80% of Cookie Reject Buttons Don't Actually Work — Here's the Proof

Iga küpsisebänner annab sama kaudse lubaduse: klõpsake "Keeldu" ja jälgimine peatub. Bänner kaob ja te sirvite rahus. See on tehing, millele nõusolekumudel on üles ehitatud -- idee, et kasutajatel on mõttekas, jõustatav valik.

Testisime seda lubadust 28 891 EL-i veebisaidil. 80,4% juhtudest on lubadus murtud. Jälgimine jätkub pärast seda, kui kasutaja on sõnaselgelt keeldumisele klõpsanud. Küpsised püsivad. Reklaamipikslid tulistavad edasi. Ja 1 642 saidil ilmuvad küpsised, mille keeldumine algselt eemaldas, tagasi järgmisel lehekülastusel -- mustrit, mida me nimetame consent respawn.

See ei ole marginaalne leid mõne valesti konfigureeritud saidi kohta. See viitab süsteemsele probleemile mehhanismis, millele sajad miljonid EL-i elanikke oma privaatsusõiguste kaitseks tuginevad.

Mida "Keeldu" peaks tegema -- õiguslikult

Õiguslik raamistik on selge. ePrivacy direktiivi artikli 5 lõike 3 kohaselt nõuab kasutaja terminalseadmesse teabe salvestamine või sellele juurdepääs eelnevat nõusolekut, kitsa erandiga küpsistele, mis on rangelt vajalikud kasutaja poolt sõnaselgelt soovitud teenuse jaoks. GDPR-i artikli 7 lõige 3 lisab, et nõusoleku tagasivõtmine peab olema sama lihtne kui selle andmine ja vastutav töötleja peab tagasivõtmisele reageerima.

EDPB juhised 05/2020 nõusoleku kohta GDPR-i alusel selgitavad, mida see keeldumise nuppude jaoks tähendab: kui veebisait pakub "Nõustu kõigiga" valikut, peab ta pakkuma ka sama silmatorkavat ja sama kergesti ligipääsetavat keeldumise valikut. Ja see keeldumine peab olema tõhus -- see peab tegelikult takistama töötlemist, mille nõusolek oleks volitanud.

Euroopa Kohus kinnitas seda Planet49 kohtuasjas (C-673/17): nõusolek nõuab selget jaatavat tegu ja eelmärgistatud märkeruudud ei kujuta kehtivat nõusolekut. Loogiline järeldus on, et keeldumine -- sõnaselge eitav tegu -- peab olema austatud sama lõplikult kui nõustumine. Kui "Nõustu" klõpsamine lülitab jälgimise sisse, peab "Keeldu" klõpsamine selle välja lülitama. Mitte osaliselt. Mitte ajutiselt. Täielikult ja püsivalt.

Seda ütleb seadus. Meie andmed näitavad, mis tegelikult juhtub.

Kuidas me keeldumise voogu testime

Meie keeldumise voo test on kavandatud olema võimalikult lähedane päris inimkasutaja kogemusele, kes klõpsab keeldumisele, lisades põhjaliku instrumenteerimise. Siin on protsess samm-sammult:

Samm 1: puhas brauserisessioon. Skanner käivitab puhta Chromium eksemplari -- ilma küpsiste, kohaliku mälu, vahemällu salvestatud ressursside ega sirvimisajaloota. See on tõeline esmakülastaja ilma eelneva nõusolekuolekuta. Samm 2: navigeeri ja salvesta nõusolekueelne olek. Skanner laeb siht-URL-i ja ootab lehe stabiliseerumist. Enne mis tahes suhtlust salvestab ta iga brauseris oleva küpsise, iga tehtud võrgupäringu ja iga kontakteeritud kolmanda osapoole domeeni. See on nõusolekueelne lähteolukord -- mida sait teeb enne, kui kasutajal on võimalus valikut teha. Samm 3: tuvasta nõusolekubänner. Kasutades meie tuvastamisteeki, mis katab 45 tuntud CMP-d ja üldisi heuristikaid, tuvastab skanner nõusolekumehhanismi ja leiab keeldumise nupu. See samm kasutab kihilist lähenemist: esmalt kontrollides tuntud CMP skriptisignatuure ja nendega seotud DOM-struktuure, seejärel langedes tagasi fikseeritud positsiooniga elementide üldisele tuvastamisele nõusolekuga seotud teksti ja nuppude siltidega nagu "Reject All", "Decline", "Refuse" või samaväärsed tõlked. Samm 4: klõpsa keeldu. Skanner klõpsab keeldumise nupule ja ootab lehe stabiliseerumist. "Stabiliseerumine" tähendab ootamist, kuni ootel võrgupäringud lõpevad, DOM-mutatsioonid peatuvad ning animatsioonid või üleminekud lõpevad. Kasutame heldetelt ajalõppe, et vältida valepositiivseid aeglaste CMP rakenduste puhul. Samm 5: keeldumisjärgne hetktõmmis. Skanner salvestab taas täieliku oleku: kõik küpsised, kogu võrgutegevus, kõik kolmandate osapoolte domeenid. Seda hetktõmmist võrreldakse nõusolekueelse lähteolukorraga, et teha kindlaks, mis muutus. Samm 6: lae uuesti ja kontrolli taasilmumist. Skanner laeb lehe uuesti ja ootab taas stabiliseerumist. Seejärel teeb lõpliku hetktõmmise. See samm on kriitilise tähtsusega: see paljastab, kas keeldumine on püsiv (austatud üle lehekülastuste) või kas küpsised ja jälgimine aktiveeruvad uuesti värskelt laetud lehel. Kui küpsised, mis eemaldati sammus 5, ilmuvad sammus 6 uuesti, on tegemist consent respawn mustriga.

Iga samm tekitab ajatempliga, arhiivikõlbliku tõendusmaterjali: täielikud küpsiste inventuurid nimede, väärtuste, domeenide, aegumiskuupäevade ja lippudega; täielikud võrgupäringute logid URL-ide, meetodite, vastusekoodide ja ajastusega; ning täisleheküljelised ekraanipildid. See tõenduskett võimaldab igat üksikut leidu kontrollida ja vaidlustada.

Tulemused: 80,4% ebaõnnestumine

28 891 veebisaidist, kus me edukalt täieliku keeldumise voo testi läbi viisime:

• 5 650 (19,6%) läbis. Pärast keeldumisele klõpsamist eemaldati mitteolulised küpsised, jälgimispäringud peatusid ja keeldumine püsis üle lehekülastuste.
• 23 241 (80,4%) ebaõnnestus. Jälgimine jätkus mingil kujul pärast kasutaja sõnaselget keeldumist.

Ebaõnnestumised ei ole ühetaolised. Need jagunevad erinevatesse kategooriatesse, mis kattuvad -- üksik sait võib ilmutada mitut ebaõnnestumisrežiimi samaaegselt.

Püsivad küpsised: 10 848 saiti

10 848 saidil (37,5% testitust) jäid mitteolulised küpsised brauserisse pärast keeldumise voo lõppu. Need on küpsised, mis on klassifitseeritud analüütika-, turundus- või jälgimisega seotuks ja mis oleks pidanud olema eemaldatud või takistatud pärast keeldumist.

Levinumad püsivad küpsised kuuluvad Google Analytics'ile (`_ga`, `_gid`, `_gat`), Meta/Facebookile (`_fbp`, `fr`) ja erinevatele reklaamiplatvormidele. Paljudel juhtudel eemaldab CMP edukalt mõned küpsised, kuid ei suuda kõiki tabada -- viidates puudulikule integratsioonile nõusolekuhaldusplatvormi ja saidi kolmandate osapoolte skriptide täieliku nimekirja vahel.

