Какие бывают cookies? Как их правильно собирать? Считаются ли они персональными данными? Что думает Роскомнадзор? Разбираемся.
Иллюстрация: Катя Павловская для Skillbox Media
Редактор Skillbox Media. Пишет о бизнесе и маркетинге вместе с экспертами.
Юрист, консультант по защите персональных данных в компании «Б-152».
Cookies — одна из главных технологий, на которых держится современный digital-маркетинг. Cookie-файлы нужны для таргетинга, персонализации, корректной работы сайтов. В статье мы разберём:
Cookies хранятся на устройстве пользователя и содержат данные о посещённых ресурсах. Их используют для авторизации, хранения индивидуальных настроек для каждого пользователя, сбора статистики и отслеживания активности.
Cookies, или cookie-файлы, — фрагмент данных, который веб-сайт отправляет в браузер пользователя. Веб-браузер сохраняет эти файлы, а при повторном посещении того же интернет-ресурса отправляет их сайту обратно.
Есть четыре основных вида cookie-файлов:
- Строго необходимые. Без них сайт будет некорректно отображаться в браузере. К ним относят файлы, которые используют для запоминания информации из форм ввода данных и товаров в корзине. Сюда же относятся файлы хранения технических данных для аудио и видеофайлов и информация о выбранном языке и шрифте.
- Предпочтения — файлы, позволяющие сайту запоминать информацию, которая изменяет его вид: например, язык или регион пользователя.
- Статистические — эти файлы помогают владельцу интернет-ресурсов понять, каким образом посетители взаимодействуют с веб-сайтом. Они позволяют собрать агрегированную обезличенную информацию по всем пользователям.
- Маркетинговые — файлы, которые используют для отслеживания посетителей на веб-сайтах. С их помощью рекламодатель может узнать о предпочтениях пользователя и показать ему наиболее релевантную рекламу.
Почти любой браузер позволяет отключить передачу cookies. Однако это сделает невозможной работу с некоторыми сайтами. Например, с интернет-магазинами, где есть разграничение доступа.
Отношение законодателей к cookies различается от страны к стране. В России сферу регулирует федеральный закон №152-ФЗ «О персональных данных». Он определяет персональные данные как «любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных)». Cookies подпадают под это определение.
При этом закон не содержит положения, которое бы прямо относило cookie-файлы к персональным данным. В начале 2021 года вопрос прояснил Роскомнадзор, причислив на онлайн-мероприятии cookie-файлы к персональным данным.
Заместитель руководителя службы Милош Вагнер тогда пояснил: cookies характеризуют интернет-пользователя — следовательно, они попадают в категорию персональных данных. Их сбор и обработка должны соответствовать требованиям закона №152-ФЗ. Однако это позиция Роскомнадзора, а не однозначная законодательная норма.
Важно, что требования к cookies будут зависеть от типа данных. К персональным данным можно отнести файлы, которые формируют персонализированный профиль пользователя в Сети. Это может быть информация об интересах пользователя и его действиях на сайте. Но регулирование пока не касается cookies, строго необходимых для корректной работы сайта и оказания услуг.
В России нет специальных требований к согласию на обработку cookie-файлов. Достаточно опубликовать на сайте дисклеймер, который информирует посетителей сайта об использовании cookies. Предупреждение следует прописать в футере сайта или оформить отдельным баннером.
Пример корректного баннера. Скриншот: сайт компании «Б-152»
Скорее всего, законодательное регулирование cookies в России будет меняться. В следующем разделе мы посмотрим, какие требования в этой сфере предъявляют за рубежом.
Европейский союз. ЕС имеет наиболее развитое законодательство в сфере обработки cookie-файлов, а также самые строгие требования к их сбору. В ЕС существует Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR). В нём говорится, что физическое лицо может быть связано с онлайн-идентификаторами, к которым относятся cookie-файлы. Таким образом, cookies признаются персональными данными.
