การปฏิบัติตามกฎ17 มิถุนายน 2569 | FlexyConsent

EDPB Cookie Banner Taskforce: บทเรียนการปฏิบัติตามกฎ 2026 สำหรับผู้เผยแพร่และนักการตลาด

มาหลายปีแล้วที่ผู้เผยแพร่ที่ดำเนินงานทั่วสหภาพยุโรปสามารถพึ่งพิงเรื่องเล่าที่น่าปลอบใจเรื่องหนึ่งได้ นั่นคือหน่วยงานคุ้มครองข้อมูลแต่ละแห่งตีความ GDPR และ Directive ePrivacy แตกต่างกันไปเล็กน้อย ดังนั้นแบนเนอร์คุกกี้ที่ผ่านการตรวจสอบในประเทศหนึ่งก็น่าจะผ่านการตรวจสอบได้ทุกที่ เรื่องเล่านั้นได้จบสิ้นลงแล้ว Cookie Banner Taskforce ของ European Data Protection Board ซึ่งเปิดตัวในปี 2022 เพื่อประสานการตอบสนองต่อคลื่นคำร้องเรียนข้ามพรมแดน ได้กลายเป็นสิ่งที่ใกล้เคียงที่สุดที่ EU มีต่อกฎการให้ความยินยอมสำหรับคุกกี้ที่เป็นหนึ่งเดียว รายงานของกลุ่มนี้อธิบาย — ในรายละเอียดที่เป็นรูปธรรม ทีละแบนเนอร์ — รูปแบบการออกแบบที่หน่วยงานกำกับดูแลได้ตัดสินใจร่วมกันว่าไม่เป็นไปตามข้อกำหนด ใครก็ตามที่ใช้แบนเนอร์ความยินยอมบนการเข้าชมของยุโรปควรปฏิบัติต่อจุดยืนของ Taskforce เป็นมาตรฐานพื้นฐาน เพราะหน่วยงานระดับชาติได้เริ่มอ้างถึงพวกมันโดยตรงในการตัดสินใจบังคับใช้

EDPB Cookie Banner Taskforce คืออะไรจริงๆ

Taskforce เป็นหน่วยงานประสานงาน ไม่ใช่หน่วยงานกำกับดูแลในตัวเอง มันถูกจัดตั้งขึ้นภายใต้ Article 70 ของ GDPR ซึ่งเสริมอำนาจให้ EDPB อำนวยความสะดวกในการร่วมมือระหว่างหน่วยงานคุ้มครองข้อมูลระดับชาติในประเด็นที่เป็นประโยชน์ร่วมกัน แรงผลักดันคือแคมเปญคำร้องเรียนที่ยื่นโดย noyb — กลุ่มสนับสนุนความเป็นส่วนตัวของ Max Schrems — ต่อเว็บไซต์หลายร้อยแห่งทั่ว EU เนื่องจากคำร้องเรียนเหล่านั้นกระทบหน่วยงานในเกือบทุกรัฐสมาชิก EDPB จึงตัดสินใจสร้างฟอรัมเดียวที่ DPAs สามารถเปรียบเทียบข้อมูลและบรรลุกรอบการวิเคราะห์ร่วมกัน ผลลัพธ์ของ Taskforce อยู่ในรูปของรายงานที่บันทึกตัวเลือกการออกแบบที่ถือว่าเป็นการละเมิดข้อกำหนดความยินยอม จัดตามหมวดหมู่

