GDPR 深入探讨：如何处理 Cookie

所有 cookie 的工作方式似乎或多或少都相同。 由用户存储、跟踪活动等的微小 Web 文件。

但有些人比其他人更“私密”。

现在，这将比以往任何时候都对您的营销堆栈产生影响。

通向 GDPR 和 ePrivacy 合规性的道路崎岖不平。 它要求您的数据处理者依赖“设计隐私”，并在他们使用任何个人数据时征得同意。 这意味着任何个人标识符。 这意味着 cookie、IP 地址或邮政编码。

在 Convert，我们希望确保不会将任何个人数据存储在我们的系统中，并且不会通过使用 cookie 来识别任何人。 这是保持业务增长、战略知识和网站访问者个人隐私之间平衡的唯一方法。

因为，您有没有想过当您需要明确同意您的 A/B 测试工具时会发生什么？

如果您的软件要运行——您网站上的每个用户都需要同意 A/B 测试。

你怎么解释清楚？ 有说服力吗？

您认为有多少用户会同意？

软件供应商：如果您想挽救您的业务——是时候重新设计您的应用程序了

欧盟为我们提供了关于如何在 GDPR 中处理 cookie 的明确指南——即使没有新的电子隐私法规。

我们真的很想与我们的网络访问者分享一个明确的信息：我们关心您的隐私。

为此，我预计，我们将不得不取消我们使用的 72 种软件工具中的 20%。

只是因为隐私不明确。 或者缺少 GDPR 调整的功能。 或者不愿意透明地管理我们的客户、潜在客户和其他关系的数据。

GDPR Recital 30 指出：

自然人可能与他们的设备、应用程序、工具和协议提供的在线标识符相关联，例如互联网协议地址、cookie 标识符或其他标识符，例如射频识别标签。

这可能会留下痕迹，特别是当与服务器接收的唯一标识符和其他信息相结合时，这些痕迹可用于创建自然人的个人资料并识别他们。

所以他们不想要任何唯一标识符。 甚至在 cookie 中也没有——当然也不是个人数据。

使用 ePrivacy 指令和欧洲本地化版本进行 GDPR 前 A/B 测试

现行法律，ePrivacy 指令（很快将被新的 ePrivacy 法规取代）帮助我们了解 A/B 测试软件所依赖的 cookie 类型。 它们是性能 cookie：

测试设计的变体，通常使用 A/B 或多变量测试，以确保在当前和后续会话中为站点用户保持一致的外观和感觉。 如果它们符合此描述，它们就是性能 cookie。

这些 cookie 收集有关访问者如何使用网站的信息，例如访问者最常访问哪些页面，以及他们是否从网页中收到错误消息。 这些 cookie 不会收集可识别访问者的信息。 这些 cookie 收集的所有信息都是汇总的，因此是匿名的。 它仅用于改进网站的工作方式。

这些 cookie 不应用于重新定位广告，如果是，则应根据ICC UK Cookie 指南2012 年 11 月第二版 [PDF]将它们置于定位 cookie 和广告 cookie 类别中。

“性能部分”中的 Cookie仅为网站运营商的利益收集有关网站使用情况的信息。 他们依赖于汇总数据。 他们不直接“识别访客”。 例如，在网站的条款和条件中或当用户更改网站设置时，可能会获得使用这些类型 cookie 的同意。

此处使用的正确方法将取决于网站的性质以及所涉及的 cookie 的精确功能。 但在大多数情况下，我们可以通过以下词语获得同意：“通过使用我们的 [网站] [在线服务]，您同意在您的设备上使用这些类型的 cookie。”

尽管新法律（ePrivacy 法规）有所不同，但旧/现行法律 ePrivacy 指令可帮助我们了解 A/B 测试软件在未经用户同意的情况下放置 cookie 的位置。 只要我们向最终用户提供明确的信息，我们就可以正常工作。

每个国家/地区的描述可能略有不同——但总的来说，欧洲参与了 A/B 测试。 它有助于提高网站的性能（如果您没有将其用于行为定位和个性化。并且您没有与他人共享信息或跨网站跟踪）。

