互联网上最烦人的东西:为什么 Cookie 法规不是针对浏览器而是网站
页面还没加载完,那个烦人的东西就出现了:可怕的 cookie 横幅。弹窗、侧边栏、全屏覆盖,要求你“全部接受”、“管理偏好设置”,或者让你在公司法务设计的、迷宫般的开关选项里晕头转向。
点一下。唉,又来一个。
这套路你懂的。你登陆一个新网站,急着想看篇文章或查个产品价格,但页面还没加载完,那个烦人的东西就出现了:可怕的 cookie 横幅。弹窗、侧边栏、全屏覆盖,要求你“全部接受”、“管理偏好设置”,或者让你在公司法务设计的、迷宫般的开关选项里晕头转向。
大多数人的反应都一样:叹口气,眼神呆滞,然后像个疲惫的士兵一样,靠着肌肉记忆点击“全部接受”。
这场每天上演的数字版“打地鼠”游戏,是 GDPR 和 CCPA 等善意隐私法规的产物。其目标是崇高的:让用户掌控自己的数据。但执行起来呢?简直是彻头彻尾的失败。它创造了一种更烦人、更不透明,而且可以说并没有更私密的网络体验。
问题不在于内容,而在于位置。法规将同意的责任施加给了数百万个独立网站,而它本应针对我们所有人用来访问这些网站的那个唯一工具:浏览器。
现状之荒谬
想象一下,如果你每次上车,都必须手动批准发动机使用机油、轮胎使用空气、收音机使用电力。这很荒谬,对吧?你只需设置一次偏好,车就能正常工作了。
然而,这正是我们在网上的日常。我们每天都被每一个网站问着同样的问题。这种方法之所以行不通,有三个简单的原因:
- 同意疲劳是真实存在的:我们被这些请求轮番轰炸,以至于它们已经变得毫无意义。这些横幅成了一个需要清除的障碍,而不是一个需要考虑的选项。真正的同意需要有意识的、知情的决定,而不是为了关掉弹窗而恼怒地一点。
- 它惩罚了小人物:大公司有能力请律师团队和购买昂贵的同意管理平台 (CMP),来制作一个合规(且常常是故意混淆视听)的横幅。但小博主、本地餐馆或独立开发者呢?对他们来说,这又是一个技术和法律上的难题,迫使他们安装笨重、拖慢网站速度的插件,只为避免潜在的诉讼。
- 它并未真正给予我们控制权:选择的幻觉并非真正的选择。当选项是“全部接受”或“花五分钟研究满是法律术语的菜单”时,这个系统本身就是设计来把你推向阻力最小的那条路。
一个简单而激进的想法:把同意权交给浏览器
现在,想象一个不一样的互联网。
当你设置浏览器时——无论是 Chrome、Firefox、Safari 还是 Edge——你只需进行一次简单的一次性设置。它会用通俗易懂的语言询问你的隐私偏好:
您希望如何处理您的数据?
- 仅限必要数据:“只允许网站运行所必需的数据(例如,保持登录状态、记住购物车中的商品)。”
- 性能与分析:“允许网站创建者查看关于我如何使用他们网站的匿名数据,以帮助他们改进网站。”
- 个性化体验:“允许网站使用我的数据来提供个性化内容和相关广告。”
- 自定义:“对特定数据类型进行精细调整。”
你只需选择一次。一劳永逸。
从那一刻起,责任就转移了。你的浏览器成为你的个人隐私执行者,法律将要求它代表你行事。根据你的一次性选择,它将负责允许或拒绝你访问的每个网站的 cookie。如果一个网站试图使用目的不明确或未声明的 cookie,浏览器会直接阻止它——没得商量。
让少数几个浏览器遵守法律,远比强迫数百万个网站做同样的事情更现实、更有效。这不仅仅是理论——这正是我们从失败的“禁止追踪”(Do Not Track) 信号中学到的教训。DNT 依赖于网站自愿尊重用户的选择,而大多数网站根本不理会。即使它具有法律约束力,你也不可能监管数百万个网站以确保它们合规。相比之下,你可以轻松检查几个主要浏览器是否在积极执行你选择的设置。浏览器端的强制执行解决了这个问题,它将一个礼貌的请求变成了一条不可撼动的规则。
我们本可以拥有的世界
这种以浏览器为中心的模式将修复当前系统中所有错误之处:
- 对用户而言:真正的控制权和更清爽的网络。你的选择将变得有意义,因为你是在深思熟虑后一次性做出的。结果呢?一个更快、更干净、烦人程度大大降低的互联网体验。你可以随时在浏览器中轻松查看或更改你的全局设置。
- 对网站所有者而言:卸下沉重负担。一夜之间,数百万开发者、创作者和小企业主从数字世界“清洁工”的角色中解放出来。他们不再需要安装那些难看、拖累性能的脚本。合规变得自动化。网络变得更容易访问,也更具创新性。
- 对监管机构而言:更易于执法。监管机构不再需要试图监管数百万个网站,而是可以专注于少数几个主要的浏览器开发商。他们是否正确地实施了标准?他们是否尊重了用户的选择?这是一个效率和效果都高得多的系统。
从一团乱麻到简单工具
有人可能会称这是一个激进的改变,但真正激进的,是我们已经习以为常的那个复杂扭曲的系统。
眼下,互联网运行在一个由各种合规工具组成的、脆弱而杂乱的补丁之上。想想这有多荒谬。每个网站所有者都被迫加装一个第三方的同意管理平台 (CMP)。然后这个平台必须被完美配置,以便与数十个不同的广告技术供应商、分析脚本和嵌入式服务进行通信。所有这些都必须在应对 GDPR、CCPA 和其他越来越多法规之间细微的法律差异的同时,完美无瑕地工作。
这是一个无数平台试图相互对话的生态系统,重复着无用功,并把用户说“是”或“否”这个简单的行为过度复杂化了。为了解决一个只需要一座桥的问题,我们建造了一百万座摇摇晃晃的危桥。
一个基于浏览器的方法能斩断这整个错综复杂的乱麻。
它用一个单一的事实来源——你的浏览器——取代了数百万个独立的、常常相互冲突的系统。
这并非要建立一个复杂的新系统,而是要拆除一个效率极其低下的庞然大物。
这是为了将开发者和小企业从“业余隐私律师”的角色中解放出来。
这是为了创建一个对用户清晰、对创作者简单、对监管机构有效的标准。
是时候把同意对话框从我们访问的网站中拿出来,放到它本该在的地方:通过我们的浏览器,交到我们自己手中。
共有 516 条讨论
发表回复
你也许感兴趣的:
- Firefox 没问题,问题出在运营它的人身上
- 谷歌浏览器将提供内置翻译和语言检测 API
- 为什么所有浏览器的用户代理(User-Agent)都以“Mozilla/”开头?
- 四大网络浏览器即将损失 80% 的资金
- 【外评】谷歌浏览器(Google Chrome)将关闭扩展系统 Manifest V2,开启更严格的 Manifest V3
- Chrome 浏览器开发工具(DevTools)现在使用双子座(Gemini )来帮助处理控制台中的 JavaScript 错误
- 【Chromium Blog】机器学习如何改进 Windows、Mac 和 ChromeOS 上的 Chrome 浏览器地址栏
- 欧盟新科技法正在发挥作用–小型浏览器赢得市场份额
- 都 2024 年了还要兼容 IE
- 【译文】Firefox的衰落:Mozilla 曾经风靡一时的火狐浏览器渐行渐远
问题不在于法律本身,而在于那些不愿放弃追踪行为的网站所采取的恶意合规手段。
“花五分钟阅读法律术语菜单”绝非“全部接受”的替代方案,“全部拒绝”才是!法院正逐步强制执行这一原则,因此“全部拒绝”选项正日益普及——这才是应有的状态。https://www.techspot.com/news/108043-german-court-takes-stan…
当然,若能同时尊重“禁止追踪”标头、彻底避免弹出Cookie横幅且不追踪用户,效果会更佳。
不,问题100%在于法律本身——因为法律条文的制定方式 允许 此类恶意合规行为。
法律需精心制定才能产生良好效果。若法律允许恶意合规,便是草率之法。
网站方不过是追求利润最大化,这本在预料之中。因此应完善法律条文。
但法院已明确表态:法律并不允许此类行为。
或许“恶意合规”实为误称。我们应当直接称之为“非法暗黑模式”。
这并非激进主张。欧盟已着手推进此事。
> […] 欧盟委员会正考虑调整规则,增加例外条款,或确保用户只需在浏览器设置等处一次性配置cookie偏好,而非每次访问网站都需重复操作。
https://www.politico.eu/article/europe-cookie-law-messed-up-…
DNT标头已实现此功能。这是明确的拒绝同意。该信号在所有数据传输前就到达服务器,因此企业毫无借口且毫无操作空间。
现在欧盟只需将其转化为企业的实际法律责任。否则它仍将只是追踪机制中额外的熵增项。
他们做不到。网站完全可能违背DNT偏好信号行事。同时,在法庭上证明追踪行为仍在发生将非常困难。
服务商应被剥夺追踪和指纹识别的 能力,而非仅仅被告知用户偏好。
无论背后有何法律支撑,DNT始终是“邪恶位”。
> 他们做不到。网站完全可能违背用户设定的DNT偏好。此外,在法庭上证明追踪行为仍在发生将非常困难。
对于知名网站而言这并不困难,大型企业难以轻易隐藏其计算机的真实行为——若存在追踪用户的代码,终将被发现。
如何剥夺指纹识别能力?这本质上等同于禁用JavaScript。
本质上与uBlock Origin的运作原理相同。建立全球违规者黑名单,彻底阻止特定JavaScript加载。
不过要求浏览器原生集成uBlock Origin功能…
添加另一种网页驻留语言?
DNT已被弃用,取而代之的是具有法律效力的GPC(全球隐私控制)。有趣的是Chrome仍支持DNT,但发送GPC头需要扩展程序——简直像广告公司不愿用户启用合法隐私保护。
加州已将GPC合规性纳入法律。我不明白欧盟为何迟迟不将其纳入法律强制条款。话虽如此,现有Cookie弹窗若未将“全部拒绝”选项置于与“全部接受”同等显眼位置,其实早已违法——这种现象普遍存在很大程度上是爱尔兰数据保护局蓄意阻挠所致。因此在NOYB.eu等消费者权益组织获准直接启动执法行动前,别指望GPC合规能有好结果。
在德国,DNT具有法律约束力,但GPC不具备。
此外,官方GPC扩展包宣传的所有GPC扩展都捆绑了其他未经请求的隐私功能和免费增值模式。最终我开发了这款扩展程序https://chromewebstore.google.com/detail/gpc-enabler/ilknagn…
该功能在Edge浏览器默认开启的事实,使其在相关法律框架下极具争议性——这等于变相推脱责任:“毕竟我们无法确认用户是否主动选择启用”。不过即便如此,明确赋予其法律强制力仍是值得推行的举措。
不,这不对。法律规定默认情况下不得处理个人数据,除非用户给予同意。该设置既符合用户预期,也符合法定默认要求。
所谓广告商不知用户选择内容、却能借此追踪用户的说法实属狡辩。
它虽不允许追踪行为,却能让企业更有说服力地辩称他们有权就此纠缠用户(据我所知某些欧盟国家的监管机构已驳回此类主张,但并非所有地区都如此)。换言之,这使得该机制无法有效阻止烦人的弹窗。由于企业对此态度强硬,必须明确声明:“若设置此标头,则不得追踪用户数据,且不得就此问题骚扰用户”
那他们该如何征得用户同意?
若用户已通过设置标头表明拒绝,则无需询问。若需更改,应提供设置选项。
(坦白说,主动同意此类追踪的用户数量基本为零)
若用户不知该设置已启用呢?或他们启用该设置是为了阻止其他公司而非贵公司?
我向来会同意Cookie弹窗,所以这个数字不可能是0。
正因如此我认为默认设置损害了倡议初衷。若真有必要,该标头本可支持按域名单独设置。好奇问一句:你为何总同意这类弹窗?
这不仅限于企业。看看食谱博客里塞了多少追踪垃圾。
> 琢磨着如何调整规则增加例外条款
“嘿你觉得呢?我也不知道,你觉得呢?再来杯茶如何?”
居然在琢磨如何调整规则,真不可思议。
另一种可能是他们不假思索地修改法律…
这不正是现状吗?
《通用数据保护条例》长达十万余字,而这些文字所承载的思考,恐怕连该问题深层探讨的0.01%都不到。
敏捷立法或许并非坏事。
反驳观点:敏捷立法绝对糟糕透顶。要么因法规随时可能变更而遭人轻视,要么被迫遵守如同深夜编写的未经测试代码——看似可行却充满风险。
善意解读他们的观点:法律先实施再快速完善。
但确实,我认为你的看法更现实——任何允许快速变更的机制,同样会让蓄意政治操作迅速制造混乱。
立法者必须考量执法问题。这些裁决的实际后果是什么?
法律应当可执行,但若“能通过腐败规避的法律就是坏法律”,这种观点终将彻底放弃对权贵阶层/企业问责的任何希望。
这种观点过于绝对。事实是他们当初过于天真,虽然看似在调整,但进展极其缓慢,损害已然造成,民众正承受着痛苦。
立法本是预测未来、建立激励机制以达成目标的手段。必须预见可能的失控点,与既得利益者沟通并预判其反应。这是技术性工作,而此次立法堪称灾难。
将责任推给广告商毫无意义。即便他们心怀不轨,公众处境也不会因此改善。
如今法国几乎所有网站都已合规操作,醒目地设置了“全部拒绝”按钮——这在最初并非如此。
仅需两项裁决就明确表明这种非法模式将受到严厉打击,如今这些弹窗不过是小麻烦,而非最初那种令人暴跳如雷的陷阱。
当然我仍希望它们能消失,但这些弹窗提醒着我们:网站仍在试图掠夺访客。
> 如今这些弹窗只是小麻烦而非令人暴怒的陷阱
不同意。弹窗本身就是令人暴怒的问题,绝非小麻烦。我每天都要反复点击好多次,简直荒谬至极。
我不需要什么“提醒”。我最不想要的就是日复一日的“提醒”。我想要的是从源头保护消费者的法律。
我同意。这些网站本就不该监视我,自然也不该弹出窗口。
但既然无法做到?至少能征得我的同意,让我点击“不同意被追踪”按钮。这种弹窗本就不该存在,但既然网站方不愿停止窥探用户,这似乎是次优选择。
> 反对。弹窗本身就是令人抓狂的问题。这绝非小麻烦——我每天都要反复点击多次,简直荒谬至极。
那别访问那些违法且敌视用户的网页。
> 我希望从源头制定保护消费者的法律。
这就是那条法律。
这就像说“如果你不想被谋杀,就别去有人被谋杀的地方”。
那干脆为所有人强制执行消费者保护法如何?因为这显然 不是 法律。
> 这就像说“如果你不想被谋杀,就别去有人被谋杀的地方”。
不,不是这样。谋杀是受害者无法再采取任何行动的既定事实。这就像说“别去那家面包店——他们往你食物里吐口水,每次点单还扇你耳光”。你明明被访问网站的行为激怒了,却仍天天光顾。要么你是受虐狂,要么“用钱包投票”(或在此情境下用注意力投票)根本行不通。为何要将注意力献给那些把你当垃圾对待的人?
> 干脆为所有人强制执行消费者保护法如何?
他们正在执行。你凭什么认为没有?因为某些页面仍在违法?你明白谋杀案依然存在吧?
> 因为这显然不符合法律。
你了解GDPR吗?看来你并不了解。能否指出你反对的法规具体条款?我等着看,不过怕是等不到结果。
立法者制定法律的数量应设上限,比如100条。他们只能监管100件事,因此必须权衡轻重。若想新增监管事项,就得放弃其他监管。究竟哪项更重要?
绝大多数法律从未被执行,因此实际操作中这并不像听起来那么荒谬。这会促使人们思考该花时间制定哪些法律。
请提供支持你主张的司法判例。
有时我理解这类评论,有时则不然。这种情况下,查找判例比写评论更省事。
https://www.heise.de/en/news/Administrative-court-Cookie-ban…
读到“行政法院裁定:Cookie横幅必须包含'全部拒绝'按钮”的标题时,我深感讽刺——因为这个网站的Cookie横幅根本不提供该选项,直接强制屏蔽。若我身处德国,向当局举报此事后想必会对结果感到满意。
更普遍而言,我确实注意到“全部拒绝”按钮的大幅增加,并早前自行了解到这些法院裁决。这无疑是互联网领域的小小胜利,尽管距离《通用数据保护条例》实施已过去九年(!)之久才开始打击此类违规行为。
https://noyb.eu/en 的追踪器很实用!
总计883起案件
468起待决案件
已处以20亿欧元罚款
但法律确实允许这种行为。拒绝追踪导致用户体验恶化,或使拒绝追踪比接受追踪更困难属于违法,但每页加载时骚扰用户并不违法。
> 恶化用户体验属违法
> 每页加载时骚扰用户不违法
这在我看来自相矛盾。
> 若用户拒绝追踪
请读清条款后半句,谢谢
等等,你是说这些网站即使获得授权后,仍会在每次页面加载时反复索要同意?我原以为它们通常是纠缠用户直到获得授权,之后便会记住用户的选择。
楼主总爱宣称几乎所有行为都违法,但被问及依据时却无法提供有效来源。
将企业视为榨取人类利润的无道德机器,正是我们社会的问题症结。某位科技巨头正是这种黑暗模式的发明者,他们自诩在善意的法规中钻了空子而沾沾自喜,却牺牲了本应服务的消费者利益。此人本身就是问题,追随者亦然。
“将企业视为无道德的机器…”
我们还能怎么看待它们?走起来像鸭子,叫起来像鸭子,八成就是鸭子。
无人为这种行为辩护,只是指出企业历来证明其首要追求是利润。它们为恶意行为提供法律庇护——这虽非初衷,却已成为现实。
上市公司本质上具备精神病态特征。
它们正是“回形针最大化者”思想实验的现实版,只不过追求的是美元(或欧元等货币)而非回形针。
除非你主张屠杀90%的人类,否则这种思维逻辑有何意义?
当然,你们中有些人天性善良,无论激励如何都会竭尽全力帮助他人。而我们其他人则在努力提升自我。若能制定规则让这些行为产生正向外部效应,对所有人都有利。
我并不认为恶意合规是“正当”的,但确实预料到了这种结果。立法者以为会发生什么?
