EDPB Cookie Banner Taskforce Thực Sự Là Gì

Taskforce là cơ quan phối hợp, không phải là cơ quan quản lý theo đúng nghĩa của nó. Nó được thành lập theo Article 70 của GDPR, trao quyền cho EDPB tạo điều kiện hợp tác giữa các cơ quan bảo vệ dữ liệu quốc gia về các câu hỏi lợi ích chung. Nguyên nhân là một chiến dịch khiếu nại do noyb — nhóm vận động quyền riêng tư của Max Schrems — đệ nộ chống lại hàng trăm trang web trên khắp EU. Bởi vì những khiếu nại đó đã chạm đến các cơ quan ở gần như mọi quốc gia thành viên, EDPB đã quyết định tạo ra một diễn đàn duy nhất nơi các DPA có thể so sánh ghi chú và đạt được khung phân tích chung. Kết quả của taskforce có dạng các báo cáo ghi lại những lựa chọn thiết kế nào được coi là vi phạm các yêu cầu đồng ý, được tổ chức theo danh mục.

Cấu trúc đó có ý nghĩa thực tiễn. Các báo cáo không có tính ràng buộc theo cách mà một quy định hoặc khoản phạt quốc gia mang tính ràng buộc, nhưng chúng mô tả vị trí đồng thuận của mọi DPA Châu Âu. Khi một cơ quan quốc gia mở cuộc điều tra, cơ quan đó có thể — và ngày càng làm vậy — chỉ ra các phát hiện của taskforce như bằng chứng rằng một mẫu banner bị tranh cãi đã được cộng đồng quản lý rộng lớn hơn phán xét là không tuân thủ. Đối với các nhà xuất bản, hiệu quả thực tế là bất kỳ banner nào được thông qua theo tiêu chí của taskforce đều có thể bảo vệ được trên toàn EU. Bất kỳ banner nào không đáp ứng các tiêu chí đó đều bị phơi bày ở khắp nơi cùng một lúc.

Sáu Danh Mục Mà Taskforce Tập Trung

Taskforce nhóm các phát hiện của mình vào sáu khu vực vấn đề chồng chéo nhau. Mỗi khu vực tương ứng với một mẫu thiết kế xuất hiện lặp đi lặp lại trong các khiếu nại noyb và mà các DPA đã cùng nhau đánh dấu là vi phạm.

1. Không có nút từ chối ở lớp đầu tiên

Phát hiện được trích dẫn nhiều nhất trong các báo cáo. Nếu khách truy cập thấy nút "Chấp nhận tất cả" trên banner ban đầu nhưng không có nút "Từ chối tất cả" tương đương, thì sự lựa chọn không được đưa ra một cách tự do. Các tùy chọn chấp nhận và từ chối phải được trình bày với mức độ nổi bật bình đẳng trên cùng một lớp. Ẩn đường dẫn từ chối phía sau liên kết "Quản lý tùy chọn" là mẫu phổ biến nhất trong các hành động thực thi ngày nay.

2. Hộp kiểm được đánh dấu sẵn

Chọn trước đồng ý cho bất kỳ danh mục không thiết yếu nào — thậm chí một danh mục — làm mất hiệu lực toàn bộ bản ghi đồng ý theo Recital 32 của GDPR. Taskforce coi đây là vi phạm per-se. CMP hiện đại được giao hàng với tính năng này tắt theo mặc định, nhưng các triển khai cũ và banner tự xây dựng thường vẫn đánh dấu sẵn các danh mục phân tích hoặc tiếp thị.

3. Thiết kế liên kết lừa đảo

Gọi đường dẫn từ chối là "Thêm thông tin" hoặc tạo kiểu nó như một liên kết văn bản có độ tương phản thấp trong khi nút chấp nhận là một khối có màu tương phản cao tạo ra sự mất cân bằng mà taskforce coi là mẫu thiết kế lừa đảo. Biện pháp khắc phục rất đơn giản: khớp trọng lượng phông chữ, độ tương phản màu và kiểu dáng nút giữa chấp nhận và từ chối.

