80% of Cookie Reject Buttons Don't Actually Work — Here's the Proof

Minden cookie banner ugyanazt az implicit igeretet teszi: kattintson az "Elutasitas"-ra, es a kovetes leall. A banner eltunik, es On zavartalanul bongeszhet. Ez az az alkualapon, amelyre a hozzajarulasi modell epul -- az az elkepzeles, hogy a felhasznaloknak erdemben valasztasi lehetoseguk van, amelyet ervenyre is tudnak juttatni.

Ezt az igeretet 28 891 EU-s weboldalon teszteltuk. Az esetek 80,4%-aban az igeret nem teljesul. A kovetes tovabb folytatodik, miutan a felhasznalo kifejezetten az elutasitasra kattintott. A cookie-k megmaradnak. A hirdetesi pixelek tovabb tuzelnek. Es 1 642 oldalon az elutasitas soran kezdetben eltavolitott cookie-k ujra megjelennek a kovetkezo oldalbetolteskor -- ezt a mintat consent respawnnak nevezzuk.

Ez nem marginalis megallapitas nehany rosszul konfiguralt oldalrol. Ez egy rendszerszintu problemara mutat abban a mechanizmusban, amelyre szazmilliok tamaszkodnak EU-szerte az adatvedelmi jogaik ervenyre juttatasahoz.

Mit kellene tennie az "Elutasitas"-nak -- jogilag

A jogi keretrendszer egyertelmu. Az ePrivacy iranyelv 5. cikk (3) bekezdes ertelmeben a felhasznalo vegberendezesen tarolt informaciok elhelyezesehez vagy elereshez elozetes hozzajarulas szukseges, szuk kivetelkent azokat a cookie-kat, amelyek szigoruan szuksegesek a felhasznalo altal kifejezetten kert szolgaltatashoz. A GDPR 7. cikk (3) bekezdes hozzateszi, hogy a hozzajarulas visszavonasanak ugyanolyan egyszeru kell lennie, mint a megadasanak, es az adatkezelonek a visszavonasnak megfeleloen kell eljárnia.

Az EDPB 05/2020 iranymutatasa a GDPR szerinti hozzajarulasrol kifejti, mit jelent ez az elutasito gombokra vonatkozoan: ha egy weboldal "Osszes elfogadasa" lehetoseget kinal, ugyanolyan jol lathatoan es konnyen elerheto lehetoseget is kell kinalnia az elutasitasra. Es ennek az elutasitasnak hatekonyan kell ervenyesulnie -- valoban meg kell akadalyoznia azt az adatkezeles, amelyet a hozzajarulas engedelyezett volna.

Az Europai Unio Birosaga a Planet49 (C-673/17) ugyeben megerositette ezt: a hozzajarulashoz egyertelmu, igenlo cselekves szukseges, es az elore bejelolt jelolonegyzetek nem minosulnek ervenyes hozzajarulasnak. Ebbol logikusan kovetkezik, hogy az elutasitast -- egy kifejezett nemleges cselekvest -- ugyanolyan vegervennyel kell tiszteletben tartani, mint az elfogadast. Ha az "Elfogadas"-ra kattintas bekapcsolja a kovetest, az "Elutasitas"-ra kattintasnak ki kell azt kapcsolnia. Nem reszlegesen. Nem ideiglenesen. Teljesen es tartosan.

Ezt mondja a jog. Adataink azt mutatjak, mi tortenik valoban.

Hogyan teszteljuk az elutasitasi folyamatot

Az elutasitasi tesztunk ugy van kialakitva, hogy a leheto legjobban kozelitse egy valos felhasznalo elmenyet, aki az elutasitasra kattint, kiegeszitve atfogo muszerezettseggel. Ime a folyamat lepesrol lepesre:

1. lepes: Tiszta bongeszomunkamenet. A szkenner egy tiszta Chromium peldanyt indit -- nincsenek cookie-k, helyi tarolo, gyorsitotarazott eroforrasok vagy bongeszesi elozmenyek. Ez egy valos elso latogato, elozetes hozzajarulasi allapot nelkul. 2. lepes: Navigalas es a hozzajarulas elotti allapot rogzitese. A szkenner betolti a cel URL-t es megvarja az oldal stabilizalodasat. Barmilyen interakcio elott rogziti a bongeszobeen minden cookie-t, minden halozati kerest es minden megkeresett harmadik fel domaint. Ez a hozzajarulas elotti bazisallapot -- az, amit a weboldal tesz, mielott a felhasznalonak barmilyen lehetosege lenne donteni. 3. lepes: A hozzajarulasi banner eszlelese. A 45 ismert CMP-t es altalanos heuristikakat lefedo eszlelesi konyvtarunk segitsegevel a szkenner azonositja a hozzajarulasi mechanizmust es megtalja az elutasito gombot. Ez a lepes reteges megkozelitest alkalmaz: eloszor ismert CMP szkript-alairasokat es a hozzajuk tartozo DOM-strukturakat ellenorzi, majd visszaesik az allo vagy ragados pozicioju elemek altalanos eszlelesere, amelyek hozzajarulassal kapcsolatos szoveget es gombcimkeket tartalmaznak, peldaul "Osszes elutasitasa", "Elutasitas", "Megtagadas" vagy ezek megfeleloit. 4. lepes: Az elutasitasra kattintas. A szkenner rakattint az elutasito gombra es megvarja, amig az oldal "megnyugszik". Ez azt jelenti, hogy megvarja a fuggoen levo halozati keresek befejezeset, a DOM-mutaciok lealltat es az animaciok vagy atmenetek befejezeset. Nagyvonalubb idokorlátokat hasznalunk a lassu CMP megvalositasokbol eredo hamis pozitivok elkerulese erdekeben. 5. lepes: Elutasitas utani pillanatkep. A szkenner ujra rogziti a teljes allapotot: minden cookie, minden halozati aktivitas, minden harmadik fel domain. Ezt a pillanatkepet a hozzajarulas elotti bazisallapottal vetjuk ossze, hogy megallapitsuk, mi valtozott. 6. lepes: Ujratoltes es respawn ellenorzes. A szkenner ujratolti az oldalt es megvarja az ujboli stabilizalodast. Ezutan vegso pillanatkepet keszit. Ez a lepes kritikus: felfedi, hogy az elutasitasi cselekves tartos-e (az oldalak betoltesekor is ervenyes), vagy a cookie-k es a kovetes ujra aktivalodnak-e az uj oldalbetolteskor. Ha az 5. lepesben eltavolitott cookie-k a 6. lepesben ujra megjelennek, az consent respawn.

Minden lepes idobelyeggel ellatott, archiválasi celú bizonyítékot eredményez: teljes cookie-leltarakat nevvel, ertekkel, domainnevel, lejarati datummal es jelzobitekkel; teljes halozati keresnaplokat URL-ekkel, metodusokkal, valaszkodokkal es idozitessel; valamint teljes oldalas kepernyokepemet. Ez a bizonyiteklancol barmely egyedi megallapitas ellenorzesehez es vitatásahoz elegseges.

Az eredmenyek: 80,4%-os kudarcrata

A 28 891 weboldalbol, amelyeken sikeresen elvezgetuk a teljes elutasitasi tesztet:

• 5 650 (19,6%) atment. Az elutasitasra kattintas utan a nem alapveto cookie-k eltavolitasra kerultek, a kovetesi keresek lealltak, es az elutasitas az oldal ujratoltese utan is ervenyes maradt.
• 23 241 (80,4%) megbukott. A kovetes valamilyen formaban folytatodott, miutan a felhasznalo kifejezetten elutasitotta.

A kudarcok nem egyformark. Kulon kategoriakba sorolhatoak, amelyek atfedhetik egymast -- egyetlen oldal egyidejuleg tobb hibatipust is mutathat.

Megmarado cookie-k: 10 848 oldal

10 848 oldalon (a teszteltek 37,5%-an) a nem alapveto cookie-k az elutasitasi folyamat befejezese utan is megmaradtak a bongeszobeen. Ezek analitikai, marketing vagy kovetest szolgalo cookie-k, amelyeket az elutasitas utan el kellett volna tavolitani, vagy megkellett volna akadalyozni a beallitasukat.

A leggyakrabban megmarado cookie-k a Google Analytics (`_ga`, `_gid`, `_gat`), a Meta/Facebook (`_fbp`, `fr`) es kulonbozo hirdetesi platformok cookie-jai. Sok esetben a CMP sikeresen eltavolit nehany cookie-t, de nem fogja el az osszeset -- ami a hozzajarulas-kezelo platform es a weboldal harmadik feles szkriptjeinek teljes listaaja kozti hianyzos integraciora utal.