โครงสร้างนั้นมีความสำคัญในทางปฏิบัติ รายงานไม่ผูกมัดในลักษณะที่กฎระเบียบหรือค่าปรับระดับชาติผูกมัด แต่อธิบายถึงจุดยืนของฉันทามติของ DPA ยุโรปทุกแห่ง เมื่อหน่วยงานระดับชาติเปิดการสอบสวน มันสามารถ — และทำมากขึ้นเรื่อยๆ — ชี้ไปยังผลการพิจารณาของ Taskforce เป็นหลักฐานว่ารูปแบบแบนเนอร์ที่มีการโต้เถียงได้ถูกตัดสินว่าไม่เป็นไปตามข้อกำหนดโดยชุมชนกำกับดูแลที่กว้างขึ้นแล้ว สำหรับผู้เผยแพร่ ผลกระทบในทางปฏิบัติคือแบนเนอร์ใดๆ ที่ผ่านเกณฑ์ของ Taskforce สามารถป้องกันได้ทั่ว EU แบนเนอร์ใดๆ ที่ล้มเหลวตามเกณฑ์เหล่านั้นจะเปิดเผยทุกที่พร้อมกัน

หกหมวดหมู่ที่ Taskforce มุ่งเน้น

Taskforce จัดกลุ่มผลการพิจารณาในหกพื้นที่ปัญหาที่ทับซ้อนกัน แต่ละพื้นที่ตรงกับรูปแบบการออกแบบที่ปรากฏซ้ำๆ ในคำร้องเรียนของ noyb และที่ DPAs ได้ทำเครื่องหมายร่วมกันว่าเป็นการละเมิด

1. ไม่มีปุ่มปฏิเสธในเลเยอร์แรก

ผลการพิจารณาที่ถูกอ้างถึงมากที่สุดในรายงาน หากผู้เยี่ยมชมเห็นปุ่ม "ยอมรับทั้งหมด" บนแบนเนอร์เริ่มต้นแต่ไม่มีปุ่ม "ปฏิเสธทั้งหมด" ที่เทียบเท่า ตัวเลือกนั้นก็ไม่ได้ให้อย่างเสรี ตัวเลือกยอมรับและปฏิเสธต้องนำเสนอด้วยความโดดเด่นเท่ากันในเลเยอร์เดียวกัน การฝังเส้นทางปฏิเสธไว้หลังลิงก์ "จัดการการตั้งค่า" เป็นรูปแบบที่พบบ่อยที่สุดในการดำเนินการบังคับใช้ในปัจจุบัน

2. ช่องทำเครื่องหมายที่ถูกเลือกไว้ล่วงหน้า

การเลือกล่วงหน้าสำหรับหมวดหมู่ที่ไม่จำเป็นใดๆ — แม้แต่หมวดเดียว — จะทำให้บันทึกความยินยอมทั้งหมดเป็นโมฆะภายใต้ Recital 32 ของ GDPR Taskforce ปฏิบัติต่อสิ่งนี้ว่าเป็นการละเมิดโดยตัวมันเอง CMP ที่ทันสมัยจะมาพร้อมกับการปิดใช้งานสิ่งนี้โดยค่าเริ่มต้น แต่การนำไปใช้แบบเดิมและแบนเนอร์ที่สร้างเองมักยังคงเลือกล่วงหน้าสำหรับหมวดการวิเคราะห์หรือการตลาด

3. การออกแบบลิงก์ที่หลอกลวง

การเรียกเส้นทางปฏิเสธว่า "ข้อมูลเพิ่มเติม" หรือจัดสไตล์เป็นลิงก์ข้อความที่มีความเปรียบต่ำขณะที่ปุ่มยอมรับเป็นบล็อกสีที่มีความเปรียบสูง สร้างความไม่สมดุลที่ Taskforce ถือว่าเป็นรูปแบบการออกแบบที่หลอกลวง การแก้ไขนั้นตรงไปตรงมา: จับคู่น้ำหนักตัวอักษร ความเปรียบสี และสไตล์ปุ่มระหว่างยอมรับและปฏิเสธ

4. การจัดประเภทคุกกี้ผิดว่าเป็น "จำเป็น"

ผู้ดำเนินการบางรายพยายามหลบเลี่ยงข้อกำหนดความยินยอมโดยสิ้นเชิงโดยการเปลี่ยนชื่อคุกกี้ analytics การโฆษณา หรือโซเชียลมีเดียว่าเป็นสิ่งที่จำเป็นอย่างเคร่งครัด Taskforce ชัดเจนแล้ว: คุกกี้จำเป็นก็ต่อเมื่อเว็บไซต์ไม่สามารถทำงานได้หากปราศจากมันจากมุมมองของผู้ใช้ คุกกี้ analytics, การทดสอบ A/B, การโฆษณา และการปรับแต่งส่วนบุคคลไม่เข้าข่าย การติดฉลากผิดนั้นเป็นการละเมิดในตัวเองโดยไม่ขึ้นกับการติดตามพื้นฐาน

5. ไม่มีกลไกการถอนความยินยอม

ความยินยอมต้องถอนได้ง่ายพอๆ กับการให้ แบนเนอร์ที่รับความยินยอมด้วยคลิกเดียวแต่บังคับให้ผู้ใช้ผ่านเมนูการตั้งค่าหลายขั้นตอนเพื่อเพิกถอนจะล้มเหลวในการทดสอบนี้ Taskforce เรียกร้องโดยเฉพาะสำหรับการควบคุมที่คงอยู่ตลอด — โดยทั่วไปเป็นไอคอนลอยหรือลิงก์ส่วนท้าย — ที่พาผู้เยี่ยมชมกลับไปยังพื้นผิวความยินยอมเดิม

6. การออกแบบแบนเนอร์ที่ซ่อนตัวเลือก

นี่คือหมวดหมู่ที่กว้างที่สุดและเป็นอัตวิสัยมากที่สุด รวมถึงโอเวอร์เลย์ที่ปิดกั้นเนื้อหาหน้าจนกว่าจะมีการให้ความยินยอม แบนเนอร์ที่ปุ่มปฏิเสธอยู่ด้านล่างส่วนที่มองเห็น รูปแบบสีที่ทำให้เส้นทางปฏิเสธแทบมองไม่เห็น และแอนิเมชันที่ดึงความสนใจออกจากตัวเลือก เส้นด้ายร่วมคือการออกแบบกดดันผู้ใช้ให้ยอมรับแทนที่จะนำเสนอตัวเลือกที่เป็นกลาง

ความหมายต่อการบังคับใช้

Taskforce ไม่ได้กำหนดค่าปรับ DPAs ระดับชาติทำ แต่เนื่องจากหน่วยงานยุโรปทุกแห่งได้ลงนามในการวิเคราะห์ของ Taskforce ความเสี่ยงในการบังคับใช้สำหรับรูปแบบเฉพาะเหล่านี้จึงมีความสม่ำเสมอทั่ว EU แล้ว CNIL ในฝรั่งเศสได้ออกค่าปรับที่เกี่ยวกับคุกกี้มากที่สุดจนถึงปัจจุบัน แต่ Garante ของอิตาลี AEPD ของสเปน หน่วยงานระดับรัฐของเยอรมนี และ DPC ของไอร์แลนด์ต่างได้เปิดการสอบสวนโดยอ้างเหตุผลที่สอดคล้องกับ Taskforce แม้แต่ UK ICO ซึ่งอยู่นอกขอบเขตการกำกับดูแลของ EU ก็ได้เผยแพร่คำแนะนำที่สะท้อนหมวดหมู่ของ Taskforce อย่างใกล้ชิด

สิ่งที่การบรรจบกันนี้หมายถึงในทางปฏิบัติคือผู้เผยแพร่ไม่สามารถปฏิบัติต่อการปฏิบัติตามกฎเป็นการออกกำลังกายทีละประเทศอีกต่อไป การตรวจสอบแบนเนอร์ควรวัดเทียบกับหมวดหมู่ของ Taskforce เป็นรายการตรวจสอบที่เป็นหนึ่งเดียว หากแบนเนอร์ล้มเหลวในหมวดหมู่ใดหมวดหมู่หนึ่งจากหกหมวด ความเสี่ยงไม่ใช่ DPA เดียว แต่เป็นเครือข่ายกำกับดูแลยุโรปทั้งหมด