> 将企业视为无道德的机器,理应榨取人类每一分利润
这根本就是企业的本质。
这就是资本主义的本质。人们会以“为公司利益”为借口做任何事。若不如此,他们将失业并最终饿死。
法律是唯一能约束企业的力量。若无法律约束,我们至今仍会看到童工劳动、14小时轮班和无休工作制。
企业正是庇护恶行者的机制。在此类案例中,有限责任制度被恶意滥用;规范这种恶意滥用时,不仅要追究执行者的责任,更要惩戒那些放任恶行发生的间接责任人——包括董事会成员、管理层及投资者(若真想促成变革,就该动用那些袖手旁观者们的真金白银)。
要理解这种“现代”观点,需追溯至1896年——新泽西州为吸引投资,当时便放宽了设立营利性公司的门槛,使之仅对股东负责。
问题根源其实并非私营企业。某些家族企业即便规模庞大,仍更注重声誉——毕竟这是家族产业,五十年后依然属于这个家族。
而上市公司主要股东是投资基金,其经理人的奖金取决于短期业绩,且可能一年后就离职或基金不再持有这些公司。因此他们的动机是让企业榨取客户获取短期收益,然后择机将股份甩卖给那些只看近期亮眼数据、却不明白这种策略如何损害企业长期前景的接盘侠。
那个人为何构成问题?理想状态下,法治的存在正是为了避免社会运行依赖于任意的道德义愤。例如:许多人对非法移民的存在感到道德愤慨,另一些人则对任何针对无证移民的执法行动感到愤慨。若决策基于这种武断的道德谴责,局面必将失控。
所谓“漏洞”,仅对认同你观点者而言才是漏洞。而我在此特例中恰恰持相同立场。
此人构成问题在于:低信任环境本质上就是低隐私、低效率的环境。允许少数人破坏信任,再以“法律未明文禁止”为借口开脱,实则是对整个社会的寄生行为。更应挺身而出表明立场:“这种行为不可接受,显然违背了社会诉求”。
但法律从未允许这种行为。只是由于其规模过于庞大,执法才成为难题。
另请谨记:在欧洲不存在“法律精神与法律条文之争”。法律的本意即为法律本身。
> 另请谨记:欧洲不存在“法律精神与法律条文之争”。法律意图即为法律本身。
另一方面,法律意图(尤其涉及IT议题时,往往由极不称职的政治家通过)的解读方式才是关键问题。
坦率问一句,法律精神不就是立法意图吗?
是的,但有时它与法律条文存在微妙差异。关键在于——若我理解无误——美国法院始终严格遵循文字表述解释法律,而欧盟则存在一种文化:当法律条文与立法者明显意图存在显著偏差时,有时会选择支持立法意图而非字面表述。
并非如此。美国法院会综合考量二者,这已成为区分“保守派”法官与“自由派”法官的鲜明界限——前者更倾向于宣称严格遵循法律条文(尤其宪法条款)。
无论如何,庞大而多元的政治群体所表达的“意图”与法律条文本身之间,永远 存在差异。任何切实可行的法律体系都必须对此予以考量。
> 前者更倾向于宣称严格遵循法律条文(尤其是宪法)
这不过是保守派法官为推行保守裁决编造的借口,当他们厌恶某项法律时便援引此说。
只要法律条款阻碍保守议程推进,他们便毫不犹豫地弃之如敝屣。投票权法案便是明证——该法案从未被国会修订或废止,却被法院违背立法意图与条文精神逐步瓦解。
若不信,建议研读《谢尔比县诉霍尔德案》[1]判决书,其中白纸黑字写得清清楚楚:
即“我们知道法律如此规定,且本应继续生效。但我们不认同其效果,因此依据人口普查数据予以废止”。
[1] https://supreme.justia.com/cases/federal/us/570/529/
> 这纯属虚构,不过是保守派法官在厌恶某项法律时,为作出保守裁决找的借口。
这难道不是本末倒置吗?若援引“法律精神”,岂非在无视法律条文以达到个人目的?
找到一个这样做的“保守派”法官,只能证明该法官虚伪,而非证明无视法律原文是正确做法。
但你举的例子也不太恰当,因为那案子并非关于如何解释法律,而是关于法律是否违宪。
我并非断言其是非。虚伪在政治中无处不在,纵观美国历史,无论政治光谱哪一端都可轻易找到例证。我只是指出严格解释原则对美国法律体系至关重要,这是法官们核心的哲学辩论。
这是否意味着“保守派”和“自由派”在政治立场之外另有含义?还是说这番回应本身就带有明显的党派倾向?
我认为许多法院都宣称如此,但实际上没有一家真正做到。
这和那些字面解读圣经的人面临同样问题。你做不到。首先,你读的是译本。要接近原文,你需要精通闪米特语系、文化及希腊语——具体取决于你的教派。阅读时你需要指引,无论是圣灵、牧师,还是十几年犹太经学院的熏陶。
核心问题在于人们需要某种方式,在实际行动前预知行为是否会招致惩罚。
解决之道在于严格按文本解释法律,或在存在歧义时选择有利于被告而非政府的解释。如此你只需阅读法律条文即可知晓是否禁止你欲为之事——除非法律明确禁止,否则即为允许。若政府事后发现有人如此行事而心生不满,那便该由他们修改法律。
另一种方法是为民众提供事前澄清的途径,即咨询意见。政府通常对此深恶痛绝,因为一旦开放咨询,政府将被澄清请求淹没——毕竟谁都不愿冒未经许可行事却遭惩罚的风险,都想事先获得所有行为的许可。但要使这种机制有效,澄清成本必须低廉——因为“花百万美元买咨询意见来规避百万美元罚款风险”,并非解决法律模糊导致民众受罚的真正对策。
因此第一种方案其实更优,其唯一“问题”在于政府必须保持关注,并在法律失效时及时修订——否则民众将抱怨现行法律愚蠢而滞留。但若政府制定良法的能力本就薄弱,无论采取何种方案都将陷入困境。
另一种方法是让人们能够提前获得澄清。这被称为咨询意见,而政府通常对此深恶痛绝——因为一旦允许这种做法,政府就会被澄清请求淹没,因为每个人都希望事先获得所有行动的许可,而非冒着未经许可行事而受罚的风险。但要使该机制有效,澄清成本必须低廉——毕竟“花百万美元买咨询意见来规避百万美元罚款风险”,并非解决法律模糊导致民众受罚的真正对策。
部分解决方案在于:以极少需要澄清的方式制定法律,因为法律经过周密设计后,通常无需反复解释。
这与我的认知相悖。首先,“按字面解释法律”本身就是不可能的——你必须理解其含义,即进行解释。更何况,普通法体系的核心不正是法官进行裁决吗?
据我所记,有句反复引用的普通法格言是:“法官并非因裁决正确而作出裁决,而是因法官作出裁决而使裁决正确。”
我认为他的本意是说法律精神即法律本身。
若通读GDPR完整文本[1],会发现正文在第一章才开始,整整173段落都位于页面中段。这些内容阐述了立法缘由、目标、运作机制、政府责任等。
欧盟已将法律精神以书面形式呈现。
[1] https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
无法执行的法律就是坏法律。况且这是个会随时间自然解决的问题,根本无需立法。GDPR通过后,所有人的网络体验都变差了,这点大家应该都认同。
如果人们重视隐私,那么随着时间推移,他们会转向尊重隐私的公司和服务。政府法规是宽泛的政策,永远缺乏细致考量。因此让市场自然推动更好结果才是上策。
> 若无法执行法律,则该法律本身就是糟糕的法律。
或者,你本可执行法律,但执行所需资源(人力)已不复存在。美国现政府认为某项法律不重要时,便停止拨款给执法机构,这种情况屡见不鲜。这种现象在法规/条例(我常混淆二者)中尤为突出,而非普通法律。
假设政府已将谋杀定为非法,但地方执法部门却不调查谋杀案。这种情况下你却责怪立法者制定了“坏法律”,为什么?
首要责任在于国家数据保护机构未能履行职责。
次要责任在于欧盟负责惩处成员国违规行为的机构。对执法不力应有严厉后果,比如冻结资金。(我不清楚具体法律程序)
> 若民众重视隐私,终将转向尊重隐私权的企业与服务。
这不过是自由主义者的童话——表面看似合理理性,实则暗藏恶意。它利用信息不对称、人类认知盲区、网络效应以及我们普遍缺乏的长期后果评估能力,将利润导向最无良的企业。
换言之,我们之所以需要法规来保护人们免受自身行为伤害(并维护社会整体福祉),自有其道理。
> 政府已将谋杀定为非法,但当地执法部门却不调查谋杀案。这种情况下你却指责立法者制定了“糟糕的法律”,为什么?
调查谋杀案具有可执行性。若执法部门失职,那是另一回事。追踪cookie因存在于互联网而跨越多个司法管辖区(甚至包括从未同意GDPR的欧盟外地区),因而面临各种法律障碍。这根本是风马牛不相及的事。
> 这不过是自由主义者的童话故事,表面看似合理理性,实则暗藏恶意。它利用信息不对称、人类认知盲区、网络效应以及我们普遍缺乏对长期后果的准确预判能力,将利润输送给最无良的企业。
不,这恰恰让人们能够像成年人一样用脚投票。我们在许多其他领域都这样做,而且行之有效。(这正是自由市场的根基所在)这并非主张完全取消隐私保护和反垃圾邮件法规,但在允许营销/广告活动时,这种权衡取舍早已被社会充分理解。如今我们都在为那些提供Cookie横幅警告软件的公司输送巨额利润,而广告商最终仍能获取海量用户数据。设计拙劣的法律就是坏法律。法律要求事先征得同意及其决策后果,本应经过更周密的考量。
> 若无法执行法律,那便是坏法律。
并非无法执行,只是因法规规模庞大且变革剧烈而滞后。
> 况且这是随时间自然解决的问题,本就不需要立法。
如何自然解决?
> GDPR通过后所有人的网页体验都恶化了,这点大家应该都认同。
因为网站运营商在做违法的事。
> 若用户重视隐私,终将转向尊重隐私权的企业与服务。
人们怎会关心自己不知情的隐私问题?
> 并非无法执行,而是该法规带来的变革规模庞大,导致执行滞后。
这些法规出台多久了?我们仍在应对这些问题。情况似乎愈发恶化而非改善。
> 问题如何自行解决?
人们开发不追踪用户的服務,用户为这些服务付费。道理很简单。
> 由于网站运营商从事非法活动。
若真属非法行为早该被制止,但显然企业确实遵守了法律。
> 人们为何要关心自己不知情的事?
众所周知Cookie会跨网站追踪用户,部分人因此选择不访问相关网站。网站有义务披露此类信息,用户必然知情。
Cookie横幅广告不等于GDPR。
> 问题完全出在法律本身,因为其条款设计允许此类恶意合规行为。
你指的是哪条法律条款?
我同意。该法案在通过前已被游说团体彻底扭曲,立法者才是症结所在。
初衷虽好,但文章实质要求浏览器厂商直接内置uBlock Origin功能,还指望谷歌毫无异议地配合。
这种情况绝无可能发生——因为推动现行法律的势力、浏览器开发商、以及靠广告牟利者(cookies=广告)都是同一批公司。
> 不,问题百分之百出在法律本身,因为其条文设计允许此类恶意合规行为。
这里根本不存在恶意合规,纯粹是违法行为。若你认为法律存在缺陷就该全盘否定,那按此逻辑所有法律都该被视为百分百问题。这种立场在我看来简直愚不可及。
> 法律需要精心制定才能产生良好效果。
这正是关键的缺陷所在,值得更多关注。法律(及法规)在某些核心方面类似计算机代码。早期代码的编写假设其将在可信、良性的环境中运行,且由专家操作,这些环境的规模和复杂度相对固定。我们的立法机构同样基于类似假设建立。当世界发生变化时,代码随之更新,立法机制却停滞不前。
至少在法律起草阶段,就应接受独立的红队测试与渗透测试,以实现两项目标:A) 评估法律在现实世界中能否长期实现其宣称的意图;B) 揭示可能出现的意外负面后果。当然,这仍无法解决特殊利益驱动的立法者通过模糊术语、不完整范围界定、插入漏洞与例外条款等手段蓄意削弱法律效力问题。
可悲的是,如今我认为立法起草阶段的蓄意削弱才是“劣质法律”的最大根源。但至少红队测试理念或许能在游说团体主导的削弱行为之外,预防 部分 意外漏洞。
你以为网站乐意采用这种垃圾技术?以为它们没考虑过替代方案?哪个贪婪的商界高管会想“没错,就让我们把产品搞得更糟糕来证明观点”?
显然它们评估过替代方案,认为Cookie带来的好处或合规成本足以容忍这种糟糕体验。而且几乎所有公司都做出了相同决定。
那么这些cookie垃圾究竟想解决什么问题?没人要求它存在,没人愿意配合,结果却让整个网络环境每况愈下。
制定完善的法律实属不易。结果往往陷入以下两种境地:
– 法律默许了本不该允许的行为,或
– 法律禁止了本该允许的行为
而后者常被以“我们不会这样执行”为由掩盖…最终却因某些人怀有特定目的,而被精准地执行——毕竟法律如同锤子,总有人拿它敲打特定目标。
不,问题百分之百在于对追踪和数据采集的沉迷。若不进行这些操作,根本无需设置横幅。
正如其他评论所述,GDPR明确禁止此类行为。问题在于执法不力且机制复杂——责任分散于所有欧盟成员国,各国独立行动受限,部分国家数据保护机构更刻意拖延以庇护跨国企业。
这与多数欧盟层面的问题如出一辙——各国总在以牺牲共同利益为代价相互博弈。
此外,GDPR并非仅适用于浏览器或互联网领域,其效力遍及线上线下所有商业活动与流程,因此无法也不可能规定具体的技术实现细节。
不允许。法律明确禁止此类行为。
引用第4条第11款——同意的定义
这意味着:若强迫用户点击按钮,或让他们在1000个无选项的滚动条中寻找唯一简易的“同意”选项,则未获得自由同意。恭喜你触犯了法律。
这意味着:若仅让用户点击“同意”,却未 告知 其数据收集的危害性,则未获得自由同意。
法律对此规定相当明确。
或许我有所疏漏,但我不认为这能明确禁止此类行为。
你认为哪种描述被“使同意更易于提供而非拒绝”的行为明确违反?在我看来,“自由”和“知情”两项要求都可能成立。
其实只需明确规定:界面中同意与拒绝选项必须具有同等可操作性,何必在“自由给予”的定义上吹毛求疵?这正是人们所说的法律条文表述欠妥之处。
> 你认为让用户更容易同意而非拒绝的行为,究竟违反了哪个条款?
> 第7条第3款:撤回同意应与给予同意同样便捷。[0]
但关于《通用数据保护条例》的法律解释已形成共识:该条款同样因上述实施方式而失效:
> 自由且知情的同意(GDPR第7条):仅当同意系自由给予时方为有效。当拒绝选项被隐藏或设置为不必要的繁琐程序时,用户的自主选择权受到影响,同意即丧失“自由”属性。[1]
[0] https://gdpr.eu/article-7-how-to-get-consent-to-collect-pers…
[1] https://www.ictrechtswijzer.be/en/complaint-about-cookies-wi…%3A%20Consent%20is,is%20no%20longer%20%22free.%22)
这是否意味着,若用户使用自动点击“是”关闭弹窗的浏览器扩展,则网站未获得有效告知同意,因此不得收集数据?
没错。不过谁他妈会用这种浏览器扩展?我用的扩展会自动点击“拒绝”,但谁愿意被持续追踪呢?
直接点击大号“拒绝”按钮要小心。很多情况下这会跳过你“反对合法利益”¹的机会。
——–
[1] 此处“合法利益”本质上是说:“我们知道你不想被跟踪,但我们就是要这么做,所以会故意增加退出程序的麻烦程度——去你的隐私权,我们才不在乎呢”。
这根本就是违法。点击拒绝按钮就意味着全面拒绝。
若一个穿着高跷和长外套的孩子走进儿童免费观影的电影院,购买成人票并观看电影,他是否有权起诉影院要求退款?
我认为编程让电脑自动点击“是”等同于主动同意所有弹窗。这种同意标准甚至低于性行为的同意门槛。
这似乎过于狡猾。若你设置浏览器扩展程序,使其自动在收到的任何电子合同上签名并回传,我确信你将受这些合同约束。
浏览器应设计为仅向网页服务器提供与普通访客相同的最低限度的信息。浏览器应通过curl协议抓取网站内容,并在本地处理数据,无需向服务器透露任何额外信息。
浏览器的开发似乎停留在监控资本主义兴起前的时代
《通用数据保护条例》明确规定:拒绝同意的操作必须与授予同意同样便捷。
问题在于弹窗横幅。设置醒目的“拒绝”按钮并不能解决GDPR的Cookie横幅问题。
我认为这终将解决问题。若点击“拒绝”与点击“接受”同样便捷,用户大多会选择前者。
这将削弱追踪行为的价值,明智的运营商终将停止骚扰用户,彻底放弃追踪行为。至少我如此期待。不过目前Brave浏览器已相当擅长隐藏cookie横幅,我无法确定实际效果。
若立法初衷是禁止追踪行为,本应直接立法禁止。
否则该法规的实际效果就是——强制所有网站弹出烦人的追踪提示。
>若点击“拒绝”与点击“接受”同样便捷,多数人自然会选择前者。
遗憾的是,我怀疑人们根本没意识到法律站在他们这边。我女友直到我提醒才敢点击“全部拒绝”——她原以为这样会导致某些功能失效!
这项法律本就是游说团体刻意设计的。我们永远不可能获得一个全球通用的“仅接受必要cookie”浏览器按钮。
虽然我同意法律存在缺陷,但当网站本身就试图规避法律精神时,制定完美法律本就不可能。
否则怎么解释那些“请查阅隐私政策并发送运动鞋主题邮件申请退出”的追踪选项?
立法无需追求完美,只需确保基本实现立法意图。
试想你编写的程序完全无法实现预期功能,同时给用户带来无尽困扰。
法律与程序极为相似——它是社会的软件。当它失效时,制定者却将责任推给所有人,唯独不自省。
政客固然难辞其咎,但网站同样在玩甩锅游戏的事实不容忽视。
即便用户未授权,追踪行为依然存在。这或许是偶然现象,但当我在网站匿名搜索后切换到其他页面时,广告竟出现我刚搜索过的产品——请注意,我已关闭所有追踪功能。
可是,可是…我们可是正义一方,只是在对抗那些邪恶的广告商!
不知他们能否终结这种窥探行为,但立法至今已过去多少年?
