We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.

Astonus gadus pec VDAR stuasanas speka mes nolemam partraukt spekulacijas par piekrišanas atbilstibu un to izmērit. Mēs vērsām savu skeneri uz 97 304 tīmekļa vietnēm 25 no 27 ES dalībvalstīs un precīzi reģistrējām, kas notiek reālā pārlūkprogrammā pirms, pēc un piekrišanas laikā. Ne to, ko sola privātuma politika. Ne to, ko ziņo CMP informācijas panelis. To, kas faktiski notiek pārlūkprogrammā, kad pirmo reizi apmeklētājs nonāk lapā.

Mūsu datu kopā izsekošana pirms piekrišanas bija izplatīta: divas trešdaļas ES tīmekļa vietņu sāk izsekot apmeklētājus pirms jebkādas piekrišanas mijiedarbības. Vairāk nekā puse neuzrāda nekādu piekrišanas joslu. Un kad tīmekļa vietnes piedāvā noraidīšanas pogu, tā nespēj apturēt izsekošanu 80% gadījumu. Tie nav izņēmuma gadījumi vai tehniski nieki. Tas ir piekrišanas atbilstības bāzes stāvoklis visā Eiropas Savienībā 2026. gadā.

Metodoloģija: kā mēs to mērījām

Pirms iedziļināšanās secinājumos, ir svarīgi, kā mēs apkopojām šos datus, jo metodoloģija nosaka, vai šādi skaitļi ir nozīmīgi vai maldinoši.

Tīmekļa vietņu saraksts

Mēs izveidojām izlasi no Tranco Top 1M saraksta — pētnieciskas kvalitātes domēnu reitinga, kas veidots, apvienojot vairāku neatkarīgu reitingu avotu datus. Tranco ir īpaši izstrādāts, lai pretotos manipulācijām un nodrošinātu stabilus reitingus tīmekļa mērījumu pētījumiem, kas padara to par standarta avotu liela mēroga tīmekļa pētniecībā. Mēs filtrējām domēnus, kas saistīti ar 25 no 27 ES dalībvalstīm, pamatojoties uz valsts koda TLD un reģistrācijas datiem, iegūstot 114 748 kandidātu URL. No tiem 97 304 tika veiksmīgi pabeigti — pārējie neizdevās DNS kļūdu, savienojuma taimauta vai pilnībā nesasniedzamu vietņu dēļ.

Ko skeneris dara

Katra skenēšana izmanto mūsu ražošanas skenēšanas dzinēju: Go lietojumprogrammu, kas vada pilnu headless Chromium pārlūkprogrammu caur Chrome DevTools Protocol. Tas nav statisks HTML skrāperis vai sīkdatņu datubāzes meklēšana. Katrai tīmekļa vietnei skeneris:

1. Palaiž tīru Chromium instanci bez saglabātām sīkdatnēm, bez lokālās krātuves un bez pārlūkošanas vēstures — simulējot patiesu pirmreizēju apmeklētāju.

2. Pāriet uz mērķa URL un gaida, kamēr lapa ielādējas.

3. Uzņem momentuzņēmumu pirms piekrišanas: katru iestatīto sīkdatni, katru veikto tīkla pieprasījumu, katru kontaktēto trešo pušu domēnu — visu pirms jebkādas piekrišanas mijiedarbības.

4. Mēģina noteikt piekrišanas joslu, izmantojot bibliotēku, kas aptver 45 zināmas CMP, kā arī vispārīgas heiristikas.

5. Mijiedarbojas ar joslu (pieņem vai noraida) un reģistrē stāvokli pēc mijiedarbības.

6. Noraidīšanas plūsmas testēšanai: pārlādē lapu un pārbauda, vai noraidījums tika ievērots vai sīkdatnes atjaunojas.

Katrs solis rada laikzīmogotus pierādījumus: pilnus sīkdatņu inventārus, tīkla pieprasījumu žurnālus un ekrānuzņēmumus. Kad mēs sakām, ka tīmekļa vietne "aktivizē izsekošanu pirms piekrišanas", mēs domājam, ka novērojām faktiskus HTTP pieprasījumus uz zināmiem izsekošanas domēniem un faktiskas sīkdatnes, kas tika iestatītas pārlūkprogrammā — nevis to, ka mēs to secinājām no skripta taga HTML kodā.

