Evropska unija bo morda omejila uporabo spletnih piškotkov

O spletnih piškotkih (ang. cookies) smo že pisali v prispevku “Sledenje s superpiškotki“, na kratko pa obnovimo, da gre za posebne objekte, ki jih spletni strežnik pošlje brskalniku uporabnika interneta, brskalnik pa ob ponovnem obisku spletne strani piškotke vrne spletnemu strežniku in uporabnika s tem identificira. Na ta način spletni strežnik oz. spletna stran lahko ugotovi ali je uporabnik spletno stran v preteklosti že obiskal (in seveda zabeleži vso zgodovino obiskov).

Spletni piškotki in (oglasna) omrežja

Spletni piškotki so sicer omejeni na spletno domeno (npr. streznik.com), kar pomeni, da piškotkov, ki jih pošlje ena spletna stran, druge spletne strani ne morejo videti. Zato ena spletna stran ne more ugotoviti katere druge spletne strani uporabnik obiskuje (razen če gre za spletne strani na isti spletni (pod)domeni (npr. poddomena.streznik.com)).

Za oglaševalce to seveda predstavlja težavo, saj si oglaševalci želijo zbrati čim več podatkov o obiskovalcih spleta, predvsem katere spletne strani obiskujejo in kakšne so njihove brskalne navade. Zato se oglaševalci poslužujejo zbiranja podatkov o uporabnikih s pomočjo tim. oglasnih omrežij.

Začetki tehnologije, ki omogoča spremljanje in profiliranje uporabnikov interneta segajo v leto 1996, ko je podjetje HNC Software razvilo rešitev SelectCast. Omenjeno podjetje je sicer za ameriško vojsko in tajne službe razvijalo sisteme umetne inteligence, razvito tehnologijo pa so nato pričeli uporabljati tudi v komercialne namene (več o tem v knjigi Charlesa Sykesa, The End Of Privacy). Tehnologija zbiranja podatkov o uporabnikih interneta s pomočjo oglasnih omrežij se je množično začela uporabljati okrog leta 2000 s strani podjetja DoubleClick, danes pa je tehnologija v vsakodnevni rabi. Mimogrede, DoubleClick je leta 2007 za 3,1 milijarde USD kupil Google.

Kako delujejo oglasna omrežja?

Uporabnik spleta lahko spletne piškotke dobi neposredno iz spletne strani, ki jo obiskuje, gre za tim. spletne piškotke obiskane spletne strani (ang. first-party cookies), ali pa ji dobi iz spletne strani, katere vsebina je vključena v osnovno spletno stran. V slednjem primeru govorimo o piškotkih tim. tretjih spletnih strani (ang. third-party cookies). Spletne strani, ki jih obiskujemo, imajo namreč pogosto vključeno tudi vsebino iz tim. tretjih spletnih strani. To so lahko slike, oglasi, različni dodatki ali multimedijske vsebine, itd., lahko pa gre tudi za vsebino, ki se na spletni strani ne prikaže, pač pa se v obliki programske kode le izvede v našem spletnem brskalniku. Čeprav se na spletni strani te vsebine prikazujejo kot del osnovne spletne strani, so v resnici v njo le povezane in jih uporabniku posredujejo zunanji (ang. third-party) spletni strežniki.

Vsak izmed teh zunanjih spletnih strežnikov pa seveda uporabniku lahko pošlje spletni piškotek. V primeru oglasnih omrežij tako oglasno omrežje lahko točno ve, katero spletno stran, ki je povezana v omrežje, je obiskal uporabnik in kdaj. Seveda to velja le za spletne strani, ki so vključene v oglasna omrežja, a če je oglasno omrežje dovolj veliko, lahko dokaj natančno ugotovi uporabnikove brskalne navade.

Pravno urejanje spletnih piškotkov

Očitno je torej, da sodobna (oglaševalska) omrežja omogočajo zbiranje številnih osebnih podatkov. Pravzaprav postajajo kar nekakšen Veliki brat, ki pridno beleži vse naše aktivnosti na spletu. Eno izmed večjih, podjetje Google, tako lahko o nas ve kaj na spletu iščemo, katere spletne strani obiskujemo, kdaj in kako pogosto, kakšne računalnike imamo, kje se nahajamo (s pomočjo geolokacijske baze IP naslovov), itd. V času intenzivne uporabe spleta gre vsekakor za posege v zasebnost, ki zahtevajo pozoren razmislek.