在 GDPR 之后，我们是否需要获得 A/B 测试的同意？

有趣的是，PageFair 发现只有21% 的消费者会选择使用第一方分析跟踪。

这意味着如果当前流量符合同意参数，则 ⅕ 的当前流量将接受分析。

那么您是否需要获得 A/B 测试工具的同意？

很可能是的，如果您的 A/B 测试软件依赖于 IP 地址、唯一标识符，如设备 ID、用户 ID、交易 ID、CookieID 或假名数据（意思是：无法识别的数据 + 存储在其他地方的密钥，以使其可读再次）。 根据 GDPR，这些是唯一标识符，需要明确选择加入。

那么你什么时候需要从明确同意开始呢？ ePrivacy 指令何时转换为 ePrivacy 法规？

警告：拉丁词和法律术语。

ePrivacy 法规是 GDPR 的“principe lex specialis derogat legi generali”或简称“lex specialis”。

用简单的英语来说，这意味着：如果 GDPR 和 ePrivacy 不一致，或者 GDPR 制定了需要进一步规范的指导方针——ePrivacy 中规定的规则就是您需要遵循的规则。

现在，我们只有一份电子隐私条例草案（名称 1533）在辩论中。 它仍然需要看到欧盟成员国代表的反馈——因此它并不能准确反映即将成为法律的内容。

一个“乐观”的预测：隐私论坛政策顾问 Gabriela Zanfir-Fortuna 的未来表示，他预计 ePrivacy 的批准日期将在 2018 年底。至于实施日期，我们真的不知道。

不太乐观的是，他还建议电子隐私法规“可能需要额外的合规性”。 而且，Alex Propes（公共政策互动广告局 (IAB) 主任）曾表示，“组织目前只能针对 GDPR。”

Alston & Bird 的 Daniel Felz 助理持有更令人沮丧的观点：“ePrivacy 监管三部曲谈判被推迟到 2018 年秋季； 最终的电子隐私法规可能要到 2020 年才能实施。” 据报道，在德国联邦数据保护协会主办的一次会议上，德国经济部的一位女发言人表示，三部曲谈判要到 2018 年秋季才会开始。

显然，欧盟成员国仍在讨论有关电子隐私法规问题的一些未决问题。

与此同时，显然，现行的电子隐私指令（欧洲议会和理事会 2002 年 7 月 12 日的指令 2002/58/EC）仍然有效，这是国家立法的问题。

所以这是你向我扔的很多法律。 这对我的业务意味着什么？

GDPR 很明确：未经同意不得提供个人数据。 如果您正在等待 ePrivacy 突然出现漏洞，您可能会等待很长时间。

因此，如果您的 A/B 测试软件依赖于个人数据：IP 地址、唯一标识符，如设备 ID、用户 ID、交易 ID、CookieID 或假名数据（即无法识别的数据 + 不同位置的密钥以使其再次可读），那么这是个人数据数据。

在 GDPR 策略中包含在线数据和标识符（例如 cookie 和许多其他标识符）仍然是关键。 无论在哪里以及如何，文本都将在未来的代表讨论中进行调整。

旧的 ePrivacy 指令让您有义务设置“cookie wall”通知，并且只关注欧洲公司。

现在 GDPR 适用于全球所有接触欧盟数据的人。 个人数据被定义为包括各种新的标识符。

但是旧的 ePrivacy 指令说了别的。 它说“对于这种类型的数据，你只需要一个通知，并有机会选择退出。”

所以欢迎来到法律真空。

最大的问题是：你会在那个灰色区域内被罚款吗？

答案是：你想冒险吗？

隐私当局将有一段时间实施 GDPR。 新的电子隐私法可能不会在 2019 年甚至 2020 年实施。

所以，我预计 5 月 25 日不会有巨额罚款，如果您的基本 cookie 墙仍然存在的话。

但很明显，最终，法律正在发生变化。 随着我们进入一个数据价值更高、数据主体要求更高的世界，它们将不断变化。

所以让我们现在开始吧。