New Media Inspiration: Je libo sušenku? Nejprve odklikněte souhlas

26. 2. 2014 | Petr Michl

Program letošního ročníku konference New Media Inspiration pořádané společností Internet Info se z velké části věnoval internetové bezpečnosti a soukromí na internetu.  Běžnému uživateli nejbližší byly prezentace výkonné ředitelky Sdružení pro internetovou reklamu (SPIR), Kateřiny Hrubešové, a CEO Seznam.cz, Michala Feixe.  Věnovaly se cookies, jejich alternativám a z velké části i legislativě, která je upravuje či brzy může upravovat. Došlo ale i na internetovou bezpečnost a míru potřeby chránit uživatele.


Kateřina Hrubešová

Dali byste si sušenku? Máme dva druhy

Cookies se staly pro mnohé synonymem špehování na internetu, platí to však jen do omezené míry. Pojďme si je nejdříve rozdělit na ty užitečné pro uživatele a na ty, které přinášejí benefity primárně zadavatelům reklamy a provozovatelům reklamních systémů. Díky prvním si pamatuje váš emailový klient nebo oblíbená služba vaše heslo, stránky s možností individuálního přizpůsobení se zobrazují ve vašem nastavení atd. Druhý typ nese označení „cookies třetích stran", slouží k zařazení uživatele / pamatování si, že byl na konkrétní stránce. Na těchto cookies jsou založeny de facto všechny reklamní systémy s ambicí jakéhokoliv behaviorálního cílení. Když nedokončíte v e-shopu objednávku a stihne vás poté remarketingová kampaň, která vám málem koupený produkt připomene, je to právě díky dobře „přidělené cookie".

Kateřina Hrubešová zdůraznila, žecookies třetích stran" nelze vnímat jako nějaké absolutní zlo, přinejhorším jako zlo nezbytné. „Pokud nebudou cookies, respektive možnost behaviorálního cílení reklam, je dost možné, že na internetu nenajdete vámi oblíbený obsah," připomněla fakt, že internetová reklama platí za většinu obsahu, který je na internetu konzumován. S přihlédnutím k problémům mnoha mediálních domů můžeme dokonce říci, že i tak to často na kvalitní obsah nestačí. Kdyby byla veškerá reklama pouze obdobou plakátů visících na stránkách bez jakéhokoliv cílení na konkrétní uživatele, nestačilo by to ani na udržení současného stavu a čekala by nás doba masivního rozšíření platebních bran odemykajících cestu k obsahu jen po zaplacení určité taxy.

Cookie neprozradí skutečnou identitu člověka

Cookie vkládá informace do internetového prohlížeče. Vše, co obsahuje, můžete vidět na obrázku výše. Nejedná se tedy o identifikaci na úrovni osobní identity člověka. Navíc cookies trpí značnou úmrtností. Velká část uživatelů je zakazuje, jiní je mažou. Dle informací Netmonitoru na grafu níže jich 92 % nepřežije 14 dní.
Dalším nedostatkem cookies je, že tápají v dnešním multiplatformním světě - lidé chodí na internet někdy i z desktopu, mobilu a tabletu zároveň. Pokaždé jde o jiné prohlížeče, a cookie nedokáže zjistit, že jde o stejného uživatele. 

Identifikace konkrétního člověka  je možná poté, co uživatel na sebe osobní údaje prozradí. Kateřina Hrubešová uvedla jako příklad vydání osobních údajů skrze ověřené zaslání papírového dopisu na Aukro.cz, jde to ale samozřejmě i mnohem jednodušeji – třeba při přihlášení před facebookový účet atd. Kateřina Hrubešová si nicméně posteskla, že na úřadu pro ochranu osobních údajů přesto považují  cookie za osobní údaj a jsou hluší k reálným faktům. Podobný přístup má i EU se svou EU Data protection directive. Ve většině států Evropské unie musí uživatelé odkliknout souhlas s přidělením cookie, měkký přístup, kdy souhlas není třeba, je v České republice a na Slovensku. Ještě tvrdší přístup k ochraně soukromí na internetu slibuje připravovaná evropská legislativa, tzv. General Data Protection Regulation (GDPR).

Alternativy cookies

Cookies tu jsou už zhruba 20 let, a jsou tak poměrně zastaralým řešením. Je omezující legislativa neznamená nějaké osvobození od pokusů o identifikaci uživatelů. Existují alternativy, které v některý případech umožňují lepší identifikaci uživatele nebo řeší některé nedostatky klasické HTTP Cookie. V samostatné přednášce o nich mluvil Pavel Schamberger z Tor Project.

Proti mazání cookies bojuje například knihovna evercookie, která umísťuje identifikaci prohlížeče do více různých míst – například do webové historie, HTML5 úložišť, obrázky v obrázkové cache či různá řešení využívající Flash.


Pavel Schamberger

Flash jako prostředek pro identifikaci je více než vhodný, protože ho má nainstalována většina uživatelů. Narozdíl od cookie neprozradí jen používaný prohlížeč, může poskytnout informace o používaných fontech, operačním systému a třeba i verzi linuxového jádra.

