GDPR 深入探討：如何處理 Cookie

所有 cookie 的工作方式似乎或多或少都相同。 由用戶存儲、跟踪活動等的微小 Web 文件。

但有些人比其他人更“私密”。

現在，這將比以往任何時候都對您的營銷堆棧產生影響。

通向 GDPR 和 ePrivacy 合規性的道路崎嶇不平。 它要求您的數據處理者依賴“設計隱私”，並在他們使用任何個人數據時徵得同意。 這意味著任何個人標識符。 這意味著 cookie、IP 地址或郵政編碼。

在 Convert，我們希望確保不會將任何個人數據存儲在我們的系統中，並且不會通過使用 cookie 來識別任何人。 這是保持業務增長、戰略知識和網站訪問者個人隱私之間平衡的唯一方法。

因為，您有沒有想過當您需要明確同意您的 A/B 測試工具時會發生什麼？

如果您的軟件要運行——您網站上的每個用戶都需要同意 A/B 測試。

你怎麼解釋清楚？ 有說服力嗎？

您認為有多少用戶會同意？

軟件供應商：如果您想挽救您的業務——是時候重新設計您的應用程序了

歐盟為我們提供了關於如何在 GDPR 中處理 cookie 的明確指南——即使沒有新的電子隱私法規。

我們真的很想與我們的網絡訪問者分享一個明確的信息：我們關心您的隱私。

為此，我預計，我們將不得不取消我們使用的 72 種軟件工具中的 20%。

只是因為隱私不明確。 或者缺少 GDPR 調整的功能。 或者不願意透明地管理我們的客戶、潛在客戶和其他關係的數據。

GDPR Recital 30 指出：

自然人可能與他們的設備、應用程序、工具和協議提供的在線標識符相關聯，例如互聯網協議地址、cookie 標識符或其他標識符，例如射頻識別標籤。

這可能會留下痕跡，特別是當與服務器接收的唯一標識符和其他信息相結合時，這些痕跡可用於創建自然人的個人資料並識別他們。

所以他們不想要任何唯一標識符。 甚至在 cookie 中也沒有——當然也不是個人數據。

使用 ePrivacy 指令和歐洲本地化版本進行 GDPR 前 A/B 測試

現行法律，ePrivacy 指令（很快將被新的 ePrivacy 法規取代）幫助我們了解 A/B 測試軟件所依賴的 cookie 類型。 它們是性能 cookie：

測試設計的變體，通常使用 A/B 或多變量測試，以確保在當前和後續會話中為站點用戶保持一致的外觀和感覺。 如果它們符合此​​描述，它們就是性能 cookie。

這些 cookie 收集有關訪問者如何使用網站的信息，例如訪問者最常訪問哪些頁面，以及他們是否從網頁中收到錯誤消息。 這些 cookie 不會收集可識別訪問者的信息。 這些 cookie 收集的所有信息都是匯總的，因此是匿名的。 它僅用於改進網站的工作方式。

這些 cookie 不應用於重新定位廣告，如果是，則應根據ICC UK Cookie 指南2012 年 11 月第二版 [PDF]將它們置於定位 cookie 和廣告 cookie 類別中。

“性能部分”中的 Cookie僅為網站運營商的利益收集有關網站使用情況的信息。 他們依賴於匯總數據。 他們不直接“識別訪客”。 例如，在網站的條款和條件中或當用戶更改網站設置時，可能會獲得使用這些類型 cookie 的同意。

此處使用的正確方法將取決於網站的性質以及所涉及的 cookie 的精確功能。 但在大多數情況下，我們可以通過以下詞語獲得同意：“通過使用我們的 [網站] [在線服務]，您同意在您的設備上使用這些類型的 cookie。”

儘管新法律（ePrivacy 法規）有所不同，但舊/現行法律 ePrivacy 指令可幫助我們了解 A/B 測試軟件在未經用戶同意的情況下放置 cookie 的位置。 只要我們向最終用戶提供明確的信息，我們就可以正常工作。

每個國家/地區的描述可能略有不同——但總的來說，歐洲參與了 A/B 測試。 它有助於提高網站的性能（如果您沒有將其用於行為定位和個性化。並且您沒有與他人共享信息或跨網站跟踪）。

