Akhir dari Cookie Pihak Ketiga: Browser Mengambil Alih Iklan Online

Inilah artinya bagi privasi pengguna dan bisnis Anda.

Cookie pihak ketiga sedang dihapus oleh browser dan semakin banyak batasan yang diterapkan pada mereka.

Sebagian besar alat analitik, periklanan, dan atribusi online di luar sana berebut untuk menemukan alternatif pengumpulan data. Pengurangan ini juga berdampak pada pelaporan kami.

Tetapi memahami mengapa browser membatasi cookie dan apa kerangka hukum tingkat negara bagian dan negara adalah penting sebelum mencari alternatif.

Jadi mari kita mulai dari sana…

Mengapa Peramban Membatasi Cookie?

Presentasi Simo Ahava di Superweek 2020 di bawah ini menunjukkan garis waktu perubahan browser yang diterapkan dari waktu ke waktu.

Produk teknologi sekarang mengambil langkah yang lebih pendek untuk melakukan perubahan. Tingkat penegakan fitur peningkatan privasi juga meningkat.

Kami telah melihat lebih banyak peningkatan privasi di browser pada tahun 2019 daripada 5 tahun sebelumnya.

Dalam artikel saya, “Apakah Peramban Mendorong Masa Depan Tanpa Cookie dengan Safari ITP, Firefox ETP, dan Kotak Pasir Privasi Chrome? ”, Saya berbicara panjang lebar tentang alasan di balik perubahan ini:

Peramban seperti Safari dan Firefox (dan pada tingkat lebih rendah, Chrome) juga ingin melindungi penggunanya dari jenis kuki ini, yang digunakan untuk membangun profil pengguna dan minat beli. Informasi ini kemudian akan dijual dan digunakan untuk menargetkan pengguna di situs lain. Penjual iklan akan mendapat untung lebih tinggi pada penempatan iklan dengan niat terverifikasi vs tayangan iklan biasa. Para pemimpin industri iklan memahami bahwa langkah ke depan adalah lebih sedikit pelacakan dan lebih banyak penempatan iklan yang sesuai dengan maksud pengguna di halaman (dengan menggunakan pencocokan iklan konten).

Ide ini datang dari John Wilander yang menerbitkan posting blog ini untuk Webkit. Menurut Wilander, "Pencegahan Pelacakan Cerdas dirancang untuk melindungi privasi pengguna dengan mencegah pelacakan lintas situs."

Ini semua tentang berfokus pada situs web yang membangun hubungan yang lebih dekat dengan penggunanya SENDIRI (dalam konteks satu situs untuk ITP dan konteks organisasi untuk Chrome) dan mencegah pihak ketiga menyediakan ini.

Webkit, organisasi di balik ITP di Safari dan salah satu proyek John Wilander, menjelaskan hal ini lebih lanjut dalam Kebijakan Pencegahan Pelacakan mereka:

Pelacakan WebKit akan mencegah semua pelacakan terselubung, dan semua pelacakan lintas situs (meskipun tidak terselubung). Sasaran ini berlaku untuk semua jenis pelacakan yang tercantum di atas, serta teknik pelacakan yang saat ini tidak kami ketahui. Jika teknik pelacakan tertentu tidak dapat sepenuhnya dicegah tanpa membahayakan pengguna yang tidak semestinya, WebKit akan membatasi kemampuan menggunakan teknik tersebut. Misalnya, membatasi jendela waktu untuk melacak atau mengurangi bit entropi yang tersedia — titik data unik yang dapat digunakan untuk mengidentifikasi pengguna atau perilaku pengguna.

Webkit tahu ada efek samping yang tidak diinginkan dari proyek ITP mereka. Analisis dan pengukuran audiens dalam konteks satu situs bukanlah sesuatu yang ingin mereka blokir. Alat pengujian Analytics dan A/B yang berfungsi untuk meningkatkan pengalaman pengguna tidak diperangi.

Masalahnya mirip dengan pedoman Pedoman ePrivasi Eropa yang baru (diperbarui pada Juli 2019) dan Peraturan ePrivasi yang belum diterapkan. Aturan dan teknologi baru menciptakan kesenjangan hukum atau teknologi yang belum dapat kami tutupi.

Ketika datang ke browser, kami berharap akan mendapatkan fitur baru seperti isLoggedIn, Pengukuran Klik Pribadi dan Chrome SameSite OrganizationID (First Party Sets).

Tetapi karena kita belum memiliki alternatif ini, apa yang tersisa? Haruskah kita mengabaikannya seperti kebanyakan perusahaan, mengikuti pembaruan ICO dan CNIL dari ePrivacy Directive?

GDPR Eropa Membuka Jalan untuk Keterbatasan Hukum

Hukum privasi paling ketat di dunia adalah GDPR Eropa.

Pedoman yang baru-baru ini diperbarui dari ICO (Otoritas Privasi Inggris) dan CNIL (Otoritas Privasi Prancis) juga mengutuk penempatan sebagian besar cookie pada perangkat pengguna sebelum persetujuan aktif (dan penggunaan trik seperti tombol "Terima Semua", kotak centang yang telah dicentang sebelumnya, atau radio tombol). Pedoman yang diperbarui pada Juli 2019, tidak akan diberlakukan hingga Juli 2020. Pada saat yang sama, Peraturan ePrivasi (masih dalam rancangan) telah membuat beberapa pengecualian untuk cookie. Ini semua menyatakan bahwa pengujian A/B, analitik, dan pengukuran efektivitas iklan (bahkan pengujian iklan) diizinkan .

Pada 8 November 2019, pemerintah Finlandia mengeluarkan proposal revisi untuk Peraturan ePrivasi dengan beberapa perubahan. Dalam proposal ini, beberapa cookie dapat ditempatkan tanpa persetujuan, sebagaimana draf terbaru dari Peraturan ePrivasi (mulai November 2019) menyatakan dalam pasal 8, 17aa dan pasal 21a di bawah ini :

Pasal 8: “Perlindungan informasi peralatan terminal pengguna akhir, 1(d) diperlukan untuk pengukuran audiens web , asalkan pengukuran tersebut dilakukan oleh penyedia layanan masyarakat informasi yang diminta oleh pengguna akhir atau oleh pihak ketiga atas nama satu atau lebih penyedia layanan masyarakat informasi dengan ketentuan bahwa persyaratan yang ditetapkan dalam Pasal 28, atau jika berlaku Pasal 26, Peraturan (UE) 2016/679 terpenuhi. 2(c) diperlukan untuk keperluan penghitungan statistik yang dibatasi ruang dan waktu sejauh yang diperlukan untuk tujuan ini dan data dibuat anonim atau dihapus segera setelah tidak lagi diperlukan untuk tujuan ini.”

Pasal 17aa: “ Karena pengguna akhir sangat menghargai kerahasiaan komunikasi mereka, termasuk pergerakan fisik mereka, data tersebut tidak dapat digunakan untuk menentukan sifat atau karakteristik pengguna akhir atau untuk membangun profil pengguna akhir, untuk, misalnya, menghindari bahwa data digunakan untuk tujuan segmentasi, untuk memantau perilaku pengguna akhir tertentu atau untuk menarik kesimpulan mengenai kehidupan pribadi pengguna akhir. Untuk alasan yang sama, pengguna akhir harus diberikan informasi tentang aktivitas pemrosesan yang berlangsung dan diberikan hak untuk menolak pemrosesan tersebut.”

Pasal 21a: “Cookie juga dapat menjadi alat yang sah dan berguna, misalnya, dalam menilai efektivitas layanan masyarakat informasi yang disampaikan, misalnya desain situs web dan periklanan atau dengan membantu mengukur jumlah pengguna akhir yang mengunjungi situs web , halaman tertentu dari suatu situs web atau jumlah pengguna akhir suatu aplikasi. Namun, tidak demikian halnya dengan cookie dan pengidentifikasi serupa yang digunakan untuk menentukan sifat siapa yang menggunakan situs, yang selalu memerlukan persetujuan dari pengguna akhir.”

Sederhananya, pengukuran audiens web menggunakan analitik atau alat pihak ketiga tidak memerlukan persetujuan cookie. Anda bisa mendapatkan statistik dari data ini, tetapi Anda tidak dapat mengelompokkannya untuk “menarik kesimpulan tentang kehidupan pribadi pengguna akhir” — data harus anonim.

GDPR membuka ruang untuk pengujian dan personalisasi A/B (dengan opsi penundaan untuk mengukur keefektifan pengalaman) terhadap konten, iklan, atau desain. Hal ini membuat saya berharap bahwa kami berada di jalur yang benar untuk mempertahankan solusi pengujian A/B canggih yang kami miliki sekarang, tetapi fokus pada keefektifan pesan dan pada penyediaan pengalaman web yang lebih baik. Kita harus mengutuk praktik seperti memilih kelompok kecil atau individu dan segmentasi berdasarkan ciri-ciri yang mudah diidentifikasi seperti jenis kelamin, ras, usia, atau data pribadi apa pun (sebagaimana didefinisikan oleh GDPR).