4. Phân loại cookie sai là "thiết yếu"

Một số nhà khai thác đã cố gắng thoát hoàn toàn khỏi yêu cầu đồng ý bằng cách đổi tên các cookie phân tích, quảng cáo hoặc mạng xã hội thành cookie cần thiết nghiêm ngặt. Taskforce đã rõ ràng: một cookie chỉ thiết yếu khi trang web không thể hoạt động nếu thiếu nó từ góc độ của người dùng. Các cookie phân tích, kiểm tra A/B, quảng cáo và cá nhân hóa không đủ điều kiện. Gán nhãn sai cho chúng tự nó là vi phạm độc lập với việc theo dõi cơ bản.

5. Không có cơ chế rút lui

Đồng ý phải dễ rút lại như khi đưa ra. Banner chấp nhận đồng ý chỉ bằng một cú nhấp nhưng buộc người dùng phải trải qua menu cài đặt nhiều bước để thu hồi sẽ thất bại bài kiểm tra này. Taskforce đặc biệt kêu gọi một điều khiển liên tục — thông thường là biểu tượng nổi hoặc liên kết chân trang — đưa khách truy cập trở lại giao diện đồng ý ban đầu.

6. Thiết kế banner che khuất sự lựa chọn

Đây là danh mục rộng nhất và chủ quan nhất. Nó bao gồm các lớp phủ chặn nội dung trang cho đến khi đồng ý được cấp, các banner có nút từ chối nằm bên dưới phần hiển thị, các bảng màu khiến đường dẫn từ chối gần như không nhìn thấy và các hoạt ảnh thu hút sự chú ý ra khỏi lựa chọn. Điểm chung là thiết kế gây áp lực buộc người dùng phải chấp nhận thay vì trình bày một sự lựa chọn trung lập.

Điều Này Có Nghĩa Gì Đối Với Thực Thi

Taskforce không áp đặt phạt tiền. Các DPA quốc gia làm điều đó. Nhưng vì mọi cơ quan Châu Âu đã đăng ký theo phân tích của taskforce, rủi ro thực thi trên các mẫu cụ thể này hiện đồng đều trên toàn EU. CNIL ở Pháp đã ban hành chuỗi phạt tiền liên quan đến cookie lớn nhất cho đến nay, nhưng Garante của Ý, AEPD của Tây Ban Nha, các cơ quan cấp tiểu bang của Đức và DPC của Ireland đều đã mở cuộc điều tra trích dẫn lý luận phù hợp với taskforce. Ngay cả UK ICO, nằm ngoài phạm vi quy định của EU, cũng đã xuất bản hướng dẫn phản ánh chặt chẽ các danh mục của taskforce.

Sự hội tụ này có nghĩa gì trên thực tế là các nhà xuất bản không còn có thể coi tuân thủ là bài tập từng quốc gia nữa. Kiểm toán banner nên được đo lường theo các danh mục của taskforce như một danh sách kiểm tra thống nhất. Nếu banner thất bại ở bất kỳ danh mục nào trong sáu danh mục, rủi ro không phải là một DPA mà là toàn bộ mạng lưới giám sát Châu Âu.

Danh Sách Kiểm Tra Kiểm Toán Thực Tế

Cách nhanh nhất để đưa một banner hiện có vào tuân thủ là chạy nó theo các danh mục trên và trả lời từng mục với có hoặc không được ghi lại. Các câu hỏi được cố tình cụ thể.

• Cân bằng lớp đầu tiên. Banner ban đầu có cung cấp nút "Từ chối tất cả" hoặc "Tiếp tục mà không chấp nhận" rõ ràng trên cùng bề mặt với "Chấp nhận tất cả", với kiểu dáng tương đương không?
• Trạng thái mặc định. Tất cả các nút chuyển đổi danh mục không thiết yếu có được đặt ở trạng thái tắt theo mặc định trong chế độ xem tùy chọn không?
• Sự rõ ràng của liên kết. Đường dẫn đến từ chối có được gán nhãn bằng động từ mô tả hành động (ví dụ: "Từ chối tất cả", "Từ chối không thiết yếu"), không phải cụm từ mơ hồ như "Thêm tùy chọn" hoặc "Cài đặt" không?
• Phân loại cookie. Bạn đã xác minh rằng mọi cookie được liệt kê là "cần thiết nghiêm ngặt" đều thực sự cần thiết để trang web hoạt động, không phải cho phân tích, quảng cáo hoặc các tính năng tiện ích chưa?
• Quyền truy cập rút lui. Có một phần tử UI liên tục trên mỗi trang mở lại banner đồng ý, không nhiều lần nhấp hơn so với chấp nhận ban đầu được yêu cầu không?
• Không có mẫu tối. Banner có tránh các lựa chọn màu sắc, kích thước hoặc hoạt ảnh tạo ra sự mất cân bằng trực quan có ý nghĩa giữa chấp nhận và từ chối không?