法律与程序的本质区别在于:计算机并非蓄意破坏法律的恶意行为体。法律与程序截然不同,因为计算机没有程序就寸步难行,而社会却能无视法律行事。
程序运行的世界和承载它的计算机往往充满恶意,或者说它们的行为确实如此。更不用说用户了,有些纯粹是邪恶的 🙂
我们设置了大量安全措施、异常处理机制和各种错误控制手段。
> 无需制定完美法律,只需确保其基本实现预期效果即可。
《通用数据保护条例》的意外后果是什么?
法律确实类似体育联盟的规则——随着环境变化必须持续更新。
无论初稿还是定稿都无法做到完美无缺,更何况词语的诠释会随时间演变——即便能做到也毫无意义。
体育规则始终处于调整状态,参与者则不断寻找(勉强合法的)规避之道。
例证:自行车运动曾禁止使用窄把。虽然存在空气动力学优势,但被视为安全隐患。于是车手们将刹车护罩大幅内倾,双手置于护罩上获得气动优势。
如今刹车护罩又有了新规。法律本就是随社会变迁而生长的有机体,既要适应时代更迭,也要修补那些所谓的“漏洞”。你完全正确: 法规永无终点,而是持续演进的过程。
这正是欧盟指令往往包含近50%的“立法必要性与目标阐述”、30%的“实施细则”、以及20%的“监管机制与执行方式”的原因所在。
如此设计,即便出现标点错位或句式瑕疵,也不会轻易形成需要更严苛法律来修补的漏洞。
法律文本将永远有效,但这种格式构筑了极其坚实的基础。
你总不能完全免除那些网站的责任吧。它们本不必恶意配合,却偏偏这么做了。
那你写出的软件就百分百无漏洞且绝对安全吗?法律不可能在初版就涵盖所有试图钻空子的恶意技术人员,后续也难以穷尽。这永远是与恶意行为者持续对抗的战场。
我认同你的观点
但我们都见过某些公司 咳咳 苹果 咳咳 如何大闹天宫,钻法律最细微的空子
法律要求他们必须为股东利益最大化,这包括成为卑鄙小人、滥用法律牟取暴利。至少所有上市公司似乎都这么解读法律。
“大公司必须坑害所有人!这是他们的受托责任!”这种论调必须终止。纯属谎言,别再传播了。
你忽略了其中的微妙之处。法律上并无先例要求企业受托责任必须仅关注股东利益。但实践中,这恰恰暗指现实政治中的残酷——董事会可借口履行对股东的受托责任,将管理层赶下台。
若非如此,企业社会责任这套虚伪的把戏根本不会存在——它本身就是对米尔顿·弗里德曼1970年《企业的社会责任就是增加利润》一文的回应。该文主张企业高管是股东的代理人,应专注于最大化回报而非社会责任。
> 他们依法必须为股东利益最大化
人们总这么说,但据我所知并非如此。
1919年美国密歇根州法院裁定:股东权益高于雇员与客户。
https://en.wikipedia.org/wiki/Dodge_v._Ford_Motor_Co.
确实如此,但仅限于 极其 狭窄的范畴。
福特败诉的原因在于他公然承认自己并非以盈利为目的,且蓄意阻止少数股东获取资金创立竞争汽车公司。
倘若他仅含糊宣称自身行为符合股东长期利益,很可能就能逃脱法律制裁。
2014年,美国最高法院裁定企业并无必须优先考虑利润的普遍义务:
伯韦尔诉霍比洛比商店案 – https://www.law.cornell.edu/supremecourt/text/13-354
> 营利性公司的核心目标固然是盈利,但现代公司法并不要求其牺牲一切追求利润,且多数公司亦未如此行事。经所有者批准,营利性公司广泛支持各类慈善事业,推动人道主义及其他利他目标亦非罕见。诸多实例不胜枚举。只要股东同意,营利性公司可采取超出法律要求的昂贵污染控制与节能措施;在海外运营设施的营利性公司亦可超越当地法律对工作条件和福利待遇的规定。
——
据我理解,这最终意味着:当股东通过表决要求“必须将利润置于当前/计划中的X事项之上”时,企业必须遵从;但在缺乏明确股东指令的情况下,企业绝无义务将利润置于一切之上。
人们总说企业必须追求利润最大化,这是对“为股东谋最大利益”的曲解。
这种观点是错误的。这种对受托责任的误解(或蓄意歪曲)正通过评论不断蔓延。
这是个神话。我认为全球没有任何法院判决会支持这种解释。
> 问题不在于法律本身
当然。法律条文清晰,立法意图明确,指导方针也毫无歧义。
我认为最大的挑战(也是这种现象看似无处不在的原因)在于少数“巨头企业”对浏览器的垄断。无论是苹果还是谷歌,都毫无兴趣推行追踪许可机制或推动相关标准制定。
在我看来,若能进一步强化《数字市场法案》这类政策,防止FAANG巨头(无论当前缩写为何)形成卡特尔式垄断,局面将大为改观。我们与美国存在深刻的“文化差异”——他们期待法律对一切事项都作出明确规定,以便通过诉讼将对手打垮,但现实证明这种做法行不通。我们需要削弱巨头企业的影响力,建立防护栏,确保任何单一公司都无法再对世界产生如此巨大的影响。
试想,如果不是因为加载谷歌字体就会暴露给数百个“合作伙伴”,有多少这类同意提示可以被移除?
> 每个人都期待一切被明文规定
严格来说,这就是大陆法系的运作方式——法律条文必须明确阐述。
相比之下,普通法系的法律条文可能(但并非总是)更为简洁却含糊,更强调由法院进行解释。
这正是美国诉讼案件较多的原因之一,但绝非唯一因素。毕竟德国存在臭名昭著的法律赏金猎人(可能用词是“Abmahnanwälte”但似乎另有专称),而德国属于大陆法系国家,因此仅凭美国采用普通法无法完全解释这种现象。
我的观点是:当违法方是资源近乎无限的企业时,这种做法便收效甚微。
以苹果为例,单是完成一起“非法终止”诉讼就耗费数年,而全球要弥补其应用商店行为造成的损害……恐怕需要数十年。在此期间,企业持续投入巨资游说,最终往往削弱甚至推翻本应约束其行为的政策。
> 无论是苹果还是谷歌,都毫无兴趣推行追踪许可机制或推动其成为行业标准。
苹果确实采取了措施,在iOS应用和浏览器中都增加了追踪难度。
真正依赖监控广告获取全部收入的,是谷歌。
问题在于,监控广告网络在浏览器中用于追踪我们的 技术手段,恰恰是其他许多功能所必需的特性。
若试图将此问题重新定义为纯粹的技术难题——认为仅需浏览器厂商修改浏览器机制就能解决,而非社会政治问题——注定失败。诚然谷歌(苹果可能亦然)本可采取更多措施保护用户,但他们无法彻底阻止追踪行为。
终结追踪的根本之道在于立法禁止定向广告。
> 苹果已采取措施
苹果实为“隐私粉饰”——仅在损害竞争对手利益时才以隐私之名采取行动。与此同时,苹果毫不避讳收集Spotlight和Safari搜索词……或从照片等应用中提取“特征数据”。
我认同广告作为盈利渠道是错误决策。但更重要的是,隐私权是基本人权,理应无条件适用。
是否有确凿证据表明苹果收集这些信息用于追踪目的,或出售给第三方追踪者?而非通过聚合处理来优化服务?
若有证据,我将率先谴责此行为,更希望他们根本不收集这类数据。但数据收集确实存在不同类型和目的。
我不认为他们会出售数据(至少目前如此),但涉及Spotlight和浏览器——这正是用户输入敏感信息的场景。想到自己输入的所有内容都将成为数据集,在未来数年内流转于大型企业的各个部门,用于数据分析、单元测试乃至其他未知用途,实在令人不安。
反驳观点——让每个访问的网站都弹出Cookie提示依然极其糟糕。即便完全合规,这种糟糕体验也严重影响网络使用。
这一切都源于法律制定者:那些律师对用户体验和隐私的关注,远不如需要执行法律的企业来得热切。
默认开启追踪绝非可行方案,因此我主张必须强制执行“禁止追踪”标头,并通过法律手段及全球营收比例罚款予以保障。
这在消除烦扰方面收效甚微,因为用户需要针对每个网站或服务单独选择是否接受追踪cookie(类似“记住我”复选框的功能),而网页仍可显示提供该选择的横幅广告。虽然形式不同于现行的cookie横幅,但网站同样会制造类似的烦扰。
若网站本身不愿遵守法治,我们便无法通过法律手段强制其遵规。
这种追踪程度简直疯狂,现实生活中绝不可能发生。若真有公司敢这么做,要么被愤怒的人群逼得关门大吉,要么被罚款罚到破产。
倒也不是……但如今信用卡(及其关联的借记卡同样不安全)、遍布商店的摄像头实现的广泛人脸识别,以及购买商品竟需出示“会员卡”才能享受 正常价格 等现象,都表明我们在实体空间同样遭受着严密追踪。人们根本意识不到这种程度,更看不到这些数据被买卖、聚合再转售的现象。
我们必须严厉打击这种自动化跟踪行为。
>如今商店遍布监控摄像头实施面部识别,连购买商品都需出示“会员卡”才能享受正常价格
正因如此,在同一司法管辖区内此类行为同样违法。
你提的这个术语很贴切。或许我们该用“数字跟踪”取代“追踪”这个词
关键区别在于:与Price Chopper这类商家不同,谷歌、脸书和Xitter不仅能追踪你在其平台的行为,更能通过数据分析包和“社交按钮”加载的脚本,监控你在成千上万网站的全部活动。
若我在Price Chopper购买婴儿食品,他们或许会发邮件推送尿布折扣,但至少我(大概率!)不会在浏览网页时被这类广告 无孔不入地追踪。
我确信会员卡体系之所以盛行,正是因为企业靠出售用户数据牟利。
如今太多产品都如此运作。比如Roku电视棒和电视机正是通过出售用户数据来补贴成本。你想打造不窥探隐私的Roku竞争产品?你的商品将难以进入货架并维持销售,部分原因在于——即便你获得与Roku同等优惠的零部件价格——仍需按成本价定价才能匹配Roku的售价。而99%的消费者根本意识不到,某款产品之所以更便宜,是因为它会监视用户并出售数据。
> 而99%的消费者根本意识不到,某款产品之所以更便宜,是因为它会监视用户并出售数据。
而这种监控行为的负面后果如此抽象且不透明,正是整个问题的症结所在。
我们需要更完善的监管机制,但遗憾的是,即便在近期法西斯势力接管之前,监管机构数十年来也基本处于失职状态。
除非是浏览器层级的权限请求,比如获取用户位置信息。
网站必须明确告知用户具体同意的内容(如保存购物车信息,以及将与哪些主体共享数据)。这不能仅靠预设选项来实现。
浏览器层级的权限涉及浏览器向网站共享的信息,性质截然不同。关键在于:浏览器共享信息并不等同于授予网站任意处置该信息的法律许可。
很抱歉,不行。
“禁止追踪”就是禁止追踪,句号。
无论如何询问是否可追踪等行为,都违背其精神且纯属用户敌对行为。
所以您想让网站告知用户其服务使用追踪Cookie的行为成为非法?
用户通常需要一定程度的追踪功能,比如跨网站使用服务时不必每次登录。
不,必要cookie从未受此限制。即便如今也无需为此设置横幅提示。
以必要功能为幌子实施数字跟踪,或仅称其为“追踪”,都无济于事。
某些网站甚至故意在禁用第三方cookie时破坏自身功能。
所以,“禁止追踪”是命令——不准跟踪我,句号。
作为用户,我拒绝任何形式的追踪。这就是我开启浏览器“禁止追踪”选项的原因。
> 登录服务
这属于功能范畴,无需额外同意。点击登录按钮即视为同意。
那杂货店呢?
你可以登录购物。但如何决定是否允许商店追踪购买记录以推荐复购或保存购物清单?重新询问这些权限远比登录复杂。
显示购物清单的功能可行,但将清单用于数据分析则不可行。
> 追踪购买记录以推荐复购
商家只需掌握销售数据,无需追踪用户行为。
若非第三方设置,则不属于追踪Cookie。因此登录及其他网站功能完全不受影响,这些Cookie不受GDPR等法规约束。
关键界限在于用途而非第一方/第三方属性。但网站功能确实不受影响。
我认为最理想的方案是直接规范浏览器本身…在欧盟销售的设备预装浏览器?Cookie应默认存储于临时jar文件中,并在关闭标签页/窗口时自动删除。每个域名对应独立jar文件。地址栏旁增设按钮启用“允许该网站记住我”功能,即可将该域名的Cookie设为“永久性”(另设“高级”选项可选择是否允许第三方Cookie)。
但现实是,当监管者是根本不懂Cookie和浏览器的律师时,我们只能在每次访问域名时面对同意表单。
如今追踪主要依靠指纹识别技术,仅关注Cookie已无实际意义。
> 当监管者是连Cookie和浏览器都搞不清的律师时,我们每次访问域名都要填写同意书。
本案中监管机构已审慎考量问题本质,其立法实施独立于具体技术手段。真正无知或恶意的恰恰是软件开发商/企业。
这是个糟糕的提案。GDPR的核心在于防范追踪行为,而非针对Cookie本身。网站可通过cookie、浏览器指纹、IP地址、登录信息、本地存储等多种方式追踪用户。若其他手段受限,它们甚至可能通过鼠标移动轨迹或键盘输入方式实现追踪。
网站追踪用户并出售数据的行为,与浏览器存储cookie的时长毫无关联。cookie只是网站实施追踪的众多手段之一。
这话没错,但至少能清除那些铺天盖地的烦人Cookie同意横幅。对我而言,这些横幅带来的困扰甚至超过某些公司靠出售我的鼠标轨迹记录赚取微薄利润。
这确实是另一种观点——我更倾向于隐私保护,除非获得明确授权否则拒绝追踪。
你应该思考真正的隐私是否可能实现。Cookie只是冰山一角。IP地址、浏览器指纹、唯一URL,再加上跨网站关联信息的第三方(主要是广告网络),我确信这不可能。
GPC(全球隐私控制)才是美国(部分地区)实际执行的标头。由于微软非协商式推广DNT的行为,该协议已被多数人视为过时。
微软的实现方式为何存在问题?将设置默认值设为安全选项本是合理之举。
这好比说:若操作系统/浏览器具备安全防护,将剥夺恶意软件作者的收入来源,因此除非用户主动选择修复漏洞,否则漏洞理应保留。
https://en.wikipedia.org/wiki/Do_Not_Track#Internet_Explorer…
加之政府对此视而不见,甚至主动强制执行GPC…合规必要性值得商榷(我仍建议将其视为GPC信号处理)。
但未来工作应聚焦于GPC信号。
没错,根据多数隐私法规,不追踪应是默认设置。
我们刚完成的新企业网站采用GPC信号作为退出机制:若浏览器发送GPC,网站将自动禁用所有追踪脚本;若未发送,则弹出说明如何开启该功能的提示框,或提供“我理解”按钮。
这种方案看似理想,问题在于目前仅Firefox原生支持。针对Chrome和Edge的操作指南基本就是“安装Privacy Badger”。
而Safari的表现堪称最差——身为苹果用户,说这话实在令人痛心。该浏览器不仅不支持GPC,更在所有平台(mac/iphone/ipad)上完全找不到任何可安装的Safari扩展程序,连最基础的HTTP头部GPC信号发送功能都无法实现。iOS上确实存在名为ChangeTheHeaders的付费扩展,可配置发送GPC信号,但说真的,怎能要求普通用户付费购买应用还手动输入特定HTTP头?(该扩展由StopTheMadness开发者Jeff Johnson制作) 我曾询问他是否考虑为该插件(或其他插件)添加用户友好的GPC信号功能,他却表示这会“重复功能” :-/)
加州似乎将要求浏览器制造商支持GPC信号。该州的隐私保护运动拥有强大的政治影响力与支持基础,未来几年内相关政策很可能迎来变革。
据我所知,加州总检察长已明确表示:若用户发送GPC信号,必须予以尊重,该机制符合《加州消费者隐私法案》(CCPA)规定的退出机制要求。虽然尚未听到要求 浏览器 支持该功能的具体消息,但若成真将是个积极进展。
https://oag.ca.gov/privacy/ccpa/gpc
我认为广告供应商比网站所有者更应承担责任。根据我的经验,除非使用广告支持的Cookie同意管理器,否则广告供应商会设置重重障碍阻碍广告投放。我曾尝试编写简易Cookie同意表单,但在发现TCF框架复杂得离谱后放弃了。由于大多数兼容广告的Cookie同意横幅都由广告公司自身提供,用户往往只能被迫接受劣质方案。我甚至尝试付费购买商业版Cookie同意管理器,却发现我的广告供应商不支持该方案。
若有更多时间或许能解决问题,但遗憾的是这只是我的业余项目,无法为此耗费数周精力。广告收入是网站托管费用的来源,想必许多网站都面临类似困境。
我衷心希望存在更简洁的解决方案:既能更尊重用户隐私、减少干扰,又能让像我这样的网站通过广告维持运营。针对浏览器而非网站的定向方案本可成为理想选择。
讽刺的是,本站并未提供“全部拒绝”选项。
我的火狐默认设置已拒绝内容追踪器,最终未生成任何Cookie,仅出现一次原始域名外的CDN请求失败。
效果不错。
别担心,你仍在被IP+浏览器指纹识别追踪…使用市场份额个位数的浏览器简直像个刺眼的红眼球。
(这也说明围绕 *Cookie* 讨论GDPR是本末倒置——关键在于确定用户是否同意被追踪,*无论* 技术手段如何,无论是Cookie、IP地址、指纹识别,甚至某种魔法水晶球)
全球隐私控制(GPC)才是美国真正具备强制力的标头,已有企业因此被罚款。加州正联合其他州扩大执法范围。
虽然期待比GPC更优的方案,但过渡期内欧盟应将其视为有效的(未)同意信号,彻底免除横幅提示的必要性。
啊,我正纳闷为何看到更多默认拒绝的对话框弹出,明明最初欧盟并未实施过重大处罚
问题根源在于全球普遍困境:我们至今仍缺乏有效手段来真正惩罚互联网及科技领域的不良企业。
除非我们(指法律和政府)能施加真正有力的后果——罚款、拆分企业、甚至监禁等——否则任何技术手段都毫无意义。
没错。症结不在法律条文本身,而在于欧盟这类监管机构需要设立执法沙皇,向企业明确宣告:若企图钻法律空子,必将遭遇“马云式”的严厉惩处。别再让尾巴摇动狗身了。
至于有人担心这会扼杀创新——我曾在中国生活并常与投资者交流,他们总强调:每个不守规矩的亿万富翁背后,都有千名百万富翁能轻松抢占市场份额,这根本不成问题。
我们 *完全* 有能力做到这些。
只是我们拒绝 *使用* 这些手段——因为政客们要么认为企业 *理应* 享有比民众更高的权利,要么害怕若真对企业执法就会失去巨额竞选捐款(无论直接或间接)。
人人都这么说。但事实上,我访问过的所有欧盟政府/监管机构官网都设有cookie横幅。欧盟为何要自毁合规形象?