Baik browser dan undang-undang privasi mengejar hal yang sama. Mereka berdua mempelopori gerakan ini, yang berarti mereka bahkan berada di depan solusi alternatif baru. Tujuan utama mereka bukan untuk menghentikan Anda menganalisis pengguna (di situs Anda) atau melakukan pengujian A/B untuk meningkatkan dan mengoptimalkan pengalaman pengguna. Mereka ada di sini untuk mencegah identitas dibangun di lokasi pihak ketiga di luar konteks situs tunggal, tanpa persetujuan pengguna aktif. Lebih lanjut tentang ini di artikel ini saya tulis.

Masa Depan Peramban

Tiga browser yang paling banyak digunakan saat ini adalah Chrome, Safari, dan Firefox, tetapi alternatif yang lebih sadar privasi seperti Brave berkembang pesat. Chrome digunakan paling banyak (64% dari perangkat dunia), diikuti oleh Safari dengan 18% (dan tablet hingga 60%), dan Firefox dengan sekitar 4% (kurang dari 1% di seluler), menurut ringkasan ini. Apa yang dilakukan blok daya ini dengan teknologi mereka, memandu 76% – 85% lalu lintas dunia, adalah kunci dalam memahami apa yang harus Anda gunakan untuk pemasaran online Anda.

Mozilla Firefox

Mozilla memiliki sekitar 4% dari keseluruhan pangsa pasar, dengan kisaran perkiraan antara 8% dan 12% di desktop dan <1% di seluler (sumber Statcounter, NetmarketShare, dan WikiMedia). Menawarkan perlindungan privasi terhadap sidik jari dan cookie pihak ketiga menggunakan Enhanced Tracking Protection (ETP).

ETP memblokir semua cookie pihak ketiga jika ada dalam daftar ini dari Putus. Cookie pihak pertama tidak diblokir dan daftar Putuskan tampaknya dikategorikan menggunakan langkah perantara dan mungkin diganti sama sekali dengan daftar kurasi Mozilla, menurut percakapan komunitas mereka. Mempertahankan daftar ini adalah proses yang cukup padat karya, tetapi langkah yang solid menuju privasi. Setelah sumber ada dalam daftar, tidak ada cookie pihak ketiga yang dapat disetel. Tidak ada peta jalan yang jelas ke mana arah Mozilla Firefox ETP, tetapi prioritas tampaknya adalah penyempurnaan, kategorisasi, dan perluasan daftar cookie dan sidik jari.

Safari apel

Browser iOS default memiliki pangsa pasar antara 20% dan 60% di ponsel dan tablet, menurut Wikipedia (November 2019). Pangsa pasar keseluruhan adalah 18%. Safari adalah browser paling vokal tentang privasi. Pada 2019, ia keluar dengan ITP 2.1, ITP 2.2 dan ITP 2.3. Ini juga merupakan tim di Webkit di belakang ITP, mendorong solusi alternatif untuk masalah yang diperkenalkan ITP.

Sekarang mari kita lihat lebih dekat pada LoggedIn, Private Click Measurement, dan Storage Access API dan lihat bagaimana mereka dapat memecahkan beberapa masalah yang muncul di tahun 2019.

Apakah sudah masuk

John Wilander dari Apple Webkit mengusulkan peningkatan W3C (pada September 2019) pada standar yang dapat membantu dengan dasar hukum kontrak GDPR. Di Eropa, dasar hukum itu menawarkan kebebasan untuk menggunakan cookie pada pengguna dan banyak lagi, tetapi hanya dengan persetujuan pengguna. Wilander mengusulkan untuk menggunakan sesuatu yang serupa di tingkat browser. Ini adalah sesuatu yang saya pikir akan diterima oleh browser sebagai dasar hukum di masa depan.

isLoggedIn adalah fitur browser yang dapat menolak status sisi klien (misalnya cookie non-sesi, penyimpanan lokal) kecuali jika pengguna login ke penyedia yang dapat dipercaya. Ada ketakutan bahwa obsesi untuk mendapatkan data pengguna dapat menyebabkan login yang sia-sia hanya untuk mencapai status isLoggedIn dan 'kontrak' dasar hukum GDPR untuk melakukan hal-hal seperti penargetan ulang iklan. Saya pernah mengalami ini secara langsung. Pada contoh di bawah, situs real estat Spanyol Habitaclia mencoba membuat saya masuk, sementara informasinya tersedia dengan menutup pop-up. Nilai masuk untuk saya sebagai pengguna adalah nol, jadi praktik ini tampaknya tidak ada gunanya (ingat, ini dari Spanyol, tempat GDPR diberlakukan).

