Ciasteczka trzymają się mocno
Google proponuje nowe rozwiązanie zwiększające ochronę prywatności użytkowników przeglądarki Chrome, nie mniej dyskusyjne niż wyłączenie 3rd party cookies.
Na froncie walk o poszanowanie prywatności użytkowników internetu nastąpiło kolejne przełamanie. W lipcu br. dotarła do nas informacja o decyzji Google’a, który odwołał swój od dawna znany pomysł na wyłączanie mechanizmu obsługi plików cookies strony trzeciej (TPC, ang. third party cookies) w przeglądarce Chrome. Anthony Chavez opublikował na blogu Privancysandbox.com wpis „A new path for Privacy Sandbox on the web”, w którym odwołał planowaną deprecjację i w to miejsce zapowiedział wprowadzenie nowych mechanizmów UX w przeglądarce Chrome, które pozwolą użytkownikowi zadecydować, czy wyraża zgodę na korzystanie z TPC. Jej brak będzie równy z wyłączeniem TPC dla wszystkich domen, które odwiedza dany użytkownik.
Decyzja Google’a wywołała falę komentarzy, również takich, że uciekł z pola bitwy o prywatność, jak napisała Malwina Kuśmierek w Spider’sWeb. Tylko czy Google w ogóle do takiej bitwy przystąpił? Czy jego decyzja powinna być analizowana tylko na płaszczyźnie ochrony danych użytkownika?
KONKURENCJA A PRYWATNOŚĆ
Z jednej strony oświadczenie Google’a jest niespodzianką, ponieważ firma pracuje nad nieobsługiwaniem TPC od co najmniej czterech lat. Według oficjalnej narracji: w odpowiedzi na rosnące obawy (i ryzyko utraty reputacji) związane z zagrożeniami prywatności wynikającymi ze śledzenia. Firma faktycznie zaczęła mówić o budowaniu Privacy Sandboxa do kierowania reklam już w 2019 roku.
Z drugiej strony ktoś musiał ustąpić. Plan Google’a polegający na wyeliminowaniu śledzących plików cookie od samego początku spotykał się z silnym i trwałym sprzeciwem reklamodawców i wydawców. Brytyjski organ nadzorujący ochronę danych, Biuro Komisarza ds. Informacji (ICO brytyjski odpowiednik UODO) bardzo popierał Privacy Sandboxa, jednak tamtejszy Urząd ds. Konkurencji i Rynków (CMA) miał poważne argumenty przeciw temu rozwiązaniu. Reklamodawcy i wydawcy bowiem twierdzili, że Privacy Sandbox jeszcze bardziej wzmacnia dominację Google’a w przestrzeni adtech, ponieważ stałby się on właścicielem i operatorem infrastruktury zarządzania (targetowania) efektywnością emisji kampanii reklamowych. To z kolei sprawiłoby, że reklamodawcy i wydawcy byliby od niego jeszcze bardziej zależni.
EMIL PAWŁOWSKI, DYREKTOR DS. PARTNERSTW STRATEGICZNYCH, GEMIUS
CO ZAMIAST PRIVACY SANDBOXA?
Propozycja Google’a dotycząca trzeciej drogi, która opiera się na wyborze konsumenta na poziomie przeglądarki, może zaoferować dwóm brytyjskim organom regulacyjnym dość proste wyjście z impasu między konkurencją a prywatnością: pozwólmy użytkownikom decydować!
W trakcie wprowadzania przez ICO (i pozostałych regulatorów w krajach UE) przepisów dotyczących ochrony danych w branży adtech, obserwowaliśmy wiele pomysłów optymalizacji pozyskania zgody od użytkownika (np.: „zamykając okienko znakiem X, wyrażasz zgodę”, albo obecne „naciskając przycisk »przejdź do serwisu«, wyrażasz zgodę”). Tego typu praktyki budziły wątpliwości, czy pozyskana zgoda jest świadoma i skutecznie pozyskana. W takim kontekście zaproponowana przez Google’a trzecia droga, czyli wybór konsumenta na poziomie przeglądarki, ma mocną argumentację, że jest podyktowana tylko w interesie użytkowników przeglądarki. Tylko nie jest to propozycja zamiast Privacy Sandbox. Zwróćmy na to uwagę.