> *“花五分钟阅读法律术语菜单”并非“全部接受”的替代方案,“全部拒绝”才是!*
是否有浏览器支持通过扩展程序在设备上运行压缩版大型语言模型?
训练大型语言模型拒绝可选cookie(或者更妙的是,搞乱遥测数据)在当下似乎完全可行。
你用过Consentomatic火狐扩展吗?效果相当不错,在多数网站都能正常运作。
我觉得法律在助长这种风气。
该法律“发现”这些网站规则很糟糕,因为没人愿意逐个网站决定是否接受追踪,所以“别烦我”式的点击和烦扰反而奏效。
仅因访问某个网站就必须达成法律协议的想法毫无道理。
或者我们干脆停止这场闹剧——别再假装Cookie法规能阻止追踪,直接撤掉所有愚蠢的横幅广告。现在所有信标都在后台(服务器间)疯狂触发,所有会话数据都通过入站URL传递并存储。浏览器禁止第三方信标、Cookie法规之类根本毫无作用。你甚至察觉不到自己正被追踪。
GDPR的核心并非针对Cookie,而是涵盖所有追踪行为,包括你提到的案例。据我理解,这些行为同样需要用户主动同意才合法。
讽刺的是,我打开那篇文章时,迎接我的竟是缺少“全部拒绝”按钮的Cookie横幅。
*> 但那些不愿放弃追踪的网站却在恶意规避合规*
这根本算不上合规,他们只是在钻法律空子,尽可能地规避规则——而迄今为止,他们大多都逍遥法外。
法律条文本身无关紧要,问题在于法规设计本就纵容此类恶意行为。这是糟糕的立法。
> 当然,尊重“禁止追踪”标头、彻底避免弹出Cookie横幅且不追踪用户的行为会更理想
消除Cookie横幅的最佳方式就是完全禁止追踪行为。若给予自由选择权,究竟有多少人愿意被追踪?
> 若给予自由选择权,究竟有多少人愿意被追踪?
好问题。但现有信息不足以回答。这些人是否真正理解“追踪”的含义?还是以为这意味着公司会在便利贴上写满他们的全名和地址四处传阅?
我仅允许少数精选应用进行追踪
切勿混淆实际结果与期望结果。
你期望网站的首要任务是提供最佳体验。但现实是:避免被起诉远比消除所有用户不便重要得多。
为何没人开发浏览器插件整合脚本集?比如像Adblock那样自动最大程度拦截所有追踪信息?
这类工具已有,例如“Consent-O-Matic”
直接链接,移动端同样适用:[https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat…](https://addons.mozilla.org/en-US/firefox/addon/consent-o-matic/)
广告技术浏览器应该也有对应版本。
这不就是反向操作吗?即自动接受以消除UI提示框?
编辑:其Firefox页面说明:
只需设置一次偏好,技术将自动完成后续操作!
本扩展由丹麦奥胡斯大学研究人员开发维护。我们作为隐私研究者,厌倦了目睹企业如何违反欧盟《通用数据保护条例》(GDPR)。鉴于监管机构资源有限,我们创建此扩展以协助执法。
我们分析了680个弹窗,将其数据处理目的归纳为5类供用户开关控制。有时我们的分类与网站实际用途不完全吻合,此时我们会选择更保护隐私的选项。
> 这不是相反的操作吗?即自动接受只是为了消除弹窗?
不,那是“我不在乎Cookie”
uBlock Origin确实有可选列表能清除Cookie垃圾。
我立刻就装!
然后在uBlock Origin启用Cookie横幅列表。注意偶尔会出现故障,记得临时关闭拦截功能才能通过。
Ghostery正是这么做的。
Firefox及其衍生浏览器可用uMatrix。
NoScript同样有效。
AdGuard也是好选择。
完全同意。那些需要手动关闭多个正当兴趣开关的网站,我直接按返回键离开。
+1 这是双赢局面。网站事先宣告其恶意属性,我自然直接离开
我也这么做,但若真想阅读该网站,只需从DOM中删除节点即可。
> 我直接按返回键
我越来越常这么做,而且我认为这是正确且最佳的选择。
既然“合法利益”意味着无需征得同意,他们自然不会让你关闭该选项。
若他们展示开关却冠以“合法利益”之名,十有八九是在撒谎。
他们总爱把Cookie归类到“性能与优化”项下,仿佛这就不算胡扯似的。
所有基于合法利益的Cookie都藏在“必需Cookie”的灰色不可选框里。
法律规定用户可拒绝所有Cookie且网站仍应正常运行——这再次说明他们根本不允许你关闭真正必要的Cookie。
不。我绝对不愿在访问每个网站时都被要求接受cookie。
问题就在这里——法律明确承认追踪行为是用户不愿接受的。但现实是,法律允许每个网站乞求用户允许追踪,而非禁止除功能性cookie外的所有追踪。这是向广告商妥协的结果。
没人想要这种垃圾。
法规明确界定了“知情同意”的标准。通过骚扰用户迫使其接受追踪行为并不符合要求。
症结在于长期缺乏执法力度,导致违规成为制胜策略。最坏情况不过是某天被迫清理门户(但在此之前仍可享受追踪带来的收益)。
> 症结不在法律本身,而在于网站恶意规避合规以维持追踪行为。
若真是如此,为何欧盟网站首先要进行追踪…其次为何使用Cookie横幅而非其他不构成恶意合规的解决方案?
若存在兼容Cookie与 *其他* 告知访客方式的解决方案,欧盟政府在解释GDPR的官网上难道不该展示吗?
[https://europa.eu/youreurope/business/dealing-with-customers…](https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_en.htm)
企业采用[https://european-union.europa.eu/index_en](https://european-union.europa.eu/index_en)的方案是否存在问题?为何这被视为恶意合规?
> 若真如此,为何欧盟网站首先追踪用户?
若您质疑网页为何未设置“全部拒绝”按钮,答案很简单:其实存在——即“仅接受必要Cookie”选项。
> 其次,为何采用Cookie横幅而非其他不构成恶意合规的解决方案?
GDPR(通用数据保护条例)关注的是数据保护本身,而非技术手段。无论使用Cookie或其他技术,其适用标准均一致。
> 企业采用[https://european-union.europa.eu/index_en](https://european-union.europa.eu/index_en)的方案是否存在问题?为何这被视为恶意合规?
您举的例子恰恰符合合规要求,因为提供了拒绝所有追踪Cookie的按钮。在当前讨论语境中,每当看到“恶意合规”一词,您都可以将其替换为“非法”——这才是对该行为的准确描述。
我的问题是:“既然Cookie同意横幅并非理想方案,为何欧盟政府官网不采用真正理想的实现方式?”
企业若参照该网站的合规方案设计自身网站,是否必然正确?反之,若尝试创新方案,是否会因违反GDPR而面临欧盟起诉?
我认为使用Cookie同意横幅并非恶意合规,而是风险最低的方案——毕竟这正是europa.eu网站遵循自身法规的方式。
> 我想问的是:“既然Cookie同意横幅并非理想解决方案,为何欧盟政府官网没有采用理想方案?”
Cookie横幅本身是完全有效的解决方案。GP最初主张的理想方案是通过不追踪用户来规避Cookie横幅——而非暗示“若需追踪用户,展示Cookie横幅是次优选择”。
> 企业若参照欧盟官网做法来制定网站合规方案,是否绝对正确?
不,因为法律正是如此规定。拒绝追踪必须与接受追踪同样简便。欧盟官网上这两项选择都以清晰方式呈现。
> 我的主张是:使用Cookie同意横幅并非恶意合规,而是风险最低的方案——毕竟这正是europa.eu遵守自身法规的方式。
不存在恶意合规。若操作方式与欧盟网站一致,则属合规;若不一致,则属违法。恶意合规指严格遵循法律条文以达到法律未预期的目的。例如隐藏拒绝按钮的行为即属违法。
> 在本讨论语境中,每当出现“恶意合规”一词时,皆可直接替换为“非法”——这才是对当前被诟病行为的准确表述。
我认为并非如此。下文多位用户明确表示,他们认为被询问本身就令人恼火,不应允许网站频繁弹出Cookie横幅。
开玩笑吧?!问题绝对出在法律上。法律明确规定网站必须这么做。
要是改成“浏览器必须”,80亿人都能免受cookie弹窗警告的持续骚扰。
“问题不在法律本身,而在于不遵守法律的人。”
这个…呃。
如果世上只有愿意合作且没有恶意的人,那我们根本不需要法律。
法律之所以存在,正是因为存在 *不愿遵守规则* 的人。所以如果法律无法约束这些不愿遵守规则的人,那么问题 *就在于法律本身*。
因为如果我们说问题出在人身上,那么这场讨论就如同黑洞般毫无意义。
百分之一千同意。我必须反复强调——人们需要尽可能频繁地看到真相:这完全是网站恶意规避合规所致。句号。
如今我已变得如此愤世嫉俗,阅读这类文章时第一反应就是揣摩广告商从中获利的方式。
我的两个推测?
1. 企图将GDPR合规责任从企业转移到浏览器身上。
2. 企图将所有Cookie同意机制整合到现有的三款(?)浏览器引擎中…以便将规避努力集中在这些地方。
问题恰恰出在法律本身,因为它草率制定时留下了漏洞,让网站得以诱导用户接受。
法律本应明确规定:用户只需通过浏览器设置进行单次切换即可。
政府若要干预互联网,至少应确保其干预措施具备合理性。而非制定让全欧洲民众每日耗费集体时间应对的法律——每个人每天要处理多个此类对话框,每年累计达数千次。
> 该条款存在漏洞,允许网站试图诱骗用户接受。
事实并非如此。此类行为在《通用数据保护条例》(GDPR)下属于非法,问题在于除极端严重案例外,多数国家执法机构长期缺乏有效监管。
有些机构只是效率低下,但另一些则完全失控。例如瑞典数据保护局(DPA)竟主张商业数据中介如Mrkoll有权发布和贩卖个人隐私(包括当前住址——致骚扰者![1]),并以“新闻报道”为幌子声称此类行为受法律保护[2]。
[1] [https://mrkoll.se/resultat?n=Otto&c=&min=16&max=120&sex=a&c_…](https://mrkoll.se/resultat?n=Otto&c=&min=16&max=120&sex=a&c_stat=all&company=)
[2] [https://noyb.eu/en/swedish-data-brokers-claim-journalists-le…](https://noyb.eu/en/swedish-data-brokers-claim-journalists-legal-protection-evade-eu-law)
[2] 未能充分揭示瑞典数据保护局(“IMY”)的失职行为,以下为更可靠的来源:
> IMY仅将投诉“转发”的惯常做法。
> 自最高行政法院裁决后,IMY处理投诉的方式是在其(未作出的)决定中附上“申诉表格”。但该机构仍拒绝调查投诉内容,仅将投诉转交非法处理个人数据的实体后立即结案。noyb当前对IMY提起诉讼的前置案例中亦存在此情形:当数据主体就电话录音提出投诉后,监管机构未经调查便直接转交被投诉方。
[3] [https://noyb.eu/en/noyb-takes-swedish-dpa-court-refusing-pro…](https://noyb.eu/en/noyb-takes-swedish-dpa-court-refusing-properly-deal-complaints)
> 法律本应明确规定只需浏览器设置中一个开关即可实现。
不!
天啊……法律规定若要追踪我(广告商请注意),每次都必须获得我的 *明确* 同意许可。你们就该遵守!
浏览器开关设置不等于明确同意。
或许并非单一的浏览器开关,但这确实应该在浏览器层面处理。浏览器已有用于选择加入的API,比如当前位置、使用摄像头和麦克风——为何不为追踪许可添加一个呢?
此前曾有“请勿追踪”功能,这是一种可在浏览器层面设置的标头:[https://en.wikipedia.org/wiki/Do_not_track](https://en.wikipedia.org/wiki/Do_not_track)
更早之前(在间谍软件尚未泛滥网络时代),曾有P3P协议:[https://en.wikipedia.org/wiki/P3P](https://en.wikipedia.org/wiki/P3P)
如今出现了全球隐私控制:[https://en.wikipedia.org/wiki/Global_Privacy_Control](https://en.wikipedia.org/wiki/Global_Privacy_Control)
问题不在于技术层面——根本症结在于间谍软件运营商本质上追求用户追踪,因此他们没有动力支持这些解决方案,除非被迫执行。由于监管严重缺位,运营商采取了务实策略:对现有横幅标识采取不遵守或伪遵守的态度。
理想状态下应采用明确的同意机制,但若浏览器接收到“禁止追踪”标头,甚至可跳过显示同意按钮的操作。
根本解决之道是禁止此类数据收集。当网站要求将用户数据共享给500多家合作方时,谁会愿意点击“同意”?
更应禁止企业将向垃圾邮件公司兜售用户数据的行为冠以“与合作伙伴共享”之名。所谓“合作伙伴”暗示着某种平等或至少互信的关系,而实际出售数据的企业根本不信任这些公司,甚至可能连对方名称都无从知晓。
若涉及数据出售,法律应强制要求企业如实表述。只要存在数据泄露给垃圾邮件商的微小可能性,表述就应如实反映:
“您是否同意我们将您的数据出售给任何有意购买数据的第三方?您是否同意您的数据未来可能被用于发送垃圾邮件或盗取身份?是/否”
“合作伙伴”这个词已经完全丧失了原意。如今任何商业关系都被冠以“合作伙伴”之名。大概是因为听起来比“付钱让我做事并骚扰你的公司”更悦耳吧。
我总把它解读为“犯罪共犯”。
我不确定所有合作关系都涉及金钱交易。
也可能网站付费让X公司进行追踪以获取分析数据。或是X公司自身的免费增值模式——添加其追踪器就能免费获取跨站信息。
确实,但明确标注金钱关系仍是进步。
>> 若数据被出售…
不。个人数据共享必须禁止,这是正确方向。
这未免太过激进了吧?
> 请将货物寄给我的客户。不行,地址属于个人数据不能透露。
某些数据共享始终必要。需要禁止的是不必要的共享,但很难100%界定何为必要。
99.9%的情况下界定合法用途很简单。对于不符合实际合法用途的数据共享,应承担法律后果。我看到企业对“合法利益”的同意权限提出荒谬主张。与广告“合作伙伴”共享数据绝非基于任何合法利益。若企业因这类违法行为遭受重罚,自然会停止胡扯。
我认为全面禁止略显严苛,但必须对可共享内容实施严格监管。
若我在异地急诊室就诊(即不同医疗体系),我希望主治医生共享个人数据。但我不希望主治医生将我的数据分享给同医疗体系内的随机医生——除非该医生是针对我病情进行会诊的专家。(仅凭医生身份不应获得我的隐私信息,必须遵循知情需求原则。)
上述情况显而易见。可能还存在其他不易察觉的情形,经审慎评估后应共享隐私信息。但广告绝不属于正当理由,数据分析也仅在满足以下条件时才可共享:数据必须匿名化处理,且违规者面临监禁处罚。
> 个人数据共享应被禁止。
《通用数据保护条例》(GDPR)已明确禁止滥用个人数据共享。
收集个人数据时,必须严格限定于声明用途,不得以任何其他理由出售或共享。
某些人对GDPR的无知程度令我震惊不已——这项关键隐私法规是现代数据使用与客户权益保护的基石。
[https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-re…](https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/data-sharing-a-code-of-practice/lawful-basis-for-sharing-personal-data/)
那么你需要开始直接为访问的90%以上网站付费。
人们不愿接受这种模式,因此迅速回归到“用数据换取服务”的模式。
互联网在没有电脑监视的情况下运行了相当长的时间,我认为它也能承受常规广告的存在。
> 人们不愿接受这种模式,因此迅速回归“用数据换取服务”的模式。
但自2018年起,这种做法在欧盟已属违法。
> 企业不应将向垃圾邮件公司出售用户数据的行为冠以“与合作伙伴共享”之名。
他们受《通用数据保护条例》约束。
若索取我的数据,必须公平告知用途。
你列举的案例中,细则里所谓“与合作伙伴共享”,实际就是广告“让你了解产品服务”之类的废话。
> 干脆禁止这类数据收集
定向广告通常能带来三倍于普通广告的收益。就个人而言,我宁愿页面广告减少三分之一,也允许追踪我的数据。我不介意数据被追踪,更希望看到键盘/男装(我购买的商品)的广告,而非尿布/女鞋(谁知道明天会怎样,但这些目前不在我的购物清单上)。
1. 定向广告盈利更高与页面广告数量无关。广告商永远会试图最大化广告数量和潜在利润,无论盈利能力如何。
2. 内容相关广告并非定向投放,不会向你展示尿布或女鞋广告——除非你正在阅读相关文章。
但你心知肚明,他们会维持广告数量不变,仅通过精准投放获利。广告量绝不会减少。
所有广告与监控行为皆是如此。
没人愿意被广告骚扰,但强势游说团体宣称取消广告将降低消费从而损害经济;而政客们绝不愿看到GDP下滑。
没人愿意被监视,但强势游说团体宣称追踪民众能提升安全;而政客们绝不愿被指责对犯罪和恐怖主义态度软弱。
迄今为止最具影响力的游说团体——甚至可说是唯一团体——正是那庞大的拒绝为内容付费的人群。他们坚决拒绝。
即便提供无广告无追踪的付费选项,转化率仍仅维持在0.5%-1%左右。
人们愿意为珍视的事物付费。那些“拒绝为内容付费”的人,很可能仍会去电影院、购买杂志、与朋友消费饮品等。
但我们应当简化在线内容支付流程:实施HTTP 402协议,将其集成到用户浏览器和网络账单中以降低支付阻力。谁愿意为阅读一篇文章或观看一段视频去注册账户并输入信用卡信息?