Tapi seperti ITP, isLoggedIn akan dicoba dan diperbaiki, dan saya harap ini bisa diadaptasi. Ada banyak bolak-balik pada tahun 2019 di saluran W3C, tetapi tidak ada tindakan lebih lanjut yang dilakukan sejak itu. Secara teori, ini dapat menciptakan solusi teknis untuk kekakuan dasar hukum yang sekarang hanya dapat diberikan oleh cookie dan persetujuan. Di Eropa, ini akan menawarkan cara sederhana bagi semua alat untuk mengetahui apakah pengguna masuk ke suatu situs dan apakah ada dasar hukum untuk mengumpulkan data pribadi.

Pengukuran Klik Pribadi

Pengukuran Klik Pribadi (sebelumnya disebut Pengaitan Klik Iklan Pelestarian Privasi), oleh tim Webkit, adalah proposal W3C yang memungkinkan atribusi konversi yang sederhana namun efektif. Ini adalah proposal yang lebih formal untuk peningkatan isLoggedIn tetapi belum dianggap sebagai standar W3C. Untuk pengujian A/B, ini mungkin berguna saat mengonversi di lingkungan keranjang belanja di luar lokasi. Ini adalah sesuatu yang akan kami pertimbangkan untuk diterapkan ketika tersedia untuk umum. Anda dapat membaca saran implementasi di artikel ini. Pertengahan Januari Apple Safari dan Mozilla Firefox mendukung inisiatif ini untuk menaikkannya ke standar formal. Batasnya adalah 64 kampanye dan pemicu konversi acak dengan penundaan 24-48 jam (membuat Anda lebih sulit untuk menentukan konversi, sehingga meningkatkan privasi), tetapi dengan dukungan dari Firefox dan Safari tampaknya mendapatkan daya tarik.

Batas juga merupakan sesuatu yang menurut tim Chrome (Chromium) terlalu membatasi, dan itulah alasan mereka mengusulkan API Pengukuran Konversi yang baru.

Google Chrome

Chrome memegang lebih dari 64% pangsa pasar di seluruh dunia (dengan 67% di desktop saja). Chrome adalah pembangkit tenaga listrik di dunia browser dan pemain kontroversial di mana pendapatan utama berasal dari produk iklan Google. Dengan pangsa 25% hingga 65% untuk seluler dan 67% untuk desktop, ini adalah browser paling dominan di dunia. Tapi banyak hal berubah, dan kita telah melihatnya sebelumnya… browser bisa jadi tidak disukai. Semua pra-instalasi Android mungkin tidak menyimpan Google Chrome jika tidak mengalihkan fokusnya ke privasi.

Digiday merangkum ini dengan baik:

Perubahan terbaru untuk membatasi pelacakan pihak ketiga di Safari Apple dan browser Firefox Mozilla telah terbukti mengganggu penerbit, vendor teknologi iklan, dan agensi. Namun, dengan privasi web yang semakin menjadi perhatian utama konsumen, Google berada di bawah tekanan kompetitif untuk mengikutinya secara terarah.

Ian Lowe, VP pemasaran di platform manajemen izin Crownpeak menyatakan:

Saat tekanan meningkat, Google ingin menunjukkan lebih banyak cara untuk bergerak secara positif ke arah privasi sambil tetap mempertahankan model pendapatan.

Situs yang sama

Pembaruan SameSite Februari 2020 tentang Chrome 80 akan mengharuskan pemilik situs web untuk secara eksplisit memberi label cookie pihak ketiga yang dapat digunakan di situs lain. Digiday menjelaskan perubahan dengan sangat baik:

Google pertama kali mengumumkan pada Mei tahun lalu bahwa cookie yang tidak menyertakan label “SameSite=None” dan “Aman” tidak akan dapat diakses oleh pihak ketiga, seperti perusahaan teknologi iklan, di Chrome versi 80 dan seterusnya. Label Aman berarti cookie perlu diatur dan dibaca melalui koneksi HTTPS.

Saat ini, default cookie Chrome SameSite adalah: "Tidak ada", yang memungkinkan cookie pihak ketiga melacak pengguna di seluruh situs. Namun mulai Februari, cookie akan default ke “SameSite=Lax,” yang berarti cookie hanya disetel saat domain di URL browser cocok dengan domain cookie — cookie pihak pertama.

Cookie apa pun dengan label “SameSite=None” juga harus memiliki tanda aman, artinya cookie hanya akan dibuat dan dikirim melalui permintaan yang dibuat melalui HTTP. Sementara itu, penunjukan “SameSite=Strict” membatasi berbagi lintas situs sama sekali, bahkan di antara domain berbeda yang dimiliki oleh penerbit yang sama.”

Firefox Mozilla dan Microsoft Edge mengumumkan bahwa mereka juga akan mengadopsi standar SameSite=Lax. Tanpa pelabelan ini, kita akan mulai melihat lebih banyak peringatan di pop-up konsol Chrome seperti di bawah ini.