Problema zbiranja osebnih podatkov s pomočjo piškotkov se je razmeroma zgodaj zavedla tudi Evropska unija, ki je v leta 2002 sprejeti Direktivi o zasebnosti in elektronskih komunikacijah 2002/58/EC, v 24. točki posebej izpostavila problem spletnih piškotkov. Določila je, da jih mora imeti uporabnik možnost zavrniti, hkrati pa mora biti seznanjen s tem, kakšne informacije spletni strežnik s pomočjo piškotka shranjuje na njegovi (uporabnikovi) terminalski opremi.

Glede zbiranja osebnih podatkov in prejemanja reklamnih e-sporočil sta se v pravu uveljavili dve načeli. Prvo, načelo privolitve, ki ga označujemo z angleškim izrazom opt-in zahteva vnaprejšnje soglasje uporabnika, drugo, načelo odjave, ki ga označujemo z izrazom opt-out, pa uporabniku daje možnost kasnejše odjave oz. prepovedi. Drugače povedano: zakonodajalec lahko določi, da se smejo osebni podatki zbirati (ali pošiljati oglasna elektronska pošta) le z vnaprejšnjim soglasjem posameznika (opt-in), ali pa določi, da se osebni podatki smejo zbirati (in oglasna elektronska pošta pošiljati) vse dotlej, dokler posameznik tega izrecno ne prepove (opt-out).

V evropskem pravnem prostoru se je tako glede zbiranja osebnih podatkov, kot tudi glede pošiljanja oglasne elektronske pošte uveljavilo načelo soglasja (opt-in), torej načelo, ki zahteva vnaprejšnje soglasje uporabnika. Vendar pa je zanimivo, da to načelo velja praktično povsod (razen seveda tam, kjer za zbiranje osebnih podatkov daje podlago ustrezen zakon), le pri spletnih piškotkih ne.

Za razliko od ostalih področij zbiranja osebnih podatkov le pri spletnih piškotkih velja, da se osebni podatki s pomočjo spletnih piškotkov zbirajo vse dotlej, dokler uporabnik v svojem spletnem brskalniku spletnih piškotkov izrecno ne onemogoči.

Pa še tukaj se pojavlja problem, saj nekatere spletne strani namesto običajnih spletnih piškotkov, katerih sprejemanje uporabnik lahko onemogoči v spletnem brskalniku) uporabljajo tim. superpiškotke (Local Shared Objects oz. Flash piškotke). Z njihovo pomočjo spletni strežnik identificira uporabnika in celo ugotovi, ali je ta uporabnik izbrisal običajne piškotke (in se na ta način skušal izogniti sledenju).

Zato se v EU že nekaj časa razmišlja, da bi bilo na tem področju potrebno nekaj storiti in uporabo (zlorabo?) spletnih piškotkov za zbiranje osebnih podatkov brez izrecnega in informiranega soglasja omejiti. Seveda pa se je potrebno zavedati, da je oglaševalska industrija na spletu težka dobesedno milijarde (po nekaterih ocenah je imel samo Google v letu 2008 dve milijardi obiskovalcev, vrednost spletnega oglaševanja samo v Evropi v letu 2008 pa je znašala slabih 13 milijard EUR) in bo kakršenkoli poizkus spremembe zatečenega stanja zelo verjetno naletel na silovit odpor industrije.

Nova pravila za spletne piškotke v Evropski uniji?

Kljub vsemu je Svet ministrov EU (Slovenijo sta zastopala ministra Žbogar in Gaspari) 22. oktobra 2009 sprejel direktivo 3674/09 z (nekoliko dolgim) imenom DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA o spremembah Direktive 2002/22/ES o univerzalnih storitvah in pravicah uporabnikov v zvezi z elektronskimi komunikacijskimi omrežji in storitvami, Direktive 2002/58/ES o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij in Uredbe (ES) št.2006/2004 o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov.

Gre pravzaprav za reformo regulativnega okvira EU za elektronska komunikacijska omrežja in storitve, ki pa prinaša pomembno novost na področju zasebnosti na spletu. Točka 66 namreč pravi:

“Tretje strani si morebiti želijo shranjevati informacije o uporabnikovi opremi ali pridobiti dostop do že shranjenih podatkov iz najrazličnejših razlogov, ki zajemajo vse od legitimnih namenov (na primer določene vrste piškotkov) do tistih, ki obsegajo neupravičen vdor v zasebnost (na primer vohunska programska oprema ali virusi). Zato je izjemno pomembno, da so uporabniki jasno in izčrpno obveščeni pri vseh dejavnostih, ko bi lahko prišlo do takšnega shranjevanja ali dostopanja. Načini obveščanja in zagotavljanja pravice do zavrnitve bi morali biti čim bolj uporabniško prijazni. Izjeme glede obveznosti obveščanja in zagotavljanja pravice do zavrnitve bi morale biti omejena na primere, ko je tehnično shranjevanje ali dostop nujno potreben za legitimni namen omogočanja uporabe posebne storitve, ki jo je izrecno zahteval naročnik ali uporabnik. Uporabnikovo privolitev, da se strinja z obdelavo, je mogoče izraziti z uporabo ustreznih nastavitev v brskalniku ali drugih aplikacijah, in sicer v primeru, da je to tehnično izvedljivo in učinkovito ter v skladu z ustreznimi določbami Direktive 95/46/ES. Uveljavljanje teh zahtev bi moralo postati učinkovitejše, in sicer s podelitvijo večjih pooblastili ustreznim nacionalnim organom.“

Direktiva s tem odpira možnosti za tim. opt-in pristop pri zbiranju osebnih podatkov s pomočjo piškotkov preko spleta, saj izrecno pravi, da morajo biti potrošniki jasno in izčrpno obveščeni o tem, da tretje strani skušajo shranjevati informacije o uporabnikovi opremi (računalniku, programski opremi). Besedilo direktive govori tudi o tem, da bi morale biti izjeme od tega obveščanja omejene le na primere, kjer je uporabnik storitev izrecno zahteval (npr. dostopil do spletne strani) in sta tehnično shranjevanje in dostop nujno potrebna. To preprosto pomeni, da se spletni piškotki osnovne spletne strani, ki jo je uporabnik obiskal, lahko shranjujejo v računalniku (razen seveda če uporabnik tega izrecno ne prepreči – tim. opt-out), za spletne piškotke tretjih spletnih strani (katerih vsebina je vključena v osnovno spletno stran – največkrat gre za oglase), pa bo potrebno pridobiti predhodno izrecno soglasje (opt-in).

Čeprav je bila odločitev deležna nekaterih žolčnih kritik, pa se je treba zavedati, da je v ozadju novih regulatornih ukrepov pravzaprav želja po regulaciji tim. vedenjskega oglaševanja (ang. behavioral advertising). Za razliko od kontekstualnega in semantičnega oglaševanja, kjer se oglasi prikazujejo glede na iskalne nize s katerimi je uporabnik prišel na spletno stran ali vsebino uporabniku prikazane spletne strani, gre pri vedenjskem oglaševanju za izbiro oglasov glede na preteklo brskalno vedenje posameznika (torej glede na to katere spletne strani je posameznik obiskoval v preteklosti). To pa je mogoče le z zbiranjem brskalnih navad posameznikov.

Vedenjsko oglaševanje…

Oktobra 2009 so britanski poslanci pričeli razmišljati o spremembah zakonodaje, ki bi v primeru vedenjskega oglaševanja zahtevala izrecno soglasje posameznika, utegne pa se zgoditi, da bo takšno pravilo sprejeto na ravni celotne EU.

Francoski pooblaščenec za varstvo osebnih podatkov je namreč 5. februarja 2009 predstavil poročilo z naslovom “Online targeted advertising“. Poročilo navaja kar nekaj težav, ki jih za uporabnike predstavlja načelo odjave. Načelo odjave je za uporabnika precej zapleteno, saj mora uporabnik takšno storitev oglasnega omrežja poiskati in sam izrecno zahtevati. Odjava je potem izvedena s pomočjo posebnega piškotka, ki oglasnemu omrežju sporoča, da uporabnik ne želi biti tarča vedenjskega oglaševanja. A če uporabnik ta piškotek pobriše (oziroma zaradi izgube podatkov ponovno namesti operacijski sistem na računalniku in spletni brskalnik), mora postopek odjave ponoviti. Poleg tega postopek odjave praviloma zadeva le pošiljanje ciljanih oglasov, ne pa tudi samega zbiranja podatkov o uporabniku.

