この種の不気味な追跡を拒否する自由で公正な選択を人々に与える代わりに、露骨なデザインのトリックを使用して Web ユーザーを操作して行動広告のためにデータを引き渡すことに同意させようとする Cookie 同意バナーは、ヨーロッパからの協調的な反発に直面しています。ユニオンのデータ保護規制当局。
フランスのCNILとオーストリアの当局が率いるいくつかのDPAのタスクフォースは、クッキーバナーを分析する共同作業に何ヶ月も費やしました. そして、 報告書 今週公開された .
このタスクフォースは、2021 年から 2022 年の間にヨーロッパのプライバシー権グループによって提出された何百もの戦略的苦情に対応して召集されました。 ノイブ — ウェブサイトの Cookie バナーの分析を自動化し、レポートと苦情を生成するのに役立つ独自のツールを開発しました (小規模な非営利団体が戦略的影響を拡大するための巧妙なトリックです)。
Cookie やその他の追跡技術は、EU の ePrivacy Directive に該当します。これは、通常、Cookie バナーの監視が加盟国の規制当局に分散されていることを意味します。 つまり、問題のウェブサイトがホストされている場所に応じて、ブロックの周りにさまざまなルールの適用がある可能性があります. (たとえば、一部の加盟国の規制当局は、ニュース サイトが、コンテンツへの (無料) アクセスを得るために広告追跡を受け入れるか、追跡なしでアクセスするために購読料を支払うかの選択肢をユーザーに提供することを許可しています — ただし、そのような「Cookie 同意ペイウォール」は残っています)物議を醸しており、すべての DPA で採集に合格する可能性は低いです。)
タスクフォースによって報告されたコンセンサスの程度を考えると、DPA が Cookie 同意バナーのデザインに関連する苦情を執行する方法について、ある程度の調和があることを示唆しています。 「すべて受け入れる」ボタンと同じレベルのオプションは、ePrivacy の違反です。 そのため、追跡を拒否するオプションを埋めようとするサイトに対して、より多くの措置が取られる可能性が高いようです。
タスクフォースはまた、事前にチェックされたオプションを特徴とする同意の流れ (つまり、同意を微調整しようとする別の戦術として) も有効な同意ではないことに同意しました。 2019年の帰り道。
過去 5 年ほどの間に、同意に関する規則を強化する別の EU 法、つまり一般データ保護規則 (GDPR) が適用されて以来、DPA は確かに Cookie の同意にもっと注意を払ってきました。 ルールがどれほど日常的に無視されているかについての苦情として、積み上げられました。
これにより、多くのサイトがこの問題に関するガイダンスを更新 (および強化) するようになり、サイトが同意の追跡に関する規則が不明確であると主張することが難しくなっています。
フランスのCNILは、2020年以来、さまざまなCookie関連の違反に対して多くの技術大手(Amazon、Google、Meta、Microsoft、TikTokを含む)に罰金を科しています。これには、同意を操作しようとするダーク パターンの使用に対する複数の施行 (および罰金) が含まれます。
CNIL の執行活動は、いくつかの主要なデザイン変更を強制するのに役立つ是正命令も特徴としており、Google は昨年、EU 全体で表示される Cookie バナーを改訂して、(最終的に) トップレベルの「すべてを拒否する」オプションを備えています。 これはかなりの勝利です。
また、CNIL がタスクフォースの作業を調整する上で主導的な役割を果たしてきたことを考えると、その慣習の一部が仲間の DPA に影響を与えているようです。
で プレスリリース フランスの規制当局は、今週初めに欧州データ保護委員会がタスクフォースの報告書を採択したことに伴い、その結果を要約すると次のように書いています。保存を受け入れるために提供されたものと同じレベルの Cookie は、法律違反を構成します (ePrivacy Directive の第 5 条 (3))。 CNILは、そのガイドラインといくつかの制裁の文脈で、すでにそのような立場をとっていました。」
タスクフォースは、「すべて受け入れる」ボタンに「すべて拒否」ボタンを付ける必要があることに同意しただけでなく、Cookie バナーのデザインでは、Web ユーザーがそれが何であるかを理解できるようにするのに十分な情報を提供する必要があることに同意しました。彼らの選択に同意し、どのように表現するか。
また、Cookie のバナーは、レポートにあるように、「Web サイトのコンテンツにアクセスするには同意が必要であるという印象や、ユーザーに同意を求める明確な印象」を与えるような方法でデザインされてはなりません。
彼らはまた、クッキーのデザインの例についても合意しました。 いいえ 有効な同意につながる — デザインが「提供される唯一の代替アクション (同意を与えること以外) は、Cookie のテキストの段落に埋め込まれた「拒否」または「同意せずに続行」などの文言の背後にあるリンクで構成されている場合など)バナー、平均的なユーザーの注意をこの代替アクションに引き付けるのに十分な視覚的サポートがない場合」。 または、「提供される唯一の代替アクション (同意を付与する以外) は、「拒否」または「受け入れずに続行」などの文言の背後にあるリンクで構成され、Cookie を受け入れるためのボタンが表示される Cookie バナーの外側に配置されます。フレーム外のこの代替アクションにユーザーの注意を引くための視覚的なサポート」.