Menurut Digiday:

Pembaruan SameSite dan Google Ads bulan Februari dari Google akan mencegah perusahaan teknologi iklan yang tidak memiliki hubungan utama dengan konsumen untuk “mendengarkan” lelang iklan guna membuat profil pengguna menggunakan kategori konten. Di bawah sistem saat ini, jika pengguna mengunjungi situs seperti ESPN.com, bursa Google mengirimkan kembali informasi dalam aliran tawaran yang menyertakan subjek kontekstual "olahraga" kepada calon penawar. Platform sisi permintaan dan perusahaan teknologi iklan lainnya seperti platform manajemen data dapat melihat informasi tersebut dan, secara teoritis, dapat menggunakannya untuk membuat profil pengguna perilaku tanpa sepengetahuan pengguna. Tidak jelas apakah ini terjadi secara teratur dalam praktiknya, tetapi kemungkinannya menghadirkan risiko GDPR. Membangun profil pengguna berdasarkan data tawaran juga dilarang oleh kebijakan iklan Google.

Perubahan SameSite tampaknya berada di bawah proyek yang lebih umum yang sedang dikerjakan Google Chrome yang disebut Kotak Pasir Privasi.

Kotak Pasir Privasi

Misi Privacy Sandbox adalah untuk “menciptakan ekosistem web yang berkembang yang menghormati pengguna dan pribadi secara default”, menurut halaman Chromium ini. Pendekatan umum Chrome, seperti halnya Webkit, adalah mengaktifkan kembali pelacakan lintas situs tetapi tanpa implikasi privasi bagi pengguna. Ini berarti mereka tidak ingin kehilangan kemampuan iklan, tetapi juga dapat melihat bahwa privasi menjadi masalah yang tidak dapat mereka abaikan lagi.

Berikut pernyataan jitu dari tim:

Kami percaya bahwa bagian dari keajaiban web adalah pembuat konten dapat mempublikasikan tanpa penjaga gerbang dan pengguna web dapat mengakses informasi tersebut secara bebas karena pembuat konten dapat mendanai diri mereka sendiri melalui iklan online. Iklan itu jauh lebih berharga bagi penerbit dan pengiklan dan lebih menarik dan tidak terlalu mengganggu pengguna jika relevan dengan pengguna. Kami berencana untuk memperkenalkan fungsionalitas baru untuk melayani kasus penggunaan yang merupakan bagian dari web sehat yang saat ini dicapai melalui pelacakan lintas situs (atau metode yang tidak dapat dibedakan dari pelacakan lintas situs). Saat fungsi tersebut tersedia, kami akan semakin membatasi penggunaan cookie pihak ketiga, yang merupakan mekanisme paling umum untuk pelacakan lintas situs saat ini dan pada akhirnya tidak akan digunakan lagi sama sekali. Sejalan dengan itu, kami akan secara agresif memerangi teknik saat ini untuk pelacakan lintas situs berbasis non-cookie, seperti sidik jari, pemeriksaan cache, dekorasi tautan, pelacakan jaringan, dan penggabungan Informasi Pengenal Pribadi (PII) .

Michael Kleber, seorang insinyur perangkat lunak Google yang bekerja pada privasi dan pencegahan pelacakan di Chrome, menguraikan rencana perusahaan untuk bergerak menuju web tanpa pelacakan. Dia menyarankan untuk beralih dari cookie ke "API berukuran lebih tepat" yang tidak memungkinkan pelacakan individu tanpa batas di seluruh web dan membahas bagaimana Chrome mengeksplorasi penggunaan Federated Learning of Cohorts (FLoC) (bagian dari proyek Privacy Sandbox) untuk terus mengizinkan iklan berbasis minat di web. Dia mendorong pengembang untuk "membantu kami membayangkan dunia tanpa cookie pihak ketiga atau vektor pelacakan lainnya."

Mendeklarasikan Cookie Pihak Pertama Milik Organisasi yang Sama

Proyek lain yang sedang dikerjakan Chrome di bawah inisiatif Privacy Sandbox adalah First Party Sets (Justin Schuh, Direktur Teknik Chrome mulai membicarakan hal ini pada Agustus 2019).

Proyek ini mengusulkan mekanisme platform web baru untuk mendeklarasikan kumpulan domain terkait sebagai Kumpulan Pihak Pertama. Ini adalah iterasi dari "Kebijakan Kepercayaan Tunggal dan Asal Sama v2" dan "domain terafiliasi" Wilander.

