作者:Conscious Solutions客户服务总监Andrew Gray 

法律环境–我们是怎么来到这里的?

个人资料
多年来,人们一直对使用和交换个人信息(例如,姓名,地址,年龄)存有合理的关注,这一点已在 1998年数据保护法(DPA)。大多数人都听说过该法令,并且对此法的必要性表示赞赏。该法案涉及与收集,储存和交换有关的广泛问题。“personal data”并且无论信息如何获取都适用(例如,该法案当然涵盖通过互联网收集的数据,但不仅限于此)。

行为数据
最近,人们对一种完全不同形式的个人信息的关注日益增加,可以将其描述为“behavioural data”。这是有关您的信息,而不必确切知道您是谁。如果您访问三个不同的网站,而这些网站恰好都承载着由同一广告网络投放的广告,则该网络可能会跟踪您已经使用了这三个网站并从中获得一些有价值的知识。例如,广告网络可能使用该信息来确定向您显示哪些广告。

什么’s the Problem?
欧盟指令最终被广泛地写成–它不限于广告网络使用Cookie(所谓的“third party cookies”),它同样适用于所有cookie,甚至适用于可能用于识别用户的其他非基于cookie的技术。

什么 are Cookies?

网站使用Cookie来发送‘state information’ to a User’s browser and for the browser to return the 状态信息 to the website. The 状态信息 can be used for authentication, identification of a User session, User preferences, shopping cart contents, or anything else that can be accomplished through storing text data on the User’s computer.

Cookies被广泛使用–几乎所有站点都使用它们来跟踪匿名用户(即尚未注册或登录的用户)。为什么?因为它’有助于了解有多少人正在使用您的网站以及他们如何浏览该网站(您可以将他们作为唯一身份进行跟踪“visitor”即使您不努力尝试亲自识别它们)。但是目前的法律规定 明确同意 must be obtained before any cookie is set. The User must also be given an ability to 选择退出 from having cookies stored on their computer.

法律何时更改,谁来执行?

被称为“电子隐私指令”的原始欧盟法规于2003年发布,并作为欧洲指令实施–2002/58 / EC。它非常关注电子通信领域的隐私保护。 2009年,该指令由指令2009/136 / EC进行了修订,其中包括一项更改,要求同意存储或访问订户或用户终端设备上存储的信息,换句话说,要求获得对Cookie和类似技术的同意。

欧盟指令于2011年5月26日作为“ 2011年隐私和电子通信(EC指令)(修订)条例”进入英国法律。它由信息专员监管’s Office (ICO) www.ico.gov.uk .

ICO迅速 发行指导说明 说他们将给行业一年以遵守新法律– ie until 2012年5月25日 .

2011年12月,ICO发行 更详细的指导说明 阐明了英国工业为了遵守新法规而应该做的事情。

是对T的修改&C’s or 私隐政策 not sufficient?

不可以。1998年的《数据保护法》(DPA)用于管理网站的信息管理。作为网站所有者,这意味着您必须发布有关信息收集和cookie使用的明确政策。结果是几百万“Privacy Policies”被添加到网站,没有太多。当时的政策易于实施,不需要“opt-in” or an “opt-out” but simply a “disclaimer”以隐私权政策或条款和条件的修改形式。

需要进行哪些视觉更改以符合要求?

我们对内容管理系统(CMS)进行的更改旨在实施ICO建议的方法 他们的指导说明第16页。这里’s是我们为确保客户保持法律正确性而计划采取的措施的摘要:

(1)新的“隐私选项”” tab:我们将在首页的可见部分添加一个水平的滑动标签,提醒用户注意新法规,并邀请他们单击以获取更多信息。您的首页将以常规方式显示,但两秒钟后“Privacy Options”按钮标签将从屏幕的右边缘滑入视图。它将停留几秒钟,然后消失。

单击选项卡将打开一个新窗口,其中包含隐私控制选项以及更多信息的链接。

The 隐私权选项 tab only appears on the homepage of the site and will appear every time the page is visited unless a 隐私权选项 Cookie has already been set (ie the tab will continue to appear until the User has answered the question – either Yes or No).

(2)页脚面板“Opt-in” and “Opt-out”:我们还将在页面的最底部添加一个离散的信息面板。该面板将为用户提供用于“opt-in” and “opt-out”以及指向更多信息的链接,这些信息将保存在“隐私”页面上。
ICO建议采用以下格式:

(3) Updates to 隐私Policy and Terms & Conditions:需要修改这些内容,以解释cookie的用法并参考新法规。我们将提供“compliant”文本,因此您只需对其进行审核。

“隐私选项”选项卡不需要出现在网站的每个页面上,我们相信,如果这样做的话,这会很烦人并且不必要地具有干扰性。该选项卡的目的是促进新控件的存在。通过将“隐私”面板显示在站点的每个页面的页脚中,可以通过“促销”(在页面的可见部分显示“隐私选项”选项卡)和“控制”的组合来令人满意地实现合规性。

如果用户单击,会发生什么“I agree” in order to 选择参加?

If Users 选择参加, then the site will record this by setting a Cookie Preference Cookie. The site will work in very much the same way as it does today. The consent question that appears in the footer of every page of the site will change to indicate that consent has been granted (and to give Users the ability to change this (i.e. to 选择退出) if necessary.

如果用户单击,会发生什么“No thanks” in order to 选择退出?

如果用户选择退出,则该站点将通过设置Cookie偏好Cookie来记录此内容。网站每个页面页脚中出现的同意问题将发生变化,以表明同意已被拒绝(并使用户可以更改此选项,即选择退出)。如果用户尝试使用需要cookie的服务(例如登录到Extranet或使用Billpay或SecureForms),则用户将被重定向到一个页面,该页面说明该服务需要cookie并邀请他们更改其设置。

如果用户不回答怎么办?

如果用户忽略这个问题’可以给他们饼干。他们不会得到Cookie优先Cookie,因为他们没有回答问题,但是网站的行为就像他们回答“我同意”一样–网站将根据需要设置Cookie。

我有多个网站–用户需要多次表示同意吗?

理论上是“否” –如果用户在我们的一个网站上表示同意,则您可以假定他们已同意您的其他网站。但是,实际上答案是“是”,因为在技术上不可能,因为只能从当前域读取cookie。例如,由www.site1.com上运行的进程设置的cookie不能由www.site2.com上运行的进程读取,反之亦然(此安全性内置于所有浏览器中)。

能够’t Users simply be told to 选择退出 using their browser settings?

No –ICO的指导说明在这一点上非常清楚。他们认为依靠用户知道如何更改其cookie偏好还不够。他们是对的–没有多少用户知道控件存在,更不用说如何更改它们了。

对我的Google Analytics(分析)报告有什么影响?

Google Analytics(分析)使用Cookie来识别用户并区分不同的会话。如果用户决定退出(即拒绝Cookie),则正常的Google Analytics(分析)代码不会插入到他们访问的任何页面中。最终结果是您的Google Analytics(分析)报告将不够完整。但是,从Google Analytics(分析)中获得的大部分价值都来自对趋势和相关数据的研究(例如,此链接的受欢迎程度是该链接的两倍)。我们相信,这些变化将不会相对影响这些数据的有效性,但是绝对值将显着下降。

* 有关更广泛的白皮书,包括一些我们在实践中如何看待此工作的屏幕截图,请访问: www.cious.co.uk/cookies