>人们愿意为有价值的内容付费
事实并非如此。当人们获得免费且匿名(无社会羞耻感)的获取途径时,实际付费率会骤降至1-5%区间。
这是数千名创作者的共同趋势——当提供简单支付渠道时,“广告支持(但被屏蔽)”用户转化为付费会员的比例通常仅占活跃受众的5%。
尽管评论区充斥着震耳欲聋的道德标榜(“我总会付费支持创作者!”),实际数据却惨不忍睹。
你只是简单否定我提出的“人们不付费是因为内容价值不足”的观点,这无助于推进讨论。生活中比YouTube视频重要的事物多的是,转化率低不足为奇。
我的核心观点是:当人们能毫无顾忌地欺骗时,价值主张就崩溃了。
若人们真不重视内容,就不会为此投入时间。我从未见过有人每天花数小时沉迷于毫无价值的事物…
微支付机制与预判内容价值的问题至今未解。
这是伪命题。广告投放完全可以不依赖用户追踪。
我认为这本质是定价与计费机制的问题,而非“人们只想要免费资源”的问题。
所有付费新闻机构都要求月度订阅。但我不喜欢从单一来源获取所有新闻,因此对订阅新闻毫无兴趣——费用会 *迅速* 累积,而且说实话,我每个月看的新闻文章 *没那么多*。
我认为需要建立某种按使用量计费的系统:参与媒体可设定每篇文章的价格,用户在阅读时同意为此付费。
呃。我尚未见到令人信服的论证,尤其考虑到内容质量本就因支撑广告收入和SEO而刻意降低。我们从未真正见证过微交易模式下的互联网潜力,很大程度上是因为谷歌刻意强制用户接受广告。
某种意义上,“没人愿意被广告骚扰”和“没人愿意付费消费”如出一辙。就像谁都希望杂货店免费供货,但这根本不现实——若真要白送商品,杂货店早就关门大吉了。广告本质相同:这是我们为网站提供服务而支付的成本。若没有广告支撑,多数网站根本无法存续。
某种程度上我认同,但存在根本差异。我购买食品是因为生存需要,这需要土地和劳动。我既无土地也无劳力,因此付费委托他人;但为了生存,必须有人完成这项工作。
而我对网站的需求远非生存必需,没有它们我照样能活。所以当稍有趣味的网站要求在浏览器放置cookie,或让我注册账户输入卡号时,我自然会跳出页面。
若以效用最大化为经济学的目标,这种行为实属良性——它引导我转向更有价值的活动,比如处理拖延已久的家务,而非无意识地刷屏。不过某些指标如GDP可能会受影响。
我怀疑多数人不会支持让心爱网站倒闭的政府政策——毕竟谁愿意为做家务牺牲娱乐?
>> 没人愿意被广告骚扰,但强势游说团体宣称禁广告将降低消费损害经济;而政客们更不愿看到GDP下滑。
我对此存疑。人们本就会花钱,广告只是决定花在什么地方。
没错,但这样你可能就会根据口味选择啤酒,而非指望喝完后能和一群北欧比基尼模特来场即兴排球赛。所以你明白既得利益者为何要维持现状。
我们的文化推崇通过消费来彰显社会地位(消费主义),而广告正是这种现象的主要推手。
你假设人们仍拥有同等财富,但对多数人而言金钱并非唾手可得——人们拼命赚钱,正是为了购买广告推销的商品。
若没有社会压力迫使人们购买非必需品,人们很可能减少工作时间,将精力投入其他领域。
众所周知…
广告仅在产品同质化时才会大量投放,否则优质产品自然会脱颖而出。
例如洗衣粉/洗衣液在电视上广告铺天盖地,但你当真相信某品牌能比其他品牌洗得更干净吗?
对此我存疑。广告显然助长物质主义和消费主义,甚至可能促使人们加倍工作以满足更多消费需求。
我同意,网站/话题/任何内容的语境本就足以推断广告投放方向。黑客空间页面?放些树莓派或数字万用表广告。摇滚音乐网站?展示黑胶唱片或吉他谱广告。诸如此类。
没错,原因很简单——有人愿意为此接受广告监控来获取内容!
> 或者直接禁止这类数据收集
已经禁止了。
除非我明确授权(虽然如你所说,我实在想不通谁会这么做,但俗话说“世事无常”)
猜猜怎么着?那些横幅广告依然存在,因为真正执行封禁相当困难。最多只能靠人手不足的团队处理堆积如山的积压任务
这项法律本应赋予我数据控制权。既然我掌控着自己的数据,为何不能用它来支付网站所有者的费用?
点击式“我同意”按钮几乎从来不是知情同意,而几乎总是便利驱动的强奸。
根据GDPR你可自由共享数据,但网站所有者不能要求用户以数据作为访问网站的支付方式。
这似乎并未赋予我太多数据自主权——事实上,它反而剥夺了我的自由。
没错,我们生活在社会中。你不能随心所欲行事。但你错了。过去你毫无选择,如今却有了选择权。这怎么能算剥夺自由?
顺便提一句,这提醒我们:若网站不以这种方式收集信息,便无需提供Cookie横幅。
任何使用Cookie横幅的网站,都是为了追踪用户而超出了网站正常运行的必要范围。
部分网站(主要是新闻媒体)完全有权合法拒绝访问——除非用户接受所有cookie或付费订阅。
若我的“数据”仅是无日志VPN地址,搭配隐私强化浏览器,运行于隔离VLAN的加密DNS虚拟机中,那我何不直接在沙盒标签页里笑看并点击接受cookie?(如此设置下Cookie仅存在于当前标签页,关闭后即被清除)
您是在说多数用户默认不具备这种隐私保护水平吗?为何如此?
>某些网站(主要是新闻媒体)可依法完全拒绝访问权限,除非用户接受所有Cookie或付费订阅。
GDPR第7条第4款:评估同意是否自由给予时,应重点考量:履行合同(含提供服务)是否以同意处理非必要个人数据为前提。
简言之:数据控制者不得因用户拒绝同意非严格必要的数据处理而拒绝提供服务
任何此类行为均违反GDPR
可能存在多种原因,例如移动端浏览场景。
年龄验证亦同理。
曾有过DNT标头方案,但过于简单化且从未实施[https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/…](https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/DNT)
人们需要理解的是,这种困扰并非源于技术方案缺失或法规强制要求。这是行业刻意为之,旨在最大化用户同意率。浏览器方案或许是技术与用户体验的最佳平衡点,但广告技术/数据采集行业根本不会采纳。既然他们掌控着大部分网络生态,自然不会采取行动。
该功能已在浏览器中实现,却遭网站无视。Chrome帮助文档说明:
*开启或关闭“请勿追踪”功能*
*当您使用计算机或安卓设备浏览网页时,可向网站发送请求,要求其不要收集或追踪您的浏览数据。该功能默认处于关闭状态。*
*但您的数据最终处理方式取决于网站对请求的响应。多数网站仍会收集并使用您的浏览数据以提升安全性、提供内容服务、投放广告及推荐内容,并生成统计报告。*
*包括谷歌在内的大多数网站及网络服务在收到“禁止追踪”请求时不会改变行为。Chrome不提供具体哪些网站尊重该请求及网站如何解读请求的详细信息。[1]*
浏览器端目前最优方案是启用退出时清除所有Cookie的模式。
[1] [https://support.google.com/chrome/answer/2790761](https://support.google.com/chrome/answer/2790761)
在Chrome中,可完全阻止任何内容保存至设备:
chrome://settings/content/siteData
此扩展程序支持按站点精细化拦截(尽管名称提及Cookie,实则全面阻断包括本地存储在内的所有数据):
[https://chromewebstore.google.com/detail/disable-cookies/lkm…](https://chromewebstore.google.com/detail/disable-cookies/lkmjmficaoifggpfapbffkggecbleang)
> 浏览器端最有效的方案是设置退出时清除所有Cookie的模式。
不。最有效的方案是广告拦截器和consent-o-matic这类脚本。
清除Cookie仅能清除Cookie,而追踪手段远不止于此。清除Cookie始终是障眼法,让广告技术潜艇得以宣称“我不在乎Cookie”。
Manifest v3 不是已经让基于Chrome的浏览器失效了吗?就连Brave在Manifest v2时代的时限也已到期。正因如此我转投Firefox阵营。
这不算真正的实现方案。这只是请求访问网站自愿配合。真正的实现方案应当具备防御性。
这正是当你产生一个疯狂想法时会做的事——认为浏览器应当是用户的客户端,且 *仅* 是用户的客户端。它不该执行用户不愿执行的任何操作。客户端功能的衡量标准,与用户使其符合自身意愿的能力密不可分。
仅靠客户端完全阻止追踪并不现实。每次与服务器交互都可能成为追踪契机。除非彻底停止与服务器交互,否则无法杜绝追踪。
正确。年龄验证和隐私授权本应由浏览器处理。问题在于浏览器机制过于完善(还记得[https://en.wikipedia.org/wiki/P3P](https://en.wikipedia.org/wiki/P3P)吗?), 因此巨头们反而有动力完全无视浏览器机制,当立法者走向愚蠢方向时(冒着罚款风险也是值得的代价,只要能扼杀基于浏览器/操作系统的控制措施——这些措施会削弱他们的追踪能力),他们就保持沉默,将责任推给网站运营商。
趣闻——若正确处理DNT请求,根本无需显示同意界面…因为你压根没做任何需要用户同意的事。
据我所知Medium的DNT实现会在嵌入式YouTube播放器上显示确认按钮。这才是正确处理DNT时仍可能需要的同意界面。
但那些Cookie弹窗统统不需要。那些都是恶意合规。
我认为这种说法有误。DNT状态缺失或默认同意,不足以推断用户已根据GDPR给予具体且知情的同意。
> 明确同意:根据GDPR及类似法规,同意必须具体、知情,且需用户采取明确的积极行动。用户持续浏览或不作为的行为不能被视为默认同意,而DNT机制恰恰要求这种默认。
若DNT缺失,可展示符合GDPR的同意界面(当然仍需确保实际合规,例如将“全部拒绝”按钮置于显眼位置)
此时浏览器应转为公共所有。私有化毫无益处。它本质是公共事业,现在正是接受这个事实的时机。
在多数西方国家,公共事业早已不再属于公共领域。
请详细阐述你关于特朗普政府应掌控全民浏览行为的理论
> *你的浏览器将成为个人隐私守护者,法律将强制其代表你行事。基于你的一次性选择,它将负责允许或拒绝你访问的每个网站的cookie。若网站试图使用目的不明或未声明的cookie?*
浏览器本应由终端用户自行安装。将政府插入其中毫无意义。
这听起来像是要求网站添加当前不存在的额外元数据,说明每个Cookie的功能。这仍涉及强制网站所有者执行操作。
.
况且隐私模式和[https://addons.mozilla.org/en-US/firefox/addon/multi-account…](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/)功能早已存在,无需政府干预。
> *让政府介入此事毫无意义。*
依据何在?监管网站代码与浏览器代码有何区别?网站运作方式与浏览器运作方式有何不同?
因为浏览器并非总是商业产品,而网站往往是。
我不该被迫遵守荒谬的法律才能分发软件。
这种区分毫无意义。同样可以反驳说:网站未必都是商业产品,而浏览器往往由营利性公司开发。
你似乎是彻头彻尾的反监管主义者。
网站只要不从事商业活动就是非商业性质的。
浏览器却无法用如此简单的标准衡量,它可能被用于任何用途。
因此,应当监管那些主动选择商业化的网站,而非试图监管所有浏览器。
(顺带一提,你大概不知道世上存在多少种浏览器。)
> *网站只要不从事商业活动就是非商业性质的。*
那么Chrome算非商业?Edge算非商业?
这逻辑说不通。这些浏览器正是为创造商业利益而存在,为开发它们的企业带来商业优势。
请勿在旁注中对我的知识水平妄加揣测。建议您查阅HN社区规范。
在服务器上收集个人数据的网站属于数据控制者。正因如此,它们必须征得用户同意。浏览器若收集个人数据也需征得同意,但这与网站收集数据的行为无关。商业性质与否无关紧要,关键在于收集和处理个人数据的行为本身。此外,浏览器运行于用户设备上。除非向服务器发送数据,否则浏览器内的任何数据处理都在用户设备上完成。
这与当前讨论无关。
本讨论旨在强制要求浏览器自动传达用户同意状态,避免用户被视觉化的同意请求所困扰。
反驳观点认为:请求同意是网站的责任,因为数据收集与控制方是网站而非浏览器。浏览器可以随意发送DNT或其他标头,但网站才应尊重并遵守这些标头。“针对浏览器”的做法毫无意义。
> *“针对浏览器”毫无意义。*
若不确保主流商业浏览器具备发送必要标头的功能——即便背后企业不愿配合——网站自然无从谈起尊重。
因此这绝非徒劳,恰恰是解决问题的关键环节。
难道Lagrange也要屈从于这些怪诞的法规?w3m?lynx?
你根本不知道世上存在多少浏览器。
你这所谓的“证明”方式真够奇葩…
人们在HN上把“反监管”当污名乱扔。
但最流行浏览器的提供商本身就是广告公司。这难道不是利益冲突?
那岂不是说明大多数用户其实根本不在乎?
说实话:多数用户根本不知道自己不知道什么。即便是懂技术的人,也完全不了解网络追踪的规模有多庞大。而科技巨头们正乐见其成。
所谓“替代”浏览器的提供商同样完全依赖同一家广告公司资助,自合作开始便对这类解决方案毫无兴趣。它反而竭力让cookie、本地存储或JavaScript的管控变得更复杂,并将关注这些问题的用户妖魔化。
我不同意这应属于浏览器的职责范围。
Cookie横幅之所以得名,是因为它最常与追踪Cookie的同意选项关联,但任何超出技术必要性的第三方介入都需此类同意机制。
浏览器根本无法区分网站上的第三方是否属于技术必需。因此必须由用户告知——这同样成为网站提供商的问题。但这次更糟,因为责任在网站运营商和第三方之间混淆了。
法律强制要求网站尊重DNT标头。咔嚓,搞定。问题简单,解决方式也该简单。
但DNT并非万能解药。它不仅已被弃用,更缺乏法律对数据处理实际要求的定制化能力。
无法通过DNT实现“允许网站进行自有追踪和遥测,同意将数据共享给Sendgrid用于邮件订阅,但拒绝第三方追踪器”的精准控制。
实际案例:某些新闻网站若用户选择“全部拒绝”,其视频将无法播放——因为视频托管方会进行收视率分析。我对此并无异议,但绝不接受该新闻网站试图让我追踪的其他750家广告商。
当然,“全部拒绝”理应成为选项,“全盘接受或全盘拒绝”并非真正的控制权。
长期以来我们以[https://en.wikipedia.org/wiki/P3P](https://en.wikipedia.org/wiki/P3P)作为基础框架,但自Edge转向Chromium内核那天起,该方案便正式终结。
> 你们可以自行进行站内追踪和数据收集,我也接受向Sendgrid共享数据用于订阅邮件,但绝不允许第三方追踪器
恕我直言,真有用户会想要这种选择吗?这更像是营销团队编造的假设,为的是逃避承认大批用户痛恨他们 *所有* 追踪手段的事实。
我拒绝数据被转售给数据中介或用于广告投放。若数据仅用于优化我使用的服务且仅限此目的,只要我认可/信任该服务,我尚可接受。问题在于多数网站真正意图是将用户数据售予第三方和/或用于广告,这往往让人觉得拒绝所有授权反而更安全。
在我第一份工作中,我为一家保险公司接听电话,而代理人绝对不喜欢发现核保员处理的所有未处理异常情况都消失得无影无踪。
微软几十年前就解决了这个问题。
你只需下载一个专用工具,其唯一功能就是 *收集本地错误报告并发送给微软*。后来这个工具演变为控制面板里的一个按钮,它会提交所有本地错误并告知你这些错误是否有已开发的解决方案。*
*这种错误遥测机制一直沿用到XP后期,运行得相当顺畅。*
*那些坚称需要这种遥测数据的人纯属胡扯。事实证明,企业并未因此推出更完善、更少漏洞的软件,也未真正利用这些数据进行实质改进,反而明显将其用于精准投放黑暗模式等销售漏斗策略。
既然Unity、虚幻引擎和显卡驱动都能默认拒绝错误报告发送请求,其他公司更无推诿余地。
即便当下,仍有大量企业采用“请将错误日志和命令输出上传至论坛”的方案处理故障报告——只要企业真心修复漏洞,这种方式完全可行。
解决之道绝非将软件变成间谍程序。别再摆架子了——你无权要求我替你做软件质量检测,*那是你的职责*。即便拥有所有遥测数据,企业也只会修复最常见最明显的漏洞,因此完美的遥测系统根本毫无价值。那些漏洞迟早会暴露。
八十年代的开发者根本不需要遥测技术就能获取错误报告、修复问题并发布补丁。各位,好好学习下你们行业的历史吧。
把十万个错误扔进冲刺待办事项清单,真的能帮助任何人开发出更好的软件吗?不能。与此同时,这却让所有客户和用户暴露在你们营销销售部门的掠夺性胡扯之下,还让最差劲的产品经理得以优化敌意和榨取机制。
没错,用户确实普遍有此需求。但很多人没意识到:“每次访问都记住我选暗黑模式”或“明天重开浏览器时保持登录状态”这类功能,在欧盟法律下属于第一方追踪行为,必须征得用户同意。
在德国这已被视为有效拒绝此类行为的信号。若我没记错,LinkedIn因不尊重DNT标头而惹上麻烦并败诉。
在我看来这是最优方案,且阻力最小
企业依法必须遵守GPC标头要求。
您完全正确。
从技术设计上讲,网页浏览器无法识别网站任何组件的用途——无论是确保网站正常运行,还是用于标记和追踪终端用户。唯有网站所有者能决定这些用途,也只有网站所有者有权判定(或恶意隐藏)哪些技术被用于何种追踪或技术目的。
(1) Cookie法规适用于:Cookie、GIF像素、JS指纹识别,以及任何可被技术利用来追踪个人的手段
没错,法律要求必须在Cookie本身标注“第三方”与“严格必要”标签,若标注不准确可被质疑(如同现行GDPR理论上可强制执行)。浏览器即可根据用户意愿处理这些标签。甚至可在地址栏设置状态图标(类似HTTP/HTTPS图标),允许用户按站点启用或禁用追踪功能(若不希望采用全局策略)。
小型网站运营商仍需具备足够专业知识,确保其网站提供的所有Cookie均正确标记;这最终取决于广告网络/分析公司是否完整记录其添加Cookie的行为。
> 小型网站运营商仍需具备足够的专业知识,确保其网站设置的任何Cookie都得到恰当标记
尽管实际执行力度近乎为零,但根据欧盟现行《Cookie法》(指《电子隐私指令》而非《通用数据保护条例》),他们本就必须履行此义务。若设置Cookie,就必须向用户说明其用途。
可笑的是,许多网站根本不清楚其追踪器设置的cookie用途,我曾发现不少网站在描述cookie实际功能时使用“似乎”、“显然”等模棱两可的措辞。
要是浏览器能给予P3P[1]应有的重视就好了。该协议虽非完美无缺,且带着2000年代初XML狂热的鲜明印记,但若浏览器能围绕其更新版本设计出合理的用户界面,本可彻底杜绝Cookie横幅的出现。
[1] [https://www.w3.org/TR/P3P11](https://www.w3.org/TR/P3P11)
我总结出一个几乎百试不爽的简易解决方案:当Cookie同意对话框干扰网站使用时,直接关闭标签页另寻他处。
我发现Cookie同意提示与低价值内容存在高度关联,这种策略实际上帮我节省了大量本该浪费在无用内容上的时间。
你们怎么订机票?还有其他重要事务?我医生的网站也有Cookie横幅。难道我该直接不去看病?