Di sini, browser akan menganggap domain sebagai anggota kumpulan jika domain ikut serta dan kumpulan memenuhi kebijakan UA, untuk menggabungkan kebutuhan pengguna dan situs. Domain ikut serta dengan menghosting manifes JSON di https://<domain>/.well-known/first-party-set. Domain sekunder menunjuk ke domain pemilik sementara domain pemilik mencantumkan anggota kumpulan, nomor versi untuk memicu pembaruan, dan kumpulan pernyataan yang ditandatangani untuk menginformasikan kebijakan UA. Berikut ini contohnya:

 https://a.example/.well-known/first-party-set { "owner": "a.example", "version": 1, "members": ["b.example", "c.example"], "assertions": { "chrome-fps-v1" : "<base64 contents...>", "firefox-fps-v1" : "<base64 contents...>", "safari-fps-v1": "<base64 contents...>" }, } https://b.example/.well-known/first-party-set { "owner": "a.example" } https://c.example/.well-known/first-party-set { "owner": "a.example" }

Mendeklarasikan domain pihak pertama ke browser memungkinkan Anda menyertakan semua domain organisasi Anda. Ini memudahkan browser untuk memblokir alat pihak ketiga yang menggunakan cookie dan skrip pihak pertama. Jika Anda memiliki personalisasi, pengujian A/B, analitik, sistem atribusi, atau alat rujukan, bawa semuanya ke dalam domain organisasi Anda, seperti cookie sisi server dan CNAME. Pastikan untuk memeriksa pihak mana yang Anda bawa di bawah domain Anda karena mereka menjadi tanggung jawab Anda (segera Anda harus menyatakan mereka ke 'bea cukai' browser sebelum memasuki perangkat pengunjung).

API Pengukuran Konversi

Mengacu pada spesifikasi Conversion Measurement API, Steven Englehardt dari Mozilla mengatakan:

Saya ingin menyuarakan keprihatinan Mozilla mengenai pengenalan pengenal lintas situs dengan entropi tinggi, yang juga saya ungkapkan pada pertemuan TPAC yang disebutkan di atas. Pengidentifikasi “data tayangan” entropi tinggi memberi situs penayang kemampuan untuk mempelajari informasi tentang aktivitas pengguna individu di situs selain situs mereka sendiri. Ini merupakan pelanggaran eksplisit terhadap kebijakan anti-pelacakan Firefox, dan kami tidak akan menerapkan API yang memfasilitasi pelanggaran tersebut karena memungkinkan pelacakan lintas situs. Situs penayang dapat mempelajari informasi tentang individu dengan mengaitkan nilai “data tayangan” dengan pengenal pengguna pada saat pendaftaran konversi (yaitu, saat pengguna mengeklik iklan di situs penayang). Kemudian, informasi yang diungkapkan oleh nilai "metadata konversi" dapat dikaitkan dengan akun pengguna tersebut melalui tautan yang dibuat oleh nilai "data tayangan". Dalam praktiknya, ini mungkin informasi sensitif seperti apakah pengguna tersebut melakukan pembelian di situs tujuan, atau apakah mereka mendaftar untuk sebuah akun. Untuk memahami tingkat keparahan risiko yang terkait dengan mengizinkan penerbit mengumpulkan data aktivitas yang terkait dengan individu melalui API ini, pertimbangkan bahwa penerbit mungkin merupakan mesin telusur atau jaringan sosial yang bertindak sebagai titik akses utama pengguna ke seluruh web . Penerbit di posisi ini cenderung mempelajari aktivitas pengguna individu di sejumlah besar situs tujuan, dan dengan demikian membangun gambaran yang cukup komprehensif tentang aktivitas pembelian di luar situs pengguna tersebut, aktivitas pendaftaran di luar situs, dan seterusnya.

Juga, Safari (Webkit) menyatakan skeptisisme publik, terutama di sekitar metadata tayangan 64-bit.

Dengan satu atau lain cara, semua browser lain mencari untuk memecahkan masalah atribusi bagi pengiklan dengan menggunakan API Pengukuran Konversi yang diusulkan oleh Chrome atau API Pengukuran Klik Pribadi yang diusulkan oleh Safari. Setelah ini diterapkan, semua browser akan menawarkan insentif yang cukup kepada pengiklan untuk bekerja dengan mereka sambil tetap melindungi privasi web.

Turtledove atau Federated Learning of Cohorts (FLoC)

Michael Kleber mengembangkan proposal baru yang disebut Two Uncorrelated Requests, Then Locally-Executed Decision On Victory (TURTLE-DOV) atau TURTLEDOVE (versi terbaru dari PIGIN).

