Эпоха кликов «Принять» закончилась. Теперь за ваши действия в интернете несет ответственность разработчик браузера

Еврокомиссия GDPR ePrivacy cookie конфиденциальность браузер
Эпоха кликов «Принять» закончилась. Теперь за ваши действия в интернете несет ответственность разработчик браузера
Еврокомиссия GDPR ePrivacy cookie конфиденциальность браузер

В ЕС предложили механизм автоматического согласия без всплывающих окон.

image

Независимый исследователь и ИБ-специалист Лукаш Олейник в своем блоге подробно описал детали законопроекта, который призван изменить механизм запроса разрешения у пользователей на сбор cookie-файлов на сайтах.

Европейская комиссия готовит радикальные изменения в сфере защиты персональных данных, которые способны навсегда избавить пользователей от раздражающих всплывающих окон с просьбой принять cookies. Новая версия GDPR и сопутствующего ePrivacy-регламента, проект которой попал в открытый доступ, предусматривает перераспределение правил согласия на обработку данных: теперь решать вопрос доверия можно будет прямо в браузере или в настройках устройства, а не на каждом сайте отдельно. Это фактически означает конец эпохи бесконечных «баннеров согласия», заполонивших интернет за последние годы.

Согласно утечке, новая редакция вводит уточняющую статью 88a, которая переносит все операции с идентификаторами и cookie-файлами в зону действия GDPR и разрешает их использование без отдельного подтверждения пользователя, если обработка ограничена одним из четырёх строго определённых сценариев. К ним относятся передача данных, предоставление услуги по прямому запросу человека, создание агрегированной статистики посещений исключительно для собственных нужд компании, а также обеспечение или восстановление безопасности сервиса и пользовательского оборудования. Если организация действует в этих рамках и не использует собранные данные повторно, показывать баннеры и требовать клики по кнопкам согласия больше не придётся.

Правила автоматически исключают из-под требования о согласии действия, связанные с системной безопасностью или передачей данных, например установку временных cookie для работы корзины интернет-магазина или ведения локальной сессии. Однако любое использование сторонних аналитических инструментов или рекламных сетей, формирующих кросс-профили, по-прежнему будет требовать отдельного разрешения. Таким образом, упрощение не отменяет необходимость согласия, но делает её более логичной и технологически прозрачной.

Отдельный блок поправок посвящён тому, как именно должно выглядеть взаимодействие пользователя и сайта, когда согласие всё же необходимо. Проект прямо требует, чтобы пользователь мог принять или отклонить запрос в одно действие — одной кнопкой или её аналогом. Сделанный выбор должен сохраняться минимум на шесть месяцев, и в этот период сайт не имеет права повторно запрашивать разрешение по тому же поводу. Это должно положить конец бесконечным циклам повторных уведомлений, которые появлялись при каждом новом визите на сайт.

Одним из важнейших пунктов нововведений станет появление единых машинно-читаемых сигналов, передаваемых автоматически из браузера или операционной системы. Сигналы будут указывать, разрешает ли человек обработку данных или запрещает её, а также выражать возражение против маркетинговых рассылок. Любой сайт обязан будет распознавать эти сигналы и учитывать их, а игнорирование станет нарушением, за которое может последовать штраф до 20 миллионов евро или 4% годового оборота компании.

Такой подход делает актуальной давнюю идею, лежавшую в основе неудавшегося стандарта W3C Do Not Track. Теперь подобные механизмы, вроде заголовка HTTP, могут стать законодательно признанным способом передачи предпочтений пользователя. Варианты реализации могут быть самыми разными — от встроенных функций браузера и системных настроек смартфона до параметров в приложении «Цифровой идентификатор ЕС». Последний пункт вызывает вопросы у специалистов: участие этого сервиса в обмене данными с рекламными экосистемами выглядит спорно, хотя формально такая возможность заложена.

Важно, что предусмотрено исключение для медиаплатформ: если обработка данных происходит при предоставлении медийного контента, новые требования к распознаванию автоматических сигналов на них не распространяются. Это компромисс, который разработчики документа сочли приемлемым ради того, чтобы очистить остальную часть интернета от бесконечных окон согласия.

В практическом смысле реформа приведёт к тому, что сайты смогут работать заметно проще. Cookie для авторизации, корзин или персональных настроек перестанут требовать явного разрешения, а системные обновления и меры безопасности будут выполняться без вмешательства пользователя. Для внутренней аналитики компании смогут собирать агрегированные данные о посещениях, если они не передаются третьим сторонам. При этом любые попытки отслеживания через сторонние платформы по-прежнему останутся под контролем согласия — только теперь выражать его можно будет не вручную, а через заранее настроенные параметры браузера.

Новый механизм создаёт юридическую основу для появления расширений и браузеров, способных автоматически формировать сигналы согласия или отказа в соответствии с выбором пользователя. Это должно вернуть смысл идее централизованного управления приватностью, где интерфейс становится главным инструментом регулирования, а не бумажная волокита. По сути, GDPR перестаёт быть чисто юридическим барьером и превращается в технологический стандарт взаимодействия между человеком и сервисом.

Если документ будет принят без изменений, то привычная сцена с появляющимися при каждом переходе баннерами уйдёт в прошлое. Согласие останется, но превратится из навязчивого ритуала в автоматический и понятный процесс, где пользователь сам определяет политику один раз — и вся экосистема цифровых сервисов её уважает.