したがって、基本的に、特定の一般的な Cookie バナーの暗いパターンを除外することについて、ある程度のコンセンサスが得られました。
しかし、「すべて受け入れる」ボタンに目を向けさせ、拒否オプションを見えにくくするために選択される可能性のあるハイライト色の使用など、視覚的なトリックについては、タスクフォースは外観をケースバイケースで分析することを決定しました。と感触 (そして、この種の設計の選択が明らかに誤解を招く可能性がある) は、ほとんどの場合に必要です。 そして彼らは、データ管理者に一般的なバナー基準 (色やコントラストに対して) を課すのは自分たちの立場ではないことに同意しました。
彼らはまた、「事実上すべてのユーザーが読めない」テキストを表示するように設計されたすべてのボタンを拒否することは、ユーザーにとって「明らかに誤解を招く」可能性があることに同意しました.
タスクフォースが取り組んだその他の問題には、Cookie 同意地獄への最近の追加が含まれていました。これには、サイトが (また) 広告処理に対する「正当な利益」を主張しようとする可能性があります。 場合によっては、同意の法的根拠ボタンの横に追加のトグルを追加することがあります。これらのボタンは、通常はセカンダリ (または他のサブメニュー) にのみ表示され、トップ レベルでは「すべて拒否」オプションが提供されず、代わりにユーザーがクリックスルーする必要があります。設定に移動して、この紛らわしいトグルの混乱を明らかにします (LI のものが事前にチェックされている場合もあります)。
「『バナーのより深い層』でのその後の処理に対するこの正当な利益の概念の統合は、個人データが処理されないようにするために 2 回拒否する必要があると考えるユーザーにとって混乱を招くと見なされる可能性があります」と報告書は述べています。これについて観察します。
タスクフォースはまた、Cookie に基づくその後の処理が合法であるかどうかを規制当局がどのように判断すべきかについても合意しました。指令 (および国内の実施規則) — その後の処理はすべて GDPR に準拠して行われます。 24」。
「この点に関して、タスクフォースのメンバーは、Art. ePrivacy 指令の 5 (3) (特に、必要な場合に有効な同意が得られない場合) は、その後の処理が GDPR 5 に準拠できないことを意味します。また、TF メンバーは、第 5 条 (3) に基づく Cookie は、管理者の正当な利益になることはできません」とレポートに追加しています。
彼らは、Cookie の同意フローに現れる LI トグルの新たな惨劇に対処する方法について、大部分は判断を留保しているように見えますが、「確実にさらなる議論が必要となる具体的なケースに遭遇した場合、この種の慣行についての議論を再開することに同意しました」と述べています。一貫したアプローチ」。
作業部会はまた、一部の必須ではないデータ処理を厳密に必要/必須として分類しようとするサイトについて何をすべきかについても議論しました。これにより、ePrivacy または GDPR の下での同意を必要としないカテゴリにまとめます。 しかし、彼らは、どの処理が厳密に必要かを判断するのは実際には困難であるとの見解を示しました。
「タスクフォースのメンバーは、特にクッキーの機能が定期的に変化し、そのような不可欠なクッキーの安定した信頼できるリストの確立を妨げるという事実のために、どのクッキーが不可欠であるかを判断するためのクッキーの評価が実際的な困難を引き起こすことに同意しました。」書きました。 「ウェブサイトで使用されるクッキーのリストを確立するためのツールの存在、およびそのようなリストを維持するウェブサイトの所有者の責任、および要求された場合に管轄当局にそれらを提供し、クッキーの重要性を実証する責任について議論されています。記載されています。」
同意の撤回という別の問題について、彼らは、ウェブサイトの所有者が「ユーザーがいつでも同意を撤回できるようにする簡単にアクセスできるソリューション」を導入する必要があることに同意し、小さなアイコン(「ホバリングして永続的に表示される」)またはリンクの例を挙げました。目に見える標準化された場所に置かれます。」
しかし、ユーザーがサイト所有者に同意を撤回するための特定の標準化された方法を課すことを、彼らは再び躊躇しました。 同意が得られたら、「簡単にアクセスできるソリューション」。
「同意を撤回するために提示された解決策をケースバイケースで分析することが常に必要です。 この分析では、結果として、同意を与えるのと同じくらい簡単に撤回できるという法的要件が満たされているかどうかを検討する必要があります」と彼らは付け加えました.