Noyb关于Cookie横幅设计不良模式的指南2024

背景
Cookie横幅不合规风险点
UniConsent的合规性解決方案

背景
Cookie横幅不合规风险点
UniConsent的合规性解決方案

欧洲数字权利中心（noyb，一家总部位于奥地利的非营利机构，致力于隐私和数据保护法领域）最近发布了关于许可横幅的报告。该报告强调了cookie许可横幅中普遍存在的欺骗性做法，以及需要加强数据保护法律的执行。noyb指出了具体的违规问题，并提出了改进建议，旨在改进许可收集实践，确保用户的许可是真正知情和自愿的。

背景

近年来，欧洲各地的数据保护机构（DPA）收到了大量关于cookie横幅的投诉。作为回应，欧洲数据保护委员会（EDPB）在2021年9月成立了一个工作组，以协调对这些投诉的响应。2023年1月，该工作组发布了一份题为《Cookie横幅工作组所开展工作的报告》的报告，提供了他们对网络上发现的许可横幅违规行为的意见和建议。2023年的报告强调，该工作组的发现仅代表许可横幅的最低标准，各国家的DPA有权采取更高的标准。

Cookie横幅不合规风险点

在最新的报告中，noyb总结了一些要点：例如，几乎所有的机构都同意，如果有“接受cookies”选项，那么在cookie许可横幅的同一层也必须有“拒绝”选项。预选复选框是不允许的。对于非“严格必要”的cookies，必须征得用户的许可。

以下是完整的要点：

第一层没有拒绝按钮

许多许可横幅在第一层没有提供拒绝cookies的选项，让用户误以为必须接受cookies才能继续使用网站。

例如，一个只有“接受”按钮而没有可见“拒绝”选项的横幅。

这种做法导致用户的挫败感增加，并且由于拒绝cookies需要额外的精力，增加了无意中同意的可能性。

预选复选框

一些横幅使用预选复选框，要求用户取消选中这些框以拒绝cookies，这不被视为有效的许可。

例如，许可选项是预选的，用户必须手动取消选择以退出。

这种做法不构成有效的许可，因为它不是自由给予的、具体的、知情的或明确的。

欺骗性链接设计

“拒绝”选项通常比“接受”按钮不那么显眼，误导用户认为接受是唯一的选项。

例如，“接受”按钮非常显眼，而“拒绝”选项是嵌入在文本中的小链接。

用户可能不会注意到拒绝选项，导致无意中的许可。

欺骗性按钮颜色

使用不同的颜色突出显示“接受”按钮，使其更具吸引力，误导用户。

例如，“接受”按钮颜色鲜艳，吸引眼球，而“拒绝”按钮颜色暗淡，融入背景。

这种设计误导用户认为接受cookies是默认或唯一的选项。

欺骗性按钮对比度

使用不同的对比度来处理“接受”和“拒绝”按钮，使“拒绝”按钮不那么显眼，难以注意到。

例如，“接受”按钮对比度高，而“拒绝”按钮对比度低，难以阅读。

用户可能由于接受选项的视觉显著性而无意中给予许可。

声称有合法利益

一些横幅声称有合法利益作为处理个人数据的基础，但没有明确的退出选项。

例如，一个横幅声明数据处理基于合法利益，但没有提供简单的反对方式。

这可能会混淆用户，并可能侵犯他们在GDPR下的权利。

错误分类的Cookies

将不必要的cookies分类为“必要”，阻止用户拒绝它们。

例如，将分析cookies分类为必要，以避免征求许可。

用户不能拒绝非必要的cookies，而这些cookies应需要征得许可。

撤回许可比给予许可更困难

撤回许可往往比给予许可更困难。

例如，"撤回许可"按钮或链接难以找到，而许可选项却非常显眼。

用户可能由于撤回许可的困难而无意中继续共享他们的数据。

这些关键点的概述：

DPA/Cookie横幅问题	EDPB报告	奥地利	比利时	捷克	丹麦	芬兰	法国	德国DSK（DPA）	希腊	爱尔兰	意大利	卢森堡	荷兰	西班牙
第一层需要cookie拒绝选项	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
认为预选复选框非法	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
认为链接选项具有误导性	有时	?	✓	✓	✓	?	✓	✓	✓	✓	✓	?	✓	✓
同意不应通过不同按钮颜色进行引导	有时	?	✓	✗	✓	?	✗	✓	✓	✓	✓	✓	?	有时
同意不应通过按钮对比度（与背景相比）进行引导	有时	?	✓	✗	✓	?	✗	✓	✓	✓	✓	✓	?	有时
认为为安装非必要的cookies依赖于合法利益是非法的	✓	?	✓	✓	?	✓	✓	✓	✓	?	✓	✓	?	✓
错误分类cookies并因此在未经同意的情况下安装它们是一个问题	✓	?	✓	✓	✓	✓	✓	✓	✓	?	✓	✓	?	✓
只有通过永久可见的浮动图标才允许撤回	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗	✗