Нужны ли cookie-баннеры в эпоху GDPR — обсуждаем ситуацию и требования закона

    Баннеры на сайтах с информацией о cookies часто закрывают чуть ли не половину контента, чем раздражают пользователей. Разберемся, что на самом деле требуют европейские законы, из-за которых эти всплывающие окна появились, и можно ли обойтись без баннеров совсем.


    / Flickr / Ginny / CC BY-SA

    Никто не любит баннеры


    Маркетинговая компания Amazee Metrics провела опрос среди ста тысяч интернет-пользователей и установила, что 76% посетителей сайтов игнорируют уведомление о cookies, а 12% — просто закрывают всплывающее окно.

    Пользователи стараются как можно скорее скрыть баннеры, так как они мешают просматривать содержание сайта и «уничтожают» UX в мобильных версиях интернет-ресурсов. Резиденты Reddit заявляют: «Уведомления о cookies — худшее, что случилось с веб-сервисами после Internet Explorer».

    Для компаний и владельцев сайтов cookies-баннеры тоже стали головной болью, так как им пришлось тратить бюджет (платить разработчикам и дизайнерам) на создание всплывающих окон, которые никому не нравятся.

    Что написано в законе


    Cookie-баннеры начали появляться после того, как в силу вступила директива ePrivacy, принятая Евросоюзом в 2009 году (сейчас её хотят ужесточить, подробнее об этом мы писали в одном из прошлых материалов). Появление GDPR и крупные штрафы за невыполнение его требований усугубили положение — баннеры стали показывать все сайты, работающие на европейском рынке.

    Но есть интересный нюанс: согласно ePrivacy Directive и GDPR, баннеры совершенно необязательны.

    В тексте GDPR конкретно про баннеры не говориться ничего. Единственное, в пункте 30 закона написано, что сайт обязан уведомить пользователя об установке cookies, если с их помощью можно определить личность человека. Можно не получать согласия пользователя, если cookies нужны лишь для сохранения сессионных данных, воспроизведения видео- и аудиоконтента, балансировки нагрузки на сайте и работы сторонних плагинов, позволяющих делиться контентом в социальных сетях.

    Что касается ePrivacy Directive (PDF), то он также обязывает владельцев сайтов уведомлять пользователей об обработке cookies, но только в том случае, если те связаны с аналитикой и проведением маркетинговых кампаний. Однако про форму этих уведомлений ничего не сказано.

    «Таким образом, за реализацию требований GDPR и ePrivacy Directive отвечают сами владельцы сайтов, — комментирует Сергей Белкин, начальник отдела развития IaaS-сервиса 1cloud.ru. — Баннеры были выбраны как самый простой и в какой-то степени очевидный способ соблюдать закон».

    Можно ли обойтись без баннеров


    Поскольку закон не обязывает использовать баннеры, и они всем надоели, сейчас разрабатываются альтернативные решения, которые бы упростили жизнь людям. Однако пока они не получили широкого распространения или большой популярности.

    Инициатива в ЕС

    В 2017 году Еврокомиссия предложила новый закон. Он должен будет на законодательном уровне утвердить механизм автоматической обработки cookie-баннеров. Идея — дать пользователям возможность указать в настройках браузера, разрешено ли ресурсам в сети ставить необязательные cookies. Пользователи и владельцы сайтов сразу поддержали законопроект, однако нашлись представители ИТ-индустрии, которым такое решение пришлось не по вкусу.

    Против инициативы выступили компании, работающие в рекламной сфере. Они говорят, что закон нанесет серьезный удар по индустрии маркетинга и продвижения в интернете. По их оценкам, доход от таргетированной рекламы в сети сократится в два раза. Если учесть, что в 2018 году глобальные затраты на рекламу в сети составили 630 млрд долларов, ущерб будет ощутимым.

    Также критики закона считают, что новые правила будут раздражать людей еще больше, чем всплывающие cookie-уведомления. Пользователям придется менять настройки браузеров на всех устройствах. При этом владельцы интернет-ресурсов всегда смогут добавить всё те же баннеры, только теперь с запросом на активацию сбора cookies в браузере.


    / Flickr / calebdcochran / CC BY

    Из-за неоднозначной реакции сообщества, законопроект пока был отложен. Представители отрасли отмечают, что у закона нет будущего без внесения поправок.

    Фреймворк DNT

    Еще одним вариантом решения ситуации с баннерами является фреймворк Tracking Protection Expression (или Do Not Track, DNT). Впервые его представила Федеральная торговая комиссия (FTC) в 2010 году. Принцип его действия аналогичен механизму, который предложили в Еврокомиссии. DNT добавляет в браузеры функцию, которая сообщает сайтам о том, разрешил пользователь установку cookies или нет.

    Пару лет назад Консорциум Всемирной паутины (W3C), который разрабатывает и внедряет интернет-стандарты, разработал рекомендации для владельцев сайтов по использованию фреймворка с учетом требований GDPR.

