کارگروه بنرهای کوکی EDPB واقعاً چیست

کارگروه یک نهاد هماهنگی است، نه تنظیم‌کننده‌ای مستقل. بر اساس ماده ۷۰ GDPR تأسیس شد که به EDPB اختیار می‌دهد تا همکاری بین مراجع ملی حفاظت از داده در مسائل مورد علاقه مشترک را تسهیل کند. محرک، کمپین شکایاتی بود که توسط noyb، گروه حمایت از حریم خصوصی Max Schrems، علیه صدها وب‌سایت در سراسر EU ارائه شد. از آنجایی که آن شکایات مراجع تقریباً هر کشور عضو را در بر می‌گرفت، EDPB تصمیم گرفت یک انجمن واحد ایجاد کند که DPAها بتوانند یادداشت‌ها را مقایسه کرده و به یک چارچوب تحلیلی مشترک برسند. خروجی کارگروه به شکل گزارش‌هایی است که مستند می‌کنند کدام انتخاب‌های طراحی نقض الزامات رضایت محسوب می‌شوند، بر اساس دسته‌بندی سازماندهی شده‌اند.

این ساختار در عمل اهمیت دارد. گزارش‌ها به شکلی که مقررات یا جریمه ملی الزام‌آور است الزام‌آور نیستند، اما موضع اجماع هر DPA اروپایی را توصیف می‌کنند. هنگامی که یک مرجع ملی تحقیقی را آغاز می‌کند، می‌تواند و به‌طور فزاینده‌ای انجام می‌دهد به یافته‌های کارگروه به‌عنوان شاهدی اشاره کند که یک الگوی بنر مورد اختلاف قبلاً توسط جامعه نظارتی گسترده‌تر غیرمنطبق تشخیص داده شده است. برای ناشران، اثر عملی این است که هر بنری که در برابر معیارهای کارگروه تأیید شود در سراسر EU قابل دفاع است. هر بنری که این معیارها را رعایت نکند در همه جا به‌طور همزمان آسیب‌پذیر است.

شش دسته‌ای که کارگروه بر آن‌ها تمرکز دارد

کارگروه یافته‌های خود را در شش حوزه مشکل همپوشان گروه‌بندی می‌کند. هر کدام با یک الگوی طراحی مطابقت دارد که به‌طور مکرر در شکایات noyb ظاهر شده و DPAها به‌طور جمعی آن را به‌عنوان نقض علامت‌گذاری کرده‌اند.

۱. دکمه رد در لایه اول وجود ندارد

پرارجاع‌ترین یافته در گزارش‌ها. اگر بازدیدکننده‌ای دکمه "همه را بپذیر" را در بنر اولیه ببیند اما دکمه معادل "همه را رد کن" وجود نداشته باشد، انتخاب آزادانه نیست. گزینه‌های پذیرش و رد باید با برجستگی یکسان در همان لایه ارائه شوند. پنهان کردن مسیر رد پشت یک لینک "مدیریت ترجیحات" امروز تنها‌ترین الگو در اقدامات اجرایی است.

۲. چک‌باکس‌های از پیش تیک‌خورده

انتخاب از پیش رضایت برای هر دسته غیرضروری، حتی یکی، کل رکورد رضایت را بر اساس Recital 32 از GDPR باطل می‌کند. کارگروه این را به‌عنوان نقض ذاتی تلقی می‌کند. CMPهای مدرن این را به‌صورت پیش‌فرض خاموش ارسال می‌کنند، اما پیاده‌سازی‌های قدیمی و بنرهای خانگی اغلب هنوز دسته‌های تحلیل یا بازاریابی را از پیش تیک می‌زنند.

۳. طراحی لینک گمراه‌کننده

نامیدن مسیر رد "اطلاعات بیشتر" یا استایل‌دهی آن به‌عنوان یک لینک متنی با کنتراست پایین در حالی که دکمه پذیرش یک بلوک رنگی با کنتراست بالا است، عدم تعادلی ایجاد می‌کند که کارگروه آن را الگوی طراحی فریبنده می‌داند. راه‌حل ساده است: تطبیق وزن فونت، کنتراست رنگ و استایل دکمه بین پذیرش و رد.

