Согласие, которое вы не давали: cookie-попапы признаны незаконными

Апелляционный суд ЕС подтвердил в своём решении, что механизм «Фреймворк прозрачности и согласия» (Transparency and Consent Framework, далее TCF), который позволяет отслеживать вас и показывать рекламу на основе полученной информации, несовместим с основополагающим принципом европейского законодательства о защите данных — Общим регламентом по защите данных (General Data Protection Regulation, далее GDPR).

Принимая это решение, суд подтвердил позицию бельгийского органа по защите данных, который ещё в 2022 году пришёл к тому же выводу о законности TCF.

По крайней мере, на бумаге это выглядит как большая победа для конфиденциальности, защитников прав на неприкосновенность частной жизни, пользователей и сервисов, защищающих личные данные, таких как AdGuard. И хотя решение применяется только в ЕС, это всё же позитивное событие для всех интернет-пользователей.

Нам ещё предстоит увидеть, как это повлияет на крупные технологические компании, такие как Google, Amazon, Microsoft, Adobe и Meta, которые отвечают за львиную долю такого отслеживания. Интерактивное рекламное бюро (Interactive Advertising Bureau, IAB), создавшее TCF, должно будет заплатить штраф и внести в него изменения. А европейские регулирующие органы будут эти изменения контролировать.

Почему это важно для вас

Всё это может звучать как набор юридических терминов, оторванных от реальности, но это не так. Происходящее важно и для обычных людей, потому что они ежедневно взаимодействуют с этой системой, не подозревая об этом. Эта система запускает раздражающие попапы для согласия на использование файлов cookie, которые (в завуалированной форме) просят разрешения отслеживать пользователей. Новое постановление фактически означает, что эта модель больше не работает.

Исчезнут ли уведомления о cookie, заменят ли их чем-то другим? Система претерпит фундаментальные изменения или поменяется только формулировка? Узнаем, как только постановления вступят в силу. А пока мы продолжим блокировать уведомления о cookie для пользователей AdGuard — при условии, что это не нарушает работу сайта. Если блокировка уведомлений вызовет проблемы, мы используем альтернативные методы, чтобы свести к минимуму отслеживание, основанное на согласии на использование cookie.

Как AdGuard обрабатывает cookie-попапы

В AdGuard уже довольно давно есть специальный Фильтр cookie-уведомлений, который блокирует окна с ними от различных платформ управления согласием (Consent Management Platforms, CMP) — инструментов, помогающих сайтам собирать и управлять согласием пользователей — в соответствии с нашей политикой фильтрации.

Этот фильтр блокирует как всплывающие окна о cookie, так и лежащие в их основе CMP-запросы. В большинстве случаев достаточно просто заблокировать или скрыть соответствующие скрипты. Но в более сложных ситуациях, например, когда сайт не показывает контент, пока не согласишься на cookie, мы применяем более продвинутые методы:

• Используем скрипты для обхода запроса
• Устанавливаем файлы cookie или ключи localStorage для имитации выбора
• Имитируем взаимодействие пользователя — например, нажатие кнопки «Отклонить» (наш предпочтительный вариант) или «Принять» (только в крайнем случае)

Всякий раз, когда мы имитируем выбор, особенно нажатие кнопки «Принять», мы обязательно блокируем все аналитические скрипты, загруженные в результате выбора, с помощью нашего Фильтра счётчиков и систем аналитики.

Вот как наш технический директор и сооснователь AdGuard Андрей Мешков видит это решение и его последствия:

Наша позиция всегда была такой: даже если окно с диалогом о файлах cookie появляется, пользователи AdGuard явно выбирают защиту от отслеживания, например, включая Фильтр счётчиков и систем аналитики. Поэтому, даже когда мы позволяем загрузить диалоговое окно, мы не позволяем отслеживать пользователя. Мы либо автоматически отказываем, либо полностью блокируем трекеры. С нашей точки зрения, этот подход всегда был технически обоснованным и соответствовал требованиям. Тем не менее, мы давно были обеспокоены тем, что платформы CMP часто отслеживают поведение пользователей в процессе получения согласия — даже до того, как оно было дано. Теперь, когда подтвердилось, что текущая структура TCF не соответствует стандартам GDPR, мы считаем, что сайты должны начать рассматривать блокировку CMP как действительный и чёткий сигнал о том, что пользователь отказывается дать согласие. Мы надеемся, что это решение упростит и сделает более безопасным управление согласием и своими данными для пользователей, которые больше не будут вынуждены каждый раз сталкиваться с запутанными или манипулятивными всплывающими окнами в интернете.