    Разработка DNT еще ведется, однако первые экспериментальные исследования аналитиков из Forrester показывают, что он не работает. Популярные ресурсы игнорируют DNT и продолжают поступать согласно внутренним политикам безопасности. При этом фреймворк опять же столкнулся с сопротивлением маркетинговых сервисов и компаний, бизнес которых зависит от таргетированной рекламы.

    DNT не получил широкого распространения даже среди тех, кто его изначально поддержал. Например, Mozilla, — из-за того, что фреймворк и новые стандарты не стали внедрять другие игроки рынка, в компании внедрили собственные инструменты. Разработчики добавили в Firefox функцию, которая позволяет человеку выбирать, какие ПД сайт получит, а какие нет.

    Можно отказаться от cookies

    Как мы уже говорили, сайтам, которые не собирают cookies для таргетированной рекламы, не нужно получать согласие пользователя. Потому у интернет-ресурсов есть возможность вовсе не показывать всплывающие баннеры пользователям.

    В USA Today, например, обходятся без оповещений о сборе cookies, что дает возможность дополнительно оптимизировать вес стартовой странички. К тому же без рекламных объявлений страница выглядит «чистой» и аккуратной.

    Еще такой вариант сгодится для персональных блогов. Один бельгийский бэкенд-разработчик с помощью фреймворка Laravel избавил свой веб-сайт от cookies и даже привел подробную инструкцию, как это сделать на других сайтах.

    В итоге ситуация получается следующая. Баннеры никому не нравятся, но пока они массово используется, чтобы соблюдать требования закона. Возможно, когда Еврокомиссия внесет правки в свой законопроект или фреймворк DNT станет более распространён, пользователей избавят от надоевших всплывающих окон.

    P.S. Материалы по теме из нашего корпоративного блога:


    P.P.S. О чем еще мы пишем на Хабре:

    1cloud.ru
    274,04
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией

    Комментарии 13

      0
      А нет ли уже браузерных плагинов, вырезающих GDPR-банеры?
        +1

        А что мешает в любом adblock добавить свои правила для популярных решений? Я так сделал для всех WordPress плагинов по GDPR

          0
          0
          дать пользователям возможность указать в настройках браузера, разрешено ли ресурсам в сети ставить необязательные cookies

          Хотеть! Выключенные куки по умолчанию во всех браузерах!
          Нас тогда ждёт адская волна http/s атак, которые очень трудно фильтруются.
            –1
            Нужно больше баннеров! Типичным сайтом уже пользоваться невозможно из-за всей этой хрени, так еще и отсталые законодатели со своими инновационными решениями — в 2018 придумать уведомление о куках. Не уведомление «мы торгуем вашими данными» или «ваши данные не защищены и, скорее всего, до того, как мы их продадим, их еще и украдут».
            Я слышал сеошники очень рады таким попапам, потому что туда можно еще дополнительно запихнуть что угодно и юзер поставит галочку, они даже гордятся этим — пробив 90%(столько юзеров тыкают галочку не читая условия, а там не только про куки)
            И самая большая глупость — исполнять чужие тупые законы. Куча американских сми просто забанила ЕС ip и всё.
              0
              Баннеры бесят именно тем, что они баннеры. Ну нужно повесить уведомление о кукисах, ну влепи ты его текстом на саму страницу, сбоку где-нибудь или в футере. Зачем поверх контента вешать?
                0

                Баннер — это ещё туда сюда… Гораздо хуже, когда это попап, перекрывающий всю страницу пока ты с ним не ознакомишься… И таких сайтов с каждым днём всё больше и больше...

                  0
                  И часть из которых дают нажать на крестик или кнопку только после прочтения или некого времени
                0
                Отображение cookie-баннера — должно быть функциональностью, встроенной в браузеры. Есть в коде страницы определенный метатег — показывать. Пользователь нажал на «ок, я согласен» — ставить куку и больше на этом сайте не показывать. Соответственно, в браузере должна быть настройка «не дергайте меня, я на все согласен», чтобы ничего пользователю не показывать и соглашаться автоматически.
                  0
                  Ну все будут ставить «не дергать» так зачем это всё? Так можно и при скачке браузера написать, мол «осторожнее, в сети бывают куки» :)
                    0
                    Короче глупости все эти уведомления.
                      0
                      > Ну все будут ставить «не дергать» так зачем это всё? Так можно и при скачке браузера написать, мол «осторожнее, в сети бывают куки» :)
                      Это все, конечно, нафиг не нужно, как и требования GDPR. Все равно 99.9% сайтов в интернете используют куки. Так что проще повесить одну надпись перед входом в интернет.
                    +1
                    А как без бэка доказать что куки используются для авторизации? Или вообще что подразумевается под определением личности человека, какие конкретно личные данные считаются?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое