Vyšlo na Lupě, 20.9.2010
Vytištěno z adresy: http://www.earchiv.cz/b10/b0920001.php3

Zreguluje Evropa cookies v našich browserech?

Evropská komisařka pro digitální agendu, Neelie Kroesová, v pátek důrazně vyzvala reklamní průmysl, aby v rámci samoregulace sám a včas přišel s účinným řešením ochrany soukromí uživatelů při cílení reklam na základně chování uživatele (zjišťovaného pomocí tracking cookies). Jinak hrozí, že závazné řešení naordinuje EU sama.

Popisovat čtenářům Lupy, co jsou a jak se používají cookies, by asi bylo nošením dříví do lesa. Ale snad nezaškodí připomenutí toho, k čemu všemu mohou být využity.

Cookies vznikly kvůli potřebě návaznosti, neboli zachování historie: jelikož komunikace webových browserů se servery je v principu bezestavová a server si z předchozích požadavků nic nepamatuje, musí se mu browser „připomenout“. Cookie je nejčastější, a asi i nejpraktičtější metodou, jak to udělat a jak zajistit například to, aby si server pamatoval vaše předchozí kroky, volby, nastavení apod. Jinak byste na Internetu například nic nenakoupili, protože každý nákupní košík by okamžitě zapomínal svůj obsah (při přechodu na další stránku).

Obecně tedy existují taková využití cookies (nebo obdobných mechanismů, jako např. Session ID), která jsou skutečně nezbytná pro fungování konkrétních webů a on-line služeb. Ale existují také taková využití cookies, která sledují jiné cíle.

Třeba různé reklamní systémy (ale nejenom ony) mohou používat vlastní cookie k tomu, aby se vám snažily servírovat „lépe cílenou“ reklamu. Toto „lepší cílení“ se snaží odvozovat od vašeho dosavadního chování (anglicky: behavioral targeting), a právě k tomu potřebují své „cracking“ cookies: ty sledují váš průchod prakticky celým webem, a na základě získaných dat o vašem chování usuzují na vaše preference a zájmy.

Zda takovýto „behavioral targeting“ je či není efektivní, zde nebudu rozebírat. Místo toho bych se rád věnoval aspektům ochrany soukromí, které jsou u takovýchto technik (a možností) nesmírně důležité.

Už i Google …

Pro uvedení do kontextu celého problému si stručně připomeňme, jak behavioral targeting zavedla v loňském roce společnost Google. Byť ho sama takto neoznačuje, a místo toho hovoří o reklamě  cílené podle zájmů.

O přednostech jste se mohli dočíst i zde na Lupě, ale mělo to i své dopady do oblasti ochrany osobních údajů. Google si toho byl velmi dobře vědom, a od provozovatelů webů, kde je zobrazována jeho reklama, požadoval úpravu jejich zásad ochrany osobních údajů (byť nebyl schopen přesně říci jak):

Věnujte prosím pozornost následujícím informacím a zajistěte, aby byly zásady ochrany osobních údajů vašich stránek k 8. dubnu 2009 aktuální. Protože se stránky účastníků a zákony různých zemí liší, nemůžeme navrhnout přesné znění zásad ochrany osobních údajů.

Koncovým uživatelům pak nabídnul možnost „uniknout“ dopadům svých nových postupů alespoň ex-post, neboli na principu opt-out. A to skrze odhlášení, které ale také funguje na bázi cookies, a tudíž nepřečká jejich úplné vymazání. Pro trvalý opt-out proto Google musel vyvinout speciální plug-in do browserů.

Mění se právní úprava

Google tedy sám implementoval opatření na ochranu soukromí uživatelů, na principu opt-out. To korespondovalo se způsobem, jak byla v uvedené době ochrana soukromí v daném kontextu obvykle řešena (pokud vůbec řešena byla).

V rámci EU je dodnes tato ochrana řešena v rámci směrnice 2002/58/ES (Směrnice o soukromí a elektronických komunikacích), konkrétně v jejím článku 5, odstavci 3:

3. Členské státy zajistí, aby užívání sítí elektronických komunikací k uchovávání informací nebo získávání přístupu k informacím uchovávaným v koncovém zařízení účastníka nebo uživatele bylo povoleno pouze za podmínky, že dotčený účastník či uživatel byl jasně a úplně informován v souladu se směrnicí 95/46/ES, mimo jiné o účelech zpracování, a že je mu správcem údajů nabídnuto právo odmítnout takové zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení nebo usnadnění přenosu sdělení prostřednictvím sítí elektronických komunikací nebo, je-li to nezbytně nutné pro poskytování služeb informační společnosti, které si účastník nebo uživatel výslovně vyžádal.

Tento požadavek lze celkem jednoznačně interpretovat ve smyslu přístupu opt-out: „je mu nabídnuto právo odmítnout zpracování“. Navíc s výjimkou pro taková využití cookies, která jsou nezbytně nutná pro fungování služby.

Jenže v rámci vzniku nového evropského regulačního rámce (tzv. telekomunikačního balíčku) došlo i na aktualizaci směrnice o soukromí, a to i pokud jde o předmětné ustanovení. Jeho nové znění vypadá následovně:

3.  Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.