Asi nejvyvinutějším metodou identifikace uživatele je pak fingerprinting. Nevyžaduje totiž vsazení „špiónského souboru" do zařízení uživatele. Lidé totiž po sobě nechávají na internetu stopu sami od sebe,  prohlížeče hlásí stránkám automaticky mnoho informací typu fontů, pluginů, operačního systému, časové zóny, rozlišení atd. Po spojení všech těchto informací lze konkrétního uživatele identifikovat s poměrně velkou přesností. Nástroj Panopticlick výše popsaným způsobem nashromáždí 18 bitů identifikačních informací, které stačí k unikátní identifikaci asi 94,2 % prohlížečů.


Mezi alternativy cookie lze počítat identifikátory velkých společností. Ty má ve svých přístrojích Apple. Tím, že potlačí cookies a bude mít vlastní řešení, hrozili i tvůrci prohlížeče Mozilla Firefox, ale od svého plánu po vzedmuté vlně nevole ustoupili.

Ochrana soukromí na internetu pod praporem EU

O tom, jak chránit soukromí na internetu, mluvil CEO Seznam.cz, Michal Feix. Ochrana soukromí je něco, co se nás bytostně dotýká. Jeho narušení je možné, může mít ovšem mimo strašáků NSA a podobných státy dotovaných organizací třeba i podobu zneužití rodinné fotografie pro komerční účely. Historka o americké rodině, která se našla v Česku na billboardu, není anekdotou, ale skutečností. Jenomže to, co na nás chystá Evropská Unie ve snaze chránit nás, přináší ve výsledku více zla než užitku. Mluvíme především o připravované General Data Protection Regulation (GRPD). Reforma ochrany osobních údajů měla být přijata v roce 2014, na podzim minulého roku se odsouhlasil posun tohoto úkolu do léta 2015.


Michal Feix

V něčem se snad dá mluvit i o cestě do pekla dlážděné dobrými úmyslu. To, co jsme již napsali o cookies výše, dostatečně odkrývá, že už stávající řešení s nutností odkliknutí souhlasu s přidělením cookie ve většině států EU je zbytečné. Cookies identifikují prohlížeč, ne konkrétního člověka. Navíc v případě nouze tu je řada alternativních řešení, které jejich poslání zastanou.

Zmiňovaná GRPD, především pak Návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (kompletní znění zde),  jdou nicméně ještě dál. U uživatelů pod 13 let musíte získat souhlas se zpracováním osobních údajů od jejich rodičů. Krásná myšlenka ochrany dětí, která se bude vyjímat v politických prohlášeních, naráží v praxi na poměrně očividný problém: „Jak takový souhlas získat?" Michal Feix se ptal: „Kolik je uživateli karkulka.cervena@seznam.cz?  Je to devčátko nebo chlapeček? A je jeho rodič tatinek.od.karkulky@seznam.cz?"  Za něco takového nelze dobře technicky ručit.

Dalším paradoxním bodem je povinnost společností s více než 250 zaměstnanci jmenovat tzv. Inspektora ochrany údajů. Kateřina Hrubešová už ve své prezentaci zdůrazňovala navýšení nákladů na držení takovéto pozice i její trvalost tím, že inspektor ochrany údajů je legislativně hájený, nesmí být propuštěn po 2 roky. Michal Feix se pro změnu zaměřil na praktický význa. „Hádejte kolik zaměstnanců měl IZIP? Bylo jich šest," poukazoval na fakt, že počet zaměstnanců společnosti nemusí mít mnoho společného s množstvím držených citlivých elektronických osobních údajů.

Potenciálně likvidačním bodem je i to, že zpráva o narušení bezpečnosti údajů se musí hlásit do 24 hodin, jinak hrozí pokuta až ve výši 2 % světového obratu společnosti.

Michal Feix pak zakončil svou prezentaci s tvrzením, že bychom se neměli ani tak zaměřovat na vršení nové legislativy, ale spíše na prevenci a důsledné vymáhání dodržování stávajících zákonů. „Lidé nepotřebují být voděni za ručičku. Není důvod, aby náš život online byl upravován dvakrát více než ten v offline prostředí,"  podotkl. Dá se přitom souhlasit s tím, že legislativní rámec pro internet toho mnoho nezachrání. Už jen proto, že jeho vymahatelnost na společnostech z Číny nebo USA je spíše utopická. Zamyslete se nad otázkami níže, které Michal Feix na závěr své prezentace položil divákům na New Media Inspiration.

Počet bezmyšlenkovitého odkliknutí „I agree" u přihlašování či licenčních podmínek služeb, které používáme, bude pravděpodobně u většiny z nás převažovat. Zkusme tak v příští podobné situaci skutečně zjistit, jaké osobní údaje dáváme jedním klikem myši v šanc.

Zdroje fotografií: Tuesday.cz, prezentace Kateřiny Hrubešové a Michala Feixe

Štítky dokumentu: E-Commerce Reportáže

To nejlepší z moderního marketingu každý pátek do vašeho inboxu.

Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?