Ko "pirms piekrišanas" tehniski nozīmē

Tas ir būtiskais jēdziens. Uzvedība pirms piekrišanas ir viss, kas notiek no brīža, kad lapa sāk ielādēties, līdz brīdim, kad lietotājs pirmo reizi mijiedarbojas ar piekrišanas mehānismu. Praksē šis loga parasti ir 2-5 sekundes, bet daudzās vietnēs tas izstiepjas ilgāk, lapai ielādējot papildu resursus. Šajā logā apmeklētājam nav bijusi iespēja neko pieņemt vai noraidīt. Saskaņā ar ePrivātuma direktīvas 5. panta 3. punktu (kā to interpretējusi EST lietā Planet49, C-673/17), informācijas glabāšanai lietotāja ierīcē vai piekļuvei jau saglabātajai informācijai ir nepieciešama iepriekšēja piekrišana — izņemot sīkdatnes, kas ir stingri nepieciešamas lietotāja pieprasītajam pakalpojumam. Jebkas nebūtisks, kas tiek aktivizēts šajā logā, pēc definīcijas darbojas bez derīgas piekrišanas.

1. secinājums: izsekošana pirms piekrišanas ir norma, nevis izņēmums

Vissvarīgākais skaitlis šajā pētījumā: 68% skenēto tīmekļa vietņu aktivizē trešo pušu izsekošanu pirms lietotājs ir devis piekrišanu. Cieši saistīts: 66,6% iestata sīkdatnes pirms piekrišanas.

Tās nav vienas un tās pašas metrikas. Tīmekļa vietne var sazināties ar trešās puses izsekošanas domēnu (izsūtīt pikseli, ielādēt skriptu) bez tā, ka šis domēns veiksmīgi iestata sīkdatni — piemēram, ja pārlūkprogramma bloķē trešo pušu sīkdatnes. Un otrādi — pirmās puses analītikas sīkdatne var tikt iestatīta, nesazinoties ar ārēju domēnu. Abas uzvedības ir problemātiskas, bet tās pārstāv dažādus tehniskus mehānismus un dažādus juridiskus riskus.

Pirms piekrišanas darbību apjoms ir ievērojams:

Mediāna 6 ir, iespējams, informatīvāka nekā vidējais rādītājs. Puse no visām skenētajām tīmekļa vietnēm sazinās ar vismaz sešiem ārējiem domēniem, pirms lietotājam ir jebkāda iespēja dot piekrišanu. Tie nav satura piegādes tīkli vai fontu serveri (kurus mēs izslēdzam no izsekošanas klasifikācijas). Tās ir reklāmas platformas un analītikas pakalpojumi.

Pirms piekrišanas darbību sadalījums pēc sīkdatņu kategorijas atklāj, kam šī izsekošana faktiski ir paredzēta:

Gandrīz katra trešā ES tīmekļa vietne iestata analītikas sīkdatnes pirms piekrišanas. Gandrīz katra piektā iestata mārketinga sīkdatnes. Juridiskā pozīcija šajā jautājumā ir nepārprotama: EDAK ir atkārtoti apstiprinājis, ka analītikas un mārketinga sīkdatnēm ir nepieciešama piekrišana saskaņā ar ePrivātuma direktīvas 5. panta 3. punktu. EST spriedums lietā Planet49 skaidri norādīja, ka piekrišanai jābūt aktīvai, apstiprinošai darbībai — un tā nevar būt apstiprināta, ja tā vēl nav notikusi.