В Европе действует запрет на преднаполненные чекбоксы для всех категорий cookie-файлов, кроме строго необходимых. Компания должна получить у пользователя согласие на обработку каждого отдельного вида cookies. В России такого жёсткого правила нет — одной кнопкой мы соглашаемся на обработку всех видов куки-файлов.
Отдельные тумблеры для каждого вида cookies на европейском сайте. Скриншот: TDC
В Европе посетители сайта могут вообще отказаться от использования cookie-файлов — это ещё одно отличие от России. Пользователю доступны кнопки согласия и отказа.
Пример корректного предупреждения о сборе cookies на европейском сайте. Скриншот: сайт OneTrust
Соединённые Штаты. В США нет единого закона, который бы регулировал обработку персональных данных во всех штатах. Закон принят в штате Калифорния, в Вирджинии и в штате Колорадо. Однако только в Калифорнии cookie-файлы прямо обозначены в тексте. Документ говорит о том, что cookies являются «уникальным идентификатором» наряду с веб-маяками, пикселями и другими схожими технологиями.
Также в США принят федеральный закон о защите конфиденциальности детей в интернете. Он касается детей младше 13 лет. Согласно документу, персональными данными являются постоянные идентификаторы, которые могут быть использованы для распознавания пользователя с течением времени на разных веб-сайтах. Примером такого идентификатора и является cookie-файл.
В Америке интересен документ COPPA — уже упомянутый закон о защите конфиденциальности детей в интернете. Согласно этому закону, любая организация должна получить верифицируемое родительское согласие на обработку персональных данных ребёнка младше 13 лет.
Для этого нужно использовать форму согласия. Её подписывает родитель. Он возвращает форму оператору по почте, факсу или скан-копией. Администраторы сайта могут созвониться с родителем и сверить его документы по базам данных личной информации. Данные родителя при этом должны быть удалены сразу после проверки.
В России отсутствует судебная практика, связанная с нарушением обработки cookie-файлов. Но в ЕС такие прецеденты были. Французский регулятор накладывал штрафы на Google LLC, Google Ireland Limited и Amazon Europe Core в размере 60, 40 и 35 млн евро соответственно.
Причина общая: когда пользователь посещал сайт, маркетинговые cookie-файлы автоматически отправлялись в его браузер до того, как он дал на это согласие. Плюс сайты не предоставляли исчерпывающую информацию о cookie-файлах и не объясняли, как посетитель может от них отказаться.
Как можно было бы избежать нарушения? Нужно было не отправлять cookie-файлы до активных действий посетителя сайта. Кроме того, следовало прописать в cookie-policy цели обработки, срок хранения cookie-файлов и способы отказа от них.
В Америке тоже были подобные прецеденты: компании нарушали требования COPPA. Федеральная торговая комиссия оштрафовала Google и YouTube на 170 млн долларов. Причина в том, что видеохостинг собирал персональные данные детей младше 13 лет без согласия их родителей. Затем эти данные использовали для показа таргетированной рекламы.
Чтобы избежать штрафа, нужно было запрашивать верифицируемое согласие родителей перед тем, как собирать персональные данные ребёнка на YouTube.
В России до полноценного регулирования cookies пока не дошло. Однако Роскомнадзор уже представил однозначную позицию по cookie-файлам — они относятся к персональным данным и требуют должного регулирования.
Поэтому скоро могут появиться новые регулирующие документы или нынешние законы дополнят отдельными положениями. В дальнейшем именно они будут регламентировать обработку cookies.
Возможно, для России окажется подходящим решение с гранулированным согласием, действующее в некоторых странах ЕС: при нём пользователь даёт отдельное разрешение на сбор cookies каждого вида.
Регулирование будет зависеть и от развития технологий. Крупные интернет-корпорации планируют снизить роль cookies. Об этом активно говорят ещё с 2020 года, но радикальных изменений пока нет.