Ezeknek a cookie-knak az elutasitas utani jelenlete nem csupan kozmetikai problema. Mindegyik egy allo azonosito, amely a felhasznalo jelenlegi munkamenetet a multeliakhoz es a jovobeli latogatasokhoz koti. A `_ga` cookie peldaul egy egyedi ugyfeleazonosito, amelyet a Google Analytics hasznal a felhasznalo viselkedesenek munkameneteken atvelo hosszmetszeti profilozasahoz. Ha az elutasitas utan megmarad, a felhasznalo bongeszeset tovabbra is kovetik es osszesitik, fuggetlenul az elozetesen kifejezett elutasitastol.

Aktiv nyomkovetok: 14 547 oldal

14 547 oldalon (a teszteltek 50,3%-an) a nyomkovetesi szolgaltatasok az elutasitas utan is aktivak maradtak -- vagyis a bongeszo tovabbra is kerelmeket kuldott ismert nyomkoveto domenekre, meg azutan is, hogy a felhasznalo az elutasito gombra kattintott.

Ez egy kulon hibatipus a cookie-megmaradastol. Egy nyomkoveto cookie nelkul is aktiv lehet: pixel-keresek, beacon-hivasok es szkript-betoltesek informaciokat tovabbitanak (legalabb a felhasznalo IP-cimet, a hivatkozasi oldalt es idozitesi adatokat) harmadik feles szerverekre, fuggetlenul attol, hogy tarolasra kerul-e cookie. Ezt neha "cookie nelkuli kovetesnek" hivjak, es egyre elterjedtebb, ahogy a bongeszok szigoritjak a harmadik feles cookie-k korlatozasait.

A cookie-szam (10 848) es a nyomkoveto-szam (14 547) kozotti kulonbseg szamottevo. Ez azt jelenti, hogy korulbelul 3 700 oldalon az elutasitasi cselekves sikeresen torle a cookie-kat, de nem akadalyozta meg a kovetesi keresek folytatasat. A CMP kezelte a cookie-tistzitast, de nem blokkolta azokat a szkripteket, amelyek elsosorban kovetesi forgalmat generalnak. Ez egy gyakori architekturalis problemara mutat: a CMP ugy van konfigurálva, hogy kezeli a cookie-kat (torli oket elutasitaskor, megakadalyozza oket betolteskor), de nem kezeli a szkriptek futtatását.

Consent respawn: 1 642 oldal, 4 932 cookie

A consent respawn a legaggasztobb minta, amelyet azonositottunk. 1 642 weboldalon az elutasitasi muvelettel sikeresen eltavolitott cookie-k az oldal ujratoltese utan ujra megjelentek. Ezeken az oldalakon osszesen 4 932 egyedi cookie mutatta ezt a respawn viselkedest.

A consent respawn nem egyetlen CMP vagy egyetlen konfiguracio hibaja. Ez egy strukturalis problema abban, ahogyan a hozzajárulást a teljes webes veremben implementaljak.

Hogyan ter vissza egy cookie a torles utan. Amikor egy felhasznalo az elutasitasra kattint, egy megfeleloen konfiguralt CMP ket dolgot tesz: torli a meglevo nem alapveto cookie-kat (a lejarati datumuk mult idopontra allitasaval), es frissit egy hozzajarulasi rekordot (altalaban maga is egy cookie vagy egy localStorage-bejegyzes), amely megmondja a CMP blokkolasi logikajanak, hogy a jovobeli oldalbetoleteseknel akadalyozza meg a nem alapveto szkriptek futasat. Ha mindketto mukodik, a felhasznalo tiszta: nincsenek koveto cookie-k, nincsenek koveto szkriptek.

A consent respawn akkor tortenik, amikor a torles sikeres, de a blokkolas nem. A leggyakoribb forgatokonyv:

1. A CMP torli a `_ga` cookie-t, amikor a felhasznalo az elutasitasra kattint.

2. A CMP beallít egy hozzajarulasi allapot cookie-t, amely rogziti, hogy a felhasznalo elutasitotta az analitikát.

3. A kovetkezo oldalbetolteskor a CMP ellenorzi a hozzajarulasi allapotot es tudja, hogy a felhasznalo elutasitotta.

4. De: a Google Analytics szkript tag kozvetlenul az oldal sablonba van agyazva (a tag manageren kivul), vagy egy tag manager szabaly tolti be, amely nem ellenorzi a hozzajarulasi allapotot.

5. A GA szkript betoltodik, nem talal `_ga` cookie-t, es ujat hoz letre.

6. A felhasznalo elutasitasi dontese felulirva.

Ennek a mintanak a variációi kozott szerepelnek: harmadik feles szkriptek, amelyeket bevezeteett `