ bên thứ ba này

... chắc chắn sẽ thích nghi để đạt được sự tuân thủ quy tắc mới ...

Một gợi ý có thể có về lập trường của ICO là họ liệt kê các cookie Google Analytics là không thiết yếu trong chính sách bảo mật của riêng họ và chỉ sử dụng Google Analytics nếu bạn đồng ý lưu trữ cookie. Tôi nghĩ rằng điều này đặt ra âm thanh cho bất kỳ sự làm rõ nào họ có thể cung cấp. Họ cũng có thể nói, 'bạn cũng cần phải xin phép cookie của bên thứ 3, vì đó là lựa chọn của bạn cho dù bạn có sử dụng các dịch vụ đó hay không'. Nhưng chúng tôi chưa biết chắc chắn.

Sự không chắc chắn này là một lý do khiến thời hạn khiếu nại được kéo dài đến ngày 25 tháng 5 năm 2012. Điều tốt nhất mà các nhà quản trị web người Anh quan tâm về tác động có thể làm là để mắt đến trang web của ICO và chờ họ làm rõ. Trong khi đó, phần còn lại của lời khuyên của họ được nêu trong hướng dẫn của họ đáng để theo dõi đối với các cookie mà bạn tự phát hành.


Tôi đã xóa câu trả lời của mình vì tôi đã không phát hiện ra bit đó trên cookie của bên thứ 3. Nguồn của bạn cho thời hạn được gia hạn là gì?
paulmorriss

2
Nó bị chôn vùi trong bản PDF thực thi được cập nhật của ICO : "[Ủy viên] sẽ ... cho phép lãnh đạo trong thời gian 12 tháng để các tổ chức phát triển các cách đáp ứng các yêu cầu liên quan đến cookie [sẽ] kết thúc vào tháng 5 năm 2012". Nói tóm lại, nó đã trở thành luật của Anh vào ngày 25 tháng 5 năm 2011, nhưng họ sẽ không thi hành nó cho đến ngày 25 tháng 5 năm 2012.
Nick

1
Đây là một câu trả lời tốt, nhưng điều quan trọng cần lưu ý là câu trả lời này là cụ thể của Vương quốc Anh, trong khi bản thân chỉ thị là toàn EU. Đó là, mỗi quốc gia sẽ thực thi theo cách riêng của mình. Việc Anh trì hoãn thực thi trong một năm không có nghĩa là các quốc gia khác cũng đang làm điều tương tự.
Yahel

1
Điểm tốt. Theo hiểu biết của tôi, ICO là cơ quan bảo vệ dữ liệu đầu tiên của EU ban hành các hướng dẫn về chỉ thị, nhưng nếu mọi người muốn cung cấp liên kết đến lời khuyên từ các quốc gia thành viên khác liên quan đến thời hạn và cookie của bên thứ ba, tôi sẽ cập nhật câu trả lời phù hợp .
Nick

Cập nhật tình hình Vương quốc Anh: ico.gov.uk/news/blog/2011/ từ
paulmorriss

4

Trước khi viết phần bổ trợ cho Wolf Software, chúng tôi thực sự đã liên hệ với ICO để kiểm tra vị trí và từ tham vấn đó, chúng tôi hiểu rằng GA nên được coi là không thiết yếu và cần phải có sự đồng ý như vậy.

Vấn đề về việc nó đứng thứ 1 hoặc thứ 3 là tranh luận vì đây chỉ là phần 'không thiết yếu' khiến nó được bảo vệ bởi luật pháp.

Chúng tôi không ngụ ý rằng vấn đề là các quản trị web như đã nêu ở trên, những gì chúng tôi đã làm là cung cấp cho các quản trị web một giải pháp đơn giản cho vấn đề này nếu họ muốn sử dụng nó. Chúng tôi được tin rằng chính trang web 'chủ sở hữu' là người chịu trách nhiệm cuối cùng.

Chúng tôi cũng đã xác minh với ICO rằng trình cắm mà chúng tôi đã phát hành có mục đích và đáp ứng các yêu cầu pháp luật mới liên quan đến GA.

Đó là rất nhiều trường hợp, nếu bạn muốn nó, nó ở đó để sử dụng, chúng tôi không ngụ ý bất cứ điều gì về luật pháp, chúng tôi chỉ cung cấp một giải pháp miễn phí đơn giản cho một khía cạnh của nó.