۴. دسته‌بندی نادرست کوکی‌ها به‌عنوان "ضروری"

برخی اپراتورها سعی کرده‌اند با نام‌گذاری مجدد کوکی‌های تحلیل، تبلیغات یا رسانه‌های اجتماعی به‌عنوان کاملاً ضروری، از الزام رضایت کاملاً فرار کنند. کارگروه صریح بوده است: یک کوکی تنها در صورتی ضروری است که وب‌سایت از دیدگاه کاربر بدون آن نتواند عمل کند. کوکی‌های تحلیل، آزمون A/B، تبلیغات و شخصی‌سازی واجد شرایط نیستند. برچسب‌گذاری نادرست آن‌ها خود یک نقض مستقل از ردیابی زیربنایی است.

۵. مکانیزم انصراف وجود ندارد

رضایت باید به همان سهولتی که داده می‌شود بازپس گرفته شود. بنری که رضایت را با یک کلیک می‌پذیرد اما کاربران را مجبور می‌کند برای لغو آن از یک منوی تنظیمات چند مرحله‌ای عبور کنند، از این آزمون رد نمی‌شود. کارگروه به‌طور خاص خواستار یک کنترل پایدار، معمولاً یک آیکون شناور یا لینک فوتر، است که بازدیدکننده را به سطح رضایت اصلی بازگرداند.

۶. طراحی بنری که انتخاب را پنهان می‌کند

این پهناورترین و ذهنی‌ترین دسته است. شامل پوشش‌هایی می‌شود که محتوای صفحه را تا زمان دادن رضایت مسدود می‌کنند، بنرهایی که دکمه رد آن‌ها زیر خط دید است، طرح‌های رنگی که مسیر رد را تقریباً نامرئی می‌کنند، و انیمیشن‌هایی که توجه را از انتخاب منحرف می‌کنند. رشته مشترک این است که طراحی کاربر را به‌سمت پذیرش فشار می‌آورد نه اینکه یک انتخاب خنثی ارائه دهد.

این برای اجرا چه معنایی دارد

کارگروه جریمه‌ای تحمیل نمی‌کند. DPAهای ملی این کار را می‌کنند. اما از آنجایی که هر مرجع اروپایی به تحلیل کارگروه پیوسته است، خطر اجرایی در این الگوهای خاص اکنون در سراسر EU یکنواخت است. CNIL در فرانسه بزرگ‌ترین دور جریمه‌های مرتبط با کوکی تاکنون را صادر کرده است، اما Garante ایتالیا، AEPD اسپانیا، مراجع سطح ایالتی آلمان، و DPC ایرلند همگی تحقیقاتی را با استناد به استدلال‌های هم‌راستا با کارگروه آغاز کرده‌اند. حتی ICO بریتانیا، که خارج از محدوده نظارتی EU است، راهنمایی‌هایی منتشر کرده که به‌شدت دسته‌های کارگروه را منعکس می‌کند.

آنچه این همگرایی در عمل به معنای آن است این است که ناشران دیگر نمی‌توانند انطباق را به‌عنوان یک تمرین کشور به کشور تلقی کنند. یک ممیزی بنر باید در برابر دسته‌های کارگروه به‌عنوان یک چک‌لیست یکپارچه اندازه‌گیری شود. اگر بنر در هر یک از شش مورد شکست بخورد، خطر نه یک DPA بلکه کل شبکه نظارتی اروپایی است.

یک چک‌لیست ممیزی عملی

سریع‌ترین راه برای تطبیق یک بنر موجود این است که آن را در برابر دسته‌های بالا اجرا کرده و به هر مورد با یک بله یا خیر مستند پاسخ دهید. سوالات عمداً مشخص هستند.

• تعادل لایه اول. آیا بنر اولیه یک دکمه صریح "همه را رد کن" یا "بدون پذیرش ادامه دهید" در همان سطح "همه را بپذیر" با استایل قابل مقایسه ارائه می‌دهد؟
• حالت پیش‌فرض. آیا همه کلیدهای دسته غیرضروری به‌صورت پیش‌فرض در نمای ترجیحات خاموش هستند؟
• وضوح لینک. آیا مسیر رد با یک فعل که عمل را توصیف می‌کند (مثلاً "همه را رد کن"، "غیرضروری‌ها را نپذیر") برچسب‌گذاری شده، نه با عبارتی مبهم مانند "گزینه‌های بیشتر" یا "تنظیمات"؟
• دسته‌بندی کوکی. آیا تأیید کرده‌اید که هر کوکی فهرست‌شده به‌عنوان "کاملاً ضروری" واقعاً برای عملکرد سایت نیاز است، نه برای تحلیل، تبلیغات یا ویژگی‌های راحتی؟
• دسترسی به انصراف. آیا در هر صفحه یک عنصر UI پایدار وجود دارد که بنر رضایت را دوباره باز می‌کند، با کلیک‌های کمتر یا مساوی با پذیرش اصلی؟
• الگوهای تاریک وجود ندارند. آیا بنر از انتخاب‌های رنگ، اندازه یا انیمیشن که یک عدم تعادل بصری معنادار بین پذیرش و رد ایجاد می‌کنند اجتناب می‌کند؟

بنری که به آن چک‌لیست شش بله روشن می‌دهد در برابر اجرای فعلی هم‌راستا با کارگروه قابل دفاع است. بنری که حتی یک خیر می‌دهد باید به‌عنوان یک پروژه اصلاحی نه یک وظیفه نگهداری در نظر گرفته شود.