รายการตรวจสอบการตรวจสอบที่ใช้งานได้จริง

วิธีที่เร็วที่สุดในการนำแบนเนอร์ที่มีอยู่ให้สอดคล้องคือการเรียกใช้เทียบกับหมวดหมู่ข้างต้นและตอบแต่ละรายการด้วยใช่หรือไม่ที่บันทึกไว้ คำถามนั้นจงใจให้เป็นรูปธรรม

ความสมดุลของเลเยอร์แรก แบนเนอร์เริ่มต้นเสนอปุ่ม "ปฏิเสธทั้งหมด" หรือ "ดำเนินการต่อโดยไม่ยอมรับ" อย่างชัดเจนบนพื้นผิวเดียวกับ "ยอมรับทั้งหมด" พร้อมสไตล์ที่เทียบเคียงได้หรือไม่?
สถานะเริ่มต้น ตัวสลับหมวดหมู่ที่ไม่จำเป็นทั้งหมดถูกตั้งค่าเป็นปิดโดยค่าเริ่มต้นในมุมมองการตั้งค่าหรือไม่?
ความชัดเจนของลิงก์ เส้นทางสู่การปฏิเสธถูกติดฉลากด้วยคำกริยาที่อธิบายการกระทำ (เช่น "ปฏิเสธทั้งหมด", "ปฏิเสธที่ไม่จำเป็น") ไม่ใช่วลีที่คลุมเครือเช่น "ตัวเลือกเพิ่มเติม" หรือ "การตั้งค่า" หรือไม่?
การจัดประเภทคุกกี้ คุณได้ตรวจสอบแล้วหรือไม่ว่าคุกกี้ทุกอันที่ระบุว่า "จำเป็นอย่างเคร่งครัด" นั้นจำเป็นต้องใช้จริงๆ สำหรับเว็บไซต์เพื่อทำงาน ไม่ใช่สำหรับการวิเคราะห์ การโฆษณา หรือฟีเจอร์ความสะดวก?
การเข้าถึงการถอนความยินยอม มีองค์ประกอบ UI ที่คงอยู่ตลอดบนทุกหน้าที่เปิดแบนเนอร์ความยินยอมอีกครั้ง โดยไม่ต้องคลิกมากกว่าการยอมรับเดิมที่ต้องการหรือไม่?
ไม่มีรูปแบบมืด แบนเนอร์หลีกเลี่ยงตัวเลือกสี ขนาด หรือแอนิเมชันที่สร้างความไม่สมดุลทางสายตาที่มีความหมายระหว่างการยอมรับและการปฏิเสธหรือไม่?

แบนเนอร์ที่ตอบใช่หกครั้งอย่างชัดเจนต่อรายการตรวจสอบนั้นสามารถป้องกันได้ต่อการบังคับใช้ที่สอดคล้องกับ Taskforce ในปัจจุบัน แบนเนอร์ที่ตอบว่าไม่แม้แต่ครั้งเดียวควรได้รับการปฏิบัติเป็นโครงการแก้ไขมากกว่างานบำรุงรักษา

Taskforce มุ่งหน้าไปที่ใดต่อไป

รายงานที่เผยแพร่ครอบคลุมรูปแบบที่จุดชนวนคลื่นคำร้องเรียนดั้งเดิม งานที่กำลังดำเนินการของ Taskforce — มองเห็นได้ผ่านการอัปเดตเป็นระยะที่ EDPB เผยแพร่ — กำลังผลักดันไปในดินแดนที่ยากขึ้น ยังไม่ตกผลึก สามพื้นที่น่าจะกำหนดรอบคำแนะนำถัดไป

