Apakah Peramban Mendorong Masa Depan Tanpa Cookie?

Undang-undang baru-baru ini seperti GDPR Eropa, Pedoman ePrivasi, CCPA California, dan Peraturan ePrivasi yang akan datang mendorong browser untuk bergabung dalam upaya melindungi privasi pengguna .

Dengan Safari ITP dan Firefox ETP memimpin upaya tersebut, dan Google baru-baru ini bergabung, raksasa internet bekerja keras untuk membuat pengaturan kerangka hukum yang seragam.

Untuk bisnis yang menggunakan alat pengujian A/B dan personalisasi yang ingin memperpanjang waktu mereka menampilkan personalisasi atau variasi kepada orang yang sama — misalnya, lebih dari 7 hari — solusi terbaik adalah pindah ke DNS melalui HTTP(s), juga disebut penyiapan CNAME, untuk menyetel cookie pihak pertama.

Ini adalah langkah kontroversial. Baca terus (atau tonton video di bawah) untuk melihat mengapa kami merekomendasikannya dan bagaimana Anda dapat menggunakannya (atau tidak) dengan benar.

Apa yang Diinginkan Peramban, Eropa, dan CCPA bagi Pengguna?

Di Eropa, menyetel cookie (bahkan untuk analitik, pengujian A/B, atau tujuan personalisasi) tanpa persetujuan adalah praktik yang patut dipertanyakan, karena beberapa di antaranya berisi data pribadi dan itu adalah masalah BESAR.

Peramban seperti Safari dan Firefox (dan pada tingkat lebih rendah, Chrome) juga ingin melindungi penggunanya dari jenis kuki ini, yang digunakan untuk membangun profil pengguna dan minat beli. Informasi ini kemudian akan dijual dan digunakan untuk menargetkan pengguna di situs lain. Penjual iklan akan mendapat untung lebih tinggi pada penempatan iklan dengan niat terverifikasi vs tayangan iklan biasa. Para pemimpin industri iklan memahami bahwa langkah ke depan adalah lebih sedikit pelacakan dan lebih banyak penempatan iklan yang sesuai dengan maksud pengguna di halaman (dengan menggunakan pencocokan iklan konten).

Pergeseran ini secara signifikan mengubah industri iklan online. Kami sekarang memiliki perusahaan yang menjangkau dengan permintaan seperti: "ubah DNS Anda untuk CNAME dalam pekerjaan 2 menit ini dan kami melanjutkan bisnis seperti biasa".

Praktik ini memperkenalkan istilah CNAME Cloaking dan BAM, kita memasuki sisi gelap dari fungsi CNAME yang berguna. Jaringan iklan dapat bersembunyi di balik subdomain perusahaan dan terus mengumpulkan informasi pribadi dan membangun profil untuk pendapatan iklan yang lebih tinggi.

Inilah yang coba dicegah oleh browser dan undang-undang Eropa.

Mari kita bicara tentang ide di balik undang-undang ini dan teknologi browser yang diluncurkan. Mereka dimaksudkan untuk menawarkan transparansi kepada pengunjung situs web dan meminta mereka secara eksplisit menyetujui permintaan. Mereka juga dimaksudkan untuk mencegah pengumpulan data tersembunyi dan pembuatan profil yang dipersonalisasi tanpa disadari oleh pengguna.

Web perlahan-lahan menjadi tempat yang menyeramkan di mana beberapa pemain besar tahu lebih banyak tentang Anda daripada pasangan hidup Anda.

Berhenti lakukan itu! Anda harus berhenti memberi jaringan iklan begitu banyak akses ke data pengguna Anda. Periode!

Peretasan Teknologi atau Pertempuran Permanen?

Anda mungkin melihat ini sebagai permainan teknologi kucing dan tikus yang bisa Anda menangkan, tetapi yang Anda lakukan hanyalah menunda hal yang tak terhindarkan.

Dengan demikian, Anda membatasi upaya pemasaran Anda yang lain yang masih dianggap aman.

Peramban atau undang-undang privasi tidak ingin Anda kehilangan konversi sebagai pemasar setelah Anda melihat iklan (meskipun itu sebulan dari sekarang). Mereka tidak keberatan Anda menggunakan login universal untuk beberapa situs atau menggunakan analitik anonim di situs Anda untuk mengukur dampaknya. Mereka keberatan, bagaimanapun, bahwa Anda (atau penyedia Anda, Google atau Facebook) menyelinap di skrip pelacakan di mana-mana untuk membangun profil pengguna pada saat yang sama. Pengguna ingin masuk, bukan membagikan bahwa mereka masuk dengan Facebook dan sekarang akan didorong ke +1 beberapa kategori iklan yang mereka minati. Jika Anda melakukannya, mereka akan memotong Anda, tetapi inisiatif baru akan membantu Anda mengumpulkan konversi itu (baca terus…)

Webkit, organisasi di balik ITP di Safari menjelaskan hal ini dalam Kebijakan Pencegahan Pelacakan mereka:

Dampak yang Tidak Diinginkan ITP

Ada praktik di web yang tidak ingin kami ganggu, tetapi mungkin terpengaruh secara tidak sengaja karena praktik tersebut mengandalkan teknik yang juga dapat digunakan untuk pelacakan. Kami menganggap ini sebagai dampak yang tidak diinginkan. Praktik-praktik ini meliputi:

Mendanai situs web menggunakan iklan yang ditargetkan atau dipersonalisasi (lihat Pengukuran Klik Pribadi di bawah).

• Mengukur efektivitas periklanan.

• Login gabungan menggunakan penyedia login pihak ketiga.

• Sistem masuk tunggal ke beberapa situs web yang dikendalikan oleh organisasi yang sama.

• Media tertanam yang menggunakan identitas pengguna untuk menghormati preferensi mereka.

• Tombol "Suka", komentar gabungan, atau widget sosial lainnya.

• Pencegahan penipuan.

• Deteksi bot.

• Meningkatkan keamanan otentikasi klien.

• Analytics dalam cakupan situs web tunggal.

• Pengukuran audiens.

Saat dihadapkan dengan tradeoff, kami biasanya akan memprioritaskan manfaat pengguna daripada melestarikan praktik situs web saat ini. Kami percaya bahwa itulah peran browser web, yang juga dikenal sebagai agen pengguna.

Namun, kami akan mencoba membatasi dampak yang tidak diinginkan. Kami dapat mengubah metode pencegahan pelacakan untuk mengizinkan kasus penggunaan tertentu, terutama ketika keketatan yang lebih besar akan membahayakan pengalaman pengguna. Dalam kasus lain, kami akan merancang dan menerapkan teknologi web baru untuk mengaktifkan kembali praktik ini tanpa memperkenalkan kembali kemampuan pelacakan. Contohnya termasuk API Akses Penyimpanan dan Pengukuran Klik Pribadi .

Saya yakin browser lain berbagi ide ini.

Meskipun teknologi dan kecepatan implementasi mereka mungkin mencerminkan politik dan visi mereka, mereka semua bekerja untuk meningkatkan transparansi dan keikutsertaan pengguna dalam satu atau yang lain. Alat yang berguna untuk melacak semua upaya mereka adalah Status Cookie oleh Simo Ahava.

CNAME sebagai Solusi Sementara

Saat Anda menggunakan layanan seperti CookieSaver dan TraceDock, yang berpura-pura memberi Anda "bisnis seperti biasa", dan fokusnya adalah pada apa yang Anda " pikir Anda lewatkan ", Anda mungkin kehilangan logika di balik undang-undang privasi baru dan perubahan browser .

Tapi yang jelas, beberapa cookie harus Anda jauhkan dari CNAME! Ini adalah dunia baru di mana orang memilih apakah mereka ingin melepaskan semua privasi mereka untuk kenyamanan dan keikutsertaan dan masuk. Anda tidak dapat terus mengambil privasi dari orang lain untuk memenuhi tujuan bisnis Anda. Kamu tidak boleh egois lagi. Anda perlu percaya bahwa dengan melakukan hal yang benar, bisnis Anda akan berkembang. Percaya dan ukur….