Pristopi odjave, pa tudi brisanja piškotkov so za uporabnika izrazito nepraktični. Uporabnik, ki bi se odločil, da bo zavračal vse spletne piškotke, danes ne more več normalno uporabljati različnih storitev interneta. Uporabnik, ki bi se odločil, da se bo za vsak piškotek posebej odločil ali ga bo sprejel ali ne, pa bo soočen z neprestanimi opozorili in vprašanji brskalnika, zaradi česar bo brskanje po spletu zanj neuporabno. Tudi brisanje piškotkov po koncu brskalne seje je za večino uporabnikov precej nepraktično. Zaradi vseh teh razlogov, je opt-out pristop po mnenju francoskega pooblaščenca za varstvo osebnih podatkov, precej problematičen. V poročilu so zapisali, da podpirajo pristop, ki bo zahteval vnaprejšnje izrecno soglasje. To velja tako za vedenjsko oglaševanje, kot tudi za zbiranje osebnih podatkov, ki jih uporabniki niso posredovali sami.

…in zbiranje osebnih podatkov s pomočjo omrežnih orodij za analizo obiska

Vendar pa je vedenjsko oglaševanje samo del problema, med drugim tudi zato, ker trenutno še ni preveč razširjeno. Drugi del problema predstavljajo omrežne storitve za merjenje in analizo obiska spletnih strani. Ena bolj znanih je brezplačna storitev Google Analytics (trenutno storitev uporabljamo tudi na tej spletni strani, razmišljamo pa o zamenjavi). Google Analytics upraviteljem spletnih strani ponuja preprosto JavaScript kodo, ki jo vključijo na svojo spletno stran. Ko obiskovalec spletne strani le-to obišče, se JavaScript koda izvede v njegovem brskalniku, analitično omrežje pa mu pošlje tudi spletni piškotek. Na ta način analitično omrežje ugotovi kar nekaj tehničnih značilnosti uporabnikove terminalne opreme (npr. kateri spletni brskalnik in operacijski sistem uporablja, kakšno ima resolucijo zaslona, itd.) s pomočjo piškotka pa lahko tudi spremlja gibanje uporabnika po spletni strani oziroma po vseh spletnih straneh, ki uporabljajo to omrežno storitev.

Storitev Google Analytics upraviteljem spletnih strani nato nudi izredno zmogljivo orodje za analizo in grafično predstavitev podatkov o njihovih obiskovalcih in trendih obiska, itd. (a le za njihovo spletno stran), lastniku storitve (podjetju Google) pa seveda nudi vpogled v značilnosti in brskalne navade uporabnikov interneta. Storitev Google Analytics uporabljajo številne (znane) spletne strani; po nekaterih ocenah v Nemčiji to storitev uporablja okrog 13% spletnih strani na domeni .de.

Zastavlja se torej vprašanje ali bi bilo tudi za takšno zbiranje podatkov potrebno uvesti izrecno vnaprejšnje soglasje uporabnikov?

Dokončna odločitev sicer še ni sprejeta, a kaže, da se temu ne bo mogoče popolnoma izogniti. Pred kratkim objavljeni članek na TechCrunchu, navaja mnenje več nemških uradnikov, ki bdijo nad varstvom osebnih podatkov, da je zbiranje osebnih podatkov z Google Analyticsom v Nemčiji morda nezakonito. Posebno zaskrbljenost so izrazili predvsem zaradi zbiranja podatkov na spletnih straneh povezanih z zdravjem in zdravstvenim zavarovanjem. Podobna mnenja je slišati tudi drugje po Evropi.

Kaj lahko storimo sami?

Dokler nova pravila področja ne bodo natančneje oz. izrecneje uredila, imamo zaskrbljeni uporabniki interneta na voljo nekaj tehničnih rešitev, s katerimi lahko zaščitimo svojo spletno zasebnost. Za začetek velja pobrskati med nastavitvami spletnega brskalnika, pobrskamo pa lahko tudi po spletu ter se odjavimo iz vedenjskega oglaševanja oglasnih omrežij (seveda tistih, ki to storitev omogočajo). Tovrstno brskanje je nekoliko težje, saj je oglasnih omrežij precej, za nastavitve odjave pa je potrebno precej pobrskati po spletu, a na spletni strani Network Advertising Initiative si je mogoče ogledati seznam nekaterih omrežij, spletna spran pa tudi prikaže iz katerih smo odjavljeni in katera nas spremljajo. Iz vseh teh oglaševalskih omrežij se lahko z nekaj kliki tudi odjavimo (pozor: ob prvem obisku spletne strani boste verjetno presenečeni koliko oglaševalskih omrežij vas spremlja). Mimogrede, uporabniki Google računa si lahko na Googlovi posebni spletni strani ogledate tudi katere podatke ima o vas Google. Posebej zanimiva je zgodovina iskanja po spletu, video vsebinah, slikah in zemljevidih…