Например, Google с 2023 года планирует частично заменить cookies на свою технологию FLoC. В отличие от cookies, FLoC не позволяет идентифицировать пользователя и собирает обезличенные данные. Ещё один пример — First-Party Media Network от Criteo. Это база обезличенных данных о пользователях, доступная рекламодателям. Она позволяет решать те же задачи, что и сбор cookies.
Тем не менее исключить cookies из работы веб-сайтов совсем невозможно. А если от них и откажутся частично — скорее всего, новые технологии всё равно будет регулировать законодательство.
Исследование, посвященное взаимодействию с согласием на использование файлов cookies было проведено компанией RTB House на польском сайте электронной коммерции в конце 2020 года. В нем участвовали 36 вариантов баннеров cookie (т.е. уведомлений, которые отображаются при посещении веб-сайта, чтобы принять или отказаться от сбора и обработки информации) на десктопных компьютерах и 18 вариантов на мобильных устройствах. Общее количество уникальных пользователей составило более 140 тыс. Какое влияние оказывает опыт использования баннеров cookie на посетителей сайта? Какие факторы играют ключевую роль в процессе сбора данных пользователей и получения согласия?
Пользователи ПК
Органические и платные пользователи
Существенная разница в поведении органических и платных пользователей на десктопных компьютерах напрямую связана с повторными посещениями. Среди платных пользователей более навязчивые баннеры с согласием на использование файлов cookie приводят к более высокому уровню согласия на использование cookie. Однако этот выбор снижал вероятность повторного посещения.
Поведенческие баннеры оказались лучшим вариантом для платных пользователей.Они привели к высокому уровню согласия на использование файлов cookie со значительно более высоким числом повторных посещений.
Когда речь идет об органических пользователях, тесты показали, что принятие файлов cookie (как повышенное, так и пониженное) не имеет сильной связи с количеством повторных посещений. Одно из объяснений такого поведения заключается в том, что пользователи, которые кликнули на рекламу уже были в контакте с онлайн-маркетингом. Затем пользователь чувствует разочарование, взаимодействуя с другим уровнем (баннеры с согласием на использование cookie, запрос адреса электронной почты или подобные призывы) после того, как они щелкают по рекламе. В результате они с меньшей вероятностью вернутся на сайт, чем органические пользователи.
Исходя из этих выводов, рекламодателям следует рассмотреть возможность проведения A/B-тестов своих баннеров с согласием на использование cookie, сегментированных по органическим и платным пользователям на настольных компьютерах.
Влияние архитектуры баннера на выбор
Результаты наших тестов показали, что «архитектура выбора» оказывает значительное влияние на уровень согласия на использование маркетинговых файлов cookie.
Лучшая версия архитектуры выбора на настольном компьютере — ‘OK/Settings’, как среди органических, так и среди платных пользователей. Вторым лучшим вариантом был баннер согласия (Да/Нет). Эта версия в итоге дала примерно на 20% меньше согласия на использование cookie среди органических пользователей и на 15% меньше платных пользователей. Наименее предпочтительной версией была «Категории cookie», где принятие было примерно на 40% и 45% соответственно.
Влияние размещения баннеров
Размещение баннеров на сайте — еще один ключевой фактор, влияющий на поведение пользователей. Центральное расположение (с затемнением или без затемнения контента) дало наилучшие результаты как среди органических, так и среди платных пользователей. Низко расположенный баннер на нижней странице, который не очень заметен или иногда даже выглядит как часть сайта, на 85% снижает вероятность принятия cookie органическими пользователями и на 80% — платными.
Мобильные устройства
Платные и органические пользователи
Восприятие и поведение органических и платных пользователей на мобильных устройствах не так сильно расходятся, как на настольных компьютерах.
Влияние архитектуры выбора
Наши тесты показали, что версия OK/Настройки является наиболее эффективным вариантом архитектуры выбора на мобильных устройствах для органических пользователей. Вариант версия «Да/Нет» имеет на 40% более низкие результаты, чем «ОК/Настройки» (на 15% ниже в случае случае платных пользователей). Версия с категориями Cookies показала так же, как “Да”/”Нет” среди органических пользователей. Для платных пользователей она показала на 30% более низкий уровень согласия, чем вариант OK/Настройки.