โมเดลจ่ายเงินหรือให้ความยินยอม

การตัดสินใจของผู้เผยแพร่รายใหญ่หลายรายในยุโรปเสนอผู้เยี่ยมชมตัวเลือกไบนารีระหว่างการจ่ายค่าสมัครสมาชิกและการยินยอมต่อการติดตามได้รับการตรวจสอบอย่างชัดเจน EDPB ออกความเห็นในปี 2024 ตั้งคำถามว่าตัวเลือกดังกล่าวสามารถถือว่าให้อย่างเสรีเมื่อทางเลือกอื่นคือ paywall ได้หรือไม่ Taskforce คาดว่าจะเผยแพร่เกณฑ์ที่ประสานงานกันว่าเมื่อใดที่ pay-or-consent เป็นที่อนุญาตและเมื่อใดที่มันข้ามเส้นเป็นการบีบบังคับ

ความเหนื่อยล้าจากความยินยอมและความละเอียด

พื้นผิวความยินยอมที่ละเอียดมากต่อผู้ขาย เช่น ที่สร้างโดย IAB TCF ถูกวิพากษ์วิจารณ์ว่าก่อให้เกิดความเหนื่อยล้าจากความยินยอมและในท้ายที่สุดไม่ "ได้รับการแจ้ง" ตามความหมายของ GDPR คำแนะนำของ Taskforce ในอนาคตน่าจะผลักดันการควบคุมระดับหมวดหมู่มากกว่าระดับผู้ขายในเลเยอร์แรก โดยการเปิดเผยระดับผู้ขายมีให้แต่ไม่จำเป็นสำหรับความยินยอมที่ถูกต้องเริ่มต้น

พื้นผิวมือถือและโทรทัศน์ที่เชื่อมต่อ

งาน Taskforce ยุคแรกส่วนใหญ่มุ่งเน้นที่แบนเนอร์เว็บ กระบวนการให้ความยินยอมในแอปมือถือและอินเทอร์เฟซโทรทัศน์ที่เชื่อมต่อมีข้อจำกัดการออกแบบที่แตกต่างกันและยังไม่ได้เป็นเรื่องของผลการพิจารณาโดยละเอียด ผู้เผยแพร่ที่ดำเนินงานบนพื้นผิวเหล่านั้นควรคาดหวังคำแนะนำที่ประสานงานกันภายใน 12 ถึง 18 เดือนข้างหน้า และไม่ควรสันนิษฐานว่ารูปแบบแบนเนอร์เว็บที่สอดคล้องจะแปลโดยอัตโนมัติ

รวมทุกอย่างเข้าด้วยกัน

Taskforce ได้ทำบางอย่างที่ GDPR เพียงอย่างเดียวไม่สามารถทำได้ มันได้ผลิตการตีความเดียวที่เป็นปฏิบัติการของสิ่งที่ความยินยอมดูเหมือนในทางปฏิบัติทั่วสหภาพยุโรป สำหรับผู้เผยแพร่ บทเรียนคือยุคของการช้อปปิ้งเขตอำนาจศาลหรือพึ่งพาการบังคับใช้ระดับชาติที่หละหลวมสิ้นสุดแล้ว การตอบสนองที่ถูกต้องคือปฏิบัติต่อหมวดหมู่ของ Taskforce เป็นมาตรฐานภายในที่มีผลผูกมัด ตรวจสอบแบนเนอร์ที่มีอยู่เทียบกับพวกมัน และกำหนดค่าโครงสร้างพื้นฐานการจัดการความยินยอมเพื่อให้หมวดหมู่ถูกบังคับใช้ในระดับแพลตฟอร์มมากกว่าปล่อยให้เป็นการนำไปใช้ต่อหน้า CMP ที่ทันสมัยที่แมปอย่างชัดเจนกับหกหมวดหมู่ — ปุ่มเลเยอร์แรกที่สมดุล ตัวสลับปิดโดยค่าเริ่มต้น ป้ายปฏิเสธภาษาธรรมดาที่ชัดเจน การจัดประเภทคุกกี้ที่แม่นยำ การเข้าถึงการถอนความยินยอมที่คงอยู่ตลอด และการออกแบบที่เป็นกลาง — เปลี่ยนท่าทีการปฏิบัติตามกฎที่เปิดเผยให้กลายเป็นสิ่งที่ป้องกันได้ทั่วทุกตลาดยุโรปพร้อมกัน