Část změn je spíše technického a formulačního rázu, ale nelze nevidět ani zcela zásadní změnu v celkovém přístupu. Místo dosavadního: „je mu nabídnuto právo odmítnout …“ je používání cookies&spol. nyní povoleno „pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas …“. Na první pohled to vypadá zcela jednoznačně jako přechod od přístupu opt-out na přístup opt-in (u těch využití, na které se nevztahuje výjimka).

Zkusme se na chvíli zastavit u toho, jak by se takový souhlas dal získat. Jednou z možností by bylo nějaké vyskakovací okno: dostanete se na nějakou stránku, a vyskočilo by na vás nové pop-up okno se žádostí o souhlas. To není ideální řešení, už i vzhledem k tomu, že většina uživatelů má zobrazování takovýchto vyskakovacích oken zakázané. A jejich povolení by představovalo zvýšení bezpečnostních rizik. Další možností pak je nějaká „dotazovací stránka“, na kterou by uživatel byl přesměrován z té stránky, na kterou původně směřoval. A teprve po udělení souhlasu by se uživatel dostal dál, tam kam původně chtěl. Což by ho notně zpomalilo, a po určitém počtu opakování zcela jistě znechutilo.

Nestačilo by nezakázat cookies?

Zajímavou otázkou je, zda by se za informovaný a aktivní souhlas, tak jak jej požaduje nová verze direktivy, nedalo považovat pouhé nezakázání cookies v nastavení browseru. Tedy to, že uživatel z vlastní iniciativy nezakázal svému browseru práci s cookies (která je implicitně povolena).

Na první pohled to vypadá jako zcela marný pokus: pouhé „nezměnění“ něčeho, co za vás rozhodl a nastavil někdo jiný, přeci nemůže být chápáno jako aktivní a informovaný souhlas. A přesto: v recitálu č. 66 k nové verzi směrnice se uvádí:

Je-li to technicky možné a efektivní, může být v souladu s příslušnými ustanoveními směrnice 95/46/ES souhlas uživatele se zpracováním údajů vyjádřen vhodným nastavením prohlížeče nebo jiné aplikace.

To sice není konstatování, že k vyjádření souhlasu stačí být pasivní a nic nedělat (nezakázat implicitně povolené cookies). Ale řada lidí se toho chytla a pokouší se vykládat novou verzi článku 5(3) právě v tomto smyslu. Což ale není správné už jen proto, že tzv. recitál je jen jakási preambule, sloužící k uvedení do kontextu, a nikoli k výkladu toho, co vlastně jednotlivé požadavky znamenají.

Na druhou stranu je takto formulovaný recitál určitě něčím, co staví celou záležitost do nového světla: vnáší do ní neurčitost a nejasnost. Co tedy vlastně EU v nové verzi směrnice požaduje? Chce aktivní souhlas a důsledný princip opt-in, nebo jí bude stačit něco na způsob dosavadního zákazu cookies přímo v browseru?

Nejasnost ohledně toho, co vlastně EU požaduje, je o to nepříjemnější, že popisovanou novou verzi směrnice o ochraně soukromí budou členské země muset  implementovat, v rámci implementace celého telekomunikačního balíčku – a to do května příštího roku. Již dnes se na příslušné transpozici intenzivně pracuje, a tak se řeší i to, co vlastně EU měla na mysli.

Například ve Velké Británii si s tímto problémem nevěděli rady natolik, že se minulý týden rozhodli transponovat (převzít) evropskou direktivu doslovně. Tím vlastně jen přehodili celý problém s její interpretací a praktickým naplněním na toho, kdo bude národní úpravu naplňovat.

Co říká komisařka Kroesová?

Přípravu celého telekomunikačního balíčku měla za Evropskou komisi na starosti ještě komisařka Viviane Redingová. V nové Komisi ale její portfolio, přejmenované na „digitální agendu“, převzala jiná „železná lady“, Neelie Kroesová. A tak právě k ní dnes směřují dotazy na to, co a jak vlastně EU požaduje a zamýšlí.

Právě minulý pátek  se komisařka Kroesová účastnila Kulatého stolu o přínosech on-line reklamy pro koncové uživatele, konaného v Bruselu, a při této příležitosti pronesla poměrně zásadní projev ke zde popisovanému tématu.

Její projev přitom nebyl nijak „mocenský“, v tom smyslu že by přítomným zástupcům reklamní branže nějak diktovala, co a jak mají dělat. Místo toho sama konstatovala, že požadavky směrnice nejsou moc jasné a jednoznačné, a hlavně že celý problém není černobílý: že na jedné straně stojí legitimní zájmy celého reklamního byznysu, který cookies a obdobné mechanismy dnes hojně využívá, a na druhé straně pak stojí uživatel a jeho neméně legitimní právo na soukromí.

Zájmy obou stran jdou v mnohém proti sobě – a cílem EU prý není to, aby jedna strana zvítězila nad druhou a tu zdecimovala. Místo toho jde o nalezení vhodné rovnováhy mezi zájmy a požadavky obou stran. Což ale rozhodně nebude jednoduché.