Browser seperti Chrome dan Safari sedang mengerjakan inisiatif yang akan memberi Anda akses ke informasi pengguna yang dipersonalisasi yang disetujui pengguna. Beberapa personalisasi akan dimungkinkan berdasarkan itu (mereka masih dua tahun lagi).

Chrome dan Webkit (Safari) sedang mengerjakan teknologi yang memungkinkan Anda mendapatkan kembali konversi iklan menggunakan API. Ini berarti Anda akan dapat terus melakukan beberapa atribusi dan bahkan melacak konversi 3-60 hari sejak hari tayangan.

Masalah dengan ini adalah bahwa undang-undang privasi ditegakkan sekarang, sementara alternatif ini belum tersedia.

Hanya karena CNAME mungkin menjadi pilihan saat ini untuk memperluas pelacakan jaringan iklan dan memungkinkan mereka membangun profil pribadi, itu tidak menjadikannya solusi jangka panjang yang layak.

Ini adalah niat browser untuk melindungi pengguna dari ini. Jika Anda memperpanjang masa pakai cookie yang memungkinkan pembuatan profil pengguna di situs Anda dan menargetkan ulang mereka di tempat lain, atau lebih buruk lagi, membuat profil pengguna dan menjualnya… saat itulah browser dan pihak ketiga akan mulai membuat daftar pemblokiran untuk jaringan yang meragukan tersebut.

Anda harus berhenti mendukung sistem apa pun yang membuat profil pribadi di luar domain Anda . Inilah yang diinginkan pengguna, browser, dan undang-undang privasi. Itu yang akan menggigit Anda jika Anda tidak melakukannya. Pastikan seseorang akan mengekspos merek Anda untuk melakukan ini.

Praktik ini juga dapat menambah risiko keamanan ke situs web Anda.

Saat Anda memindahkan pelacak iklan yang memiliki cookie pihak ketiga ke cookie pihak pertama menggunakan CNAME, ini menambah risiko bahwa skrip mereka dapat membaca autentikasi dan cookie login pengguna Anda.

Sebagian besar artikel tentang Penyelubungan CNAME berfokus pada pembuatan profil sistem iklan pada pengguna. Kami ingin menjauhkan diri dari praktik ini.

Alat pengujian dan personalisasi A/B telah memiliki cookie pihak pertama selama bertahun-tahun. Mereka sudah mampu memanipulasi seluruh situs dan sistem login sebagai bagian dari sistem yang mereka miliki. Untuk jenis alat tersebut, tidak ada perubahan yang menggunakan CNAME kecuali pengalaman dapat konsisten selama 30-60 hari, bukan 7 hari.

Peraturan ePrivasi Eropa Mengikuti Peramban

Eropa sedang mengerjakan draf terbaru dari Peraturan ePrivasi yang memungkinkan penempatan cookie untuk analitik dan pengoptimalan situs web. Ini mengirimkan sinyal yang jelas bahwa, mulai sekarang, hanya cookie penting, seperti penyimpanan sesi login atau produk di keranjang belanja, juga analitik dan pengujian A/B untuk kepentingan pengguna, yang akan diizinkan.

Pada 8 November 2019, pemerintah Finlandia mengeluarkan proposal revisi untuk Peraturan ePrivasi dengan beberapa perubahan.

Gaming Tech Law merangkumnya sebagai:

Penggunaan cookie (dan file/tag serupa) memerlukan persetujuan secara umum. Namun, Peraturan ePrivasi memberikan banyak pengecualian, termasuk pengecualian yang sudah dikenal (cookie yang diperlukan untuk komunikasi atau alasan teknis) serta pengecualian baru seperti (bentuk tertentu) analitik, keamanan (termasuk pencegahan penipuan), pembaruan perangkat lunak, dan eksekusi tugas karyawan serta pengecualian lebih lanjut yang tercantum di atas.

Untuk tujuan pengujian A/B, kemungkinan besar Anda tidak memerlukan persetujuan dan dapat menempatkan cookie tanpa masalah, seperti yang dinyatakan dalam draf terbaru Peraturan ePrivasi (Nov 2019) dalam pasal 21a :

Cookie juga dapat menjadi alat yang sah dan berguna, misalnya, dalam menilai efektivitas layanan masyarakat informasi yang disampaikan, misalnya desain situs web dan iklan atau dengan membantu mengukur jumlah pengguna akhir yang mengunjungi situs web, halaman tertentu dari suatu situs web atau jumlah pengguna akhir suatu aplikasi. Namun, tidak demikian halnya dengan cookie dan pengidentifikasi serupa yang digunakan untuk menentukan sifat siapa yang menggunakan situs, yang selalu memerlukan persetujuan pengguna akhir.

Draf Peraturan ePrivasi berfokus pada gagasan bahwa pelacakan dan analitik diizinkan tanpa persetujuan, selama tidak digunakan untuk membangun profil pengguna, sebagaimana disebutkan dalam pasal 17AA:

Karena pengguna akhir sangat menghargai kerahasiaan komunikasi mereka, termasuk pergerakan fisik mereka, data tersebut tidak dapat digunakan untuk menentukan sifat atau karakteristik pengguna akhir atau untuk membangun profil pengguna akhir, untuk, misalnya, hindari bahwa data digunakan untuk tujuan segmentasi, untuk memantau perilaku pengguna akhir tertentu atau untuk menarik kesimpulan tentang kehidupan pribadi pengguna akhir. Untuk alasan yang sama, pengguna akhir harus diberikan informasi tentang aktivitas pemrosesan yang berlangsung dan diberikan hak untuk menolak pemrosesan tersebut.

Apa yang akan dikatakan draf akhir?

Kita harus menunggu versi final dari Peraturan dan kemudian undang-undang nasional untuk benar-benar mulai membahas pedoman secara lebih mendalam. Tetapi ePrivacy Directive saat ini memberikan harapan yang baik untuk pengujian A/B. Paul Schmitt menunjukkan kepada saya bahwa meskipun ICO (otoritas privasi Inggris) dan CNIL (otoritas privasi Prancis) mengatur bahwa cookie untuk pengujian dan analitik A/B memerlukan persetujuan, pedoman terbaru CNIL (dalam bahasa Prancis) dari Github mengatakan jika tidak. Berikut terjemahannya:

Manfaat dari pengecualian dari persetujuan, tunduk pada sejumlah kondisi tertentu, cookie yang digunakan untuk pengukuran audiens dikecualikan dari persetujuan. Ketentuan ini, sebagaimana ditentukan dalam pedoman tentang cookie dan pelacak lainnya, adalah (1) memberi tahu pengguna tentang penggunaannya; (2) memberi mereka kekuatan untuk menentangnya; (3) untuk membatasi sistem hanya untuk tujuan berikut: pengukuran audiens dan pengujian A/B.

Untuk meringkas, baik browser dan undang-undang privasi menginginkan hal yang sama. Mereka tidak ada di sini untuk menghentikan upaya Anda untuk menganalisis pengguna (di situs Anda) atau untuk melakukan pengujian A/B untuk meningkatkan dan mengoptimalkan pengalaman pengguna.

Tidak Ada Cookie ... Mari Gunakan Sidik Jari

Sidik jari berarti membangun pengidentifikasi unik dengan menggabungkan beberapa properti yang dengan sendirinya tidak unik bagi Anda, melewati batasan browser pada cookie, dan bahkan dapat melacak Anda di seluruh perangkat (itu sesuatu yang tidak dapat dilakukan cookie).

Beberapa properti ini adalah alamat IP Anda, versi sistem operasi Anda, versi browser Anda, bahasa komputer Anda, waktu Anda, ukuran layar Anda, kerapatan piksel layar Anda, seberapa cepat komputer Anda, dan daftarnya terus bertambah dan pada.

Anda dapat mempertimbangkan untuk tidak menggunakan cookie sama sekali untuk teknik tertentu. Namun, ini tidak berarti Anda dapat mengabaikan transparansi dan masalah privasi dengan menyembunyikan apa yang Anda lakukan pada sisi server pengunjung individu atau di tepi CDN. Itulah salah satu alasan kami mempromosikan transparansi mutlak pada upaya pengujian dan personalisasi yang berjalan di situs kami.