所以我说“几乎每次”。
但以航班为例,我最初是在Google航班(无cookie横幅)搜索起始航班,后续预订的两个网站同样没有cookie横幅。
Google(包括Google航班)确实有cookie横幅。只是你可能在某个时间点已接受/拒绝过提示。
这种情况确实可能。我承认偶尔会点击确认,但多数时候根本懒得理会。
编辑:我刚在隐私/无痕标签页重新尝试了航班预订流程(从google.com/flights开始),全程未遇到任何Cookie横幅。
任何带购物车或用户偏好的网站都应有Cookie披露声明
并非所有Cookie横幅都妨碍用户操作,只有那些强迫你点击“全部接受”的才算。
此说法有误,Cookie披露仅针对非必要Cookie才需强制执行。
你见过哪个预订网站没有Cookie横幅?我刚抽查了多家欧美航空公司(瑞安航空、法航、美联航、阿拉斯加航空),全都设有Cookie横幅。
我从谷歌航班开始,又访问了它跳转的两个网站。
重申一次,我对这种做法并不执着。若需点击Cookie横幅才能订票,我也接受。
我只是将Cookie横幅视为强烈的负面信号。
确实,这种态度适用于纯内容消费场景。但涉及实质事务?祝你好运
加州现已立法要求浏览器提供退出设置(2027年生效)[1]。目前加州、康涅狄格州和科罗拉多州要求网站必须尊重用户通过浏览器设置或扩展程序作出的退出选择[2],新泽西州亦是如此[3]。
[1] [https://legiscan.com/CA/text/AB566/2025](https://legiscan.com/CA/text/AB566/2025)。
[2] [https://portal.ct.gov/ag/press-releases/2025-press-releases/…](https://portal.ct.gov/ag/press-releases/2025-press-releases/connecticut-california-and-colorado-announce-joint-investigative-privacy-sweep)。
[3] [https://www.njconsumeraffairs.gov/ocp/Pages/NJ-Data-Privacy-…](https://www.njconsumeraffairs.gov/ocp/Pages/NJ-Data-Privacy-Law-FAQ.aspx)。
我认为全球隐私控制(GPC)[1]已开始解决此问题,并已在火狐浏览器中取代“禁止追踪”功能[2]。剩下的问题是立法者能否及时跟进,将其纳入法律强制要求…
[1] [https://globalprivacycontrol.org/](https://globalprivacycontrol.org/)
[2] [https://support.mozilla.org/en-US/kb/global-privacy-control](https://support.mozilla.org/en-US/kb/global-privacy-control)
“不追踪”功能在欧盟已具备法律效力。我不明白改用略微改名的DNT信号能解决什么问题,除非是应对美国某些州实施的怪异隐私法——该法规定“若浏览器默认发送该信号则不具法律效力,因此应予以忽略”(若GPC获得实质关注,该法很可能被修订以削弱其效力,因为现行条款显然是为追踪者设计的优势条款)。
赞同此观点,Firefox长期推动此事,但据我理解核心在于法律层面
企业当然可以——我知道这想法很荒谬——直接停止追踪用户。那样就无需那些愚蠢的同意框了。
请让欧盟率先垂范吧。欧盟委员会官网至今还挂着Cookie横幅([https://commission.europa.eu/index_fr](https://commission.europa.eu/index_fr))
因此,欧盟委员会要么在其网站上植入了追踪器,应当立即停止;要么承认在法律框架下几乎不可能构建完全不使用追踪技术的网站,此时他们就该重新审视法律本身。
他们显然面临两难抉择。
> 或者他们承认:几乎不可能在不使用任何形式追踪技术的情况下构建网站
为何“构建网站”时不使用追踪技术会几乎不可能?
欧盟为何不这样做?
我开发过一个生产级Web应用,其中包含追踪功能(虽然非必要,几分钟就能从应用中移除且可能无人察觉),却无需弹出“Cookie”横幅。如何实现?我只追踪匿名交互数据,不收集任何个人数据。
企业完全可以——每人给我1万美元。这样我就不用工作了。
但企业向来只做最符合自身利益的事。我不明白为何有人期待它们在追踪问题上会有所不同。
可惜它们不会这么做。这种情况永远不会发生。它们最终会转向浏览器指纹识别替代Cookie,但追踪行为永远不会停止…
另一个怪念头:把这种追踪定为非法。谁会愿意被追踪呢?
> 谁会愿意被追踪呢?
为了避免支付真金白银,哪怕是最微小的金额。
好在GDPR不允许这种选择。付费或同意的模式无法实现知情且自由的同意。
立法的困境在于:追踪行为的界定取决于观察者视角。网站所有者为规避风险,极易选择谨慎行事——宁可多设同意框以防万一。
但愿他们能谨慎到不设置任何cookie。
对吧?!我有个音乐工作室的网站。我从不担心这些破事,因为它只是个静态网站,没有追踪或分析功能。就是这么简单。只要有人搜索我就能找到它,这就够了。做好本职工作,依靠自然搜索、口碑和声誉就能带来生意。你不需要对所有内容进行SEO优化,更不需要出卖访客。
复杂网站的实现难度其实相差无几。你照样得列出所有追踪项目,添加禁用功能,并确保网站在关闭追踪时正常运行。只需统一关闭所有追踪,而非弹出提示框询问用户。
我理解企业为何不这么做——追踪数据能带来收益,而他们喜欢钱。但我不明白普通人为何要为他们开脱。
至少在HN上,请注意部分评论者可能来自广告技术公司或运营广告支持网站的从业者。换言之,他们并非普通用户。
有证据表明这项法律实现了其设计目标吗?若没有,它为何依然存在?法律为何不必像程序要求那样持续证明自身合理性?
我本想提出类似问题,但你阐述得更精辟。
我确信这些法律仅让我的生活和互联网体验略微恶化,却未带来可衡量的积极影响。
问题不在法律本身,而在企业的合规方式。
至今仍很少有公司提供简单的“全部拒绝”按钮。
他们还故意无视浏览器中的“请勿追踪”功能。
所以若说谁让互联网变糟了,正是这些企业,而他们成功地将责任推卸给了法律。
即便“全部拒绝”按钮也比法规出台前多了一层烦扰。此前根本不存在这类弹窗。
我愿意承认某些市场参与者确实减少了个人数据贩卖。但即便生活改善再微小,我仍不知该如何衡量。
所以成千上万的网站追踪你的浏览记录,你觉得没问题?
法律出台前,多数人甚至不知道自己被追踪的程度。
你误解了关键点——这项法律并非改善生活,而是防止生活恶化。
看看当企业掌握你全部信息时会发生什么
[https://pluralistic.net/2024/12/17/loose-flapping-ends/#luig…](https://pluralistic.net/2024/12/17/loose-flapping-ends/#luigi-has-a-point)
超乎你最疯狂噩梦的剥削。
这些法律正是要保护你免受此类侵害
在这些法律出台前,我已被数千个网站追踪,但生活并未受到可量化的负面影响。我同样怀疑在美国境内,实际减少的追踪行为究竟有多少。
我百分之百确定的是:网络用户体验已然恶化,而这种恶化尚未得到充分重视。
你所说的“实现”指什么?
拒绝cookie后网站就会停止追踪你吗?
有人遵守,有人不遵守。
目标是否依然有效?
是的。
若问《通用数据保护条例》是否有效,答案是肯定的。
完全无视该条例的要么是可疑企业,要么是毫无头绪的机构。那些敷衍了事的合规者如今正日益被视为不可靠(实至名归),若想重获信誉就必须提升合规水平。
不保护用户数据的时代已经终结。
楼主要求提供证据。
你可以要求企业提供其持有的全部个人数据副本。若没有GDPR及类似法规,这根本不可能实现。总体而言,数据控制者必须遵守法律框架,不能为所欲为。
我不确定楼主具体指什么。他们应该更明确地说明需要什么证据。
证据就在你身边。
比如我的保险公司再也不能背着我把我的信息卖给金融机构了。在英国和欧盟,这类勾当因GDPR而绝迹。
我认为谷歌如此重视Chrome浏览器,正是出于这个原因。他们不希望用户通过浏览器获得更多对Cookie和追踪行为的控制权。
若用户真正掌控浏览器,首要行动便是屏蔽谷歌广告。谷歌早有预判——这将严重威胁其核心收入来源,因此推出Chrome以影响乃至最终主导浏览器市场。
当用户掌控权威胁到谷歌利润时,他们便会阻挠。这正是谷歌长期封杀广告拦截工具的原因之一。
启用uBlock Origin后,勾选过滤器列表中的“烦人广告”选项即可屏蔽此类弹窗。该功能默认禁用是因其可能导致网站故障,但我从未遇到过问题。好久没见到cookie提示横幅了!
如今Cookie成了贴满文字的贴纸,计算机则化身为汽车。当你驶近或停靠商家时,他们便有权随时在你身上随意张贴标识。
于是我们立法规定:“嘿,大多数情况下你们至少得征得同意才能贴标识。”
大家都明白为何没人造出防贴纸汽车。只要全球最大的广告公司同时也是互联网的实际主宰者,这些问题就不会消失。
浏览器无法分辨哪些代码或Cookie用于追踪,哪些不是。若网站不受监管,它们自然没有动力向浏览器说明“这个是追踪工具,那个则不是”。
目前最有效的方案是内容拦截器采用的启发式算法。但启发式方法无法满足法律合规要求,因为无法保证其在所有场景下都有效。
由此可见,此类法律不可能只针对浏览器而不针对网站。
这难道不是我们力推语义网的优势吗?标准化标签不正是为这类场景设计的?这不过是网络开发混乱的又一例证——试图将标记语言强行塑造成完整的编程语言。
楼主构想不错,但技术细节匮乏,而细节往往是问题的症结所在。
尽管我欣赏语义网理念,但你完全可以在语义结构完美的HTML中,通过图片和链接嵌入追踪参数 🙂
我认为需要强有力的隐私法规消除追踪动机,或者两者兼备——技术层面根本无从规避。
这些追踪参数有统一标准吗?
常见的可疑参数如utm_*之类,但网站完全可以自定义任何参数。
实际上,追踪根本不需要参数——只需获取请求者的IP地址,就能进行地理位置定位。
这为什么会登上首页?作者显然未做调研,否则就会发现DNT标头已尝试解决此问题[0]。此外根本不存在“cookie法”,网站追踪用户只需获得同意(简化表述)。
[0] [https://en.wikipedia.org/wiki/Do_Not_Track](https://en.wikipedia.org/wiki/Do_Not_Track)
欧盟确实存在Cookie法规,但并非如多数人误认的GDPR,而是《电子隐私指令》[1]的延伸条款:
> ‘3. 成员国应确保,在用户终端设备中存储信息或访问已存储信息的行为,仅在满足下列条件时方可允许:相关用户已根据《95/46/EC指令》获得清晰全面的信息(包括处理目的说明),并在此基础上给予明确同意。但为通过电子通信网络传输通信而进行的技术存储或访问,或为提供订户或用户明确要求的信息社会服务所必需的技术存储或访问,不受此限制。';
当然,这同样适用于Flash Cookie、本地存储及其他浏览器数据存储,而不仅限于Cookie。不过,对于不侵犯个人隐私的数据存储,法律要求要宽松得多。
[1] [https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CEL…](https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32009L0136)
该法律规定:当数据存储或访问并非网站提供服务所必需时,必须获得用户同意。
法律未提及横幅广告或Cookie,也未要求所有网站都必须遵守。
最让我反感的是采用“付费或同意”模式的网站:“若不想被比高中全校师生总数还多的公司追踪,就必须付费![付费][接受追踪]”
*复制网址→关闭窗口→开启隐私浏览→粘贴网址*
顺便问下,有人也觉得链接页面有LLM生成文风的感觉吗?还是只有我这么觉得?
关键在于,这些提供付费选项的网站只允许你付费屏蔽广告(有些甚至只是部分屏蔽!)。它们根本无法阻止追踪行为。
有几个网站我愿意付费,但最多也只能换来“附带侵入性追踪的内容”。有时没有广告,有时是“更少的广告”。但无论哪种情况都不可行,因为它们仍在收集并共享我的相同数据。
> 我最讨厌的是采用“付费或接受”模式的网站
这根本不遵守GDPR规定。
> 顺便问下,有人也觉得链接页面有大型语言模型写作风格吗?还是只有我这么觉得?
那些多项三条式列表、首句加粗的项目、逻辑衔接不严密的句式、大量比喻/隐喻、破折号的滥用,以及整体独特的行文风格,确实都是线索。
> 若网站试图使用目的不明或未声明用途的Cookie?
浏览器凭什么判断Cookie的用途?
欧盟这十年对网络的主要贡献就是这些破Cookie弹窗。
问题在于监管工具本身而非监管工具用途。第三方Cookie在联合认证等场景中具有正当使用理由,其他合理用途亦然。只需禁止糟糕的数据收集行为即可。
刀具既可切菜亦可伤人。不必禁止销售,禁止滥用才是正道。
技术性Cookie(如认证Cookie)无需用户同意。
确实无需同意,但Chrome以维护正义为幌子逐步淘汰第三方Cookie,实则意在打压竞争对手,导致所有正当使用者的权益尽遭践踏。
这种观点竟需反复强调,着实令人惊讶。
总体而言,只有当你追踪用户活动或向“合作伙伴”出售用户活动数据时,才需要允许用户拒绝Cookie。
部分原因在于我们把讨论简化为“Cookie横幅”,而实际涉及的远不止Cookie追踪或类似Cookie的追踪(本地存储)。这忽略了所有其他追踪方式。
另一层原因是,那些希望法律消失的人正利用这种误解谋取利益。
确实如此。GDPR与Cookie毫无关系。该法规关注的是可识别的用户档案和信息。一张写有名字的纸张受GDPR约束;而隐藏已显示提示的Cookie则不受约束。
再次强调…
法律并未强制要求设置“Cookie横幅”。您完全可以自由使用任何Cookie来运营网站。然而,若你利用这些Cookie追踪我(广告商请注意),则必须获得我明确、知情且主动选择的同意。这本就是应尽之责!
某些人对GDPR的无知程度令我震惊不已——这项至关重要的隐私法规,实为现代数据使用与客户尊重的基石。
对于使用合理浏览器(即支持安装扩展程序)的用户,你已经能生活在这个世界里。例如:[https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat…](https://addons.mozilla.org/en-US/firefox/addon/consent-o-matic/)
我认为这里遗漏了一个关键细节:大多数浏览器同样会追踪用户行为并利用数据。我无法想象科技巨头们会为提供最佳网络体验而互相诉讼。这个构想在理论上听起来不错,但实践中恐怕收效甚微。我们真正需要的是真正理解商业模式的监管机制,精准打击并惩处滥用行为。
例如,现在任何公司都能每天十次索要你的同意直到你放弃,而只要你点击一次“同意”,你的数据便开启永无止境的旅程。
几个月前,我四年前买的三星电视突然屏蔽所有功能,屏幕弹出新协议仅提供两个选项:阅读和同意。不接受协议就无法使用电视。
> 大多数浏览器同样追踪用户行为并利用数据
请说明哪些浏览器违反GDPR规定,在未获明确许可的情况下使用我的数据?
谷歌浏览器?他们在网页端就违反GDPR,难道不觉得他们会在本地软件里也这么干吗?
火狐也好不到哪去,他们的遥测功能需要主动选择退出,而且我认为即使你选择了退出,某些遥测数据仍会被发送出去——就为了让他们知道你选择了退出。
只要还有蠢货认为网站能“轻易”放弃追踪(并因此破产——毕竟没有定向投放,网络广告几乎毫无价值),我们就得继续点击那些cookie按钮。
> 因为没有定向投放,网络广告几乎毫无价值
垃圾消失是好事。只要不是广告支持的,我宁愿接受十分之一(或百分之一,甚至千分之一)规模的互联网。
你知道HN本质上也是间接靠广告支撑的吧?
既然聊到Cookie,谁能解释下“合法利益”的定义?既然它属于同意的例外条款,那我为何还能拒绝“合法利益”?这简直像是拒绝所有非必要Cookie的又一道障碍。
大多数公司(我认为不合规)在Cookie对话框中解释的“合法利益”,本质上只是他们认为无需遵守顶级“全部拒绝”选项的二次同意尝试——毕竟他们最终是被处罚才被迫添加这个选项的。
法律意义上的合法利益应适用于特定场景:例如管理欠款人名单,或为反机器人/付费墙措施保留足够长时间的IP访问数据。
>我们都做着同样的事。叹息着,眼神空洞,像疲惫的士兵般凭肌肉记忆点击“全部接受”。
不。当我看到没有“全部拒绝”或至少“拒绝非必要”选项的Cookie横幅时,我会立即离开网站。点开“拒绝…”选项后,往往要逐个取消勾选上千项广告技术垃圾。这些难道不违反法规吗?网站所有者若选择将用户数据卖给广告技术公司,实在令人质疑其道德底线——法律似乎正发挥着应有的作用。问题根源在于广告技术公司,它们怂恿网站收集本不该收集的数据。若真要追究,违规网站理应被罚款至破产,广告技术更该被彻底取缔。
若能投票,我定要给这篇文章投反对票。
说得对。
像作者这样的人正是问题的一部分。盲目点击同意等于纵容网站所有者胁迫用户同意。这种手段奏效了,他们自然变本加厉。
若非要盲目点击,就该选择“全部拒绝”。
正如其他人所言,我们已尝试过“请勿追踪”机制。除非法律强制要求网站遵守该信号,否则该信号毫无价值。
但这里有个耐人寻味的细节,或许能揭示更深层的复杂性:
> 仅限必要数据:“仅允许网站运行必需的数据(例如保持登录状态、记住购物车内容)”
我绝不会将上述任一示例称为“网站运行必需”。它们纯属便利功能而非核心需求。因此关于分类定义可能需要深入探讨。
若你的网站是商店,那么购物车功能岂非相当必要?