Praktiskā ietekme ir tāda, ka līdz brīdim, kad apmeklētājs redz sīkdatņu joslu un apsver, vai pieņemt vai noraidīt, viņa pārlūkprogramma jau ir identificēta, viņa apmeklējums jau ir reģistrēts analītikas platformās, un daudzos gadījumos viņa pārlūkošanas profils jau ir atjaunināts reklāmas tīklos. Piekrišanas izvēle, kad tā pienāk, ir daļēji retroaktīva — un retroaktīva piekrišana nav piekrišana.

2. secinājums: piekrišanas joslas trūkums

Vairāk nekā puse mūsu skenēto tīmekļa vietņu — 53 508 no 97 304 jeb 55% — neuzrādīja piekrišanas joslu, ko mūsu noteikšanas sistēma varētu identificēt.

Šis skaitlis prasa rūpīgu interpretāciju. Ne katra tīmekļa vietne bez joslas obligāti pārkāpj likumu. Tīmekļa vietne, kas neiestata nebūtiskas sīkdatnes un nesazinās ar trešo pušu izsekošanas pakalpojumiem, var likumīgi darboties bez piekrišanas mehānisma. ePrivātuma izņēmums "stingri nepieciešamām" sīkdatnēm nozīmē, ka vietne, kas izmanto tikai sesijas sīkdatnes pieteikšanās vai iepirkumu groza funkcionalitātei, nav piekrišanas pienākuma šīm konkrētajām sīkdatnēm.

Bet tas nav tas, ko mēs novērojam. No 53 508 vietnēm bez nosakāmas joslas 18 026 aktīvi iestata nebūtiskas sīkdatnes un sazinās ar trešo pušu izsekošanas domēniem. Šīm vietnēm nav piekrišanas mehānisma, un tās izseko apmeklētājus no pirmās lapas ielādes. Mums nav zināms derīgs juridiskais pamats tam ne VDAR, ne ePrivātuma direktīvas ietvaros.

Pārējās vietnes bez joslām iedala vairākās kategorijās: vietnes, kas patiešām neiestata nebūtiskas sīkdatnes (un tāpēc var nebūt nepieciešama josla), vietnes, kas izmanto piekrišanas mehānismus, kurus mūsu noteikšanas sistēma nevarēja identificēt, un vietnes, kas vienkārši ir nefunkcionāli vai minimāla satura domēni. Mūsu 45 CMP noteikšanas bibliotēka plus vispārīgas heiristikas aptver lielāko daļu zināmo piekrišanas risinājumu, bet pielāgotas implementācijas neierastos ietvaros vai valodās var tikt nepamanītas.

Tomēr 18 026 skaitlis ir minimums, nevis maksimums, vietnēm bez joslas ar izsekošanu. Tās ir vietnes, kurām mums ir pozitīvi pierādījumi gan par izsekošanas darbību, gan joslas neesamību.

3. secinājums: noraidīšanas pogas neizdodas 80% gadījumu

Mēs veltījām atsevišķu ierakstu šim secinājumam, bet tas ir pelnījis plašu apskatu šeit, jo tas skar piekrišanas modeļa pašu būtību.

No 28 891 tīmekļa vietnēm, kurās mēs atklājām un veiksmīgi mijiedarbojāmies ar noraidīšanas pogu, 80,4% turpināja izsekošanu pēc tam, kad lietotājs noklikšķināja uz noraidīt. Tikai 5 650 vietnes (19,6%) izturēja noraidīšanas plūsmas testu — tas nozīmē, ka izsekošana patiešām apstājās un palika apstājusies.

