プライバシーポリシー。 Cookieはブラウザデータを「収集」または「リクエスト」しますか?
私は自分のサイトの法的な部分、特にプライバシーポリシーに取り組んでいます。調査を行ったところ、私の質問に対する回答(下記)のほとんどすべてが一般化されていることがわかりました。
質問:Cookieはユーザーのブラウザーからデータを「収集」しますか、それともCookieはユーザーのブラウザーからデータを「要求」しますか?
これは非常に重要な違いのようです。私のサイトがユーザーからのデータを「収集」することをプライバシーポリシーに記載しますか、それともユーザーからのデータを「要求」しますか?.
コア機能についての私の理解は、Cookieがユーザーのブラウザーまたはブラウザーのアクティビティのデータを要求するということです。ユーザーは、ブラウザーの設定でブラウザーの応答(またはCookieの処理)を制御します。ユーザーがCookieへの「応答」の処理を最終的に制御できる場合、Webサイトのプライバシーポリシーでは、Cookieを使用してブラウザデータを収集することを表明するのが適切ですか。 「ブラウザからデータをリクエストするためにCookieを使用します。設定に応じて、リクエストへの応答がエクスペリエンスに影響します」のように記述する方が正確ではありませんか?またはそれらの線に沿って何か。
私が「Cookieがブラウザデータを収集する」というフレーズを理解してきた何年もの間、私たち(ウェブサイト)はブラウザにコード(Cookie)を強制し、すべてのアクティビティが私たちに戻るためのSIVを開きます。しかし、これはまったく当てはまりません。 Cookieは実際に最初にユーザーの許可を「要求」する(つまり、要求する)ため、ユーザーがブラウザー設定をどのように設定したかに応じて、Cookie要求が受け入れられるか拒否されます。
私は一般的な問題として、「収集」という用語を避けようとしています。私はそれが不適切に使用され、ユーザーに間違った印象を残していると思います。
他の誰かがこれについて考えましたか?何か不足していますか?
更新:以下のすべての良い応答をありがとうございます。私はプライバシーポリシーに「情報を収集するためにCookieを使用しています...」ではなく、「情報を要求するためにCookieを使用しています...」と記載していないと結論しました。必須、およびISより正確なケース。
「収集」または「要求」されるデータはCookieではなく、Cookieに直接保存されることもありません。
プライバシーポリシーについて話し合う必要のあるデータは、名前や電子メールアドレスなど、明示的に要求したデータです。ブラウザーが参照元、IPアドレス、ユーザーエージェント識別子などのデータをデフォルトで送信するため、収集したデータ。
Cookieの役割は一緒に結び付ける複数のリクエストにまたがるこの情報です。名前を教えてくれたのと同じユーザーがボブであることがホームページにアクセスしていることを知ることです。または、昨日中国から接続していた同じユーザーが現在ロシアから接続しているように見える。しかし、彼らの名前がボブであることや、彼らのIPアドレスが中国に割り当てられていることを教えてくれたのはCookieではありません。
あなたのプライバシーポリシーは何よりもまずあなたが収集しているデータについて話すべきです。 Cookieについて説明する必要がある場合は、そのデータを「接続」、「結合」、または「ブラウジングと関連付ける」ために使用されるテクノロジーとして説明する必要があります。
Cookieはデータの収集も要求もしません。 Cookieは、クライアント側に情報を格納できる単なるボックスであり、Cookieを設定した後にクライアントがサイトにアクセスしたときに取得できます。
HTTPは ステートレスプロトコル です。サーバーの観点からは、すべての接続が新しい接続です。そのサーバーに接続したことがないか、それとも最後の1秒間にサーバーからダウンロードした100番目のイメージかは関係ありません。あなたの接続と他のすべての接続はまったく同じ、顔のない匿名の未知の接続です。それぞれに識別子を付けるために、Cookieが作成されました。
クッキーはバッジであると考えてください。バッジなしでサーバーと通信すると、バッジが送信されます:あなたがわからないので、バッジはID:ABC123。
ブラウザがサーバーに話し戻すたびに、一緒にバッジが送信されます: "私はID:ABC123と必要logo.jpg "
サーバーに追加するものがあれば、新しいバッジを書き込んでブラウザーに送信します: "ログインしました。貴重なユーザーです。あなたはID:ABC123,TYPE:1 "
次の質問をすると、バッジは元に戻ります: "私はID:ABC123,TYPE:1と必要custom_logo2.bmp "
