亲爱的保罗·格雷厄姆,并没有“Cookie 横幅法”
法律实际上要求什么
- 讨论区区分了两者:
- ePrivacy 指令(“cookie 法”):在用户设备上存储/读取非必要数据前必须获得事先知情同意,对“严格必要”的存储有例外(例如认证、购物车、基本偏好设置)。
- GDPR:处理个人数据需要合法依据;同意只是几种依据之一。
- 几位参与者强调:并没有一部法律强制要求横幅;法律要求的是对跟踪的同意,而不是某种特定 UI。
- 另一些人则认为,现实中只要涉及跟踪,cookie 横幅实际上就是必需的,所以把它称为“cookie 横幅法”是合理的简写。
为什么 cookie 横幅大量出现
- 许多公司想要第三方跟踪和广告技术;横幅被用来在同意规则下维持这种模式。
- 律师往往建议“稳妥一点”,即使是最少量或纯功能性的 cookie 也加上横幅。
- 有些人认为这属于恶意合规和暗黑模式设计:把“全部接受”做得很容易,而把“全部拒绝”埋得很深甚至让其不可用,尽管这本身是违法的。
责任:公司还是监管机构
- 一派把责任归咎于监管者:法律含糊、难以执行,按理会导致 UX 垃圾信息和形式主义合规。
- 另一派把责任归咎于公司:它们完全可以不跟踪,或者只跟踪严格必要的内容,从而彻底避免横幅。
- 还有几位指出,许多 cookie 弹窗本身就违反 GDPR(没有便捷拒绝、目的捆绑),而执法一直缓慢且选择性很强。
用户态度与体验
- 有人声称“多数人不在乎跟踪,只想看内容”,因此把横幅视为纯粹的烦扰。
- 也有人说,用户在被中性地询问时其实会在意(例如 Apple ATT 等),只是他们感到困惑、疲惫,或觉得自己并没有真正的选择。
- “高级用户”往往依赖拦截器(uBlock、“I still don’t care about cookies”、Consent‑O‑Matic、Firefox 功能)几乎看不到横幅,这也引发了对技术水平较低用户公平性的担忧。
可替代方案与修复建议
- 强烈建议:
- 让浏览器级控制(例如可强制执行的 DNT 风格信号,或更丰富的同意配置)具有法律约束力。
- 彻底禁止或大幅限制跨站跟踪和微定向,而不是通过同意 UI 来管理它。
- 明确并执行“拒绝必须和接受一样容易”的要求;对不合规的暗黑模式开出更多罚款。
更广泛的隐私与商业影响
- 许多人认为无处不在的跟踪在伦理上“很可疑”,它会支持用户画像、数据经纪和政治微定向;他们认为这项法律是必要的制衡。
- 另一些人担心,更弱的广告收入和复杂的合规会伤害小型出版商和“免费内容”,并认为尽管初衷良好,这项监管的尺度并不合适。