Comments 67
Конечно, маразм. Пускай творят что хотят, лишь бы невидимо было.
Хотя да, вам от этого особой пользы нет, т.к. речь идёт по регуляции в ЕС.
Дело не в том, что вам дают клацнуть. А в том, что для того, чему вам дают клацнуть, вводят ограничения. Например, consent не может быть без scope & purpose, у вас есть право его отозвать.
Вы этим правом можете не пользоваться. (Более того, у вас, если вы живёте в РФ, этого права нет), но в целом индустрия с криком, болью и раздираемыми засохшими бинтами медленно становится чуть менее диким западом.
Вот я GDPR просто нарадоваться не могу. Помню, как мне дядька в агентстве недвижимости с сожалением говорил, что они вынуждены удалять все сканы всех паспортов с кем они работали по истечении пол-года с момента окочания сопровождаемого контракта/сделки. Я сочувственно покивал головой, а в нутри меня прямо пёрло "так так и должно быть".
Всему своё время. Пока, вот, ещё индустрия находится во третьей стадии переживания (торг). Дальше будет принятие.
Давайте уточним, что такое "работа сайта"? Если я отказываюсь выполнять код с сайта, то это моё право.
(почему вы прямо сейчас не выполняете код с сайта desunote.ru/malware, я настаиваю!)
Я имею право запросить well-known ресурсы сайта (index.html, robots.txt, etc), и есть судебные прецеденты на этот счёт. Я имею право запросить ресурсы, указанные в этих файлах. Я не обязан интепретировать их каким-либо специальным образом.
И я не понимаю как вы примете закон об обязательности исполнения чьего-либо кода.
Вернёмся в сегодняшнюю реальность. Если вы возьмёте триальную версию программы, и при её выполнении пропустите часть кода, что проверяет наличие лицензии, получив таким образом возможности полной версии — это нарушение, или реализация «права» решать какой код выполнять?
curl http:/google.com — я зашёл на сайт или нет?
Если я буду использовать чужую программу, на которую у меня нет лицензии, это будет нарушением авторского права. Вне зависимости от того, "отказывался" я от выполнения куска триального кода или нет. (если я буду использовать ворованный ключик — ситуация будет аналогичной). Наоборот, если у меня есть лицензия на использование программы, я могу отказываться от выполнения любой её части. Я не слышал про судебные случаи из-за выключения компьютера (частный случай отказа выполнять программу).
В общем случае такого права нет. Надо смотреть условия лицензии. Так как в общем случае нет разрешения на исполнение программы, то что разрешили — то разрешили.
Насчёт "спрятать рекламу" — чтобы спрятать рекламу не нужно менять программу. Достаточно отключить интернет (в доме). Или наклеить стикер на этом месте экрана. Какое из этих действий запрещено?
Насчёт «спрятать рекламу» — чтобы спрятать рекламу не нужно менять программу. Достаточно отключить интернет (в доме). Или наклеить стикер на этом месте экрана. Какое из этих действий запрещено?Но разработчик программы был предусмотрительным, и вместе с программой, где кода всего на 1 мегабайт, в ресурсах идёт 300 мегабайт рекламных медиафайлов, чтобы оно работало полностью оффлайн. Причём все эти ресурсы зашиты в исполняемый файл, для надёжности =) Реклама появляется в случайных местах — заклеить стикером не получится.
Повторю, для кода нет разрешения на запуск "по-умолчанию" и взаимоотношения с пользователем регулируются eula:
Вот, например, и EULA у MS:
SCOPE OF LICENSE. The software is licensed, not sold. Microsoft reserves all other rights. Unless applicable law gives you more rights despite this limitation, you will not (and have no right to):
work around any technical limitations in the software that only allow you to use it in certain ways;
Раз и два. Насколько я понимаю, сейчас существует странная биекция о "разрешении на запуск" js'а без лицензии (т.е. лицензии нет, а запускать js, вроде бы, можно). Если будет требование принять EULA перед запуском JS'а, то у меня всегда есть право эту лицензию не принимать, а ограничиться всего лишь обозреванием отданного мне без авторизации.
Кто-то может поставить авторизацию (да хоть и paywall) с лицензией; но мы-то говорим о публично доступных ресурсах, да?
Вы это сейчас из головы или 2GIS описывали?
А вот представьте, дальше примут закон, который запретит под угрозой штрафов вмешательство в работу сайтов
Ура, Ростелеком и некоторых мобильных операторов будут штрафовать за подделку трафика!
В огнелисе установите аддон "I don't care about cookies". И ремайндеры о кукисах больше не побеспокоят
https://addons.mozilla.org/android/downloads/file/3422556/i_dont_care_about_cookies-3.0.5-an+fx.xpi?src=search
Вообще, обязательство сайтов предупреждать об установке кук появилось за годы до GDPR. Последние наверное лет 10 уже докучают пользователям. Если на какой-то сайт заходишь из приватного режима (идеальный инструмент для того, чтобы попользоваться каким-то сайтом, и он тебя не запомнил), то эти плашки приходится закрывать при каждом посещении.