Nende küpsiste olemasolu pärast keeldumist ei ole pelgalt esteetiline probleem. Igaüks neist on püsiv identifikaator, mis seob kasutaja praeguse seansi varasemate ja tulevaste külastustega. Näiteks `_ga` küpsis on unikaalne kliendi identifikaator, mida Google Analytics kasutab kasutaja käitumise pikaajalise profiili koostamiseks seansside lõikes. Kui see püsib pärast keeldumist, jälgitakse ja koondatakse kasutaja sirvimist olenemata tema väljendatud keeldumisest.

Püsivad jälgijad: 14 547 saiti

14 547 saidil (50,3% testitust) jäid jälgimisteenused aktiivseks pärast keeldumist -- see tähendab, et brauser jätkas päringute tegemist teadaolevatesse jälgimisdomeenidesse isegi pärast kasutaja keeldumise nupu klõpsamist.

See on erinev ebaõnnestumisrežiim küpsiste püsimisest. Jälgija võib olla aktiivne ilma küpsist seadmata: pikselpäringud, majakakutsed ja skriptide laadimised edastavad teavet (vähemalt kasutaja IP-aadressi, viitavat lehekülge ja ajastusandmeid) kolmandate osapoolte serveritesse olenemata sellest, kas küpsis on salvestatud. Seda nimetatakse mõnikord "küpsiseta jälgimiseks" ja see muutub üha tavalisemaks, kuna brauserid karmistuvad kolmandate osapoolte küpsiste piiranguid.

Lõhe küpsiste arvu (10 848) ja jälgijate arvu (14 547) vahel on märkimisväärne. See tähendab, et ligikaudu 3 700 saidil puhastasid keeldumistoimingud edukalt küpsised, kuid ei suutnud takistada jälgimispäringute jätkumist. CMP teostas küpsiste puhastamise, kuid ei blokeerinud skripte, mis genereerivad jälgimisliiklust. See viitab levinud arhitektuuriprobleemile: CMP on konfigureeritud haldama küpsiseid (kustutama need keeldumisel, takistama neid laadimisel), kuid mitte haldama skriptide käivitamist.

Consent respawn: 1 642 saiti, 4 932 küpsist

Consent respawn on kõige murettekitavam muster, mille me tuvastasime. 1 642 veebisaidil ilmusid keeldumistoiminguga edukalt eemaldatud küpsised uuesti pärast lehe uuesti laadimist. Nendel saitidel ilmutas 4 932 üksikut küpsist sellist taasilmumiskäitumist.

Consent respawn ei ole ühe CMP ega ühe konfiguratsiooni viga. See on struktuurne probleem selles, kuidas nõusolekut kogu veebivirna ulatuses rakendatakse.

Kuidas küpsis pärast kustutamist tagasi tuleb. Kui kasutaja klõpsab keeldumisele, teeb korralikult konfigureeritud CMP kaks asja: kustutab olemasolevad mitteolulised küpsised (seades nende aegumise minevikukuupäevale) ja uuendab nõusolekukirjet (tavaliselt küpsis ise või localStorage kirje), mis annab CMP blokeerimiseloogikale teada, et mitteolulisi skripte ei tohiks tulevaste lehekülastuste ajal käivitada. Kui mõlemad toimivad, on kasutaja puhas: pole jälgimisküpsiseid, pole jälgimisskripte.

Consent respawn juhtub, kui kustutamine õnnestub, kuid blokeerimine ebaõnnestub. Kõige levinum stsenaarium:

1. CMP kustutab `_ga` küpsise, kui kasutaja klõpsab keeldumisele.

2. CMP seab nõusolekuoleku küpsise, mis salvestab, et kasutaja on analüütikast keeldunud.

3. Järgmisel lehekülastusel kontrollib CMP oma nõusolekuolekut ja teab, et kasutaja keeldus.

4. Aga: Google Analytics'i skriptisilt on otse lehemallis (väljaspool sildihalduri) või laetakse sildihalduri reegli abil, mis ei kontrolli nõusolekuolekut.

5. GA skript laeb, ei näe `_ga` küpsist ja loob uue.

6. Kasutaja keeldumisotsus on tühistatud.

Selle mustri variandid hõlmavad: kolmandate osapoolte skripte, mis on laetud kõvakodeeritud `