80% of Cookie Reject Buttons Don't Actually Work — Here's the Proof

Katra sīkdatņu josla sniedz vienu un to pašu netiešu solījumu: noklikšķiniet uz "Noraidīt", un izsekošana apstājas. Josla pazūd, un jūs pārlūkojat mierā. Tas ir darījums, uz kura balstīts piekrišanas modelis — ideja, ka lietotājiem ir jēgpilna, izpildāma izvēle.

Mēs pārbaudījām šo solījumu 28 891 ES tīmekļa vietnē. 80,4% no tām solījums ir lauzts. Izsekošana turpinās pēc tam, kad lietotājs ir skaidri noklikšķinājis uz noraidīt. Sīkdatnes saglabājas. Reklāmas pikseļi turpina darboties. Un 1 642 vietnēs sīkdatnes, kuras noraidīšanas darbība sākotnēji dzēsa, atgriežas nākamajā lapas ielādē — modelis, ko mēs saucam par piekrišanas atjaunošanos (consent respawn).

Tas nav maznozīmīgs secinājums par dažām nepareizi konfigurētām vietnēm. Tas norāda uz sistēmisku problēmu mehānismā, uz kuru simtiem miljonu ES iedzīvotāju paļaujas savu privātuma tiesību nodrošināšanai.

Ko "Noraidīt" ir paredzēts darīt — juridiski

Juridiskais ietvars ir skaidrs. Saskaņā ar ePrivātuma direktīvas 5. panta 3. punktu informācijas glabāšanai vai piekļuvei lietotāja gala iekārtā ir nepieciešama iepriekšēja piekrišana, ar šauru izņēmumu sīkdatnēm, kas ir stingri nepieciešamas pakalpojumam, ko lietotājs ir tieši pieprasījis. VDAR 7. panta 3. punkts papildina, ka piekrišanas atsaukšanai jābūt tikpat vienkāršai kā tās sniegšanai, un datu pārzinim jārīkojas saskaņā ar šo atsaukšanu.

EDAK Pamatnostādnes 05/2020 par piekrišanu saskaņā ar VDAR precizē, ko tas nozīmē noraidīšanas pogām: ja tīmekļa vietne piedāvā opciju "Pieņemt visu", tai jāpiedāvā arī tikpat pamanāma un tikpat pieejama opcija atteikties. Un šai atteikšanai jābūt efektīvai — tai faktiski jānovērš apstrāde, ko piekrišana būtu atļāvusi.

EST to apstiprināja lietā Planet49 (C-673/17): piekrišanai nepieciešama skaidra apstiprināta darbība, un iepriekš atzīmētas izvēles rūtiņas nav derīga piekrišana. Loģiskais secinājums ir tāds, ka atteikumam — skaidrai noraidošai darbībai — jābūt ievērotam tikpat noteikti kā pieņemšanai. Ja noklikšķinot uz "Pieņemt" izsekošana ieslēdzas, noklikšķinot uz "Noraidīt" tai jāizslēdzas. Ne daļēji. Ne uz laiku. Pilnībā un pastāvīgi.

To nosaka likums. Mūsu dati rāda, kas notiek patiesībā.

Kā mēs testējam noraidīšanas plūsmu

Mūsu noraidīšanas plūsmas tests ir veidots, lai būtu pēc iespējas tuvāks reāla cilvēka pieredzei, noklikšķinot uz noraidīt, ar visaptverošas instrumentācijas papildinājumu. Šeit ir process soli pa solim:

1. solis: tīra pārlūkprogrammas sesija. Skeneris palaiž tīru Chromium instanci — bez sīkdatnēm, bez lokālās krātuves, bez kešatmiņas resursiem, bez pārlūkošanas vēstures. Tas ir patiess pirmreizējs apmeklētājs bez iepriekšēja piekrišanas stāvokļa. 2. solis: navigācija un pirms piekrišanas stāvokļa reģistrēšana. Skeneris ielādē mērķa URL un gaida, kamēr lapa stabilizējas. Pirms jebkādas mijiedarbības tas reģistrē katru pārlūkprogrammā esošo sīkdatni, katru veikto tīkla pieprasījumu un katru kontaktēto trešo pušu domēnu. Tas ir bāzes stāvoklis pirms piekrišanas — ko vietne dara, pirms lietotājam ir jebkāda iespēja izdarīt izvēli. 3. solis: piekrišanas joslas noteikšana. Izmantojot mūsu noteikšanas bibliotēku, kas aptver 45 zināmas CMP un vispārīgas heiristikas, skeneris identificē piekrišanas mehānismu un atrod noraidīšanas pogu. Šis solis izmanto daudzslāņu pieeju: vispirms pārbaudot zināmu CMP skriptu parakstus un to saistītās DOM struktūras, tad atgriežoties pie vispārīgas fiksēta pozīciju elementu noteikšanas ar piekrišanai saistītu tekstu un pogu etiķetēm kā "Noraidīt visu", "Atteikt", "Atteikties" vai līdzvērtīgiem tulkojumiem. 4. solis: noraidīšanas klikšķis. Skeneris noklikšķina uz noraidīšanas pogas un gaida, kamēr lapa nostabilizējas. "Nostabilizējas" nozīmē gaidīt, kamēr pabeidz gaidu tīkla pieprasījumus, DOM mutācijas apstājas un jebkādas animācijas vai pārejas beidzas. Mēs izmantojam lielas taimauta vērtības, lai izvairītos no viltus pozitīviem no lēnām CMP implementācijām. 5. solis: momentuzņēmums pēc noraidīšanas. Skeneris atkal reģistrē pilnu stāvokli: visas sīkdatnes, visu tīkla darbību, visus trešo pušu domēnus. Šis momentuzņēmums tiek salīdzināts ar bāzes stāvokli pirms piekrišanas, lai noteiktu, kas mainījies. 6. solis: pārlādēšana un atjaunošanās pārbaude. Skeneris pārlādē lapu un gaida, kamēr tā atkal nostabilizējas. Tad tas uzņem galīgo momentuzņēmumu. Šis solis ir izšķirošs: tas atklāj, vai noraidīšanas darbība ir pastāvīga (tiek ievērota starp lapas ielādēm) vai sīkdatnes un izsekošana atkārtoti aktivizējas, kad lapa ielādējas no jauna. Ja sīkdatnes, kas tika noņemtas 5. solī, atkal parādās 6. solī, tā ir piekrišanas atjaunošanās.

Katrs solis rada laikzīmogotus, arhivējamus pierādījumus: pilnus sīkdatņu inventārus ar nosaukumiem, vērtībām, domēniem, derīguma termiņiem un karodziņiem; pilnus tīkla pieprasījumu žurnālus ar URL, metodēm, atbilžu kodiem un laiku; un pilnas lapas ekrānuzņēmumus. Šī pierādījumu ķēde ļauj pārbaudīt un apstrīdēt jebkuru atsevišķu secinājumu.

Rezultāti: 80,4% neveiksme

No 28 891 tīmekļa vietnēm, kurās mēs veiksmīgi pabeidzām pilnu noraidīšanas plūsmas testu:

• 5 650 (19,6%) izturēja. Pēc noraidīšanas noklikšķināšanas nebūtiskās sīkdatnes tika noņemtas, izsekošanas pieprasījumi apstājās un noraidījums saglabājās starp lapas pārlādēšanām.
• 23 241 (80,4%) neizturēja. Izsekošana kādā formā turpinājās pēc tam, kad lietotājs skaidri noklikšķināja uz noraidīt.

Neveiksmes nav vienveidīgas. Tās iedala atsevišķās kategorijās, kas pārklājas — viena vietne var vienlaikus uzrādīt vairākus neveiksmes režīmus.

Saglabājušās sīkdatnes: 10 848 vietnes

10 848 vietnēs (37,5% no testētajām) nebūtiskas sīkdatnes palika pārlūkprogrammā pēc noraidīšanas plūsmas pabeigšanas. Tās ir sīkdatnes, kas klasificētas kā analītikas, mārketinga vai ar izsekošanu saistītas, un kurām vajadzēja tikt noņemtām vai novērstām no iestatīšanas pēc noraidīšanas darbības.

Visbiežāk saglabājušās sīkdatnes pieder Google Analytics (`_ga`, `_gid`, `_gat`), Meta/Facebook (`_fbp`, `fr`) un dažādām reklāmas platformām. Daudzos gadījumos CMP veiksmīgi noņem dažas sīkdatnes, bet nespēj aptvert visas — norādot uz nepilnīgu integrāciju starp piekrišanas pārvaldības platformu un vietnes pilno trešo pušu skriptu klāstu.