Боязнь что кто-то натрекает что тебе интересен какой-то товар и покажет (о ужас!) релевантную рекламку мне напоминает боязнь ГМО. И то и другое, на мой взгляд, иррационально.
Другое дело, если вы вводите на сайте какие-то личные данные. В таком случае объяснение, что будет с этими данными, всё же нужно. Но это не то же самое, что вы зашли на какой-то сайт, и покликали там по каким-то ссылкам, а сайт это запомнил, и предложил потенциально интересную вам рекламку или контент.
Тут несколько уровней. Во-первых, уже есть ощутимый корпус случаев, когда "контекстная реклама" показывает человеку что-то, что он не готов показывать окружающим в тот момент, когда он показывает какую-то страницу кому-то. Это очевидное нарушение прайваси. Если человек до этого десять часов искал подгузники для взрослых и читал статьи про недержание мочи, это не означает, что он дал согласие на "таргетирование реклама для пользователей подгузников для взрослых" для него, тем самым раскрывая medical condition.
Второе: время жизни моего устройства от батареи — это моя личная проблема. И мне не нравится, когда чьи-то потребности трекать этот процесс находятся в конфликте с решением моей личной проблемы. То же касается и excessive traffic, потому что интернеты иногда платные по трафику.
Третье. Исполнение скриптов с посторонних ресурсов — один из простейших методов компрометации браузера через известные используемые уязвимости.
Если человек до этого десять часов искал подгузники для взрослых и читал статьи про недержание мочи, это не означает, что он дал согласие на «таргетирование реклама для пользователей подгузников для взрослых» для него, тем самым раскрывая medical condition.Во-первых, нет, не раскрывает, так как наличие такой рекламы не говорит о том, что вы что-то такое искали. Зато история браузера покажет это достоверно. Во-вторых, если вы занимаетесь поиском какой-то чувствительной для вас информации, используйте приватный режим. Он для этого и создан. И история не сохраняется. Работает без помощи каких-либо нелепых законов более десяти лет!
Конечно, можно. Вам надо:
а) находиться вне территории ЕС
б) взаимодействовать с компаниями, которые не расположены на территории ЕС.
Если же кто-то выполняет требования GDPR для субъектов, на которых действие GPPR не распространяется, то это их личное персональное решение и оно ничем не отличается от решения использовать comic sans в качестве основного шрифта на сайте.
Житель ЕС и полностью поддерживаю GDPR. Всё правильно делают. Ещё бы «Сахарную горку» прижучили, чтобы не лепил везде свою «мордокнигу». И производителям смартфонов запретили предустанавливать свои приложения, которые только с танцами с бубном удалить можно. Да и то не полностью. Кому надо пусть сам с любого магазина качает и через него обновляется.
«Алиса, если сайт хранит данные об активности моей активности на территории Европы(Эстония Европой не считай) или США(кроме как там этого штата с мормонами) и выдает эти данные в <название стандартного формата> то согласится на максимальный уровень отслеживания, предоставить доступ ко все датчикам устройства в автоматическом режиме, в противном случае я против отслеживания, к датчикам доступ запретить, если сайт хранит данные в стране которая находится ниже 50 места в Мировом Рейтинге Конфеденциальности Данных по версии EFF или против сайта ведется расследования в отношении нарушения заключенных контрактов — то делай доступ только через Tor, и не давай никакие согласия на отслеживания больше чем на сутки (а лучше вообще). Если тематика сайта явно относится к интересным мне — предложи отключить рекламу за 0.1 цент в сутки, если при этом к сайту приходится производить доступ через Tor — то 1 сатоши в сутки, если сайт не согласен — врубай блокировку рекламы, если тематика сайта не относится к списку мне интересных — сразу врубай блокировку рекламы но если уже третий раз в неделю посещаю — напомни рассмотреть добавление сайта в интересные».
Мечты -:(
А я хочу именно реализацию когда я могу голосовому помошнику сказать то что выше, и он поймет меня правильно, и сделает. И все необходимые данные — доступны. А сайты — имеют машинно-понимаемый протокол согласования уровня отслеживания или там платного отключения рекламы.
У меня есть простое предложение: сайты должны вести себя адекватно если пользователь отключил сохраенние cookies для этого сайта (или вообще). Например, тот же nytimes при отключенных cookies работает, но каждый раз надо убрать с экрана аж три плашки.
И как предлагается без кук хранить сессию и всякие там корзины товаров? Тащить через все ссылки session_id?
У меня все проекты на localStorage.
P.S.: я не [настоящий] фронтендер.
Открываешь в текстовом редакторе файл — а он тебя такой спрашивает, мол согласны ли вы, что этот файл, который потенциально может содержать личные данные, будет прочитан во внутренний буфер для отображения? Вставляешь текст из буфера обмена — а программа такая и спрашивает, а точно можно прочитать содержимое буфера обмена? И так на каждый чих =)
И да, трекинговые идентификаторы в файлах документов, картинок и даже распечатанные на бумаге «жёлтые точки» так же следует регулировать юридически или технически (я скорее за второй вариант, т.к. любое юридическое регулирование потенциально мешает всем).