实现这个功能根本不需要Cookie。
关键在于必须追踪用户行为,具体技术手段无关紧要。
核心争议在于“购物车cookie”是否属于“必要”范畴。我认为其本质不具备必要性——购物车内容完全可通过服务器端存储实现,因此使用cookie存储绝非必要。
将它们归入Cookie横幅中的“必要”类别属于分类错误。我认为这至关重要,因为若放任网站将非必要Cookie伪装成必要Cookie,那些广受诟病的恶意Cookie便会借“必要”之名规避用户偏好设置。网站似乎总在伺机蒙蔽用户,因此这种分类问题绝非无足轻重。
> 购物车内容完全可在服务器端保存,这意味着使用Cookie实现该功能绝非必要。
理性的服务器端存储方案仍需依赖客户端Cookie。
纯服务器端实现虽 *可能* 存在技术漏洞,但若因此否定Cookie的必要性,按此逻辑则根本不存在所谓“必要Cookie”。
这种定义本身就是错误的。
“Cookie”只是追踪行为的俗称。法律层面真正重要的是追踪对象本身,而非实现方式。购物车是否使用Cookie完全无关紧要。
但当前讨论的重点是Cookie许可横幅,其针对的是Cookie本身而非泛指追踪行为。
横幅的本质就是追踪。他们不能偷偷改用本地存储就宣称遵守规则。
除非你指的是GDPR之前的《电子隐私指令》,否则这种说法完全错误。
GDPR中仅出现过一次“cookie”一词,且紧随“例如”之后——这只是列举用户追踪方式的非穷举示例。
购物车功能需要将访客与数据库中的购物车关联。购物车本身无需Cookie,这种识别机制也不属于追踪范畴。
若存在用于数据库定位购物车的识别Cookie,则购物车功能本身就需要Cookie支持。
该功能界面必须在浏览器层面实现。
若用户在浏览器设置中选择“允许性能遥测,拒绝指纹识别、广告及追踪”或“拒绝所有非必要功能”,则不应再出现Cookie横幅——浏览器应将用户偏好传达给网站,网站亦有义务尊重用户选择。
仅当浏览器不支持此机制时,才应保留烦人的Cookie横幅。这种恶劣行为竟成为互联网默认标准,实属荒谬。
整场闹剧堪称激励机制的警示录。
法律若仅笼统规定预期结果,却指望企业恪守善意执行,终将落空——尤其当企业存在将执行过程复杂化的直接经济动机时。
令人遗憾的是,公众视角中,立法者引导积极结果的努力反而成了痛苦的根源。
[https://github.com/OhMyGuus/I-Still-Dont-Care-About-Cookies](https://github.com/OhMyGuus/I-Still-Dont-Care-About-Cookies)
> 弹窗、滑入式广告、全屏覆盖层逼迫你“全部接受”、“管理偏好”,或是让你在企业律师设计的开关迷宫中摸索。
更糟的是这些暗黑设计与缺乏一致性。某些网站甚至拒绝让你拒绝数据收集,除非付费使用其服务(比如新闻网站)!
正如其他人的呼应,我们只需将这种大规模数据收集定为非法。
> 正如其他人的呼应,我们只需将这种大规模数据收集定为非法。
根据《通用数据保护条例》(GDPR),这 *本就是* 非法的。
第5条第1款要求个人数据必须:(b) 为特定、明确且合法的目的收集… (c) 充分、相关且限于必要范围…
通俗来说,你不能随意捕捞个人数据。
嗨,我是DataGrail(1)同意管理产品(Cookie横幅)的首席开发者。多年参与该领域并接触大量客户,对此颇有心得。
乐意解答疑问并澄清误解,特别是关于“赋予DNT法律效力”的误解:我们已拥有全球隐私控制(GPC),该机制在美国(重要地区)已被强制要求并正在执行。
可以肯定地说,我们竭力避免了大量恶意用户界面问题,并尊重GPC和DNT信号(无横幅弹窗)。我们努力在两者间寻求平衡:既要满足公司合规需求(坦白说,这里许多关于“法律术语”的投诉不仅涉及欺骗性界面设计,更是基于法律顾问建议的操作),又要保障业务运转(营销需要数据分析/广告追踪)。同时我们也关注用户体验——尽管承认这是款侵入性工具,但它确属必要。
(1) 我并非公司发言人,所有经历与观点均属个人立场。
许多同意横幅的设计都设有明确的“全部接受”选项,同时提供一个故意设计的晦涩替代方案——用户必须手动取消勾选所有不愿共享数据的“合作伙伴”。这种设计显然更有利可图,因为多数人宁可点击“全部接受”也不愿浪费时间逐项勾选。
本帖许多网友推测这种做法可能违法,但此类设计在网络上却极为普遍。为何DataGrail不采用这种方案?是广告商/管理层提出要求而贵团队予以拒绝了吗?
根据我对(欧盟)法律的解读,突出显示“全部接受”选项而未给予“仅必要数据”同等显眼度显然不可接受。美国情况截然不同,但也有亮点:多个州已强制要求通用隐私控制(GPC)且正在推广。这消除了屏幕上显示同意横幅的必要性,非常棒。
我们的首要任务是确保客户合规,因此力求“引导他们走向成功之路”。这意味着GPC和DNT应默认“正确执行”,杜绝欺骗性设计(暗黑模式)等手段。
这根本无济于事。
GDPR早已规定“拒绝非必要功能”按钮必须与“全部接受”按钮同等大小和醒目度,但全球网站对此漠不关心(除谷歌、苹果、亚马逊等巨头外),各国数据保护机构也完全不理会。
我们曾尝试推行“禁止追踪”标头,但因损害商业利益而无人遵守。原帖提案也将重蹈覆辙。
网站强行弹出横幅,只因这些贪婪的蠢货宁可榨取用户数据牟利,也不愿引导用户为其服务付费。
既然已有少数(或许几十家)公司将弹窗功能作为服务提供(如CookieYes),那么开发一个能自动执行“全部拒绝”的浏览器插件或许很有用。该插件能识别服务商,并在复杂设置中自动禁用所有弹窗。
然后又会有几家公司提供服务,让广告商绕过插件。接着可能出现另一款插件来封堵这种服务!
问题在于你说的可能没错。现代网络正是由这些中介构筑的——它们插入用户体验链条,从消费者与生产者之间的核心价值流中截取收益。中间层永远有扩张空间。
uBlock Origin的Cookie横幅列表功能正是如此运作。
啊,对,我猜直接屏蔽这些Cookie服务的域名就能解决问题。
这未必足够,有时需要模拟“全部拒绝”点击的代码,或调整body和html元素的CSS类列表。
否则可能导致页面无法滚动——例如当弹窗存在时有CSS规则阻止滚动,弹窗关闭后才恢复滚动,而这种处理恰恰通过JS实现。
uBO能解决这个问题吗?
偶尔会出现故障,但基本能解决。
编辑:文档参考:
[https://github.com/gorhill/uBlock/wiki/Static-filter-syntax#…](https://github.com/gorhill/uBlock/wiki/Static-filter-syntax#scriptlet-injection)
[https://github.com/gorhill/uBlock/wiki/Resources-Library#tru…](https://github.com/gorhill/uBlock/wiki/Resources-Library#trusted-click-elementjs-)
实际示例如下:
> example.com##+js(trusted-click-element, button.reject-all)
太好了,感谢提供信息。我猜uBO lite做不到这点,不过说实话,任何使用manifest V3的方案恐怕都办不到。
拒绝全部,接受全部,但我几乎从未见过“接受必需”选项(极少数情况除外)。我们必须承认,某些Cookie对维护网站及账户状态是必需的。
我默认选择“拒绝所有”,但遇到“接受必需”时会点击同意(相信它确实能实现承诺的功能)
据我理解,“拒绝所有”应等同于“接受必需”。
我理解便利性的考量,讨论和调整实施方式也是好事,但法律针对网站而非浏览器是有原因的:网站(其服务器)才是实际收集个人数据的主体。法律不针对浏览器,因为浏览器(及其公司等)在此情境中并非数据控制者,网站所有者才是。
此外,法律意义上的同意通常需要具体明确:你需针对特定目的向特定公司授予同意。当然,通过“禁止追踪”类标头传达拒绝同意的方式是存在的且应当存在,但我认为这未必能解决所有问题。
我认为把责任推给法律是胡扯。当网站弹出Cookie提示框阻碍你使用时,他们其实就是想让你点击“全部接受”。除此之外别无他因。这种用户体验糟透了,而且并非所有网站都这么做。这是完全自觉且蓄意的决策。
没错,访问限制也是同理。家长本应能在设备层面限制内容类型,网站和应用开发商只是提供了这种功能。
废除那些靠孩子撒谎就能绕过的年龄限制,让家长自行决定什么内容适合自家孩子。
广告商能否准确了解我的需求和信念,我根本不在乎。
> 浏览器将成为个人隐私守护者,法律要求其代表用户行事。基于用户的一次性选择,它将负责允许或拒绝所有访问网站的Cookie请求。若网站试图使用目的不明或未声明的Cookie?浏览器将直接拦截——无需任何解释。
抛开ChatGPT的文案不谈,作者究竟期望浏览器如何实现?网站开发者本就不会声明每个Cookie的具体用途。浏览器厂商早前添加的“禁止追踪”标头选项,不出所料地彻底失败——毕竟网站方总有各种动机规避这类限制。
如今《通用数据保护条例》的适用范围远超Cookie范畴,它要求处理个人数据必须获得明确授权。浏览器根本无法阻止网站后端保存你的访问记录、输入文本、IP地址,更无法阻止其将数据分享给500家合作伙伴。这个问题本质上需要网站开发者的配合,这正是当前法律直接针对网站的原因。
暂且不论网站当前恶意的合规行为,这难道不意味着浏览器开发者必须逐个网站甄别哪些cookie真正“必要”吗?
附注:uBlock Origin提供可选过滤列表用于屏蔽此类横幅广告
我认为针对网站是正确举措,因为实施追踪行为的正是网站本身。
当然现在我们还得担心浏览器——它们本就是那些最初就让网站不堪重负的广告公司的产物。
但既然Cookie法规能迫使数据收集网站恶意合规,类似法规对(同样收集数据的!)浏览器供应商必然同样有效。我宁愿避免让浏览器再添一层垃圾功能。况且这根本改变不了网站的行为模式……若我是必须遵守法规的网站,大概率会自保继续原有操作,根本不会指望浏览器来解决问题。这将使浏览器的控制功能沦为多余且无效的存在。
若要寻找核心缺陷,该审视的是允许少数巨头垄断个人数据市场——或者说允许它们买卖个人数据本身。
广告公司已让整个互联网经济体系相信它们不可或缺,实则不然。但我们同样无意修正这种局面。
真正的解法是彻底远离该死的互联网,但既然做不到,我宁愿保留自主禁用遥测功能的选择权。
不过我确实渴望实现:网站级完全沙盒化。让每个域名在独立的cookie和遥测空间中运行,使其误以为我仅访问过该网站,甚至可设置为始终首次访问状态。我不该为了阻止Facebook在全网追踪而被迫持续清除所有cookie。
> *“2. 它惩罚小人物”*
是啊……我根本不在乎。我既不在英国也不在欧盟,他们想“惩罚”我随他们去。
更何况,让Cookie变得难以忍受只会把追踪转移到其他地方,比如浏览器指纹识别——这种技术比Cookie难破解得多。
注意GDPR并未区分Cookie和浏览器指纹识别,它并不关注技术细节。
凡适用于Cookie的条款,同样适用于浏览器指纹识别。
真希望我们也能有类似美国的法规。不过感谢告知,我此前并不知情!
为你们祈祷好运!
或者干脆停止追踪和贩卖用户数据……转而提供真实服务或原生广告
看在克努斯的份上:GDPR根本不是针对Cookie!更早的《Cookie指令》也并非针对Cookie!它们的核心在于禁止第三方在用户设备存储数据,或在自身服务器存储用户个人数据——无论采用何种技术手段。
《通用数据保护条例》并未禁止网站在尊重“请勿追踪”请求时_不主动询问_该请求是否存在。既然不追踪用户,何必询问?用户主动登录后出现的必要会话Cookie,网站也无需征得同意!
网站之所以询问,正是为了追踪用户!所谓“针对浏览器的法规”毫无意义——用户拒绝cookie后,网站只会另寻他法追踪你。因为他们就是要追踪你。
深表赞同,也支持@vmaurin提到的年龄验证机制。那些横幅广告常让我对cookie产生愤怒,更别提我早已患上“同意疲劳症”。
浏览器无法识别每个Cookie的用途,因此新设置仍需依赖网站正确执行。
有没有浏览器扩展或插件能自动设置用户偏好并屏蔽网站弹窗?
启用uBlock Origin的Cookie横幅过滤器和烦人弹窗过滤器。
个人见解:核心问题在于将 *安全身份管理* 与 *追踪营销* 混为一谈
我未全面禁用Cookie的主因是:众多网站将登录令牌存储于Cookie中。即便采用随机数机制,本质仍是利用Cookie实现安全验证。
我们对此习以为常,这已成为巨大的安全盲区。
我们应当全面转向Fido/WebAuthn认证——全民普及。毕竟绝大多数人随身携带的设备都内置了强大的安全隔离区。
> 我不全面禁用Cookie的主要原因在于:多数网站将登录令牌存储在Cookie中。即便希望其作为随机数使用,本质上仍是借助Cookie实现安全防护。
据我所知,登录令牌无需展示Cookie横幅。这是网站正常运行的必要条件。
我的理解有两点:
1. 身份令牌(追踪Cookie)是400个网站在浏览器中植入的1×1像素唯一编号。这些网站无需知道我是鲍勃·史密斯、福特车主、爱狗人士等信息。但他们想知道这些,以便判断是否值得竞价投放广告——这就是恶劣的cookie。如今它们大多被Facebook的cookie取代,毕竟开展广告竞价的地方屈指可数,但……
2. 当我实际验证自己是鲍勃·史密斯后,会话cookie便生效了——它在接下来的8小时内被荒谬地信任着,适用于每次请求。
关键在于,我们不会对重要事物(比如银行账户)采用这种机制。
因此可以推测,所有使用会话cookie的网站总价值,恐怕还不及我支票账户里的余额。这说明了某些问题……
Cookie法规要求网站必须征得用户同意才能追踪、监控用户或出售数据。结果呢?几乎所有网站都想这么干。欧盟本该直接禁止这种不道德行为,让每个网站都来征求追踪许可的中间路线简直荒谬至极。
> 试想每次开车时,你都得手动批准发动机使用机油、轮胎使用空气、收音机使用电力。荒谬吧?你只需设置一次偏好,汽车就会正常运转。
这个比喻很有趣。实际上,我每次开车都得手动禁用某些欧盟强制功能。超速1公里/小时就响的警报对我毫无意义,而车道偏离预警只要车身稍偏左就蜂鸣,却容许我完全压右侧车道线行驶。
其实我愿意使用这两项功能,但前提是能根据自身需求校准参数。…
就像那些烦人的Cookie横幅一样。
去论坛搜索你车型的专用扫描工具(要买原厂定制款才能改设置,通用OBD2只能读取发动机和排放数据),买来后直接禁用该功能。这类设置通常通过参数控制,以便同一车型能在不同地区销售。
既然人工智能如此发达,浏览器难道不能按我们期望的方式自动点击Cookie横幅吗?
uBlock Origin的Cookie横幅列表功能无需AI就能实现。
让浏览器处理Cookie同意机制,感觉像是隐私操作系统的一部分。
这些烦扰部分取决于所用软件(浏览器)
我不使用主流浏览器发送HTTP请求或解析HTML,因此从未遭遇这些困扰。除HN等少数例外,我从不存储Cookie,也不运行JavaScript。原帖提及的烦扰似乎专为那些默认启用这些“功能”的特定浏览器用户设计。
这向我表明,这些烦扰部分取决于浏览器本身,例如浏览器的某些“特性”,比如JavaScript。
或许按照某些硅谷逻辑,说服所有万维网用户使用同一套由硅谷掌控的浏览器是明智之举。但当这些浏览器均由通过“广告服务”牟利的商业实体提供,且各自的“商业”利益^1与部分万维网用户^2的利益相悖时,万维网用户寻求替代方案便合乎情理
1. 例如数据收集、监控及定向广告
2. 由此引发政府监管
例如,用户可通过不服务于互联网广告目标的软件获取网站信息——诸如“查询商品价格或阅读文章”——无需Cookie或JavaScript支持
若默认要求浏览器禁用JavaScript并安装运行uBlock呢?他们可以反向操作谷歌,让uBlock无法卸载。
若执意要求中立通信媒介的软件开发商承担法律责任,欧盟干脆摧毁商业网络算了。
本想阅读关于Cookie的文章,但看到这么多广告就放弃了。
GDPR制定者正是想用这些横幅广告制造噪音,让你觉得Cookie有害。若没有这些干扰,我们就能回到五年前的状态——那时网站正常运行,Cookie随心所用,更没有到处乱窜的愚蠢横幅。
欧洲此举实质上削弱了全球用户的网络体验,实在可悲。纯属虚荣心作祟——自我拍马屁宣称“现在大家都更注重隐私了”。好极了。
可问题是:崇高目标未达成,却让网络环境更糟。
每日提醒:法律从未强制网站显示弹窗。它们完全可以直接停止用户追踪。相信我,你的网站照样能运行!
