为什么很多网站都需要显示同意Cookie的弹窗?

2023-07-18

现在大家不管开启什么网站,都会在最下方或是弹出视窗要求你同意接受Cookie(小甜饼),大家都会很自然地按下接受,以摆脱这些通知继续浏览网页,反正看起来好像接受了也不会影响自己。那么,你知道什么是Cookie吗?按下Cookie之后又会发生什么事情呢?

cookies以及类似技术的定义和用途
1、Cookie是网站服务器将其发送到网站访问者的计算机上的小型文本文件。 然后,网站可以在以后的某个时间访问和使用Cookie(例如,以识别特定的设备,从而记住用户的网站偏好设置和登录详细信息)。
2、近年来,其他技术(例如设备指纹识别)也已成为cookie的替代方法,部分原因是在智能手机和其他移动设备上使用cookie时存在局限性。
3、Cookies通常用于定制网站产品并维护个人登录在线帐户时的安全性。 但是,它们也可以用于促进目标广告。
4、当用户访问网站时,该网站或与网站运营商有关系的第三方会将Cookie发送到用户的浏览器。Cookie会存储有关用户访问的信息,其中可能包括查看的内容,语言偏好,每次访问的时间和持续时间以及访问的广告。
5、当浏览器重新访问该网站时,该网站可以检索存储在cookie中的信息并做出相应的反应(例如,通过显示首选语言)。因此,Cookie允许网站“记住”各个浏览器,因此,在不共享浏览器的情况下,它们会记住使用该浏览器的个人。通过cookie收集的信息还可以用于通过识别受欢迎和不受欢迎的网页来开发网站。
6、Cookie在移动设备上的实际限制之一是,通常,它们只能由设置了它们的应用读取。 这意味着组织无法跨应用跟踪用户行为。组织已经出现了替代技术,以解决这种公认的缺陷。 其中最明显的一种是设备指纹识别,它涉及收集有关设备的大量不同技术信息(例如,屏幕分辨率,浏览器设置,操作系统),以便与其他设备区别开来唯一地进行标识。

cookies及类似技术收集和处理的是个人数据吗?
1、Cookie和类似技术通常与无法识别个人身份的信息(例如,访问网站的时间)相关联。但是,由于它们通过其浏览器识别一台唯一的计算机,因此可以使用其数据来跟踪计算机的在线运动,并形成链接到该特定计算机(在大多数情况下是个人)的浏览习惯的配置文件。 因此,cookie也可能会收集个人数据,因此必须遵守该法规。
2、在欧洲各地处理cookie的方式略有不同,尽管普遍的共识是,如果网站运营商打算将使用从cookie中获得的数据创建的个人资料链接到名称和邮政/电子邮件地址,则该个人资料将构成个人数据。
3、在英国,ICO有关cookie的指南规定:“当信息的收集和处理的意图是将一个人与其他人区别开来并且会对个人采取特定的行为,则产生了个人数据的处理。”。这表明,如果网站运营商未将个人资料链接到进一步的识别信息,并且不寻求使用个人资料对特定个人采取任何行动(例如针对他们进行广告宣传),则ICO可能不会将个人资料视为个人资料。但是,ICO的这个指南早于GDPR,GDPR明确指出,与可以通过引用在线标识符来识别(而非旨在)的人有关的信息是个人数据。”。此外,该法规引入了“ 假名数据,这是个人数据的一种形式。 假名数据将包括可以关联到个人的资料(profile)文件,即使控制者实际上并不打算进行此关联也是如此。(从意图关联到个人到可关联到个人)
4、ICO之前也曾指出,Cookie通常链接到设备而不是特定用户,并且由于设备可以有多个用户,因此从Cookie收集的信息无法链接到特定个人,因此可能不是个人数据。但是,根据Vidal-Hall诉Google Inc.的最近裁决,这种论点也变得更加难以维持。在这种情况下,索赔人们在英国上诉法院成功地辩称,即使电脑不是他们一个人在用,但其各自的浏览习惯的资料构成了个人数据,以及Google使用这些用户资料(profile)文件将广告定位到他们的设备上是令人反感的,正是因为其他人可能会使用他们的设备并从出现的目标广告中推断出有关索赔人浏览习惯的信息。这里的意思是,即使Google确实不知道在任何特定时间点谁在使用该设备,该设备的第三方用户很可能拥有此信息。
5、“多用户”争论的另一个困难是,互联网用户越来越多地转移到移动设备上,而这些设备通常不会在个人之间共享。

在欧盟层面,当组织使用个人的静态IP地址来建立个人资料时,WP29已确认该资料(包括IP地址)是个人数据。该结论也应适用于使用 Cookie或类似技术。如果从Cookie收集的信息是个人数据,则其收集和分析应根据GDPR进行处理。

谁是控制者?
在GDPR下,应区分第一方和第三方Cookie。 第一方Cookie由访问的网站的运营商放置,并使运营商可以广告其自己的产品或根据其Cookie收集的信息来定制其网站。 网站运营商是由其自己的第一方Cookie收集的个人数据的控制者。相反,第三方Cookie是由网站运营商以外的实体发送的。 如果第三方确定决定从其第三方Cookie收集的个人数据的方式和目的,则它是控制者,同样必须遵守GDPR。

GDPR对cookie的规定的域外效力
Cookies尤其引起争议,因为它们可能导致非欧盟网站运营商适用欧盟数据保护法。如上所述,该法规适用于任何与监控EEA中个人行为有关的个人数据处理。由于非EEA网站倾向于在世界各地的用户设备上设置Cookie,因此用cookie来建立用户资料(profile)的做法意味着非EEA网站运营商也要受到GDPR的约束

cookie的告知
网站运营商必须提供有关其cookie使用的完整透明的披露,甚至考虑制定独立的cookie使用政策。(西班牙AEPD的指南相较ICO指南,清楚地表明cookie通知应包含有关如何禁用或删除cookie以及如何撤回同意的信息)

版权声明
文章来自网络,如无特殊说明或标注,均为本站原创发布。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。