你有沒有想過,當你瀏覽網頁時,你是如何記住你的登入狀態、購物車內容或個性化偏好的?
答案就在一件看似平凡的小事裡——網路 Cookie。
在本文中,我們將揭穿 Cookie,了解 Cookie、主 Cookie,以及如何使用 Cookie 在保持合規性的同時產生商業價值。
首先,如果我們當前正在瀏覽乙個**,有些功能只有在登入後才能檢視,此時**會要求你登入,比如輸入賬號和密碼,或者使用一些第三方登入方式。
當我們單擊登入按鈕時,瀏覽器會以固定格式將我們的帳戶和密碼等其他資訊傳送到伺服器。 如果伺服器驗證它是正確的,它會將我們請求的內容返回給瀏覽器,以便我們可以登入並訪問我們想要檢視的內容。
那麼問題就來了,伺服器本身只接受來自瀏覽器的請求,而無法記錄我們的登入狀態,如果你此時訪問了相同**的其他頁面,在沒有記錄的情況下,伺服器還是會要求你重新登入。
可想而知,如果你在瀏覽器上**,每次點選都會要求你重新登入,那會有多麻煩。
因此,我們經常可以看到一些**允許使用者在一段時間內免費登入,例如3天,10天,30天等。
這要歸功於 cookie 的作用
每次使用者登入時,伺服器都會為使用者向瀏覽器返回乙個唯一的ID,這個唯一的ID就是cookie,當使用者繼續操作網頁時,瀏覽器每次請求伺服器時都會帶上這個cookie,讓伺服器知道你是誰,並能返回一些你獨有的資訊和內容, 而且您不需要被重新識別。
正如我們所看到的,cookie 本質上會在請求過程中攜帶一些資訊,例如使用者的唯一 ID。 但是,在實際業務場景中,這些資訊可能是各種各樣的,當然也可以侷限於使用者的唯一ID,實際上,當你訪問時ip位置語言偏好,購物車中的商品型別等,可以作為cookie攜帶併發送到伺服器。
至於cookies攜帶哪些資訊,則取決於**本身。 他們中的大多數人,為了更好地了解我們,希望從我們這裡收集更多的資訊,例如您的購物車內容、點選的鏈結、檢視的內容、點選的型別等,以形成更全面的分析畫像。
單個 cookie 的容量限制為 4kb,這顯然是不夠的,因為需要記錄的資訊越來越多,瀏覽器也會限制 cookie 的數量
聰明的開發人員想出了乙個解決方案,因為儲存在瀏覽器中的cookie數量有限且不是很安全(相當於瀏覽器生成的令牌,存在一定的篡改風險)。
所以session它誕生了。
如果 cookie 主要是儲存在客戶端上以表示客戶端帳戶身份的字串,則可以像令牌一樣在很長一段時間內重複使用。
會話是為了滿足當前的通訊狀態並保留資訊,然後在結束時關閉。 Cookie 只是實現會話的方法之一。 雖然它是最常用的,但它並不是唯一的方法。 禁用 Cookie 後,還有其他方法可以儲存它們,例如在 URL 中。
如今,它們中的大多數是會話 + cookie,但理論上可以只用沒有 cookie 的會話來維護會話狀態,或者只有有 cookie 而沒有會話。 然而,在實踐中,由於各種原因,它通常不會單獨使用。
使用會話,你只需要在客戶端上儲存乙個ID,實際上,很多資料都儲存在伺服器上。 如果使用所有 cookie,則當資料量很大時,客戶端將沒有那麼多空間。
如果只使用cookie而不是會話,那麼所有的賬戶資訊都儲存在客戶端中,一旦被劫持,所有資訊都會被洩露。 並且客戶端上的資料量變大,網路傳輸的資料量也會增加。
簡而言之,會話類似於使用者配置檔案,其中包含使用者的憑據和登入狀態等資訊。 而cookie是使用者通行證。
根據上面的描述,cookie和會話儲存在客戶端和伺服器端,但同樣會儲存使用者的一些基本身份資訊,如瀏覽器資訊、動態IP位址等。
在Patrick Breyer v在BundsRepublic Deutchland案中,歐盟法院(CJEU)認為,如果將動態IP位址與網際網絡服務提供商(ISPS)持有的其他資料(例如使用者訪問)相結合,哪些頁面可以“間接識別”自然人,因此確定動態IP資料是“去標識化”的個人資訊,需要受到GDPR的監管。
在cookie的使用上一直存在乙個限制,即乙個**,只能檢視自己儲存的cookie,那麼,乙個有廣告需求的購物者,如何跟蹤使用者在其他人**,並有針對性地投放廣告呢?