既然如此,为何GDPR不强制要求遵守“请勿追踪”?该机制本已存在,只需在必要时扩展即可。
但企业显然不愿如此。他们正利用用户对Cookie对话框的疲劳感牟利,而人们却莫名将监控技术烦人的权限请求归咎于GDPR。
GDPR并未强制规定具体技术方案。
但真正落实“禁止追踪”意味着立即取消同意横幅——而该横幅的存在正是为了诱使你放弃权利,同时为公司提供(虚弱的)法律掩护。
横幅还诱导你抱怨欧盟官僚修改法律。效果显著:公众愤怒常指向欧盟的Cookie横幅,而非贩卖数据的行径。
尽管如此,欧盟确实倾向于在行业不作为时介入并强制执行技术标准。例如USB-C接口之所以成为标准,正是因为“统一接口规格,具体型号由厂商自行决定”的方案未能奏效。
GDPR实施尚处初期阶段(相对而言),但我预见欧盟终将强制推行特定隐私保护机制。
更棘手的是,DNT(不跟踪)仅是二进制信号,无法满足GDPR要求的数据控制权。
相对而言,现行GDPR距生效已近30年——多数有效条款正是那时开始实施。
GDPR最根本的变革在于执法力度显著增强。虽不及NIS2那般严苛(后者让高管层比中层更担忧合规问题),但仍具威慑力。
制定GDPR的立法者可能确实失职,未能考虑更优的技术解决方案。
GDPR并未强制要求任何技术方案
技术方案由企业自主选择,其设计往往暗藏诸多诱导性模式,迫使用户同意
那些想出售用户数据的企业才是试图抹黑GDPR的坏家伙
> 试想每次开车时,你都必须手动批准发动机使用机油、轮胎使用空气、收音机使用电力
该比喻有误。追踪用户并非网站功能必需。更恰当的比喻应为:
> 试想每次驾车出行时,你都必须批准 *或拒绝* 通用汽车追踪你的行程、车内人数、录音通话内容,并将所有数据共享给500家无差别合作伙伴——包括你的保险公司、执法机构、周边超市,甚至你的配偶或伴侣。
更贴切的比喻是:
> 试想每次踏入实体商店,店员都要求出示身份证件,并迫使你签署授权协议——允许他们追踪你的行踪并出售这些信息
该文章的提案设定了默认追踪偏好,试图用更多用户体验来解决用户体验问题。其疏漏之处在于 *欧盟并未强制规定用户体验标准*。若网站Cookie不用于追踪随机访客,本无需展示横幅。其糟糕的用户体验在于 *刻意为之*——通过部署大量黑暗模式游走法律边缘,诱骗用户同意交出灵魂乃至子女的隐私,只为让那可恶的横幅消失,终于能获得那份多巴胺的快感。
网站完全可以默认启用非追踪存储,无需弹窗提示;或通过单次点击勾选所有选项消除弹窗。将用户引导至满是复选框和法律术语的独立页面是 *刻意选择*,且意图不轨——因为多数人本就不愿被追踪。
我认为法律理应更严格:默认关闭追踪功能,允许用户主动选择更多追踪选项。拒绝追踪应通过单次清晰点击(甚至无需点击)实现,而非隐藏在子菜单中。用户信息不应默认共享或出售,更理想的是彻底禁止出售。
这对Mozilla这类浏览器公司而言是个良机——可提供符合GDPR的开源库,轻松集成后自动应用用户隐私偏好,取代繁琐的GDPR提示框。开放该库并大力推广,尝试将其打造为开放协议以便其他浏览器实现。
但说实话,我确信许多网站会抵制此举,因为它们依赖用户对GDPR的疲劳心理,希望人们直接接受而非花几秒钟选择退出。
有人能看清nednex.com文章的作者是谁吗?
我们早就尝试过,就是“禁止追踪”标头,整个广告业费尽心机,最终还是无疾而终…
互联网最大烦扰:AI垃圾博客文章
cookie法规本就不该存在。所有浏览器都有隐私设置,且已存在多年。
很多人忘了其实不需要Cookie弹窗。苹果官网或特斯拉官网就没弹窗。其他例子不少,但确实罕见。
我最讨厌多余的Cookie弹窗,比如你明明已登录并同意隐私政策时,或者访问包裹追踪服务时。
这种行为总是令人恼火,尤其在明显无需追踪用户的情况下,只会驱赶用户或激怒他们。
这完全体现了经典技术乐观主义者的思维定式:“只需构建一个简单的解决方案”。
没错,用户确实存在“同意疲劳”,没人喜欢这些Cookie横幅。但这恰恰说明它们的重要性——关键在于让追踪行为透明化。通过强制网站主动征得用户同意,追踪行为便产生了实际“成本”。一旦将其隐藏在“设置后就不管”的浏览器选项里,知情同意便不复存在,追踪变得隐形,责任归属也随之消失。
我们还面临着极其扭曲的激励机制:谁掌控着主流浏览器?谷歌的Chromium引擎目前支撑着80%的浏览器市场。苹果和微软也绝非中立方——谷歌本质是广告公司,而苹果微软对数据的渴求同样惊人。指望这些企业能推行违背自身商业模式的“简单”同意机制——这种想法至少算得上是天真。
你还得相信网站会准确分类其Cookie。若你的Cookie偏好只是浏览器里的“设置后就不管”选项,你确定刚访问的某个网站没把谷歌分析标记为“网站运行必需”?你会去核查吗?
该博文还假设Cookie偏好具有普适性,但或许我对某个随机科技博客的分析工具持开放态度,却坚决反对医疗类网站使用分析工具。
最讽刺的是:“禁止追踪”信号早已存在,却惨遭失败。博文甚至提及了这一点。DNT本应正是这种简单的浏览器级信号,而网站们却置若罔闻。
旁注:
> 试想每次开车时,你都得手动批准引擎用油、轮胎充气、收音机用电。荒谬吧?你只需设置一次偏好,汽车就会正常运转。
是的,荒谬。但类似情况正以不同功能的形式发生。每次启动汽车,我都得手动关闭限速提醒——因为它太烦人;还要关闭车道保持辅助——因为它过于激进,有时甚至真正危险。而且这个类比极其牵强。作者将机械必需品(机油、空气)与可选数据采集相提并论,根本不是一回事。网站基础功能所需的Cookie通常默认启用。更恰当的类比应该是:汽车经销商弹窗要求追踪你的每段行驶路线、时速数据,甚至沿途是否看过广告牌。
有意思的想法。
不过监管浏览器同样可能扼杀自由开放的互联网。
届时只能使用特定功能的指定浏览器。
>> 大多数人如出一辙:叹口气,眼神发呆,像疲惫的士兵般凭肌肉记忆点击“全部接受”。
我的本能是寻找那个“其他选项”——要么操作简单,要么稍作模糊处理。但欧盟法规要求选择其他选项最多只需两次点击。
早在1990年代我就觉得Cookie颇具危害性,至今仍认为它们该彻底消失。
多年前我就说过同样的话
GPC标记是浏览器中试图缓解Cookie弹窗问题的设置
呃…不。
法律(GDPR等)的宗旨在于赋予我对个人数据处理权限的控制权。法律约束的是网站的 *运营方*。*这甚至与网站无关*——若通过电话或邮件联系,同样适用这些法律。你若想以各种方式处理我的数据(这些方式能为你牟利),必须获得我的明确同意,而我并不允许你这么做。
若我拥有这些权利,数据处理方就无法通过出售我的数据牟取暴利。于是他们通过网站横幅广告等手段,以任性姿态尽可能地干扰我——既让我恼火,又让我困惑这些广告为何存在,更试图诱骗我放任他们牟利。
这些可被浏览器屏蔽或自动填充的横幅广告,只是 *表面现象*。它们更是攻击面——即便我们达成浏览器传递用户偏好的方案(我们已尝试过,即“禁止追踪”DNT标头,但因网站所有者置之不理而彻底失败),网站所有者仍会叠加第二层陷阱:“啊,我看到你自动拒绝了,但你真的确定不想让我从你的数据中赚更多钱吗?” "
NOYB组织在追查此类欺诈行为方面成效卓著,能迫使企业遵守数据保护法规。以下是他们的部分指导原则及违规企业使用的黑暗模式清单:[https://noyb.eu/sites/default/files/2024-07/noyb_Cookie_Repo…](https://noyb.eu/sites/default/files/2024-07/noyb_Cookie_Report_2024.pdf)
而这篇文章充斥着互联网的另一项失败——广告…
对我而言,广告及其助长的低劣内容才是最令人厌烦的存在。
不过我也受够了Cookie弹窗。干脆直接禁止(并强制执行)Cookie追踪,一劳永逸解决这堆乱七八糟的东西。
不可能存在一揽子同意。你不可能同意从未见过的合同条款,更不能放弃自己的权利。浏览器最多只能实现一揽子拒绝,但这无法阻止网站继续弹出Cookie横幅——因为它们就是要你点击“全部接受”。
但我不会信任浏览器保存我的偏好设置。火狐总会重置我之前禁用的选项。可惜这是个零信任领域。
所有个人数据都该适用HIPAA标准。句号。
想共享数据?必须获得我的明确同意。
> 想分享数据?必须获得我的明确授权。
这不就是GDPR的核心精神吗?但问题在于执法力度严重不足,导致违规比合规更有利可图。
若你主动将书递给我,就别抱怨我持有你的书。
作者的构想是“一个简单而激进的方案:将同意权置于浏览器中”。当你设置浏览器时,只需选择是否允许网站追踪你并出售你的数据。
这里有个更激进的构想:浏览器甚至不询问用户,默认就尊重用户隐私并阻止所有第三方追踪。
你能想象一个真正以用户为中心的互联网吗?
> 更激进的构想是:浏览器根本不进行询问,默认就尊重用户隐私并屏蔽所有第三方追踪。
由于默认启用DNT功能,该机制在美国多个州已因法律效力缺失而失效。
如果我们确实要建立基于浏览器的解决方案,像Firefox和Brave这样的浏览器自然会默认采用最实用的隐私友好选项——不过它们现在基本上已经这么做了。
GDPR确实令人头疼,紧随其后的是像这个网站一样充斥广告的页面。
要解决根本问题,必须摆脱广告驱动的营收模式。
我们用数据换取网站的“免费”服务。用一句冷嘲来概括就是:“若非顾客,便是商品”。
若无广告存在,诸多现状将发生改变:
* 用户追踪的动机大幅降低
* 干扰因素显著减少
* 内容质量提升(不再依赖标题党与流量堆砌)
是的,这意味着需要付费。若操作便捷,我乐意按访问次数或使用时长付费。
遗憾的是这种模式根本不可能实现:
* 广告对投放方有利可图——他们购买广告位正是为了盈利
* 广告对发布商有利可图——全球最大公司(谷歌、Meta)主要收入都来自广告
* 大多数人虽不愿花钱,却乐于“消耗”自己的注意力与数据
微支付模式多次尝试均告失败。月度订阅虽受用户和企业青睐,但人们能订阅的渠道终究有限。
诚然广告盈利可观,但各类法规与社会规范仍限制着广告形式。试想若以盈利为由覆盖地标建筑——例如让自由女神像披上某品牌服装,或在希腊万神殿涂满免费游戏广告。
品味确实至关重要。美国遍地都是(现实中的)广告横幅,我的祖国波兰更是如此。但在欧洲许多地方,人们会认为在历史建筑或简洁设计上使用闪烁的广告牌令人反感。
因此这既关乎品味也涉及法规。
> 大多数人不愿花钱,却乐于“消耗”自己的注意力与数据
这点颇耐人寻味。真怀念当年购买纸质报纸的时光。
举个例子——开发者们向来不愿为服务付费。并非人人都愿意掏钱购买虚拟代币。
追踪始终更具盈利性,因为它能精准锁定目标人群。这关乎商业根本问题:我的客户是谁?
追踪行为本质上等同于在顾客踏入实体店时,往他们口袋里塞电子追踪器。如此一来隐私问题便显而易见——如此深度的追踪与隐私侵犯,根本不可接受。
追踪将带来更高利润。
但关键在于:追踪是实质性收入来源,还是欺诈性附加服务?
后者可通过监管解决——如同我们对食品或设备实施的安全监管。某种意义上,这种类比并非牵强:当前网络被设计成令人上瘾的形态。大量干扰因素对心理健康的不良影响早已广为人知。
>“试想每次开车时,你都必须手动批准发动机用油、轮胎充气、收音机耗电。荒谬吧?你只需设置一次偏好,汽车就会自动运行。”
这真是绝妙的类比!
>"然而这正是我们在网络世界的日常。每个网站每天都在重复询问相同的问题。这种做法存在三大根本缺陷:
*同意疲劳* 真实存在:我们被海量请求轰炸,导致这些提示已失去意义。这些横幅只是需要清除的障碍,而非需要权衡的选择。真正的同意需要清醒的知情决策,而非为消除弹窗而恼怒地点击。"
*同意疲劳*——这个词要收进我的2025年词汇库!太棒了!(当然指词本身而非其内涵!就像字面而非语义——符号而非所指!:-))
虽然我认同文章观点(确实发人深省),但若将Cookie同意权交给浏览器处理,一旦出现诉讼:当事人因同意的Cookie被起诉,法庭质询其同意意愿时,对方可能如此回应:
"不,法官大人,我本人从未同意!*是浏览器同意的!* 该认罪的是浏览器,不是我!”
🙂
(类似问题在浏览器之外同样存在,比如人工智能系统代表他人行事时…或是多层级AI系统协作时…)
总之,文章写得真棒!
为何需要立法?我的浏览器本就如此运作,因为作为“用户代理”中的“用户”,我本就如此期望。某些网站无法兼容,但这是它们的选择而非我的,理当如此。
但若我们只针对五十款浏览器而非五百万个网站,就断送了那笔甜美的惩罚性赔偿金。对律师而言,起诉五百万人的群体远比起诉五十人的小团体有利可图——后者反倒有足够资金聘请自己的律师团队。
想想议会里有多少成员有法律背景。这绝非巧合。可以合理推测,法律被故意写得糟糕,就是为了给他们这个阶层创造更多工作。
立法者大多不懂技术,也许这就是原因。
“烦人同意横幅”的本质就是诱导用户“允许(被追踪)”。
拒绝追踪往往需要逐项勾选数百个选项,且没有“全拒”按钮。这使得用户被迫同意变得轻而易举,主动拒绝则近乎不可能。
当然,若不追踪用户数据,这些垃圾设计就毫无必要。但监控资本主义必须延续。唉。
没有“全部拒绝”按钮本身就不违反GDPR吗?
这要看具体情况。“拒绝同意”应与“同意”同样便捷,且同意需基于充分知情。若不设“全部接受”按钮/默认选项,则无需“全部拒绝”按钮。
GDPR根本不在乎这种实现方式。
多数人忽略了《Cookie法》本质上是GDPR的预演阶段。它让用户养成条件反射般点击“同意”以消除弹窗的习惯。当这种行为常态化后,GDPR便应运而生——如今这些点击已合法授权了曾处于灰色地带的数据收集与交易。
这正是更合理简洁的方案始终未能被采纳的原因。
欧洲本应效仿空客模式,全额资助开发以隐私为先的浏览器,而非强制推行Cookie横幅。如此欧洲才能成为网络领域的参与者,而非局外人。
考虑到近期破解即时通讯端到端加密的企图,此举恐将引发强烈反弹。这对黑客和政府追踪用户行为而言更是极具诱惑力的途径。
关键不在隐私本身。
而在于同意权。
我不想显得像安德烈娅·德沃金那样极端,但人类个体与五百头企业巨兽之间根本谈不上同意。直接彻底关闭第三方Cookie或“遵守DNT原则否则入狱”才是更直接的解决方案。
> 人类个体与五百头企业巨兽之间根本谈不上同意。
强烈反对。
合法企业会遵守法律;无论是《通用数据保护条例》还是反腐败、反污染法规,皆是如此。
在访问你数据的500家公司中,多数或许守法,但必有50家不守法。
更存在根本性的权力失衡——例如当你未填写医疗申请表时,(1)所有可能需要访问你数据的人都能获取;(2)而我们为此收取的费用是直接将文件丢在路边不处理的1000倍——若不付费,你就得不到医疗服务。
人们根本不会认真阅读那些点击式许可协议——索尼就要求你滚动50页合同才能玩游戏。
这种机制早已存在,它被称为广告拦截器或内容拦截器,名称无所谓。
我们根本不需要为此立法,现有机制已然有效。或许需要立法来守护这种自由——而现行法律体系基本支持这一立场:已有裁决认定广告拦截不违法,且浏览器选择权得到保障(部分浏览器自带拦截功能)。
你必须明白,GDPR和同意要求的影响远不止于在线广告及相关追踪。例如网站若想将你的购买记录分享给数据经纪商,法律要求必须征得同意。而广告拦截器对这类数据的收集行为毫无影响。
正如其名,这是项 *通用* 数据保护条例。它涵盖所有类型实体的所有数据处理行为,从大型科技网站到毫无网络存在感的本地瑜伽教练皆在规制范围内。
我的评论是对文章观点的回应——该文主张浏览器应充当“隐私守护者”,而我认为这本就是现有机制。
更具讽刺意味的是,文章在论证法律解决方案失效(如同意疲劳、不跟踪等)后,竟建议通过立法解决法律问题——这无异于用技术手段应对法律困境。
我并非暗示广告拦截器可替代GDPR,后者规范的范畴远超浏览器层面的Cookie等技术手段。
当然我们需要法律,否则公司只需绕过广告拦截器就能合法行事。
像阿克塞尔·斯普林格这样的媒体公司,已经开始试图让广告拦截器成为非法行为。
这才是正道。现行法律存在缺陷,建立在误解之上且难以执行,更给网络浏览带来诸多困扰(谁愿意为读篇新闻就开启Cookie?)。应通过法律强制浏览器默认保护隐私信息,除非用户主动选择共享,否则不得收集。若用户愿意共享,则可自行遵守。
抱歉那些热衷追踪个人信息的厂商,但大势所趋(其实不抱歉)。
或许终将淘汰(大部分)Cookie,带来更纯净的浏览体验。
还记得DNT吗?浏览器本已支持该功能,但当微软宣布默认启用后,网站们开始集体无视。
说到底,用户不愿被追踪,网站却热衷追踪。Cookie横幅是折中方案,法律本就试图阻止那些诱导用户“接受全部”的黑暗模式。
记得Tumblr早期Cookie横幅强制用户逐个取消勾选数百个追踪器的情形。
正是如此,监管成本正不断攀升,成效却往往微乎其微。
解决方案很简单:将合规成本转嫁给监管者!
运作机制如下:
1/ 能力尚可但脱离现实的政客们投票通过又一项新规。
2/ 无能且脱离现实的所谓专家阐述规则实施细则。
3/ 估算成本后汇报给那些头脑昏沉的决策者。
4/ 头脑昏沉却精于预算的决策者审视数据后断然拒绝。
我敢打赌,最终出台的法规定会受到各行业欢迎。
不妨从全面撤销法规开始,“经济”——你猜怎么着——终将“复苏”。
既无动力修正错误,收获与播种相符的结局也就不足为奇了。