Различимые цветные кнопки повышают эффективность баннеров согласия.
Баннеры также улучшают показатели на мобильных устройствах. Как правило, на мобильных устройствах варианты с кнопками одного цвета на 15-25% ниже согласие на использование маркетинговых файлов cookie, чем те же варианты с кнопками другого цвета для варианта принятия.
Влияние размещения баннера
Что касается размещения баннеров на сайте, есть два варианта согласия с cookie, которые особенно плохо работают на мобильных устройствах. Тесты показали, что вариация с поведенческим баннером приводит к 40% меньшему согласию на cookie от органических пользователей (на 20% меньше от платных).
Принятие cookie, вероятно, зависит от продолжительности пребывания на сайте(оценивается по количеству просмотренных страниц в течение сессии). В версии с низким расположением баннера отмечается на 55% более низкий уровень принятия cookies органическими пользователями (на 60% ниже у платных пользователей).
Тесты RTB House показали, какие универсальные факторы играют наибольшую роль в том, чтобы заставить пользователей принять согласие на использование файлов cookie. Мы выявили линии корреляции между каналами (десктоп/мобильный) и типами пользователей (органические/платные).
При оптимизации баннеров с согласием на куки-файлы рекламодателям необходимо принимать во внимание:
- согласие на использование файлов cookie и вероятность возвращения. Любой краткосрочный выигрыш может быть перевешен долгосрочными потерями.
- на настольных компьютерах рекламодателям следует тщательно рассмотреть возможность запуска различных баннеров с согласием на куки, ориентированных отдельно на органический и платный сегменты пользователей. Органические пользователи, как правило, возвращаются независимо от того, используются ли навязчивые баннеры или нет, поэтому рекламодатели могут запускать более агрессивные типы с меньшими колебаниями, чтобы достичь более высоких уровней согласия на использование файлов cookie.
- для платных пользователей рекомендуется более сбалансированный подход. Поведенческие баннеры могут стать хорошим выбором.
(i) Необходимые для работы сайта, — позволяют корректно использовать функции сайта (например, сохранять товары в корзине пока пользователь совершает онлайн-покупки).
(iii) Статистические, — собирают информацию о том, как используется сайт, какие страницы посещаются. Их единственной целью является улучшение функций сайта. К статистическим cookies можно отнести файлы от сторонних аналитических служб, если они предназначены исключительно для использования владельцем посещаемого сайта.
(iv) Маркетинговые, — отслеживают онлайн-активность, чтобы помочь рекламодателям предоставлять персонифицированную рекламу.
Кроме того, выделяют основные файлы cookie, — создаются владельцами сайта, и сторонние файлы cookie, — сохраняются на компьютере пользователя третьими лицами (например, сервисом для предоставления веб-аналитики или рекламодателем). Если cookie содержат какой-либо уникальный идентификатор, то информация о посещениях различных сайтов может быть связана такой третьей стороной и на ее основе сформирован рекламный профиль пользователя. Использование сторонних cookie зачастую связано с неосведомленностью пользователей об участии иных сайтов и отсутствием информированного согласия на такую обработку данных.
Европейский подход в отношении файлов cookie представляется целесообразным и может быть принят как ориентир при толковании и дальнейшем развитии российского законодательства о персональных данных. Так, во-первых, следует принимать во внимание, что не все файлы cookie несут в себе угрозу причинения вреда правам и свободам пользователя, часть из них позволяют эффективно использовать сайты. Во-вторых, для признания информации о пользователях в качестве персональных данных необходимо прежде всего проанализировать вопрос о том, достаточно ли собранных сведений для установления конкретного пользователя. При этом, для применения обязанностей, установленных законодательством о персональных данных, сайту не обязательно знать ФИО, паспортные данные пользователя, СНИЛС и т.п., ключевое значение в Интернете имеют онлайн-идентификаторы.
