美國麻省理工學院、英國倫敦大學學院與丹麥奧胡斯大學的研究人員發現,英國前1萬個網站中,有5成網站的cookie使用確認視窗,並未具備「拒絕所有追蹤」的按鍵,就算有,也經常被置放在第二層或更後面的選項中。示意圖,擷取自提供網站Cookie管理服務的CMP業者Onetrust官網。

網路使用者應該有發現,在歐盟於2018年5月實施GDPR隱私法案之後,在造訪網站時經常可看到「是否允許網站使用Cookie」的通知,同意之後才能進入該站,不過,你知道你同意了些什麼嗎?一群研究人員在近日出版的《GDPR之後的暗黑模式:削去跳出視窗的同意並展示其影響》(Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence)研究報告中指出,各大同意管理平台(Consent Management Platform,CMP)常常使用暗黑模式與默認同意來影響使用者的選擇,而這些行為其實是違反GDPR的。

該研究是由美國麻省理工學院、英國倫敦大學學院與丹麥奧胡斯大學的研究人員所共同參與,檢驗的是全英國前五大CMP業者:QuantCast、OneTrust、Cookiebot、TrustArc及Crownpeak,它們有些是專營隱私管理平台,有的則兼營廣告服務,但都替各大網站提供Cookie管理服務。

根據GDPR的規定,除了必要的Cookie之外,網站要蒐集或追蹤使用者行為而使用Cookie時,必須取得使用者的「明確」同意,若採用間接的手法讓使用者同意被追蹤則是違法的,像是在跳出視窗要求使用者同意Cookie時,將預設值列為同意,或者是即使使用者沒有選擇而直接關閉視窗,都被視為同意等。

當研究人員檢查英國前1萬個網站所使用的CMP服務時,發現這些CMP業者普遍採用了暗黑模式與默認同意,只有11.8%的網站真正符合GDPR的規定。

研究顯示,透過「默認同意」,亦即若使用者未回應是否同意使用Cookie或直接關閉通知視窗都當作同意,來引導使用者同意的網站佔了32.5%。

再者,研究也發現,要按下CMP業者所提供的「接受所有追蹤」比「拒絕所有追蹤」的選項要容易得多,有50.1%的網站並未具備「拒絕所有追蹤」的按鍵,且就算有相關選項,也經常被置放在第二層或更後面的選項中。

此外,這些企圖誤導使用者的模式的確造成了影響,例如若在通知頁面上移除「退出」功能,使用者同意業者蒐集Cookie的比例增加了22%,若是在該頁面上提供更多的使用者控制選項,那麼同意的比例則會減少8~20%。

研究人員一方面督促歐盟應該開發一個更聰明的方式來防堵業者違法,另一方面也釋出了開源的擴充程式Consent-o-Matic,它可根據使用者的偏好設定來自動回應網站的Cookie使用通知視窗,而避免被業者的手法所矇騙。Consent-o-Matic現階段已支援Chrome及Firefox。


Advertisement

更多 iThome相關內容