研究表明，使用Cookie同意工具破坏欧盟的隐私规则

 
麻省理工学院，伦敦大学学院和奥胡斯大学的研究人员提出的一项新研究表明，大多数送达欧盟互联网用户的Cookie同意弹出窗口(表面上是寻求追踪人们的网络活动的许可)很可能会违反地区隐私法。
研究人员认为：“我们今天对CMP(同意的管理平台)进行的实证研究的结果说明了非法行为普遍存在的程度，CMP的供应商视而不见(或者更糟的是，激励他们)显然是非法的系统配置，”研究人员认为。 ，并补充说：“非常缺乏在这方面的执法。”
他们的发现发表在一篇题为“ GDPR之后的黑暗模式：刮擦同意的弹出窗口并展示其影响”的论文中，与此同时，我们又在八月份进行了另一项研究，这也得出了相同的结论-该研究还总结了当前大部分Cookie通知实施情况即使欧盟法律要求这样做，也无法为欧洲的互联网用户提供有意义的选择。
当将同意作为处理Web用户个人数据的法律依据时，欧盟通用数据保护条例(GDPR)设定的有效(即合法)同意的标准很明确：必须知情，明确且自由给定的。
欧盟法院最近的判例也进一步使有关cookie的法律更加明确，明确表示必须积极表示同意，这意味着数字服务不能推断同意通过间接行动进行跟踪(例如关闭弹出窗口)用户没有回应，或者被忽略而倾向于与服务进行交互)。
许多网站使用所谓的CMP征求同意以跟踪cookie。但是，如果将其配置为包含预先选中的框，默认情况下这些框将使用户选择共享数据(需要采取肯定的用户操作才能退出)，则任何收集的“同意”也是不合法的。
还必须在数字服务删除或访问Cookie之前获得同意跟踪。无需先询问就可以部署仅服务必需的cookie。
所有这些都意味着-根据欧盟法律-网站访问者选择不被追踪也应该很容易同意他们的个人数据。
但是，“ GDPR之后的黑暗模式”研究发现，与目前的情况相去甚远。
研究人员在总结中写道：“我们发现暗模式和默示同意无处不在，”他们说，他们所观察的CMP中只有十分之一(11.8%)以上的人达到了我们根据欧洲法律设定的最低要求。 ”，他们将其定义为“如果没有预先选定的可选框，拒绝就像接受一样容易，并且明确表示同意。”
在这项研究中，研究人员搜集了Alexa排名前10,000个英国最大的网站，以收集市场上最流行的CMP(由QuantCast，OneTrust，TrustArc，Cookiebot和Crownpeak五家公司制造)的数据，并分析了如何这些工具的设计和配置影响了互联网用户的选择。 (他们通过自己的方法获得了680个CMP实例的数据集-他们计算出的样本至少代表运行CMP的前10,000个站点中总人口的57%，前提是先前的研究仅发现了这样做的五分之一。 )
隐式同意(又名(非法)通过非肯定的用户操作(例如，用户访问网站或在网站上滚动或用户未响应同意弹出窗口或没有回应而关闭同意弹出窗口)推断同意)是常见的(32.5%)的受访网站。
他们指出：“受欢迎的CMP实施向导仍然允许其客户选择默示同意，即使他们已经表明CMP应该检查访问者的IP是否在欧盟的地理范围之内，也应该是互斥的，”他们指出： “这对在GDPR中遵守设计数据保护概念提出了重大质疑。”
他们还发现，绝大多数CMP使拒绝所有跟踪“比接受跟踪要困难得多”，而大多数研究站点(50.1%)没有“拒绝全部”按钮。虽然只有极少数(12.6%)的网站具有“全部拒绝”按钮，但点击次数与“全部接受”按钮相同或更少。
或者换一种说法，“哦，深色图案设计”…
研究人员继续指出：“一个’接受所有’按钮从未被埋在第二层中，”他还发现“拒绝所有按钮的74.3%是一层深的，需要按两下才能按下;其中0.9%位于两层以外，至少需要三层。”
尽管预先设置的盒子在法律上无效，但也发现它们也广泛应用于已研究的CMP中。 (对此，他们发现：“有56.2%的网站已预先标记了可选的供应商或用途/类别，其中54.1%的网站已预先标记了可选用途，32.3%的预先标记了可选类别和30.3%的预先标记了两者。”)