Za brskalnik Firefox pa je na voljo tudi nekaj dodatkov, ki omogočajo razmeroma enostavno obrambo pred neželenimi spletnimi piškotki in oglasi. Prvi dodatek se imenuje TACO (Targeted Advertising Cookie Opt-Out). Dodatek uporabnika s pomočjo posebnega anonimnega spletnega piškotka odjavi iz vedenjskega oglaševanja za 90 oglasnih omrežij (med njimi so tudi največja). Drugi dodatek, BetterPrivacy, je namenjen brisanju tim. superpiškotkov (med nastavitvami lahko nastavimo samodejno brisanje superpiškotkov). Omeniti pa velja še dodatek Adblock Plus, ki je namenjen blokiranju oglasov v brskalniku Firefox. Po namestitvi slednjega se marsikateri oglasi sploh ne prikazujejo več, brskanje po spletu pa zato postane hitrejše in bolj enostavno. Adblock Plus je mogoče tudi “naučiti” dodatnih pravil za blokiranje in nastavimo lahko tudi blokiranje sledilne kode iz spletišča Google Analytics.

Če je razumljiva želja uporabnikov po tem, da jih oglasna in omrežja za analizo obiska ne sledijo in ne zbirajo njihovih osebnih podatkov, pa je po drugi strani razumljiva tudi želja upraviteljev spletnih strani po spremljanju obiska na njihovi spletni strani. Na srečo tudi na tem področju obstajajo rešitve. Ena izmed njih je Piwik, odprtokodno in brezplačno spletno analitično orodje, ki skuša posnemati Google Analytics, a ga je mogoče namestiti na spletni strežnik. Tako za spremljanje in analitiko obiska spletnih strani ni potrebno uporabljati omrežnih orodij, ki sledijo uporabnike med tem, ko se gibljejo po spletu, pač pa orodje Piwik deluje le lokalno, na spletni strani na kateri je nameščeno in uporabnikov ne sledi po celem spletu.

Zaključek

Vsekakor je dejstvo, da so podatki o obiskanih spletnih straneh, tehničnih značilnostih uporabnikovega brskalnega okolja (kateri brskalnik uporablja, kateri operacijski sistem, katere programe za predvajanje multimedijskih vsebin ima naložene, itd.) ter tudi IP naslov osebni podatki. (Mimogrede, v Sloveniji je še vedno ukoreninjeno prepričanje, da IP naslov ni osebni podatek. To ne drži, kot izhaja iz mnenja Informacijskega pooblaščenca, mnenja 4/2007 o konceptu osebnega podatka, ki ga je izdala skupina EU Article 29 ter tudi mnenj nekaterih evropskih pooblaščencev, npr. francoskega CNIL, ki je bilo 22. maja 2008 potrjeno tudi na Prizivnem sodišču v Rennesu, itd.. Koncept IP naslova kot osebnega podatka je tako v Evropi splošno sprejet.). Za zbiranje osebnih podatkov pa načeloma velja, da je zanje potrebno predhodno soglasje oziroma ustrezna zakonska podlaga.

Ne glede na to, da se je v praksi pri spletnih piškotkih uveljavilo načelo odjave (opt-out), v prihodnosti v Evropski uniji verjetno lahko pričakujemo nove regulatorne ukrepe, ki bodo tovrstne prakse prepovedale ali vsaj omejile. Do takrat pa se bomo uporabniki, ki svojo spletno zasebnost cenimo, morali zaščititi predvsem sami.

A treba se je zavedati, da pravzaprav ne gre samo za problem spletnih piškotkov. Prakse zbiranja osebnih podatkov in ciljanega oglaševanja ter trženja storitev se usmerjajo tudi na nove storitve, ki jih prinašajo internet in sodobna komunikacijska omrežja. Med njimi lahko izpostavimo IP in mobilno televizijo, IP telefonijo, različne geolokacijske storitve, ki jih lahko uporabljamo na mobilnih telefonih, standard HTML5 prinaša tim. lokalno shrambo (Local Storage oz. DOM Storage) itd. Kaže torej, da je skrajni čas za premislek o zbiranju in uporabi osebnih podatkov na spletu, internetu in komunikacijskih omrežjih na splošno. Evropski pooblaščenci za varstvo osebnih podatkov delajo korak v pravi smeri, vprašanje je le, kako odločen (naj) bo.