Komisařka Kroesová sama načrtla své představy o tom, co by očekávané řešení mělo splňovat – a současně dala najevo, že by dala přednost řešení na principu samoregulace, se kterým by přišel sám reklamní průmysl (před řešením, které by jinak koncipovala a nadiktovala sama EU, resp. její Komise). Slíbila také v brzké době poskytnout členským státům určité doporučení (guidance) ohledně toho, jak předmětný článek 5(3) implementovat.

Základní principy, které by mělo doporučení obsahovat, ale komisařka Kroesová představila již ve svém projevu na kulatém stole minulý pátek. Jde o následující čtyři principy:

  • skutečná transparentnost: uživatel musí být řádně informován o jakémkoli „cílení“
  • souhlas: je zapotřebí vhodná forma souhlasu ze strany uživatele ohledně toho, že je ochoten (ochotna) podstoupit „cílení“
  • user-friendly řešení: je zapotřebí uživatelsky vstřícné řešení, pokud možno založené na nastavení browseru či nějaké jiné aplikace. Je třeba se vyvarovat řešením, která uživateli komplikují život. Jako například vyskakujícím oknům. Na druhou stranu nebude stačit schovat potřebné informace kamsi hluboko do podmínek ochrany osobních údajů na navštívených stránkách. Je potřeba nalézt něco mezi.
  • efektivní vymahatelnost: každý systém samoregulace musí zahrnovat jasné a jednoduché postupy pro řešení sporů, možnost nezávislého auditu třetí stranou a možnosti efektivního sankcionování. Nebude-li jak detekovat porušení a vymáhat sankce vůči těm, kteří pravidla porušují, pak řešení na principu samoregulace bude jen iluzí a neuspěje.

Závěrem ještě komisařka Kroesová upozornila přítomné zástupce reklamní branže na to, jak hodnotí ty jejich návrhy, které dosud zaznamenala – jako něco, co je značně vzdáleno jejím (právě naznačeným) požadavkům.  Současně naznačila, že čas se rychle krátí, a že reklamní průmysl musí najít řešení v rámci samoregulace velmi rychle. Jinak se prý dočká „více intervenčního přístupu“.

Jak by muselo vypadat řešení?

Na závěr si dovolím (sám za sebe a z pohledu uživatele) trochu popřemýšlet nad tím, jak by takové řešení asi mohlo vypadat. Třeba tím rozproudím nějakou diskusi na toto téma.

Především si myslím, že požadované řešení nebude moci existovat bez vhodného „oddělení“ různých účelů využití cookies. Dnešní mechanismy pro povolování či zákazy cookies totiž nedokáží (a ani moc nemají podle čeho) rozlišovat účel, ke kterému dané cookie slouží.  Proto nakládají se všemi stejně. A to už do budoucna nebude možné.

Bude třeba rozlišit „nutné“ použití cookies, nezbytné pro řádné fungování on-line služeb (a to řešit nadále na principu opt-out), od „cílení“, kdy mají cookies za úkol sledovat chování uživatele konkrétní instance webového browseru. Toto druhé využití pak bude nutné řešit na principu opt-in, klidně i nastavením browseru, jak naznačuje příslušná pasáž recitálu: ale s implicitním zákazem a s možností povolení.

Jistě, myšlenka je to triviální, ale problém bude s její realizací. Ať už by skutečně vznikly nějaké nové „targeting cookies“ (varianta cookies, sloužící potřebám cílení), nebo by šlo o úplně jiný mechanismus, bylo by to vlastně úplně jedno: stejně by celý reklamní průmysl musel začít jakoby „od začátku“: musel by počkat, až se nové možnost vyjadřování souhlasu (skrze konfiguraci browseru) dostanou v dostatečném počtu k uživatelům, aby mohli svůj souhlas vyjádřit. Mezitím by museli přestavět své systémy, které vyhodnocující kroky a chování uživatele browseru, tak aby odpovídaly novým podmínkám (hlavně principu opt-in a novému způsobu cílení).

Jako zdaleka největší komplikaci pro celou „cílenou on-line reklamu“ bych ale viděl samotný princip opt-in: v dnešní době, kdy mezi uživateli vzrůstá averze na reklamy, a ještě více na čím dál tím „vtíravější“ reklamní praktiky, si dovolím očekávat, že souhlas k vlastnímu „cílení“ dá jen relativně málo uživatelů.

Na druhou stranu: nejde o žádný konec reklam. Vše se týká jen takové reklamy, která se snaží monitorovat chování a aktivity uživatele konkrétního browseru (skrze cookies) a řídit se podle získaných údajů. U jiných strategií „servírování“ reklamy, jako například u kontextového cílení (tj. podle obsahu a zaměření navštívené stránky) popisovaný problém s ochranou soukromí nevzniká.

Osobně bych se také rád dozvěděl, zda celý „behavioral targeting“ (cílení reklamy podle chování) je skutečně tak účinné a efektivní, jak jeho zastánci původně tvrdili. Má někdo o tomto nějaké věrohodné údaje?