他们还指出，网站通常使用大量第三方跟踪器，这对欧盟同意模型构成了一个重大问题-鉴于它需要“很长的时间”，以便使用户清楚地了解足够的信息以能够合法同意。
他们发现像沙丁鱼一样被包装到CMP中的第三方跟踪器的确切数量各不相同-视站点而定，有数十到数百个在使用。
58是他们遇到的最低人数。在QuantCast CMP的实施中，最高的是542个供应商。 (而且，想象一下手动取消所有这些操作所涉及的“摩擦”，并假设该网站也是缺少“拒绝全部”按钮的网站之一。)
网站依赖大量的第三方跟踪器，这会使用户花费很长时间才能清楚地告知自己。在CMP中列出供应商(例如第三方跟踪器)的网站中，有85.4%的站点中位数为315个供应商(低四分位数58，上四分位数542)。不同的CMP供应商的平均供应商数量不同，其中QuantCast最高，为542。75%的站点中有超过58个供应商。 76.47%的站点提供了有关其供应商的描述。每个站点这些描述的平均总长度为7,985字：平均每分钟250字的阅读器大约需要31.9分钟的阅读时间，但不包括例如展开折叠的框或浏览并阅读供应商的特定隐私政策。
该研究的第二部分涉及40名参与者的现场实验，以研究八种最常见的CMP设计如何影响互联网用户的同意选择。
“我们发现通知方式(横幅或障碍)对[同意选择]没有影响;从首页上删除选择退出按钮可以使同意率提高22-23个百分点;并在首页上提供更精细的控制将同意减少8-20个百分点，”他们在总结中写道。
他们认为研究的这一部分支持以下两种最常见的同意界面设计的概念：“第一页未显示“全部拒绝”按钮;并在显示精细控制之前显示大量选项”，这使用户更有可能表示同意，从而“违反了[GDPR]“免费给予”的原则。”
他们还参考了论文参与者的“定性思考”(这是在实地研究期间登记了个人的同意选择后通过调查获得的)，表明这些回答“使整个通知和同意模型产生了疑问，因为有特定的设计决策，而仅仅是因为在用户完成其主要任务之前需要采取某种措施，并且如果将它们逐个网站显示的话，它们就会显得过于频繁。”
因此，换句话说，只是打扰网络用户以要求他们做出选择这一事实本身可能会施加足够大的压力，从而可能使任何最终的“同意”无效。
该研究发现旨在推敲甚至强迫同意的操纵性设计和配置盛行，这表明欧洲的互联网用户实际上并未从旨在保护其数字数据免遭不当利用的法律框架中受益，而受到了很大的打击。嘈杂，分散注意力和轻率的“同意剧院”。
Cookie通知不仅会给普通的互联网用户在尝试进行日常业务时带来摩擦和挫折感，而且当前的情况正在造成虚假的法规遵从表贴–在实际上是对权利的严重践踏下，大规模数字化白天的人们数据抢劫。
问题在于，欧盟监管机构多年来一直在关注在线跟踪问题，而完全没有执行纸上标准。
研究人员指出，确实确实缺乏执法。 (工业游说/政治压力，有限的资源，规避风险和规章制度以及围绕数字权利的不作为的遗产都可能归咎于此。)
尽管GDPR于2018年5月才开始应用，但欧洲已有关于数据收集机制(如Cookie)的法规，将近二十年之久-该论文指出，自2002年起对ePrivacy Directive进行的修订使其成为一项要求“在提供明确请求的服务时“非严格必要”地存储或访问用户设备上的信息，既需要清晰，全面的信息，也需要选择同意。”
当被问及研究结果时，主要作者Midas Nouwens质疑CMP供应商为什么出售所谓的“合规”工具，该工具首先允许不合规的配置。
他告诉TechCrunch：“这很可悲，但我不认为任何人都会对弹出式窗口遵守GDPR感到惊讶。” “令人震惊的是提供同意弹出窗口的公司如何允许不兼容的界面设计。为什么他们让客户将滚动视为同意或将拒绝按钮埋在第三页的某个位置?”
