Cookies-файлы, или что скрывает от вас браузер
Привет! Меня зовут Ренат Сигунов, я студент факультета права НИУ ВШЭ.
Мы вместе с ребятами из других университетов запустили просветительский проект в сфере приватности и кибер-права — Data Guard. Наша цель - помочь молодым людям ориентироваться в цифровом пространстве и эффективно защищать свои персональные права в Интернете.
Обычная ситуация: вы читаете любимые Интернет-ресурсы, «скроллите» новостную ленту в социальных сетях, выбираете одежду или продукты в онлайн-магазинах. Пока вы потребляете контент, результаты вашей активности сохраняются в файлах сookies. Вы становитесь объектом наблюдения. Чтобы разобраться, стоит ли опасаться куки, предлагаем ознакомиться с этим материалом.
Cookies-файлы: что это такое
Определение сookies не найти в законодательстве России. Единственное упоминание о них содержится в Приказе ФГУП «Почты России» от 21.02.2019 № 73-п. Под файлами cookies в приведенном акте понимаются небольшие фрагменты текста, передаваемые в браузер с сайта, который посетил пользователь. Эти фрагменты содержат сведения о «кликах» пользователя, его языковых предпочтениях, настройках. Приведённая дефиниция представляется не до конца точной, поэтому предлагаем разобраться с ней несколько ближе.
Cookies - это небольшой фрагмент данных, запрашиваемый веб-сайтом у браузера, используемого на компьютере пользователя или на его мобильном устройстве.
Cookies хранятся локально на компьютере или мобильном устройстве, так что при желании пользователь может удалить сохраненные куки в настройках браузера. Некоторые куки, которые называется zombie cookies, удалить сложнее.
Файлы куки отражают предпочтения пользователя и собираются для следующих целей:
- Сбора статистики;
- Аутентификации пользователя;
- Отслеживания состояния сеанса доступа пользователя;
- Оптимизации сервиса и улучшения качества обслуживания.
Какие cookies бывают?
По результатам проведенного нами анализа веб-сайтов, мы установили, что в большинстве своём они интегрируют один из четырех типов файлов cookies:
- Cеансовые – файлы cookies, которые сохраняются в браузере пользователя только на протяжении сеанса в браузере, то есть до завершения работы с конкретным сайтом.
- Постоянные – cookies-файлы, которые сохраняются в браузере в течение установленного периода времени по завершении сеанса в браузере. Как правило, эти файлы сохраняются на жестком диске устройства, посредством которого пользователь зашёл на сайт, и могут быть удалены им самостоятельно путем изменения настроек браузера, либо они исчезают по истечении некоторого времени.
- Основные – файлы cookies, которые устанавливаются на устройстве пользователя через сайт, доменное имя которого отображается в адресной строке браузера.
- Сторонние – файлы cookies, которые устанавливаются косвенно, например, маркетплейсом или аналитической системой (Google Analytics, Calltouch, Яндекс.Метрика и пр.).
Существует также категории cookies, квалифицируемые по критерию целевой направленности использования таких файлов:
- Строго обязательные – куки, необходимые для просмотра содержимого сайта и получения доступа к его функционалу, например, корзине маркетплейса, сохраняющей выбранные пользователем товары переходе со страницы на страницу. Такие файлы чаще всего относятся к типу основных. Без них использование информационного ресурса невозможно. Поэтому, при условии уведомления, согласие на их использование не требуется.
- Функциональные – файлы cookies, ориентированные на адаптацию сайта к предпочтениям пользователя. Именно эти файлы запоминают выбранный вами язык, логин и пароль, а также другие параметры, повышающие эффективность взаимодействия пользователя с информационных ресурсом.
- Статистические – куки, используемые исключительно для статистических целей. Тем самым разработчики могут настраивать сайт, ориентируясь на показатели «периода активности пользователей», «источники трафика», улучшать его функционал.
- Маркетинговые – файлы cookies, считывающие активность пользователя на информационном ресурсе для генерации рекламного контента. Такие файлы в подавляющем числе случаев являются сторонними и постоянными. Их использование не ограничивается владельцем сайта — они могут передаваться рекламодателям, социальным сетям и т.д.
Считается, что все маркетинговые, статистические и функциональные файлы cookies могут быть установлены на устройство пользователя только с его согласия.
Cookies как персональные данные
Широкий подход к трактовке персональных данных обусловил отнесение к их числу некоторые файлов cookies. Напомним, что персональные данные — это любая информация, прямо или косвенно относящаяся к определенному или определяемому лицу.
Информация, содержащаяся в файлах cookies, может потенциально включать как персональные данные — IP-адрес, логин пользователя, адрес электронной почты, — так и сведения, не относящиеся к персональным данным: языковые настройки, операционную систему устройства, адрес предыдущей страницы.
При этом использование дополнительной информации может превращать такие данные в персональные — например, информация о языке пользователя совместно с IP-адресом устройства позволяет выделить человека среди других посетителей сайта.
Аналогичная позиция закреплена в европейском праве, чему способствовали наработки Рабочей Группы по защите данных (Working Party 29). Они указывали, что такие сведения как пол и возраст, предпочтения и интересы могут быть выведены из того, какие страницы в Интернете посещает пользователь и какие ссылки «кликает».
Вслед за Европой положения об отнесении куки к персональным данным были зафиксированы в статье 24 Закона Калифорнии о защите частной жизни потребителей.
Cookies в судебной практике
Наиболее известным делом по куки-файлам стал судебный спор Vidal-Hall v. Google (2015). Используя cookies, компания Google осуществляла сбор информации об интернет-трафике пользователей. Пользователи, не будучи осведомлены о об этом, настаивали на привлечении корпорации к ответственности за нарушение порядка использования файлов cookies.Суд занял позицию истцов и положительно ответил на вопрос об отнесении cookies-файлов к персональным данным, так как они, «не называя прямо субъекта … позволяют выделить его из всей массы пользователей, следовательно, отвечают критерию идентификации».
Французский регулирующий орган по защите персональных данных (CNIL) строго следит за практикой использования куки. В 2020 году CNIL оштрафовал Google на 100 млн. евро за использование cookies без согласия пользователей. В 2021 на корпорацию был наложен еще один штраф на 150 млн., за то, что Google не дает пользователям легко отказаться от куки. После этого Google добавили кнопку «отказаться от всех куки» в YouTube и своем поисковике.
Резюмируя
Теперь вы знаете, что ваша активность на веб-сайтах — персональные данные, собираемые воедино в файлах cookies, которые хранятся в браузере вашего устройства. Столь удобная конфигурация сайтов маркетплейсов и иных информационных ресурсов — во многом заслуга интеграции файлов, отслеживающих ваши «клики». В то же время, до тех пор, пока cookies относятся к персональным данным, нельзя забывать о рисках вторжения в вашу приватную сферу. Нивелировать их достаточно просто.
Дадим вам несколько практических рекомендаций:
- Просматривайте уведомления от веб-сайтов об использовании cookies-файлов.
- Выбирайте строго обязательные файлы, исключая использование всех остальных видов Cookies.
- По необходимости удаляйте в настройках браузера Cookie-файлы.
- Используйте cookies-трекеры, позволяющие определять и блокировать куки на сайтах (например, Censor Tracker).
Если статья была вам интересна и полезна, можете заглянуть в наш Telegram-канал: там освещаем новости из мира приватности и также делимся полезностями.