それは受動変数です。何も収集しません。サーバーがユーザーを識別するために使用する任意のデータです。任意のサービスにログインし、Cookieを削除してページを更新すると、誰であるかを尋ねられます。 Cookieは、ブラウザとセッションを識別するものです。
これは単純な例です。通常、Cookieは暗号化されており、実際には値を保持していません。通常、実際の値が格納されているサーバー側のレコードのみを指します。それ以外の場合は、誰でもTYPE:1 Cookieを使用して、サンプルサービスの非常に特別なゲストになります。
クッキーのプライバシーについて教えてください。彼らはあなたを追跡することができます。画像をホストするサービスがあり、あなたのページにある私のサーバーの画像をリンクすると、私のサーバーはクライアントからリクエストを受け取ります。リクエストにはRefererという名前の特別なフィールドがあり、これにより、たとえばyour-own-site.org、私は彼を識別するCookieを彼に送信します(ID:ABC999)。これだけでなく、データベースにABC999がyour-own-site.orgにアクセスしたことを伝えるレコードを入れました。その後、クライアントは別の画像をリクエストしますが、slashdot.org、リクエストによりID ABC999。私のサーバーから、クライアントがあなたのサイトとスラッシュドットにアクセスしたことを知っているので、彼がどのような種類のサイトにアクセスし、彼のプロフィールは何であるかの画像の作成を開始できます。あまり似ていないように見えますが、Google、Facebook、およびほぼすべてのコンテンツ配信ネットワークについて考えると、アクセスするほぼすべてのサイトを追跡します。そのため、ほとんどすべてのブラウザにBlock third party cookiesオプションがどこかにあります。これにより、クライアントは、アクセスしているドメインのCookieのみを保存および送信します。世界中のすべてのCDN、画像ストレージ、テレメトリ、または分析サイト。
Cookieは単なるテキストの一部です。それは何も「収集」も「要求」もしません、それはアクティブなコンポーネントではないので、それはあなたがそれをどのように使うかに依存します。
たとえば、言語設定など、ユーザーに関するデータを収集して保存するために使用できます。 Cookieにはlang=esのようなものが含まれます。つまり、ユーザーにコンテンツをスペイン語で表示する必要があります。または、ユーザーを識別するために使用することもできます。たとえば、id=482477359937882940034を含めることができます。これを使用して、特定のユーザー(メール、プライベートメッセージなど)にコンテンツを提供したり、複数のユーザーをリンクしてコンテンツを追跡したりできます。同じIDへの異なるリクエスト。
サーバーは通常、Cookieを設定および変更し、それをブラウザーに送信します。その後、ブラウザはリクエストごとにそれをサーバーに送り返します。基本的には、継続的にやり取りされるデータです。
だからあなたのプライバシーポリシーは「あなたのウェブサイトは...にクッキーを使う」と言っておくべきです、そしてそれはあなたがそれらを何のために使うかに依存します。あなたがそれらを何のために使用するのか正確にはわからないので、具体的なアドバイスはできませんが、「情報を要求するためにCookieを使用しています...」のような文は、全然感覚。正直なところ、誰もCookieを気にしません。Cookie法(EUの法律、私はあなたがEUにいると想定しています)は単なる愚かな法律でした。 GDPR法(EU法)はより完全な法律であり、一般に個人データに焦点を当てています。重要なのは、それらのCookieを使用して何をするか、どのようなデータをどのような目的で収集するか、およびGDPRに基づく正当な目的かどうかです。これはかなり複雑な法律ですが、ユーザーが常にブラウザの設定を微調整できると想定してユーザーの明示的な同意を求めないようにしようとしている場合、間違った方向に進んでいることしかわかりません。
サーバーは何もする必要はありません。クライアントブラウザーは、リクエストと一緒にCookieをサーバーに喜んで送信します。サーバーがクライアントに、いわゆるCookieに基づいたサービスを提供することは、いわば有用であると期待しているからです。
このコンテキストでこれらの2つ(収集と要求)のどちらが何を意味するのかはわかりませんが、サーバーはここではクライアントブラウザーと受動的な関係にあります。必要に応じて、ブラウザでのCookieの保存(および送信)を無効にすることもできます。