Šo sīkdatņu klātbūtne pēc noraidīšanas nav tikai estētiska problēma. Katra no tām ir pastāvīgs identifikators, kas saista lietotāja pašreizējo sesiju ar pagātnes un nākotnes apmeklējumiem. `_ga` sīkdatne, piemēram, ir unikāls klienta identifikators, ko Google Analytics izmanto, lai veidotu lietotāja uzvedības profilu starp sesijām. Ja tā saglabājas pēc noraidīšanas, lietotāja pārlūkošana turpina tikt izsekota un apkopota neatkarīgi no viņa izteiktā atteikuma.

Saglabājušies izsekotāji: 14 547 vietnes

14 547 vietnēs (50,3% no testētajām) izsekošanas pakalpojumi palika aktīvi pēc noraidīšanas — tas nozīmē, ka pārlūkprogramma turpināja veikt pieprasījumus uz zināmiem izsekošanas domēniem pat pēc tam, kad lietotājs noklikšķināja uz noraidīšanas pogu.

Tas ir atšķirīgs neveiksmes režīms no sīkdatņu saglabāšanās. Izsekotājs var būt aktīvs, neiestatot sīkdatni: pikseļu pieprasījumi, bākas izsaukumi un skriptu ielādes pārraida informāciju (vismaz lietotāja IP adresi, atsauces lapu un laika datus) uz trešo pušu serveriem neatkarīgi no tā, vai sīkdatne ir saglabāta. To dažreiz sauc par "izsekošanu bez sīkdatnēm", un tas kļūst arvien biežāks, pārlūkprogrammām pastiprinot trešo pušu sīkdatņu ierobežojumus.

Atšķirība starp sīkdatņu skaitli (10 848) un izsekotāju skaitli (14 547) ir nozīmīga. Tas nozīmē, ka aptuveni 3 700 vietnēs noraidīšanas darbība veiksmīgi dzēsa sīkdatnes, bet nespēja novērst izsekošanas pieprasījumu turpināšanu. CMP veica sīkdatņu tīrīšanu, bet nebloķēja skriptus, kas rada izsekošanas datplūsmu. Tas norāda uz bieži sastopamu arhitektūras problēmu: CMP ir konfigurēta sīkdatņu pārvaldībai (dzēst tās noraidīšanā, novērst ielādē), bet ne skriptu izpildes pārvaldībai.

Piekrišanas atjaunošanās: 1 642 vietnes, 4 932 sīkdatnes

Piekrišanas atjaunošanās ir visvairāk satraucošais modelis, ko mēs identificējām. 1 642 tīmekļa vietnēs sīkdatnes, kas tika veiksmīgi noņemtas ar noraidīšanas darbību, atkal parādījās pēc lapas pārlādēšanas. Šajās vietnēs 4 932 atsevišķas sīkdatnes uzrādīja šo atjaunošanās uzvedību.

Piekrišanas atjaunošanās nav kļūda vienā CMP vai vienā konfigurācijā. Tā ir strukturāla problēma tajā, kā piekrišana tiek implementēta visā tīmekļa stekā.

Kā sīkdatne atgriežas pēc dzēšanas. Kad lietotājs noklikšķina uz noraidīt, pareizi konfigurēta CMP veic divas lietas: dzēš esošās nebūtiskās sīkdatnes (iestatot to derīguma termiņu pagātnē) un atjaunina piekrišanas ierakstu (parasti pašu sīkdatni vai localStorage ierakstu), kas norāda CMP bloķēšanas loģikai novērst nebūtisku skriptu izpildi turpmākajās lapas ielādēs. Ja abi mehānismi darbojas, lietotājs ir tīrs: nav izsekošanas sīkdatņu, nav izsekošanas skriptu.

Piekrišanas atjaunošanās notiek, kad dzēšana izdodas, bet bloķēšana neizdodas. Visbiežākais scenārijs:

1. CMP dzēš `_ga` sīkdatni, kad lietotājs noklikšķina uz noraidīt.

2. CMP iestata piekrišanas stāvokļa sīkdatni, reģistrējot, ka lietotājs ir atteicies no analītikas.

3. Nākamajā lapas ielādē CMP pārbauda savu piekrišanas stāvokli un zina, ka lietotājs atteicies.

4. Bet: Google Analytics skripta tags ir iegults tieši lapas šablonā (ārpus tagu pārvaldnieka) vai tiek ielādēts ar tagu pārvaldnieka noteikumu, kas nepārbauda piekrišanas stāvokli.

5. GA skripts ielādējas, neredz `_ga` sīkdatni un izveido jaunu.

6. Lietotāja noraidīšanas lēmums ir atcelts.

Šī modeļa variācijas ietver: trešo pušu skriptus, kas ielādēti caur kodā iekļautiem `