在 GDPR 之後，我們是否需要獲得 A/B 測試的同意？

有趣的是，PageFair 發現只有21% 的消費者會選擇使用第一方分析跟踪。

這意味著如果當前流量符合同意參數，則 ⅕ 的當前流量將接受分析。

那麼您是否需要獲得 A/B 測試工具的同意？

很可能是的，如果您的 A/B 測試軟件依賴於 IP 地址、唯一標識符，如設備 ID、用戶 ID、交易 ID、CookieID 或假名數據（意思是：無法識別的數據 + 存儲在其他地方的密鑰，以使其可讀再次）。 根據 GDPR，這些是唯一標識符，需要明確選擇加入。

那麼你什麼時候需要從明確同意開始呢？ ePrivacy 指令何時轉換為 ePrivacy 法規？

警告：拉丁詞和法律術語。

ePrivacy 法規是 GDPR 的“principe lex specialis derogat legi generali”或簡稱“lex specialis”。

用簡單的英語來說，這意味著：如果 GDPR 和 ePrivacy 不一致，或者 GDPR 制定了需要進一步規範的指導方針——ePrivacy 中規定的規則就是您需要遵循的規則。

現在，我們只有一份電子隱私條例草案（名稱 1533）在辯論中。 它仍然需要看到歐盟成員國代表的反饋——因此它並不能準確反映即將成為法律的內容。

一個“樂觀”的預測：隱私論壇政策顧問 Gabriela Zanfir-Fortuna 的未來表示，他預計 ePrivacy 的批准日期將在 2018 年底之前。至於實施日期，我們真的不知道。

不太樂觀的是，他還建議電子隱私法規“可能需要額外的合規性”。 而且，Alex Propes（公共政策互動廣告局 (IAB) 主任）曾表示，“組織目前只能針對 GDPR。”

Alston & Bird 的 Daniel Felz 助理持有更令人沮喪的觀點：“ePrivacy 監管三部曲談判被推遲到 2018 年秋季； 最終的電子隱私法規可能要到 2020 年才能實施。” 據報導，在德國聯邦數據保護協會主辦的一次會議上，德國經濟部的一位女發言人表示，三部曲談判要到 2018 年秋季才會開始。

顯然，歐盟成員國仍在討論有關電子隱私法規問題的一些未決問題。

與此同時，顯然，現行的電子隱私指令（歐洲議會和理事會 2002 年 7 月 12 日的指令 2002/58/EC）仍然有效，這是國家立法的問題。

所以這是你向我扔的很多法律。 這對我的業務意味著什麼？

GDPR 很明確：未經同意不得提供個人數據。 如果您正在等待 ePrivacy 突然出現漏洞，您可能會等待很長時間。

因此，如果您的 A/B 測試軟件依賴於個人數據：IP 地址、唯一標識符，如設備 ID、用戶 ID、交易 ID、CookieID 或假名數據（即無法識別的數據 + 不同位置的密鑰以使其再次可讀），那麼這是個人數據數據。

在 GDPR 策略中包含在線數據和標識符（例如 cookie 和許多其他標識符）仍然是關鍵。 無論在哪里以及如何，文本都將在未來的代表討論中進行調整。

舊的 ePrivacy 指令讓您有義務設置“cookie wall”通知，並且只關注歐洲公司。

現在 GDPR 適用於全球所有接觸歐盟數據的人。 個人數據被定義為包括各種新的標識符。

但是舊的 ePrivacy 指令說了別的。 它說“對於這種類型的數據，你只需要一個通知，並有機會選擇退出。”

所以歡迎來到法律真空。

最大的問題是：你會在那個灰色區域內被罰款嗎？

答案是：你想冒險嗎？

隱私當局將有一段時間實施 GDPR。 新的電子隱私法可能不會在 2019 年甚至 2020 年實施。

所以，我預計 5 月 25 日不會有巨額罰款，如果您的基本 cookie 牆仍然存在的話。

但很明顯，最終，法律正在發生變化。 隨著我們進入一個數據價值更高、數據主體要求更高的世界，它們將不斷變化。

所以讓我們現在開始吧。