کارگروه به کجا می‌رود

گزارش‌های منتشر شده الگوهایی را پوشش می‌دهند که موج اصلی شکایات را راه‌انداختند. کار جاری کارگروه، که از طریق به‌روزرسانی‌های دوره‌ای منتشرشده توسط EDPB قابل مشاهده است، اکنون وارد قلمرو سخت‌تر و کمتر تعیین‌شده می‌شود. سه حوزه احتمالاً دور بعدی راهنمایی را تعریف می‌کنند.

مدل‌های پرداخت یا رضایت

تصمیم چندین ناشر بزرگ اروپایی برای ارائه انتخاب دوتایی بین پرداخت اشتراک و رضایت برای ردیابی به بازدیدکنندگان موضوع بررسی صریح قرار گرفته است. EDPB در سال ۲۰۲۴ نظری صادر کرد که زیر سوال می‌برد آیا چنین انتخابی را می‌توان آزادانه داده‌شده تلقی کرد وقتی جایگزین یک دیوار پولی است. انتظار می‌رود کارگروه معیارهای هماهنگی برای زمانی که پرداخت یا رضایت مجاز است و زمانی که به اجبار تبدیل می‌شود منتشر کند.

خستگی رضایت و دانه‌بندی

سطوح رضایت دانه‌بندی‌شده به‌ازای فروشنده، مانند آنچه توسط IAB TCF تولید می‌شود، برای ایجاد خستگی رضایت و نهایتاً "آگاهانه" نبودن در معنای GDPR مورد انتقاد قرار گرفته‌اند. راهنمایی آینده کارگروه احتمالاً برای کنترل‌های سطح دسته‌بندی به‌جای سطح فروشنده در لایه اول فشار وارد می‌کند، با افشای سطح فروشنده موجود اما برای رضایت اولیه معتبر الزامی نیست.

سطوح موبایل و تلویزیون متصل

بیشتر کار اولیه کارگروه بر بنرهای وب متمرکز بود. جریان‌های رضایت درون‌برنامه‌ای موبایل و رابط‌های تلویزیون متصل محدودیت‌های طراحی متفاوتی دارند و هنوز موضوع یافته‌های دقیق نبوده‌اند. ناشرانی که در آن سطوح فعالیت می‌کنند باید انتظار راهنمایی هماهنگ‌شده را در ۱۲ تا ۱۸ ماه آینده داشته باشند و نباید فرض کنند که یک الگوی بنر وب منطبق به‌طور خودکار ترجمه می‌شود.

جمع‌بندی

کارگروه کاری کرده که GDPR به‌تنهایی نمی‌توانست: یک تفسیر واحد عملیاتی از اینکه رضایت در عمل در سراسر اتحادیه اروپا چگونه به نظر می‌رسد تولید کرده است. برای ناشران، درس این است که عصر خرید قضایی یا اتکا به اجرای ملی سهل‌گیرانه پایان یافته است. پاسخ صحیح این است که دسته‌های کارگروه را به‌عنوان یک استاندارد داخلی الزام‌آور تلقی کنید، بنرهای موجود را در برابر آن‌ها ممیزی کنید، و زیرساخت مدیریت رضایت را طوری پیکربندی کنید که دسته‌ها در سطح پلتفرم اعمال شوند نه اینکه به پیاده‌سازی صفحه به صفحه واگذار شوند. یک CMP مدرن که به‌وضوح روی شش دسته نگاشت می‌شود، دکمه‌های لایه اول متعادل، کلیدهای پیش‌فرض خاموش، برچسب‌های رد با زبان ساده، دسته‌بندی دقیق کوکی، دسترسی پایدار به انصراف، و طراحی خنثی، یک وضعیت انطباق آسیب‌پذیر را به یک وضعیت قابل دفاع در همه بازارهای اروپایی به‌طور همزمان تبدیل می‌کند.