Året 2020 vil blive husket af mange årsager. En af de mindre omtalte, men ikke mindst vigtige, er det øgede fokus på cookies og korrekt samtykke, når disse sættes på diverse hjemmesider. EU-retligt skærpede Planet49-afgørelsen samtykkekravene til cookies i 2019 og nationalt fulgte DMI-afgørelsen i februar 2020 trop. Dette blev banebrydende for måden, hvorpå cookies accepteres af brugeren, og resulterede i ændring af adskillige hjemmesiders praksis i forhold til samtykke og hvornår cookies placeres i browseren. Kort sagt blev der sat større fokus på at beskytte den enkelte brugers tracking og personlige oplysninger. Eller gjorde der?
Jeg er ikke jurist, og skal ikke gøre mig klog på detaljerne for processen ved lovgivning. Men fra et IT-fagligt perspektiv, oplever jeg igen og igen, at forvirring er at spore. Dette er dermed blot observation af en regulering, der efter min mening er mere hullet og mangelfuld, end den giver udtryk for.
Cookies er ikke den eneste mekanisme, der bruges til at tracke vores færden på internettet. Selvom lovgivning og afgørelser har fået ryddet op i samtykkekravene for cookies, er dette blot én af mange mekanismer der kan bruges til at spore brugeren. Selvom vi fravælger cookies, bliver vi fortsat overvåget via andre mekanismer og metoder som også er i stand til at identificere individet – og som vi ikke kan vælge fra.
Observationer
Cookies har i mange år været den foretrukne mekanisme til at identificere brugere i forhold til adfærd på websites samt online annoncering. Branchen for online annoncering omsætter årligt for enorme beløb og er solide cash cows for både Google og Facebook.
Begge virksomheder har derfor igangsat en række initiativer til at bibeholde sofistikeret targetering og indsigt i individers adfærd uden for deres platform. Det var blandt andet dette man har forsøgt at regulere fra lovgivernes side. Disse initiativer dækker blandt andet over Google Consent mode, FloC, Conversion API, Federated learning, mfl.
Løsninger til identificering af brugere uden cookies er dog ikke kun forbeholdt mastodonter som Google og Facebook. Flere virksomheder praktiserer allerede en metode eller flere metoder til identificering af brugeren uden cookies.
Et par eksempler
For konkret at forstå, hvor problemet opstår, kan jeg give en række eksempler fra de mange menneskers hverdag.
Både Ekstra Bladet og GitHub har proklameret at de nu har løsninger på plads der erstatter cookies og at de respekterer brugernes privatliv. En ansat hos Ekstra Bladet har blandt andet udtalt: ”Hos Ekstra Bladet er vi meget optaget af at udvise ansvarlighed over for vores brugere, når det kommer til brug af data….”
Men faktum her ultimo januar er at brugeren stadig trackes blot ved hjælp af en anden mekanisme. Dette sker også hvis brugeren IKKE har accepteret cookies. Bevisbyrden for dette kan findes nedenfor. Det kan være en smule teknisk.
Eb.dk use case:
- Gå til eb.dk via en clean browser
- Accepter kun nødvendige cookies (klik afvis ved consent box)
- Åben Network og marker “Preserve Log”
- Se 3 forskellige sider på eb.dk
- Skriv beacon i søgefeltet
- Du burde have 3 forskellige requests
- Klik på en af dem og scroll ned til CMP
- Du bør have det samme CMP id på tværs af pageview requests
I dette tilfælde blev CMP id: 938bd373-2536-4b68-b7de-e67f5e3ff4f9 angivet på alle pageviews i sessionen for browseren. Id’et kan bruges til at identificere brugeren.
Vi kan prøve at sammenligne CMP id med det klassiske og udskældte Google Analytics cookie (også kaldet client id) som bruges til at identificerer browseren og sessionen.
| CMP | GA Cookie ID | |
| Eksempel | 938bd373-2536-4b68-b7de-e67f5e3ff4f9 | GA1.2.234028896.1610370523 |
| Mekanisme | Ukendt – fingerprint | Cookie |
Min umiddelbare vurdering er at mekanismen som Ekstra Bladet bruger fungerer lige så godt om cookies, hvor de er i stand til at identifier browseren/indviet.
CMP persisterer når jeg besøger eb.dk igen efter 30 minutter. Har du lyst kan du tage et kig på de andre request feks.adnxs.com som ser meget interessante ud. Her ligner det umiddelbart at eb.dk deler en identifier (sid) med en 3 parts annoncør uden samtykke.
GitHub Use Case
- Gå til github.com via en clean browser
- Åben Network og marker “Preserve Log”
- Se 3 forskellige sider
- Skriv collect i søgefeltet
- Du burde have 3 forskellige requests
- Klik på en af dem og scroll ned til dimensions[visitor_id]:
- Du bør have det samme dimensions [visitor_id]: id på tværs af pageview requests
I mit tilfælde fik jeg tildelt: dimensions[visitor_id]: 6488354478034554848 på tværs af pageviews. Vi har her igen med et id, der kan sidestilles med et cookie id.
Som sagt er jeg ikke jurist, og jeg har ikke til formål at komme med en komplet løsning på problemet. Men hvor jeg står, tyder meget på, at udfordringen i første omgang opstår grundet mangel på forståelse på området.
Lovgivere tror, at problemet er løst og brugeren fortsat kan være anonym, så længe de takker nej til cookies, hvilket efter omtalte regler, om skærpet samtykkekrav, er blevet langt nemmere nu. Men som skitseret ovenfor, er dette ikke tilfældet. Jeg tror i bund og grund, at dette skyldes mangel på dialog, og at dem, der fastsætter reglerne, ikke har den tilstrækkelige viden på området – ikke forstår, at udfordringen er langt bredere end blot ‘ja’ eller ‘nej’ til bestemte cookies.
Et faktum er dog at kapløbet er startet.
Du har lovgivere og browsere såsom Safari og Firefox der løbende indfører nye restriktioner.
På den anden side står Adtech industrien såsom Facebook og Google, samt andre aktører der prøver at finde tekniske måder at undgå restriktioner.
Og sidst men ikke mindst har du brugerne og website ejerne som står tilbage lettere forvirret.
Med andre ord kan man stille sig selv en række spørgsmål, der forenkler problemstillingen:
- Er internettet blevet et bedre sted efter de skærpede samtykkekrav? Nej, på flere hjemmesider trackes vi i lige så høj grad, blot ikke via cookies
- Kan forbrugere og lovgivere sover bedre om natten efter de skærpede samtykkekrav? Nej, lovgivningen omfatter ikke alle mekanismer men har primært fokus på cookies
- Vil den almene hjemmeside-ejer kunne kreere bedre oplevelser for brugeren på hjemmesiden? Nej, vedkommende vil sandsynligvis miste indsigt da man ikke er så progressiv teknologisk
Med andre ord er der i høj grad behov for en bedre/konkret regulering på området samt bedre kommunikation.
Jeg forventer at vi vil se at mere og mere tracking samt profilering rykke server side. Det betyder at indsigten og transparensen forsvinder fuldstændig for brugeren og offentligheden.
Disclaimer:
Jeg har ingen intention om at hænge Ekstra Bladet eller Github ud. De agerer blot som eksempler på en praksis som jeg ser flere benytter. Jeg bruger forøvrigt begge services i mit professionelle og private virke med stor glæde.