Neveiksmes iedala pārklājošās kategorijās:

Piekrišanas atjaunošanās (consent respawn) ir modelis, ko mēs identificējām šī pētījuma laikā. Lietotājs noklikšķina uz noraidīt, CMP noņem sīkdatnes, un tad nākamajā lapas ielādē šīs sīkdatnes atkal parādās. 1 642 vietnēs mēs novērojām 4 932 atsevišķas sīkdatnes ar šādu uzvedību. Mehānisms atšķiras — trešo pušu skripti, kas atkārtoti aktivizējas neatkarīgi no piekrišanas stāvokļa, tagu pārvaldnieki, kas nepārsūta noraidījumu visiem integrētajiem pakalpojumiem, servera puses Set-Cookie galvenes, kas ignorē klienta puses piekrišanas lēmumus — bet efekts ir vienāds. Noraidīšanas poga kļūst par pagaidu pauzi, nevis pastāvīgu izvēli.

Saskaņā ar VDAR 7. panta 3. punktu piekrišanas atsaukšanai jābūt tikpat vienkāršai kā tās sniegšanai, un pārzinim jārīkojas saskaņā ar šo atsaukšanu. Noraidīšanas poga, kas faktiski neaptur izsekošanu, neatbilst šai prasībai neatkarīgi no tehniskā cēloņa.

4. secinājums: valstu salīdzinājums

VDAR ir viens regulējums, bet atbilstība nav vienmērīga. Augsta riska tīmekļa vietņu procentuālais daudzums starp ES dalībvalstīm atšķiras gandrīz trīs reizes.

Šis modelis atbilst atšķirībām izpildes darbībā. Vācija un Austrija — BfDI, sešpadsmit federālo zemju DPA un attiecīgi DSB mītnes vietas — ir bijušas starp aktīvākajām Eiropas iestādēm, kas īpaši vēršas pret piekrišanas un sīkdatņu pārkāpumiem. DSB pieņēma vienu no pirmajiem izpildes lēmumiem pēc Schrems II. Vācijas federālo zemju DPA ir veikušas nozaru līmeņa sīkdatņu auditus un izdevušas norādošus norādījumus par to, kas uzskatāms par derīgu piekrišanu.

Pretējā galā Ungārija, Čehija, Rumānija un Polija ir DPA, kurām parasti trūkst resursu salīdzinājumā ar to digitālās ekonomikas apjomu, un kuras vēsturiski ir vērsušas izpildi uz datu aizsardzības pārkāpumiem un piekļuves pieprasījumiem, nevis sīkdatņu piekrišanu. Tā nav šo iestāžu kritika — tās darbojas ar tām piešķirtajiem budžetiem — bet tas ir skaidrs pierādījums, ka izpilde veicina atbilstību. Viens un tas pats juridiskais teksts, piemērots ar dažādu izpildes intensitāti, rada ievērojami atšķirīgus rezultātus.

Francija ir pamācoša. CNIL ir bijusi viena no Eiropas redzamākajām izpildes iestādēm, piemērojot rekordlielas soda naudas lieliem tehnoloģiju uzņēmumiem. Tomēr Francijas tīmekļa vietnes atrodas pie 44,1% augsta riska — tuvu ES vidējam rādītājam. Izskaidrojums, iespējams, slēpjas CNIL izpildes stratēģijā: augsta profila darbības pret lielām platformām rada virsrakstus, bet tieši nemaina uzvedību tūkstošiem mazu un vidēju uzņēmumu, kas veido tīmekļa garo asti. Plaša uzvedības maiņa prasa vai nu nozaru līmeņa izpildes kampaņas (kā Vācija to darījusi) vai vispārēju uztverto izpildes risku pieaugumu.

Mēs apskatām valstu datus detalizētāk mūsu valstu salīdzinājuma ierakstā.

5. secinājums: CMP tirgus daļa un ko tā mums stāsta

Starp 43 796 tīmekļa vietnēm (45%), kas uzrādīja nosakāmu piekrišanas joslu, mēs identificējām 45 dažādas piekrišanas pārvaldības platformas. Tirgus ir koncentrēts augšgalā, bet sadrumstalots garajā astē.