Banner trả về sáu lần có rõ ràng cho danh sách kiểm tra đó có thể bảo vệ được trước việc thực thi phù hợp với taskforce hiện tại. Banner trả về ngay cả một không nên được xử lý như một dự án khắc phục thay vì một nhiệm vụ bảo trì.

Taskforce Đang Hướng Đến Đâu Tiếp Theo

Các báo cáo đã xuất bản bao gồm các mẫu đã kích hoạt làn sóng khiếu nại ban đầu. Công việc đang diễn ra của taskforce — có thể thấy qua các cập nhật định kỳ do EDPB phát hành — hiện đang thúc đẩy vào lãnh thổ khó khăn hơn, ít ổn định hơn. Ba lĩnh vực có khả năng xác định vòng hướng dẫn tiếp theo.

Mô hình trả tiền hoặc đồng ý

Quyết định của một số nhà xuất bản lớn của Châu Âu khi cung cấp cho khách truy cập lựa chọn nhị phân giữa trả tiền đăng ký và đồng ý theo dõi đã thu hút sự xem xét kỹ lưỡng rõ ràng. EDPB đã đưa ra ý kiến vào năm 2024 đặt câu hỏi liệu sự lựa chọn như vậy có thể được coi là đưa ra một cách tự do khi thay thế là một paywall hay không. Taskforce được kỳ vọng sẽ công bố các tiêu chí phối hợp về thời điểm trả tiền hoặc đồng ý được phép và thời điểm nó vượt qua ranh giới cưỡng chế.

Mệt mỏi đồng ý và mức độ chi tiết

Các bề mặt đồng ý chi tiết cao theo từng nhà cung cấp, như những bề mặt được tạo ra bởi IAB TCF, đã bị chỉ trích vì tạo ra sự mệt mỏi về đồng ý và cuối cùng không phải là "được thông tin" trong phạm vi nghĩa của GDPR. Hướng dẫn taskforce trong tương lai có khả năng sẽ thúc đẩy các điều khiển ở cấp độ danh mục hơn là ở cấp độ nhà cung cấp trên lớp đầu tiên, với việc tiết lộ cấp độ nhà cung cấp có sẵn nhưng không bắt buộc đối với sự đồng ý hợp lệ ban đầu.

Bề mặt di động và TV kết nối

Công việc taskforce đầu tiên chủ yếu tập trung vào các web banner. Luồng đồng ý trong ứng dụng di động và giao diện TV kết nối có các ràng buộc thiết kế khác nhau và chưa là chủ đề của các phát hiện chi tiết. Các nhà xuất bản hoạt động trên các bề mặt đó nên mong đợi hướng dẫn phối hợp trong vòng 12 đến 18 tháng tới và không nên giả định rằng một mẫu web banner tuân thủ sẽ tự động chuyển đổi.

Tổng Hợp Lại

Taskforce đã làm được điều mà chỉ riêng GDPR không thể: nó đã tạo ra một cách giải thích hoạt động duy nhất về sự đồng ý trông như thế nào trong thực tế trên toàn Liên minh Châu Âu. Đối với các nhà xuất bản, bài học là kỷ nguyên mua sắm thẩm quyền hoặc dựa vào việc thực thi quốc gia lỏng lẻo đã kết thúc. Phản ứng đúng đắn là coi các danh mục của taskforce là tiêu chuẩn nội bộ có tính ràng buộc, kiểm toán các banner hiện có theo chúng và cấu hình cơ sở hạ tầng quản lý đồng ý sao cho các danh mục được thực thi ở cấp độ nền tảng thay vì để lại cho việc triển khai theo từng trang. CMP hiện đại ánh xạ rõ ràng lên sáu danh mục — các nút lớp đầu tiên cân bằng, các nút chuyển đổi mặc định tắt, nhãn từ chối ngôn ngữ đơn giản rõ ràng, phân loại cookie chính xác, quyền truy cập rút lui liên tục và thiết kế trung lập — biến vị trí tuân thủ đang bị phơi bày thành vị trí có thể bảo vệ được trên mọi thị trường Châu Âu cùng một lúc.