REAKCJA BRANŻY REKLAMOWEJ
IAB Europe wzywa Google’a do zapewnienia, że rozwój rozwiązań poszerzających prywatność użytkowników będzie realizowany w ścisłej współpracy z organizacjami wyznaczającymi standardy branżowe i będzie uwzględniał branżowe opinie. Podkreśla również w swoim stanowisku z 23 lipca br., że pozyskiwanie zgód od użytkowników jest już przez branżę ustandaryzowane i są one udzielane na konkretnych stronach, a zgoda wyrażona na poziomie przeglądarki nie może być interpretowana jako świadomie udzielona w rozumieniu przepisów RODO. Argument ten wydaje się skierowany bardziej do ICO niż do Google’a. Wydaje się jednocześnie mało przekonujący.
Komunikat IAB Europe uwidacznia, że branża nadal uznaje, że celem Google’a jest podążanie za innymi dostawcami przeglądarek (np. Safari) i systematyczne zawężanie przestrzeni dla międzydomenowych identyfikatorów TPC. Potencjalnie Google może zaimplementować ten mechanizm w taki sposób, aby istotna większość użytkowników odmówiła zgody na korzystanie z TPC w ich przeglądarce.
Z kolei brytyjski Urząd ds. Konkurencji i Rynków (CMA), ogłosił, że będzie ściśle współpracować z ICO w celu starannego rozważenia nowego podejścia Google’a do Privacy Sandboxa.
Niepewność w tej dziedzinie jest teraz większa, niż gdyby Google wdrożył poprzednią decyzję. Zgodnie z zasadą: lepsze znane zło niż niewiadoma.
JACEK GRABOWSKI, INSPEKTOR OCHRONY DANYCH, EKSPERT DS. PRAWA OCHRONY DANYCH OSOBOWYCH, GRUPA GEMIUS
WNIOSKI
Google nie wycofał się z walki o prywatność użytkowników przeglądarki Chrome. Urzędy brytyjskie mogą dość chętnie oddać decyzję w ręce użytkowników. Będzie trzeba wówczas wyjaśnić relację między zgodą przeglądarkową (a raczej niezgodą użytkownika, bo to będzie częstszy wybór) ze zgodą na przetwarzanie udzieloną na poziomie wydawcy – która, kiedy i pod jakimi warunkami obowiązuje, która przeważa.
Tak czy inaczej, świat bez TPC będzie coraz rozleglejszy, a wprowadzenie wyboru użytkownika na poziomie przeglądarki może poważnie zakłócić działanie branży reklamowej w internecie.
To oznacza, że firmy badawcze (w tym Gemius) oraz organizacje zlecające badania (w tym PBI) muszą kontynuować pracę nad rozwiązaniami, które będą minimalizować skutki decyzji Google’a (ale również wcześniejszych decyzji dostawców innych przeglądarek). Badanie Mediapanel zostało już przygotowane do nowej rzeczywistości bez 3rd party cookies, a to oznacza, że również do rzeczywistości, w której w Chrome istotnie wzrośnie liczba użytkowników, którzy nie akceptują mechanizmów TPC.
Jest jeszcze potrzeba posiadania mechanizmu do kontrolowania częstotliowości emisji reklamy pomiędzy różnymi domenami oraz mechanizmu pozwalającego na efektywne targetowanie kampanii reklamowych. Wydawcy pracują nad rozwiązaniami, które tworzą cross-domenowy identyfikator użytkownika. W Czechach np. powstał projekt CzechAdID – wspólne repozytorium dla zanonimizowanych adresów mailowych zalogowanych użytkowników. Zakładając, że użytkownik zaloguje się przy użyciu tego adresu na witrynie wydawcy, umożliwia odpowiednie zarządzanie emisją reklamy. Tylko ilu użytkowników zaloguje się na witrynach, na których logowanie nie jest naturalne?
W obecnej niepewnej sytuacji kluczowe jest, aby badania, takie jak Mediapanel, oprócz statystycznego opisu użytkowników internetu zaczęły dostarczać danych do systemów, takich jak CzechAdID. Celem jest, aby każda odsłona wydawcy była przypisana od ustandaryzowanego identyfikatora użytkownika – niezależnie od tego, której przeglądarki używa i jakiej zgody na TPC udzielił w przeglądarce Chrome. A tak stworzony identyfikator mógłby być efektywnie wykorzystywany w trakcie realizacji kampanii i optymalizacji kosztów jej dotarcia (zasięgu). Dzięki więc wcześniejszej decyzji Google’a o wyłączeniu TPC zespół Gemius wykonał pracę, dzięki której wiemy, że jest to możliwe.
(08.10.2024)