Meskipun belum jelas bagaimana Turtledove atau Federated Learning of Cohorts (FLoC) akan berubah, tim di Chrome menempatkan semua solusi ini untuk diskusi dan melihat mana yang mendapat daya tarik dari tim privasi Safari, Firefox, dan Brave. Proposal FLoC menawarkan pendekatan yang berbeda untuk penargetan iklan, dengan fokus pada kepentingan umum orang-orang daripada pada tindakan tertentu.

Dalam model FLoC, pengiklan dan jaringan iklan tidak memiliki kendali atas kelompok mana orang-orang berada. Sebaliknya, browser itu sendiri bertanggung jawab untuk entah bagaimana mengelompokkan kawanan "orang-orang serupa", dengan kebebasan luas dalam cara memunculkan gagasan tentang kesamaan. . Peramban kemudian dapat mengambil langkah-langkah untuk mencegah pengelompokannya memungkinkan pelacakan atau pengungkapan karakteristik sensitif. PIGIN memenuhi kasus penggunaan ini, dan beberapa penjelasan itu digunakan kembali di sini. Dalam proposal itu, browser mengendalikan keanggotaan grup minat (seperti dalam proposal ini), tetapi sejumlah kecil informasi grup minat dikirim bersama dengan permintaan iklan kontekstual reguler (dan tidak ada lelang dalam browser).

Umpan balik dari W3C Web-Advertising Business Group dan Privacy Interest Group dan dari komunitas riset browser dan privasi menyoroti kelemahan dalam desain ini.

Kemampuan untuk mengaitkan penetapan kelompok minat pengiklan dengan identitas pihak pertama seseorang di situs penerbit dianggap terlalu tinggi sebagai kebocoran privasi bahkan dengan mitigasi yang diusulkan oleh Explainer. Analisis keanggotaan daftar pengguna dunia nyata menunjukkan bahwa bahkan "sejumlah kecil informasi grup minat" yang diusulkan akan menghabiskan terlalu banyak Anggaran Privasi halaman. Penambahan lelang dalam browser di TURTLEDOVE adalah cara untuk mengatasi kedua kelemahan privasi. Diskusi dengan peserta dalam ekosistem iklan telah membuatnya tampak lebih masuk akal bahwa komponen lelang dalam browser dapat diadopsi.

Bagaimana TURTLEDOVE bekerja? Proposal adalah API baru untuk mengatasi kasus penggunaan ini sambil menawarkan beberapa kemajuan privasi utama:

• Browser, bukan pengiklan, menyimpan informasi tentang apa yang menurut pengiklan menarik minat seseorang.
• Pengiklan dapat menayangkan iklan berdasarkan minat, tetapi tidak dapat menggabungkan minat tersebut dengan informasi lain tentang orang tersebut — khususnya, siapa mereka atau halaman apa yang mereka kunjungi.
• Situs web yang dikunjungi orang tersebut, dan jaringan iklan yang digunakan situs tersebut, tidak dapat mempelajari minat iklan pengunjung mereka.

Ini sepertinya solusi yang bagus untuk privasi, dan itu membuat browser menjadi pemain yang kuat di dunia periklanan. Dengan begitu, saya melihat perusahaan seperti Apple (Safari Webkit), Firefox dan Brave berdiri di belakang ini sebagai model pendapatan baru, sambil tetap menghormati privasi. Namun, ini akan membutuhkan pergeseran kekuatan besar-besaran dari jaringan iklan ke browser.

Sisi Server Akan Menyelamatkan Kita Semua

Beberapa vendor berpura-pura bahwa metode sisi server menyelesaikan semua masalah dan memungkinkan personalisasi atau pengujian A/B. Tetapi metode sisi server tidak akan memungkinkan Anda melakukan banyak hal tanpa memahami keadaan klien (pengguna di browser). Untuk itu, Anda tetap membutuhkan cookie pihak pertama. Bagaimana Anda mengatur cookie pihak pertama ini? Anda perlu menyajikan variasi yang sama untuk pengujian A/B dan personalisasi dengan cara yang melekat di seluruh sesi agar ini berfungsi. Sidik jari tidak legal dan browser melacak dan menonaktifkan metode ini. Itu tidak transparan sama sekali. Anda hanya dapat menggunakan cookie pihak pertama yang ditetapkan di bawah subdomain situs utama dan menggunakan Set Pihak Pertama untuk menyatakan bahwa Anda memiliki subdomain ini.

Sisi klien vs sisi server bukanlah perdebatan yang masuk akal dalam diskusi ini.

Anda dapat menyebut personalisasi situs klien dan alat pengujian A/B hibrida, karena mereka memindahkan tanggung jawab pengaturan cookie ke domain tepercaya (Set Pihak Pertama) dalam organisasi. Namun, dalam hal ini semua alat situs klien akan menjadi hibrida, karena ini akan menjadi satu-satunya cara untuk melakukannya di masa mendatang.