Однако на сегодняшний день в большинстве случаев суды подробно не рассматривают вопросы, связанные с тем, когда совокупность сведений о пользователе онлайн-ресурса является персональными данными. В связи с этим увеличивается неопределенность и возникает риск привлечения компаний к ответственности в связи с осуществлением сбора и обработки информации о пользователях.
В целях соблюдения законодательства о персональных данных рекомендуется подходить к вопросу об использовании инструментов для сбора и анализа информации о пользователях и их действиях взвешенно, предварительно анализируя характер и цели собираемых сведений. Например, при использовании файлов сookie, необходимых для работы сайта, согласие пользователя на обработку персональных данных запрашивать не обязательно. Однако в политике использования cookie-файлов целесообразно указать, какие это файлы и с какой целью используются. Аналогичный подход к данному вопросу применяется и в Европейском Союзе.
Напомним, что в случае признания информации о пользователях онлайн-ресурсов персональными данными, к компаниям применяются обязанности операторов персональных данных, в частности требование о локализации обработки персональных данных граждан России. Со 2 декабря 2019 года введены специальные штрафы за нарушение данного правила. Сумма штрафа для компаний может составить от 1 до 6 млн. руб., а в случае повторного нарушения — до 18 млн. руб.
Оферта
Коротко говоря, публичная оферта — правила ведения бизнеса в интернете. Оферта необходима по следующим причинам:
Для споров. Именно публичная оферта станет тем документом, который продавец и покупатель смогут использовать для защиты своих интересов. Оферта имеет полноценную юридическую силу и содержит в себе перечень всех условий сделки. На нее даже можно ссылаться в суде.
Для лояльности клиентов. Современные пользователи — это люди, хорошо разбирающиеся в вопросах соблюдения своих прав. Подавляющее большинство отдаст предпочтение магазину, руководство которого не поленилось разъяснить все правила своей работы. Подробное изложение условий сотрудничества необходимо для хорошего имиджа и доверия клиентов.
Чтобы избежать штрафов. Каждый интернет-магазин устанавливает свои правила. Но какими бы экзотическими ни были условия магазина, они обязаны подчиняться общему своду законов. Последний контролируется и Роскомнадзором, и ФСТЭК, и ФСБ. Доступное описание механизмов работы интернет-магазина поможет избежать неприятных ситуаций с госорганами.
Чтобы убедиться, что все понимают смысл оферты одинаково, постарайтесь составить текст как можно проще.
Реквизиты
Это ключевые сведения о компании: форма организации, наименование, номер налогоплательщика, юридический адрес. Многие пользователи умеют проверять «историю» компании по ИНН. Созданная только вчера компания редко внушает доверие, а шлейф споров с потребителями может отпугнуть клиентов. Компании с такими проблемами не сообщают свои реквизиты. И наоборот, добросовестным компаниям скрывать нечего, через раскрытие реквизитов демонстрируется доверие и клиентоориентированность.
Согласие на обработку персданных
Персональные данные это те сведения, которые позволяют идентифицировать пользователя, определить, кто это. Даже сайт-одностраничник собирает персональные данные пользователей (все же пользуются гугл-аналитикой и прочим софтом). Если пользователи не давали согласия на использование их персональных данных, могут быть проблемы от Роскомнадзора, вплоть до блокировки сайта. Простейший способ решения проблемы — брать у пользователей сайта согласие на обработку персональных данных в однозначной форме. Попросите их совершить какое-то действие в знак согласия: поставить галочку или кликнуть «ОК».
Политика компании
Политика обработки персональных данных призвана сообщить клиентам, какие персональные данные собирает сайт и как он их потом использует. Здесь ошибка может стоить дорого: Роскомнадзор штрафует компании за неправильную работу с персональными данными. Самый простой способ избежать проблем: коротко сообщить в политике о том, какие данные вы собираете, что с ними делаете, где и как храните. Иногда компании размещают свидетельство о внесении в реестр операторов персональных данных, но это встречается нечасто.