THÊM:

Liên quan đến ICO, chúng tôi đã gửi cho họ một liên kết để demo và chỉ cần hỏi liệu họ có cảm thấy nó phù hợp với mục đích không, chúng tôi đã nói rằng trong mắt của ICO, plugin "phù hợp với mục đích và tuân thủ luật mới"


3
+1 Bạn có thể chia sẻ câu hỏi thực tế của bạn với họ và câu trả lời bằng văn bản của họ không? Một hồ sơ của cả hai sẽ là một đóng góp lớn cho câu trả lời của bạn.
Nick

cảm ơn sự đóng góp của bạn cho câu hỏi này và đã đưa ra một cái gì đó có sẵn miễn phí để giúp các quản trị web và kích thích tranh luận. Giống như @Nick Tôi cho rằng sẽ rất tuyệt nếu bạn có thể chia sẻ một số giao tiếp thực tế bạn có với ICO. Tôi đã gửi email cho ICO với một URL cho câu hỏi này và yêu cầu đầu vào của họ cũng như BTW.
Treffynnon

3

Bây giờ tôi đã có phản hồi từ ICO mặc dù nó không hoàn toàn phù hợp nữa vì việc giới thiệu đã bị đẩy lùi và luật pháp và hướng dẫn có thể được tinh chỉnh trong thời gian đó.

Cảm ơn bạn đã trao đổi thư về Quy định Truyền thông Điện tử và Quyền riêng tư mới.

Tôi sẽ bắt đầu bằng cách chỉ ra rằng tôi sẽ không đăng phản hồi của mình trên trang web mà bạn đề xuất; tuy nhiên hãy thoải mái phổ biến thông tin trong đây. Tôi cũng sẽ nói rằng câu hỏi tu từ đầu tiên trong hai câu hỏi của bạn không phải là câu hỏi tôi có thể trả lời.

Tiến lên, bạn hỏi:

'Google Analytics và chỉ thị cookie của EU. Ai sẽ phạm lỗi của pháp luật? Google hay nhà phát triển? '

Như một lời giới thiệu, quy tắc mới liên quan đến cookie là việc Anh thực hiện các sửa đổi đối với luật pháp EU hiện hành. Trước khi luật pháp cấp EU được thông qua, một cuộc tham vấn đã diễn ra trên khắp châu Âu. Sau khi thông qua Chỉ thị Cookie của EU (Chỉ thị 2009/136 / EC), tất cả các quốc gia thành viên EU có nghĩa vụ pháp lý phải thông qua luật pháp trong nước lặp lại các quy tắc được quy định trong Chỉ thị đó. Ở Anh, các sửa đổi đã được Bộ Văn hóa, Truyền thông và Thể thao (DCMS) chuẩn bị và ICO là cơ quan được giao nhiệm vụ giám sát các quy tắc mới - đã được thông qua dưới dạng sửa đổi Quy định về Quyền riêng tư và Truyền thông Điện tử 2003 ( PECR).

Nếu bạn chưa đọc nó, bạn có thể thấy thư của Ed Vaisey thay mặt DCMS với tư cách là Bộ trưởng Bộ Văn hóa, Truyền thông và Công nghiệp Sáng tạo rất hữu ích trong việc giải thích cách tiếp cận được DCMS áp dụng trong việc thực hiện Chỉ thị EU này. Thư ngỏ có sẵn tại: http://www.cARM.gov.uk/images/publications/cookies_open_letter.pdf .

Đặc biệt, bức thư này giải quyết tốt nhất các bình luận của bạn về việc sử dụng trình duyệt web để biểu thị sở thích của người dùng. Tuy nhiên, sử dụng trình duyệt theo cách này là điều mà PECR sửa đổi cho phép, tuy nhiên, theo ý kiến ​​của chúng tôi, hiện tại công nghệ chưa đủ tiên tiến để điều này có thể thực hiện được (vui lòng xem cả thư được đề cập ở trên và hướng dẫn của chúng tôi: Đọc lời khuyên của ICO cho các tổ chức về cách chuẩn bị cho các quy tắc mới về cookie).