Lielākā atsevišķā kategorija ir "Vispārīgs / neidentificēts" ar 34,7%. Tās ir vietnes, kas izmanto piekrišanas risinājumus, kuri neatbilda nevienai no 45 CMP parakstiem mūsu noteikšanas bibliotēkā. Tās ietver pašbūvētas sīkdatņu joslas, maz pazīstamus WordPress spraudņus, reģionālus CMP nodrošinātājus un implementācijas, kas ir tik minimālas, ka sastāv no viena aizvēršama div ar pogu "Sapratu". Šīs kategorijas atbilstības kvalitāte vidēji ir ievērojami zemāka nekā atzītām CMP, lai gan mēs vēl neesam publicējuši atbilstības rādītājus pa CMP.

Joslas mijiedarbības dati atklāj vēl vienu bažu avotu. No 43 796 atklātajām joslām:

Gandrīz katra piektā piekrišanas josla nepiedāvā redzamu veidu, kā noraidīt nebūtiskas sīkdatnes, neejot uz otro iestatījumu slāni. EDAK Pamatnostādnes 05/2020 par piekrišanu nosaka, ka atteikšanās no piekrišanas nedrīkst prasīt vairāk pūļu nekā tās sniegšana. Dizains, kas prasa papildu klikšķus, lai atteiktos, bet piedāvā pieņemšanu ar vienu klikšķi, saskaņā ar šīm pamatnostādnēm ir tumšais modelis, kas grauj piekrišanas derīgumu.

Mēs arī atklājām konkrētas tumšo modeļu implementācijas: 3 454 vietnes (7,9% no tām ar joslām) ievietoja noraidīšanas opciju tikai otrajā slānī, 84 vietnes izmantoja sīkdatņu sienas (bloķējot saturu līdz piekrišanas sniegšanai), un 137 vietnes uzrādīja botu piekrišanas apiešanu — apzināti slēpjot joslu no automatizētiem skeneriem, bet rādot to cilvēku apmeklētājiem.

6. secinājums: sīkdatņu dzīves ilguma ļaunprātīga izmantošana

EDAK iesaka maksimālo sīkdatņu dzīves ilgumu 13 mēneši. Tas nav stingrs juridisks ierobežojums VDAR tekstā, bet tas atspoguļo EDAK interpretāciju par glabāšanas ierobežošanas principu (5. panta 1. punkta e) apakšpunkts) attiecībā uz izsekošanas identifikatoriem. Vairākas valstu DPA, tostarp CNIL, ir pieņēmušas šo ieteikumu kā saistošu standartu savā izpildē.

Mūsu skenēšana atklāja 26 250 tīmekļa vietnes (27%) ar vismaz vienu sīkdatni, kas pārsniedz 13 mēnešu slieksni, kopā 58 127 atsevišķas sīkdatnes.

Visbiežākais pārkāpējs ir Google Analytics izmantotā `_ga` sīkdatne, kas pēc noklusējuma ir iestatīta ar divu gadu dzīves ilgumu. Tas nozīmē, ka pat tīmekļa vietnes ar citādi funkcionāliem piekrišanas mehānismiem bieži pārkāpj noteikumus vienkārši tāpēc, ka nav mainījušas noklusēto GA sīkdatnes derīguma termiņu. Tā ir konfigurācijas problēma, nevis tehnisks ierobežojums — Google Analytics ļauj iestatīt pielāgotus sīkdatņu dzīves ilgumus — bet noklusējums neatbilst EDAK norādījumiem, un lielākā daļa vietņu operatoru to nekad nemaina.

Ilglaicīgas sīkdatnes rada kumulatīvu privātuma risku. Divu gadu sīkdatne nav vienkārši "nedaudz ilgāka par 13 mēnešiem". Tas nozīmē, ka lietotājs, kurš apmeklē vietni vienu reizi, piekrīt un nekad neatgriežas, joprojām var tikt identificēts un izsekots šīs vietnes analītikā divus gadus. Ja lietotājs vēlāk atsauc piekrišanu vai mainās juridiskais pamats, sīkdatne saglabājas kā "spoku identifikators" līdz tās derīguma termiņa beigām.

