從 2018 年開始的某一天,全球網路使用者突然發現,幾乎每個網站都開始跳出一個視窗,或者一條寫滿文字的橫幅,要求自己必須接受網站的 Cookie 使用政策。
隨著情況越演越烈,這個「是否接受 Cookie」的小橫幅,似乎已經變得越來越煩人,更引發廣大網路使用者的怨言,並於接下來數年之間不斷遭到抨擊,而這或許即將迎來改變。
Cookie 造成的隱私疑慮
當代網路生態中,Cookie 是一項極為重要的功能,它會儲存網站訪客的資訊,並承擔記住使用者帳號等基本任務;然而,Cookie 卻也替使用者帶來隱私方面的疑慮,因為各個網站 Cookie 所蒐集的資料,可能會被轉賣給第三方公司,接著用於精準的廣告投放。
為了解決 Cookie 所造成的隱私疑慮,其實歐盟早於 2009 年時,就頒布了一項全面性的 Cookie 使用法規,要求網站在使用 Cookie 功能之前,必須徵得歐洲國家使用者的同意。
只不過,許多公司為了省事,選擇讓全世界所有使用者都看到 Cookie 同意視窗,而不是另外設計歐洲地區的專用版網站,這也是為什麼從歐洲、美國到台灣,幾乎全球各地的網路使用者,全都會看見 Cookie 相關通知與橫幅。
用意良好卻讓使用者疲勞
儘管歐盟立法的初衷是將資料主導權交還給使用者,讓用戶自行決定是否接受 Cookie,但其實踐卻產生了意想不到的後果,即所謂的「Cookie 疲勞」(Cookie Fatigue)問題。
隨著相關法規陸續上路,尤其是《一般資料保護規則》(GDPR)嚴厲的罰款規則出台之後,網路使用者開始被大量的 Cookie 同意視窗疲勞轟炸,導致很少人會詳細閱讀通知內容,僅下意識地對視窗點擊「接受」,甚至讓使用者產生錯誤的安全感。
在「Cookie 疲勞」發生之後,歐盟也一直嘗試解決該問題。2024 年,歐盟曾推動「Cookie 承諾」(Cookie Pledge)條文,要求亞馬遜、蘋果、Meta 和字節跳動等網路巨頭,簽署非強制性協議來改善 Cookie 彈窗與橫幅,但至今顯然沒有太大成效。
因此,歐盟官員計劃於今年 12 月推出新規定,希望可以徹底解決網路使用者的「Cookie 疲勞」。日前歐盟找來多家網路企業共同討論,根據報導,目前已有數種解決方案浮上檯面。
Cookie 改革的 3 大方向
首先,歐盟方面希望 Cookie 能夠由使用者在瀏覽器中統一設定,例如讓用戶直接於 Chrome 或 Safari 等瀏覽器中,預設自己的 Cookie 偏好,如此一來就不必在每個網站上重複點擊同意。
歐盟理事會主席國丹麥則提出另一個想法,即是將 Cookie 區分成「技術上必要」與「可能衝擊隱私」兩大類,前者如簡單統計網站情況的 Cookie 等,未來將能不必徵求使用者同意,但是將資料分享給第三方等高風險 Cookie,則必須維持現行的同意要求。
另外,亦有部分歐盟及歐洲國家官員認為,現行的 Cookie 管理規範,應該要直接整合到 GDPR 當中,改採「風險導向」(risk-based approach)原則,把隱私資料是否有風險的問題,交由商業組織自行判斷並妥善管理。
目前歐盟透過《隱私及電子通訊指令》(ePrivacy Directive)來規範 Cookie,而正是因為該指令嚴格要求的「事前同意」步驟,才讓同意視窗變得惱人。
相對先進且人性化的 GDPR,其採用的「風險導向」原則,若將 Cookie 也納入管理,網路企業就可以自行評估其蒐集資料的風險等級,並藉此調整要求用戶同意使用 Cookie 的方式,不必再一律彈出橫幅與視窗。
隱私權與數位競爭力的平衡
無論歐盟最終決定如何改革,目前的 Cookie 同意制度顯然有著很大的改善空間,許多資料隱私專家更批評,現行的彈窗、橫幅方式「治標不治本」,而且很容易遭網路企業透過欺騙性手法,例如刻意的網頁設計或隱藏選項,操弄使用者行為以誘導同意。
歐洲互動廣告協會 IAB Europe 政策主管 Franck Thomas 認為,GDPR 採取了更靈活、以風險為基礎的監管方式,可以使企業擁有更合適的法律依據,並獲得行銷方面的合法利益。
然而 Franck Thomas 強調,推動簡化 Cookie 管理法規,絕不意味著商業組織會對資料保護採取寬鬆態度,廣告商和政府仍得在保障隱私權與維護科技產業競爭力之間,找到一個相對更好的平衡。
【推薦閱讀】
◆ 【歐盟資料治理演化論】從 GDPR 到 AI 法,歐盟怎麼一步步強化數位主權?
◆ 通訊軟體 Signal 下載飆升 958%!數位隱私意識崛起,資安專家該關注什麼?
◆ 覺得 IG 廣告偷聽你說話?Instagram 負責人親自解答說沒有
*本文開放合作夥伴轉載,參考資料:《Gizmodo》、《Politico》,首圖來源:TechOrange
(責任編輯:鄒家彥)