Không có miễn trừ cụ thể cho các công cụ phân tích như Google Analytics. Ngoại lệ duy nhất cho quy tắc cookie cơ bản là quy tắc liên quan đến cookie 'hoàn toàn cần thiết' cho dịch vụ do người dùng yêu cầu. Ngoại lệ này là một ngoại lệ hẹp do phần thứ hai ('cho dịch vụ do người dùng yêu cầu') - và bạn sẽ thấy từ hướng dẫn của chúng tôi rằng ngoại lệ sẽ không áp dụng cho cookie thu thập thông tin thống kê về người dùng trang web hoặc có nhằm mục đích cải thiện giao diện trang web tổng thể.

Đối với 'cookie mạng tiếp thị khác' - các quy tắc tương tự liên quan đến sự đồng ý và sự cần thiết nghiêm ngặt, áp dụng như quy định ở trên.

Bản thân PECR không đặt định nghĩa về 'sự đồng ý' cho các mục đích của quy tắc cookie. Định nghĩa về 'sự đồng ý' mà chúng tôi dựa vào là được đưa ra trong Chỉ thị 95/46 / EC - Chỉ thị bảo vệ dữ liệu (mà bạn có thể truy cập trực tuyến tại: http://eur-lex.europa.eu/LexUriServ/LexUriServ. làm gì? uri = CELEX: 31995L0046: vi: HTML ). Chỉ thị xác định sự đồng ý tại điều 2 (h)). Tại thời điểm này, chúng tôi chưa ban hành hướng dẫn bổ sung về những gì cấu thành sự đồng ý trong bối cảnh quy tắc mới về cookie - trên cơ sở điều này không khác với hướng dẫn hiện hành về sự đồng ý. Bạn có thể tìm hiểu thêm về sự đồng ý trên trang web của chúng tôi tại: http://www.ico.gov.uk/for_organisations/data_protection/the_guide/conditions_for_ Processing.aspx (cuộn xuống tiêu đề 'đồng ý').

Như bạn không nghi ngờ gì đã thấy, hướng dẫn cookie của chúng tôi xem xét các cách khác nhau để có được sự đồng ý. Khi có những tiến bộ hơn nữa được thực hiện liên quan đến quy tắc mới này trên cookie, chúng tôi có thể thêm hướng dẫn thêm vào hướng dẫn hiện có của chúng tôi.

Nó không thực sự trả lời câu hỏi từ những gì tôi có thể thấy. Không có sự phân biệt giữa các cookie được đặt rõ ràng bởi nhà phát triển và các cookie được đặt bởi các dịch vụ khác thay mặt cho nhà phát triển trong phản hồi.


+1 cho phản hồi từ chính ICO ... nhưng thật đáng buồn là một điều làm rõ rất ít.
Marcus Downing

1

Câu trả lời trên nói chi tiết về cookie của bên thứ ba và đúng là ICO vẫn chưa đưa ra hướng dẫn về chúng. Đây là một điểm cần thiết mặc dù như Google Analytics, trái với bài đăng gốc, sử dụng cookie của bên thứ nhất.


Điều gì làm cho họ cookie bên đầu tiên? GA là dịch vụ của bên thứ ba, do đó chắc chắn bất kỳ cookie nào được đặt bởi nó là cookie của bên thứ ba.
Treffynnon

1
Bạn nói đúng rằng Google Analytics sử dụng cookie của bên thứ nhất theo nghĩa kỹ thuật mà họ đặt cho tên miền của riêng bạn, nhưng cách giải thích của tôi về hướng dẫn của ICO theo 'cookie của bên thứ ba' là họ có nghĩa là bên thứ ba đưa ra quyết định để đặt chúng và chúng không được đặt theo mã được lưu trữ trên miền của bạn: "Một số trang web cho phép các bên thứ ba đặt cookie trên thiết bị của người dùng."
Nick

0

Thảo luận thú vị - nó trông giống như một cookie theo dõi Phân tích đơn giản thuộc luật pháp.

Đây là một chút thực sự tồi tệ nghĩ ra pháp luật. Mặc dù một tỷ lệ rất nhỏ khách truy cập bị làm phiền, nhưng nhìn chung những người này biết cách sử dụng cài đặt cokkies của trình duyệt. Mọi người khác chỉ muốn một trang web để làm việc.

Tôi tự hỏi sẽ mất bao lâu trước khi có trình cắm trình duyệt tự động nhấp vào nút 'chấp nhận' trên tất cả các cửa sổ bật lên cảnh báo cookie?

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.