Papildu secinājumi

Vairāki citi pētījuma secinājumi ir pelnījuši īsu pieminēšanu:

Pirkstu nospiedumu noteikšana. Mēs atklājām pārlūkprogrammas pirkstu nospiedumu signālus (canvas fingerprinting, WebGL fingerprinting, audio context fingerprinting) 4 114 tīmekļa vietnēs (4,2%). Pirkstu nospiedumu noteikšana ir īpaši satraucoša, jo to nevar novērst, dzēšot sīkdatnes — tā izmanto pārlūkprogrammas un ierīces raksturīgās īpašības kā identifikatorus. ePrivātuma direktīva pirkstu nospiedumu noteikšanu uzskata par ekvivalentu sīkdatņu balstītai izsekošanai piekrišanas nolūkos. Google Consent Mode neatbilstības. Starp vietnēm, kas ievieš Google Consent Mode, 28,4% tika konstatēts kā to izmantojošas, kamēr 13,7% vietņu, kas izmanto Google pakalpojumus, neuzrādīja Consent Mode implementāciju. Vēl satraucošāk — 11,9% uzrādīja neatbilstības — piekrišanas stāvoklis, kas ziņots Google API, neatbilda faktiskajai izsekošanas uzvedībai, kas novērota pārlūkprogrammā. Tas nozīmē, ka CMP paziņo Google, ka piekrišana tika liegta, bet izsekošanas pieprasījumi turpina darboties. Pieejamība. Piekrišanas joslas ir juridiski obligāti saskarnes elementi, un, ja tās ir nepieejamas, daļa lietotāju nevar izmantot savas tiesības. Starp atklātajām joslām: 25% bija pieskāriena mērķi zem ieteicamajiem minimālajiem izmēriem, 15,2% bija zema kontrasta teksts, un 3,4% nebija pieejamas ar tastatūru. Josla, ko nevar lietot ar tastatūru, faktiski liedz piekrišanas izvēli lietotājiem, kas paļaujas uz palīgtehnoloģijām — pārkāpums, kas krustojas gan ar VDAR, gan pieejamības regulējumu.

Kopējais riska sadalījums

Apkopojot visu kopā, 97 304 skenēto vietņu agregētā riska klasifikācija:

14,9% nenoteiktais rādītājs atspoguļo vietnes, kurās skeneris nevarēja panākt uzticamu noteikšanu — parasti botu noteikšanas, sarežģītu vienas lapas lietojumprogrammu arhitektūru vai no laika atkarīgas uzvedības dēļ. Mēs ziņojam par tām godīgi, nevis piespiežam tās ievietot pozitīvā/negatīvā klasifikācijā, jo viltus pārliecība par atbilstības datiem ir sliktāka nekā atzīta nenoteiktība.

Ko tas nozīmē tīmekļa vietņu īpašniekiem

Ja jūs pārvaldāt tīmekļa vietni, kas apkalpo ES apmeklētājus, četras darbības risina visbiežāk sastopamos un augstākā riska secinājumus:

1. Pārbaudiet, kas ielādējas pirms piekrišanas. Atveriet savu vietni privātā pārlūkprogrammas logā, atveriet izstrādātāja rīkus un vērojiet Tīkla un Lietojumprogrammas cilnes pirms mijiedarbojaties ar jebkādu joslu. Ja redzat pieprasījumus uz analītikas vai reklāmas domēniem, vai sīkdatnes no šiem pakalpojumiem, jūsu uzvedība pirms piekrišanas nav atbilstoša. Labojums parasti ir tagu pārvaldnieka konfigurācija: nodrošiniet, ka nebūtiski skripti tiek bloķēti līdz apstiprinošas piekrišanas reģistrēšanai. 2. Testējiet savu noraidīšanas plūsmu no gala līdz galam. Noklikšķiniet uz noraidīt savā joslā, tad pārbaudiet, vai nebūtiskās sīkdatnes ir pazudušas. Tad pārlādējiet lapu un pārbaudiet vēlreiz. Ja sīkdatnes atkal parādās, jums ir piekrišanas atjaunošanās problēma, kas prasa izpētīt, kuri skripti apiet jūsu piekrišanas mehānismu. Mūsu dati rāda, ka tas ietekmē pārsteidzoši lielu skaitu vietņu, pat tās, kas izmanto cienījamas CMP. 3. Pārbaudiet savu sīkdatņu dzīves ilgumus. Ja izmantojat Google Analytics ar noklusējuma iestatījumiem, jūsu `_ga` sīkdatnei ir divu gadu dzīves ilgums. Mainiet to uz 13 mēnešiem vai mazāk. Pārskatiet visas sīkdatnes, ko jūsu vietne iestata, un nodrošiniet, ka neviena nepārsniedz EDAK ieteikumu. Tas ir ātra konfigurācijas labojums, kas novērš bieži sastopamu atbilstības secinājumu. 4. Nodrošiniet, ka jūsu josla ir pieejama un piedāvā noraidīšanu pirmajā slānī. Ja jūsu noraidīšanas opcija prasa pāriet uz otro iestatījumu lapu, kamēr "Pieņemt visu" ir viens klikšķis, jūsu piekrišanas mehānisms var neatbilst EDAK pamatnostādnēm. Pārskatiet joslu attiecībā uz tastatūras pieejamību, pieskāriena mērķu izmēriem un kontrasta attiecībām.

Metodoloģijas piezīmes un godīgi ierobežojumi

Mēs vēlamies būt caurspīdīgi par to, ko šis pētījums var un ko nevar jums pastāstīt.

Ko tas labi mēra: uzvedību pirms piekrišanas, sīkdatņu inventārus, tīkla pieprasījumus uz zināmiem izsekošanas domēniem, joslas esamību un struktūru, noraidīšanas plūsmas rezultātus un sīkdatņu dzīves ilgumus. Tie ir objektīvi, uz pierādījumiem balstīti mērījumi, kas reģistrēti no reālas pārlūkprogrammas uzvedības. Ko tas mēra nepilnīgi: CMP noteikšana nav 100% visaptveroša. Vietnes, kas izmanto piekrišanas risinājumus, kuru nav mūsu 45 CMP bibliotēkā, var tikt nepareizi klasificētas kā vietnes bez joslas. No GeoIP atkarīgas joslas var tikt attēlotas atšķirīgi atkarībā no skenera tīkla atrašanās vietas. Vienas lapas lietojumprogrammas, kas pārvalda piekrišanu klienta puses stāvoklī bez DOM izmaiņām, ir grūtāk novērtējamas. Dažas vietnes atklāj automatizētas pārlūkprogrammas un maina savu uzvedību atbilstoši (mēs atklājām 137, kas to dara apzināti). Ko tas nemēra: likumīgo interešu prasības (kas prasa juridisku, nevis tehnisku novērtējumu), privātuma politiku kvalitāti, vai piekrišanas ieraksti tiek pienācīgi glabāti, vai datu apstrādes darbības ir samērīgas. Tās ir svarīgas atbilstības dimensijas, kas nav novērojamas tikai no pārlūkprogrammas uzvedības.

14,9% nenoteiktais rādītājs ir mūsu drošības vārsts vietnēm, kurās mēs nevarējām panākt uzticamu tehnisku noteikšanu. Mēs dodam priekšroku godīgai nenoteiktībai, nevis viltus precizitātei.

---

Pārbaudiet savu tīmekļa vietni. Veiciet bezmaksas skenēšanu gdprprivacymonitor.eu un skatiet, kas tieši notiek pirms, pēc un piekrišanas laikā jūsu vietnē. Skeneris rada tādus pašus pierādījumus, kādi parādīti šajā pētījumā — momentuzņēmumus pirms piekrišanas, sīkdatņu inventārus, noraidīšanas plūsmas rezultātus un riska klasifikāciju — jebkuram jūsu iesniegtajam URL.