他补充说：“如果我们不希望GDPR与ePrivacy指令走同一条路，那么执行实际上是下一个重大挑战。” “由于执法机构的资源有限，与针对单个网站相比，关注大众同意弹出窗口提供商可能是一种更为有效的策略。
“不幸的是，在我们等待执法期间，这些弹出窗口中的暗黑图案仍在操纵人们，使其被跟踪。”
这篇论文的另一位研究者，UCL数字权利和法规讲师Michael Veale也对CMP供应商允许以明显旨在操纵互联网用户的方式配置他们的工具表示震惊，从而无视法律。
在论文中，研究人员敦促监管者采取更明智的方法来解决此类广泛的违规行为，例如通过使用自动化工具“加快发现和执行不符合要求的Cookie通知”，并建议他们在“更上游”开展工作-例如例如，对CMP的供应商提出了要求，“以仅允许将合规设计投放市场”。
Veale对我们说：“令人震惊的是，有多少大型的同意弹出窗口提供者以明显违反数据保护法的方式，例如通过隐式同意，对其系统进行了错误配置，” Veale告诉我们，并补充道：“我怀疑数据保护当局看到了这种广泛的违法行为，因此不确定从哪里开始。但是，如果他们不开始执行这些准则，目前尚不清楚这种广泛的违法行为何时将停止。”
他还指出：“这项研究甚至高估了合规性，因为我们不关注单击这些按钮时跟踪的实际情况，其他最近的研究在许多情况下都强调会误导个人，什么也不做。”
我们与英国的数据保护监管机构ICO取得了联系，以对这项研究做出回应。一位发言人指出，我们指向了去年发布的该cookie建议博客，称该建议包含“仍然存在”。
在博客中，ICO技术政策负责人阿里·沙阿(Ali Shah)建议，今年监管机构可能会采取一些行动(尽管数量有限)以清理Cookie同意书，而沙阿(Shah)则写道：将来的ICO。但是，就像我们所有权力一样，任何将来的行动都将是相称且基于风险的。”
尽管欧洲公民等待数据保护监管机构针对系统性违反GDPR的行为采取有意义的行动，包括那些对未经同意的网站用户进行跟踪的行为，但欧洲互联网用户可以采取步骤来减少Cookie同意弹出式窗口的痛苦：这项研究的研究人员构建了一个开放源代码浏览器扩展程序，该扩展程序可以根据用户可定制的首选项自动回答弹出窗口。
它称为Consent-o-Matic，并且有适用于Firefox和Chrome的版本。
@AarhusUni送给我们*的节日礼物：同意-马蒂克!一个浏览器扩展程序，可以自动为您答复同意弹出式窗口。 Firefox：https：//t.co/5PhAEN6eOd
在发布时，该工具可以自动响应由五家大型CMP供应商(QuantCast，OneTrust，TrustArc，Cookiebot和Crownpeak)构建的cookie标语。
但是，由于它是开源的，因此希望其他人可以在此基础上扩展其能够自动响应的弹出窗口的类型。在没有法律强制执行的“请勿追踪”浏览器标准的情况下，这对于那些在网上追踪行业急于寻求更轻松的代理机构的互联网用户来说，已经足够了。
在上个月宣布该工具的Twitter帖子中，Nouwens将这个项目描述为利用“对抗性互操作性”作为亲隐私策略。
他说：“自动化同意和隐私偏好并不是什么新鲜事(DNT和P3P)，但是该项目使用对抗性互操作性，而不是依靠行业自我监管或从根本上反对的利益相关者(浏览器，广告商，出版商)买进。”
然而，他补充了一个警告，提醒用户要警惕数据吸引者的进一步违规行为-指出也由Veale标记的早期研究论文，发现一小部分网站(约7%)完全忽略了对 Cookie弹出窗口并跟踪用户(无论响应如何)。
因此，有时即使是无缝的自动“否”进行跟踪也可能总归为被跟踪…