А то нашли себе забаву… без спроса о людях информацию налево-направо продавать/передавать.
Корзина — это как раз тот случай, когда использование кукиз осмысленно.
Но есть миллион мест, где нет. Вот, например, сайт habr.com. С одной стороны кука мне нужна, чтобы авторизоваться. С другой стороны — зачем мне куки (и сетевые запросы) на все эти ресурсы?
Каким образом это соотносится с GDPR? Я совершенно не желаю участвовать в этой ротации приватной информации между чёрти кем. Более того, согласно GDPR, отказ от участия в этой свистопляске не может быть основанием для непредоставления сервиса.
Впрочем, пока что технические средства (umatrix) более эффективны, чем юридические.
Алсо, хабр — не бесплатный сервис, у него вполне себе платящая клиентура из многих компаний с корпоративными блогами.
Ну и в конце концов за платную подписку на хабр то можно бы и платить.
… тут не только реклама. Тут ещё всякие "аналитики" на которые я не подписывался. Наличие галочки мне безразлично, у меня технические средства ограничения неавторизованной активности бразуера.
Насчёт кто кому должен платить — вопрос интересный. Вот медиум честно отдаёт деньги авторам (удерживая себе жирные ручки, понятно). У хабра модель другая.
```
/some/;jsessionid=E85FAC04E331FFCA55549B10B7C7A4FA
```
а сейчас есть хранилища и без кук: localStorage, sessionStorage, indexeddb
так что по идее нет технических преград для приложений, а вот для слежки как раз только cookies и загрузка ресурсов (картинки, js) подходят, как я понимаю
Предвосхищая ваш вопрос: попробуйте назвать рекламную куку «необходимой» и посмотрите что получится (сколько исков будет и сколько судов проиграете).
При этом ещё нужна поддержка со стороны браузера, что бы session_id не светился в referer, иначе опять через referer начнут сессии воровать…
Платформа управления согласием
В оригинале таких терминов нет. Есть cookie-wall. Плашка не платформа, однако.
Обновил перевод версии 2018 года на русский. Публиковать? Там мало изменений.
СМИ утихают, регуляторы нет. Эволюция такова
- Директива о Защите данных 95/46/EC
- Директива о Конфиденциальности и электронных средствах связи 2002/58/EC
- Общий регламент защиты персональных данных 2016/679 или GDPR, включая
— Согласие на обработку персональных данных wp259rev.01
— Согласие на обработку персональных данных version 1.0
Статья про последний этап.
а доступ на сайт должен осуществляться даже в случае отказаИ что, никого не смущает, что какие-то политиканы диктуют то, как должны работать чужие сайты?
Сайт — это просто набор текста. Как правильно заметил amarao, пользователь сам решает, исполнять ему этот текст или нет, и если да, то как именно исполнять. Всякие блокировщики рекламы как раз реализуют это право. Исполняет этот текст, превращает его в сайт, именно браузер. Вот пусть ему и адресуют претензии.
А вот этот закон — самая настоящая цензура. Правительство запрещает определенный текст потому что
Пользователь может просто уйти с сайта — это раз. Пользователь может не сохранять куки (инкогнито режим) — это два. Пользователь может самостоятельно регулировать, какие участки кода его браузеру нужно исполнять, а какие нет — это три. Пользователь может даже самостоятельно удалять куки — это четыре. А сайт, получается, не может ничего. Нормально.
Одно дело, когда дело касается, к примеру, почтового ящика или номера телефона. Если они хранятся у чужих людей, то эти люди могут их использовать в недобросовестных целях. Но куки — они же хранятся у самих пользователей на их машинах. Не хочешь их отправлять на сайт — берешь и не отправляешь, в чем проблема?
Еще раз, подытожу. Законом нужно регулировать сбор данных. К примеру, без согласия пользователя не запоминать его fingerprint — операционную систему, айпи адрес, всякие параметры канваса и прочее. И только лишь это. Потому что это все хранится на стороне компании, на чей сайт человек зашел, и может быть использовано после визита на сайт. Куки не может быть использовано в том случае, если человек этого не хочет — он может их просто удалить.
Закон защищает от неправомерного использования данных конкретного человека, без его конкретного согласия.
На данный момент нет способов установить гарантированную аутентификацию, то-есть ни пароль, IP, куки не гарантируют что вся активность сделана единственным и конкретным человеком. Соответственно достоверно привязать данные к персоне, которую защищает закон, доподлинно не возможно! Единственный способ на данный момент — это свидетель, который проверит ID и запишет в журнал время работы, и тп, типа как нотариус. Даже мобильные приложения проверяют логин а не полностью во время работы.
Платформы согласия и скроллинг вне закона: Евросоюз уточнил правила использования cookies