Norme sulla privacy (i). Il cookie "raccoglie" i dati del browser o "richiede" i dati del browser? [chiuso]

Naviga le tue risposte
8

Sto lavorando su parte legale del mio sito, in particolare sulla privacy. Ho fatto la ricerca e ho scoperto che quasi tutte le risposte alla mia domanda (sotto), sono generalizzate.

Domanda: i cookie "raccolgono" dati dai browser degli utenti, o fanno "richiesta" di cookie, quindi ricevono dati dai browser degli utenti?

Questa sembra essere una distinzione molto importante. Inserisco nella mia informativa sulla privacy che il mio sito "raccoglie" dati dai miei utenti o "richiedo" dati ai miei utenti.

La mia comprensione delle funzionalità di base è che i cookie richiedono dati del browser dell'utente o dell'attività del browser. Gli utenti controllano come il loro browser risponderà (o gestirà i cookie) nelle impostazioni del browser. Se gli utenti hanno il controllo definitivo della gestione delle "risposte" ai cookie, è appropriato per le norme sulla privacy dei siti Web affermare che utilizzano i cookie per raccogliere i dati del browser? Non è più corretto affermare qualcosa del tipo: "Utilizziamo i cookie per richiedere dati dal tuo browser.A seconda delle tue impostazioni, la tua risposta alla nostra richiesta influisce sulla tua esperienza." O qualcosa del genere.

Per anni il modo in cui ho capito la frase "i cookie raccolgono i dati del browser" è che noi (siti web) codice di forza (il cookie), sul tuo browser che apre un siv per tutte le tue attività a tornare a noi. Ma non è affatto così. I cookie in realtà creano una "richiesta" (vale a dire, chiede) per prima cosa il permesso dell'utente e, a seconda di come l'utente ha impostato le impostazioni del browser, la richiesta di cookie viene rispettata o rifiutata.

Sto cercando di stare lontano dal termine "raccogliere" come una questione generale. Penso che sia usato impropriamente e lasci un'impressione sbagliata agli utenti.

Qualcun altro ha pensato a questo? Mi manca qualcosa?

AGGIORNAMENTO: Grazie per tutte le buone risposte di seguito. Ho concluso che la mia Informativa sulla privacy NON indicherà "Utilizziamo i cookie per raccogliere informazioni ...", ma piuttosto: "Utilizziamo i cookie per richiedere informazioni ..." perché il primo non implica il consenso richiesto, mentre il secondo implica il consenso richiesto, ed è il caso più accurato.

    
posta StackNoFlow 18.06.2018 - 22:05
fonte

6 risposte

5

I dati "raccolti" o "richiesti" non sono i cookie, né possono essere memorizzati direttamente nei cookie.

I dati di cui la privacy policy deve parlare sono i dati che hai richiesto esplicitamente, come nome e indirizzo e-mail; e i dati che hai raccolto perché i browser li inviano di default, come i referrer, gli indirizzi IP e gli identificatori degli user-agent.

Il ruolo dei cookie è quello di legare insieme queste informazioni tra più richieste - per sapere che lo stesso utente che ti ha detto che il loro nome era Bob sta ora accedendo alla home page; o che lo stesso utente che ieri si stava connettendo dalla Cina ora sembra essere in collegamento dalla Russia. Ma non è il cookie che ti ha insegnato che il loro nome è Bob, né che il loro indirizzo IP è assegnato alla Cina.

La tua politica sulla privacy dovrebbe prima di tutto parlare di i dati che stai raccogliendo . Se deve parlare di cookie, dovrebbe parlarne come tecnologia usata per "connettersi", "legare insieme" o "associare la tua navigazione con" a quei dati.

    
risposta data 19.06.2018 - 12:04
fonte
17

I cookie non raccolgono né richiedono dati. I cookie sono solo caselle in cui è possibile memorizzare le informazioni sul lato client che possono essere recuperate in un secondo momento quando il client entra nel sito dopo aver impostato il cookie.

    
risposta data 18.06.2018 - 22:18
fonte
14

HTTP è un protocollo stateless . Dal punto di vista del server, ogni connessione è nuova. Non importa se non ti sei mai connesso a quel server, o è la 100esima immagine che hai scaricato da quest'ultimo nell'ultimo secondo. La tua connessione e ogni altra connessione sono la stessa, anonima anonima connessione anonima. Per inserire un identificatore su ciascuno di essi, il cookie è stato creato.

Pensa a un cookie come a un badge. Se parli con un server senza badge, ti invierà uno: Non ti conosco, quindi il tuo badge è ID:ABC123 .