Пользовательское соглашение
Пользовательское сообщение в среднем читают 3 секунды: именно столько времени надо, чтобы прокрутить их вниз и нажать «согласен». А зря. В соглашении (читай — правилах пользования) коротко рассказывается, какую пользу принесет сайт. Кроме того, в соглашении определяются пределы ответственности сайта, что позволяет избежать негативных последствий по большинству претензий от пользователей.
Информация о cookies
Очень похоже на политику обработки персональных данных. Этот документ содержит информацию, какие технические данные хранит сайт, какую информацию помимо персональных данных он собирает и как использует. Хорошо проработанный документ с такой информацией позволяет избежать претензий Роскомнадзора.
Вместо заключения
Все документы и сведения должны быть постоянно доступны на сайте в кликабельных ссылках. Разместите их до прихода РКН или жалоб клиентов — экономьте деньги и время.
Печенье (cookies) – это не просто сладкое лакомство. Это также фрагменты данных, которые необходимы для ежедневной работы веб-сайтов в сети интернет. Cookies протокола передачи гипертекста (HTTP) обеспечивают бесперебойную работу веб-ресурсов, часто без ведома пользователя. Однако куки также вызывают серьезные опасения по поводу конфиденциальности, поэтому важно каждому пользователю иметь базовое представление об этой концепции.
“Куки” — это небольшие промежуточные данные, создаваемые веб-сервером и отправляемые веб-браузеру при посещении веб-страницы. Веб-браузер хранит полученный файл cookie в течение предварительно определенного промежутка времени или в протяжение всего сеанса работы пользователя на сайте. Веб-браузер прикрепляет соответствующий файл cookie к любым последующим запросам пользователя к веб-серверу.
Cookies также могут значительно улучшить ваш опыт просмотра веб-страниц. Cookies помогают веб-сайтам запоминать сделанный вами в прошлом выбор (например, языковые предпочтения, валюту, местоположение и т.д.). Без этих функциональных файлов cookie вам пришлось бы несколько раз посещать один и тот же ресторан, что было бы неприятно, как, например, официант, который вас не помнит. Они также позволяют сохранять любые параметры/данные в браузере на конкретный промежуток времени.
Cookies, используемые в Интернете, также известны как “HTTP cookies”. Как и в большинстве случаев в Интернете, файлы cookie передаются по протоколу HTTP.
Пример всплывающего окна с просьбой подтвердить свое согласие на использование cookies
Большинство веб-сайтов включая и наш, на котором вы читаете данную статью, тоже используют куки. Как правило, файлы cookie безопасны для использования и не содержат вредоносных программ. Ниже приведены примеры наиболее часто встречающихся.
Общие типы файлов cookie, с которыми вы можете столкнуться:
- Постоянные файлы cookie. Этот тип файлов cookie используется для аутентификации на сайте. Многие интернет-магазины также используют их для ремаркетинга, показывая целевую рекламу и предлагая товары в своих магазинах. Постоянные файлы cookie хранятся на вашем компьютере до тех пор, пока не истечет срок их действия или пока вы их не удалите.
- Безопасные файлы cookie или “httpOnly”. Веб-сайты с HTTPS-шифрованием используют их для защиты от хакеров. Безопасные файлы cookie обычно написаны на языке сценариев, таком как JavaScript, и не могут быть использованы вредоносными программами.
- Зомби-печенье. Зомби-печенье особенно проблематично, поскольку оно может быть постоянно установлено на вашем компьютере, даже если вы отказываетесь его принимать. Их также трудно удалить.
В целом, вам незачем беспокоиться об использовании файлов cookie. Однако, если вас это беспокоит, в браузере есть множество опций, которые помогут остановить использование файлов cookie. Кроме того, вы можете явно указать веб-сайтам, что не хотите хранить файлы cookie, и они должны соблюдать это по закону.