Penghapusan Cookie Pihak Ketiga. Apa berikutnya?

Tanda-tandanya jelas, kue-kue sudah mati… yah, tidak juga. Sebagian besar artikel online berbicara tentang kematian cookie. Meskipun kami telah melihat banyak API yang dapat mengambil alih bagian dari pekerjaan cookie, belum ada tanda bahwa cookie akan pergi ke mana pun.

Cookie pihak ketiga akan hilang sepenuhnya, dan itu adalah hal yang baik untuk privasi.

Justin Schuh, Direktur di Chrome Engineering baru-baru ini menyatakan: “Kami berencana untuk menghentikan dukungan untuk cookie pihak ketiga di Chrome (dan) niat kami adalah melakukannya dalam waktu dua tahun”. Chrome akan memulai dengan pemasar konversi karena mereka berencana untuk memulai uji coba asal pertama pada akhir tahun 2020, dimulai dengan pengukuran konversi dan diikuti dengan personalisasi.

Webkit (Apple Safari) dan Chrome (Google) akan membantu membuka jalan bagi privasi browser, Apple mendorong Google untuk menggunakan lebih banyak privasi sementara tidak menangani banyak masalah privasi pembuat uang iOS.

Saya memperkirakan semakin banyak bisnis Eropa akan fokus untuk mencoba membuat pengguna masuk dan mendaftar (semoga tidak menggunakan layanan Google atau Apple) dan menerapkan dasar hukum pada kontrak.

Ketertarikan dalam mengoptimalkan persetujuan atau menghadirkan beberapa manfaat pada fase login (seperti satu klik Amazon) memperjelas bahwa pertempuran di Eropa akan menjadi semua tentang login.

Sebagai pengoptimal, kami perlu memastikan bahwa pada tingkat organisasi kami memiliki semua domain (pihak pertama) yang siap untuk dibagikan dengan browser. Langkah ke arah itu dapat membuat inventaris skrip dan penyedia yang ramah privasi. Kemudian, berikan akses cookie pihak pertama melalui solusi CNAME pusat Anda sambil tetap menjaga alat sensitif privasi (membangun profil lintas situs).

Kami akan diwajibkan secara hukum untuk meminta persetujuan di Inggris (menurut ICO), tetapi saya memperkirakan bahwa pedoman CNIL untuk pengecualian pada pengujian A/B dan analitik terbatas akan membuka jalan bagi pengecualian Eropa bagi mereka karena itu akan cocok dengan Peraturan ePrivacy baru. Tanpa itu, kami hanya akan memiliki analitik berbasis sesi, dan tidak akan dapat terhubung ke pengguna individu. Pengujian A/B menggunakan monitor tingkat pengguna standar dan loop konversi tidak berlaku dalam kasus ini dan kami harus kembali pada peningkatan berkelanjutan, memantau peningkatan konversi ini dan menghubungkannya.

Non-Eropa dapat diuji menggunakan cookie pihak pertama (yang disediakan oleh Convert Experiences) dan harus dimulai dengan inventaris semua skrip dan vendor yang dipercaya organisasi untuk membawanya ke subdomain menggunakan CNAME. Konversi dapat dilacak menggunakan API Atribusi Klik atau Konversi yang berbeda yang sedang dikembangkan. Mungkin pengujian A/B dapat meningkatkan ini untuk variasi yang berbeda dan menjaga konsistensi jika browser tidak mengikuti pemikiran CNIL dalam mengecualikan ini dari blok cookie, meskipun dalam format saat ini tampaknya tidak mungkin. Konsistensi berasal dari cookie tepercaya pihak pertama.

Analisis berbasis pengguna yang menggunakan teknik seperti isLoggedIn kemungkinan akan diperluas dan disatukan di seluruh browser, memungkinkan undang-undang privasi untuk mengalihkan tanggung jawab mendefinisikan kontrak ke mekanisme browser. Ini memberi browser kekuatan baru. Dikombinasikan dengan API baru untuk pengukuran niat, kategori iklan, dan pelacakan konversi, pertempuran sedang berlangsung untuk siapa yang memiliki pangsa pasar browser terbesar, dan menawarkan jaringan iklan terbesar di dunia.

Waktu yang menarik di depan… Saya sangat berharap artikel ini membantu Anda mendapatkan kejelasan tentang kemana arah hukum privasi dan browser. Satu hal yang pasti. Siapkan tim pengoptimalan dan analitik Anda untuk merencanakan membuat perubahan ketika saatnya tiba (akan lebih cepat dari yang Anda kira).

Ada pertanyaan? Mari kita lanjutkan percakapan di LinkedIn.