Ogni volta che il browser risponde al server, invia il badge insieme: "Sono ID:ABC123 e ho bisogno di logo.jpg "

Se il server ha qualcosa da aggiungere, scriverà un nuovo badge e invierà al tuo browser: "Hai effettuato l'accesso e sei un utente prezioso. Sei ID:ABC123,TYPE:1 "

Quando chiedi la prossima cosa, il badge torna indietro: "Sono ID:ABC123,TYPE:1 e ho bisogno di custom_logo2.bmp "

È una variabile passiva. Non raccoglie nulla, sono solo dati arbitrari che il server usa per identificarti. Accedi a qualsiasi servizio, elimina i cookie, aggiorna la pagina e ti chiederà chi sei. Il cookie è ciò che identifica il tuo browser e la sessione.

Questo è un esempio semplicistico. Di solito i cookie sono crittografati e non contengono valori, di solito puntano solo a un record sul lato server in cui sono memorizzati i valori reali. Altrimenti chiunque potrebbe mettere TYPE:1 sui propri cookie ed essere un ospite molto speciale nel servizio di esempio.

Qual è l'aspetto della privacy dei cookie? Ti possono rintracciare. Se dispongo di un servizio che ospita immagini e colleghi un'immagine del mio server sulla tua pagina, il mio server riceverà una richiesta dal tuo cliente. La richiesta avrà un campo speciale chiamato Referer , e questo mi dice che vieni da, diciamo, your-own-site.org , e gli mando un cookie che lo identifica ( ID:ABC999 ). Non solo questo, ma ho inserito nel mio database un record che diceva ABC999 ha aceso your-own-site.org . Più tardi il tuo cliente richiede un'altra immagine, ma proveniente da slashdot.org , e la richiesta mi dà l'ID ABC999 . Dal mio server so che il client ha avuto accesso al tuo sito e slashdot, quindi posso iniziare a creare un'immagine del tipo di siti a cui accede e qual è il suo profilo. Non sembra molto, ma se pensi a Google, Facebook e quasi tutte le reti di Content Delivery, tracciano quasi ogni singolo sito a cui accedi. Ecco perché quasi ogni browser ha un'opzione Blocca cookie di terze parti da qualche parte: in questo modo il cliente memorizza e invia solo cookie per il dominio a cui accede, non tutti i siti di CDN, memorizzazione immagini, telemetria o analisi intorno il mondo.

    
risposta data 19.06.2018 - 00:01
fonte
1

Un cookie è solo una porzione di testo. Non "raccoglie" o "richiede" nulla, non è un componente attivo e quindi tutto dipende da come lo si usa.

Può essere usato per raccogliere e memorizzare alcuni dati sull'utente, come ad esempio le preferenze di lingua. Il cookie conterrà qualcosa come lang=es , e ciò significa che l'utente dovrebbe mostrare il contenuto in spagnolo. Oppure può essere utilizzato per identificare l'utente, quindi ad esempio potrebbe contenere id=482477359937882940034 e può essere utilizzato per pubblicare contenuti specifici per un utente (come email, messaggi privati, ecc.) O per tracciarli collegando diverse richieste allo stesso ID.

Il server solitamente imposta e modifica il cookie e lo invia al browser. Il browser quindi lo invia di nuovo al server ad ogni richiesta. Sono fondamentalmente dati che vengono continuamente passati avanti e indietro.

Quindi la tua politica sulla privacy dovrebbe dire che "il tuo sito web utilizza i cookie per ...", e quindi dipende da cosa li usi. Non so per cosa le usi esattamente, quindi non posso darti alcun consiglio specifico, ma sono abbastanza sicuro che una frase come "Utilizziamo i cookie per richiedere informazioni ..." è molto probabile che non facciano senso a tutti. Ad essere onesti, a nessuno importa dei cookie, e la legge sui cookie (la legge europea, presumo che tu sia nell'UE) era solo una legge stupida. La legge GDPR (legge europea) è una legge molto più completa e si concentra sui dati personali in generale. Ciò che conta è ciò che fai con quei cookie, quali dati raccogli, per quale scopo e se è uno scopo legittimo secondo il GDPR. È una legge piuttosto complessa, ma posso solo dirti che se stai cercando di evitare di chiedere il consenso esplicito dell'utente assumendo che possano sempre modificare le impostazioni del browser, sei sulla strada sbagliata.

    
risposta data 19.06.2018 - 12:50
fonte
0

I server non devono fare nulla. I browser client inviano volentieri i cookie ai server insieme alla richiesta, perché si aspettano che sia utile per il server fornire al cliente un servizio basato sul cookie che memorizzano, per così dire.

Non sono sicuro di quale dei due (raccolta e richiesta) in questo contesto significhi che il server è in una relazione passiva con il browser client qui. Puoi anche disabilitare la memorizzazione (e l'invio) di cookie nel tuo browser, se questo è ciò che desideri.

    
risposta data 18.06.2018 - 23:41
fonte
-1

Il cookie memorizza i dati, il server raccoglierà / memorizzerà i dati al suo interno e "richiederne" i dati in un secondo momento.

    
risposta data 19.06.2018 - 10:06
fonte

Leggi altre domande sui tag

è possibile mantenere qualcosa di invisibile all'amministratore del server? Come posso proteggere la mia pagina di accesso?