Anda mungkin menyiapkan pengujian A/B di edge tanpa cookie (di Fastly), tetapi itu tidak transparan dan dapat tidak disukai. Peramban membatasi informasi yang Anda peroleh untuk membuat pengalaman hash/unik bagi seseorang.

Peraturan ePrivacy jelas — mereka tidak mengizinkan sidik jari. Peramban dan otoritas privasi akan melawan Anda lebih keras lagi terkait sidik jari daripada cookie. Jangan pergi ke sana.

Lebih Transparan, bukan Kurang

Convert Experiences adalah alat pengujian dan personalisasi A/B kami. Itu tidak memungkinkan pembuatan profil pengguna menggunakan data pribadi secara default.

Kami menggabungkan data dalam laporan dan mengirim peringatan ketika segmen menjadi sangat kecil, mereka membuat pengguna dapat diidentifikasi atau ketika kami menduga data pribadi ditambahkan di bidang yang tidak seharusnya.

Alat kami sering digunakan oleh merek yang peduli dengan kepatuhan terhadap semua undang-undang privasi di seluruh dunia. Kami menawarkan opsi di mana pemilik situs web dapat membagikan tautan atau tombol pintasan agar transparan tentang pengalaman apa yang dijalankan di situs web dan pengalaman pengguna.

Kami mendorong pelanggan kami untuk membangun pengalaman yang meningkatkan pengalaman pengguna dan mengoptimalkan alur.

Jika Anda ingin membangun dunia yang lebih baik, buat formulir yang lebih baik dan lebih pendek . Browser, pengguna, dan undang-undang privasi mendukung Anda dalam hal itu. Apa yang tidak akan mereka dukung adalah pengujian A/B di mana Anda menyelinap dalam upsell yang diperiksa secara default. Tingkatkan properti Anda dan kemudian tidak akan ada masalah untuk bersikap transparan tentang hal itu. Pengujian A/B menguntungkan pengguna dan bisa baik untuk bisnis, karena Anda menawarkan pengalaman online terbaik.

Jadi ketika Anda menginstal CNAME untuk alat pengujian A/B Anda, pastikan alat Anda tidak membuat profil pengguna. Jangan gunakan pengenal seperti jenis kelamin, usia, ras, dan agama untuk menargetkan (beberapa alat – bukan milik kami – menawarkan itu). Jangan pergi ke sana, itu tidak layak dan tidak ada yang menginginkan ini lagi.

Siapkan CNAME untuk alat yang Anda percaya. Jangan biarkan mereka menyalurkan informasi tentang pengunjung Anda ke situs dan lokasi pihak ketiga. Anda dan Anda sendiri yang bertanggung jawab atas apa yang disimpan dan dilakukan alat ini dengan data. Anda dapat melihat setiap alat dan banyak potongan yang mereka angkat dengan alat tersebut (Anda dapat menggunakan Collision — lihat gambar di bawah). Siapkan CNAME hanya untuk perusahaan tempat Anda memiliki DPA (Perjanjian Pemrosesan Data) yang ditandatangani — temukan milik kami di sini.

Sekarang apa?

Saya memaparkan semua yang saya ketahui tentang CNAME di pos ini — semoga bermanfaat dan menjelaskan topik rumit ini.

Jangan ragu untuk terhubung dengan saya di LinkedIn atau baca bagaimana kami sepenuhnya beralih ke fokus privasi pada tahun 2018.

Lihat bagaimana kami menangani Privacy Shield, SCC, CCPA, dan upaya umum kami di bidang ini.

Saya harap artikel ini menjelaskan bagaimana Anda dapat menggunakan CNAME dalam upaya Anda untuk memperpanjang eksperimen pengujian A/B Anda dari 7 menjadi 30 hari. Jangan membeli alat CNAME yang memperpanjang umur cookie iklan yang membangun profil pengguna.

Ikuti uji coba gratis perangkat lunak pengujian A/B kami, jika Anda ingin melihat cara kerja alat yang sadar privasi. Kami (seperti halnya Peraturan ePrivasi) yakin pengujian A/B adalah metode positif yang dapat membantu memvalidasi upaya bisnis dalam memberikan pengalaman yang lebih baik bagi pengguna dan tidak mengeksploitasinya.