這其中涉及的技術是:Cookie 跟蹤。
他們大多是免費向使用者提供內容,比如社交、內容等,而這些收入大部分基本都來自廣告,而廣告其實是隸屬於另外的,比如我們前面提到的購物。
廣告空間所屬的廣告商將在社交(廣告收入方)頁面上放置乙個跟蹤 cookie,我們稱之為第三方 Cookie每個**只能獲得一小部分資訊,但廣告商可以將每個**的資料拼湊在一起,形成您的數字肖像。
例如,如果你經常在A**中瀏覽健身相關內容,廣告商會從你那裡收集這些資訊,當你瀏覽B**時,你會在B**的廣告位中看到健身器材的購物廣告,在你感興趣並點選後,健身器材**的銷售將向廣告商結算廣告費用, 廣告商還將部分收入分享給 A,以便 A 繼續允許廣告商在其**上跟蹤使用者 cookie。
現在我們知道,第三方cookie經常被用於一些廣告和營銷目的,這些使用會給他們自己、廣告商和投放廣告的廣告商帶來一些好處,而消費者往往無法選擇是否接受這些廣告。
GDPR 對 Cookie 的使用有限制,主要包括:第7條跟第22條.
第22條規定了需要使用者同意的一些法律依據:
基於資料主體的明確同意;其影響是,Cookie收集的大部分資訊只能通過獲得使用者的【同意】才能獲得,而當只是出於某些認證、功能實現、安全風控等需要時,Cookie的這些小部分可以被定義為僅“履行合同所必需”,而絕大多數第三方Cookie只能通過【同意】來保證。為履行合同所必需;
基於歐盟或成員國的法律規定。
第7條描述了獲得使用者同意的一些原則和方法:
第7條 同意條件。該條款對互動設計和業務運營流程設定了一定的門檻,即使用者在訪問和進入時,例如必須通過彈窗等方式徵得使用者的同意,否則將不允許通過所有需要【同意】才能生效的cookie收集使用者的任何資料。1.當資料處理必須基於資料主體的同意時,資料控制者應證明資料主體已同意處理其個人資料。
2.如果資料主體以書面宣告的方式表示同意,而該宣告還涉及其他事項,則同意應以與其他事項明確區分的形式,以清晰易懂的形式以及清晰簡單的語言。 本宣告中任何與本規定相牴觸的內容均不具有法律約束力。
3.資料主體有權隨時撤回其同意。 撤銷不具有追溯力。 在表示同意之前,應明確告知資料主體上述事項。 撤銷同意應該像給予同意一樣容易。
4.在評估時,應盡可能考慮資料主體的同意是否基於自由意志,特別是如果包含服務條款的合同的履行是以資料主體同意處理其個人資料為條件的,並且處理對於履行合同不是必需的。
在這種情況下,傳統的“一攬子同意”方式將使企業面臨重大的合規風險,這就要求企業單獨或組合列出不同型別的cookie,並設定足夠友好的互動頁面,以獲得更多使用者的同意。
隨著九智匯長期專注於解決全球企業的資料合規和私隱保護需求,如今,中國企業紛紛選擇出海拓展業務,我們也為企業出海提供一站式合規平台,除了PIA、DPIA、處理活動記錄、資料對映、私隱協議管理等工具外,還包括【cookie同意偏好管理】系統。
目前,企業往往同時涉及多個國家或地區,如歐盟國家、非洲國家、新加坡、馬來西亞和泰國、美國、加拿大、澳大利亞等,在這些國家或地區都會建立自己的業務**,如果能夠統一管理自己的合規,就成為首要需求。
使用九之匯的【cookie同意偏好管理】可以滿足企業的以下需求:
統一管理多個第一方和第三方 Cookie
快速準確的 cookie 掃瞄器,支援一鍵掃瞄**已使用的 cookie 資訊。
提供可自定義的互動和橫幅設定,快速使用內建模板配置不同國家和地區的互動表單。
當使用者拒絕 Cookie 時,會自動禁用第三方 Cookie 跟蹤。