你是否曾经想知道,当你在浏览网页时,网站是如何记住你的登录状态、购物车内容或个性化偏好的呢?
答案就在一个看似普通的小东西里——网页Cookie。
在这篇文章中,我们将揭开Cookie的面纱,了解Cookie,掌握Cookie,以及如何在保障合规的前提下利用Cookie产生业务价值。
一、我不是技术工作者,如何理解Cookie到底是什么?
首先,假使我们现在正在浏览一个网站,网站的某些功能是需要登录后才可以查看的,这时候网站会需要你进行登录,例如输入账号和密码,或者使用一些第三方登录的方式。
当我们点击了登录按钮之后,浏览器会把我们的账户和密码等其他信息,按照固定的格式发送到服务器。如果服务器验证无误,就会把我们请求的内容返回给浏览器,这样的话我们就可以登录成功,并且访问到我们想要看到的内容。
那么问题来了,服务器本身只是接受浏览器来的请求,是无法记录我们的登录状态的,如果你这时候访问到了同个网站的其他页面,在没有记录的情况下,服务器仍然会要求你重新登录。
大家可以想象的到,如果在网站上进行浏览器,每点击一次操作,都会需要你重新进行登录,那将是多么麻烦的一件事情。
因此,我们经常可以看到一些网站,允许用户在一段时间内进行免登录,例如3天、10天、30天等日期内无需再次登录。
这就要归功于Cookie的作用
服务器每次在一个用户进行登录之后,都会返回给浏览器一个该用户的专属ID,这个专属ID就是Cookie,用户继续操作网页时,浏览器每一次向服务端请求时,都会带上这个Cookie,这样服务端就知道了你是谁,可以返回专属于你的一些信息和内容,而且不需要对你进行重新识别。
二、经常听到的Session是什么,和Cookie是什么关系呢?
前面我们知道了,Cookie本质上是在请求的过程当中携带一些信息,例如用户的专属ID。然而在实际业务场景中,这些信息可能是各种各种的,当然可以不限于用户的专属ID,实际上,你访问时的IP、所在地区、语言偏好、购物车中的商品类型等,都可以作为Cookie被携带,并且发往服务端。
至于Cookie携带的信息到底有哪些,则取决于网站本身。大多数的网站,为了更好的了解我们,都想采集我们更多的信息,例如你的购物车内容、点击过的链接、查看到的内容、点开的图片类型等等,形成属于你更全面的分析画像。
单个的Cookie容量限制在4KB之内,随着需要记录的信息越来越多,明显已经不够用了,而且浏览器也会限制Cookie的数量,这时候怎么办呢?
聪明的开发者们想到了一个办法,既然在浏览器上存储的Cookie容量是有限的,而且也不是非常安全(相当于浏览器生成的令牌,有一定被篡改风险)。
于是,Session就诞生了。
如果说cookie 主要是存储在客户端的一个字符串用来代表该客户端的账户身份,像令牌一样 可以长期反复使用。
Session 就是为了满足当前通信的状态和保持信息,结束就关闭了。cookie只是实现session的其中一种方案。虽然是最常用的,但并不是唯一的方法。禁用cookie后还有其他方法存储,比如放在url中。
现在大多都是Session + Cookie,但是只用session不用cookie,或是只用cookie,不用session在理论上都可以保持会话状态。可是实际中因为多种原因,一般不会单独使用。
用session只需要在客户端保存一个id,实际上大量数据都是保存在服务端。如果全部用cookie,数据量大的时候客户端是没有那么多空间的。
如果只用cookie不用session,那么账户信息全部保存在客户端,一旦被劫持,全部信息都会泄露。并且客户端数据量变大,网络传输的数据量也会变大。
简而言之, session 有如用户信息档案表, 里面包含了用户的认证信息和登录状态等信息. 而 cookie 就是用户通行证。
根据上述描述,Cookie和Session一个保存在客户端,一个保存在服务端,但相同的是,都会保存一部分用户的基本身份信息,例如浏览器信息、动态IP地址等。
在Patrick Breyer v. Bundsrepublic Deutchland案中,欧盟法院(Court of Justice of European Union,CJEU)认为如果将动态IP地址(dynamic IP address)与网络服务供应商(Internet service providers, ISPs)掌握的其他数据结合起来,例如用户访问了网站上的哪些页面等,可以“间接识别”一个自然人,由此认定动态因此类似动态IP数据属于“去标识化”的个人信息,需要受到GDPR的监管。
三、第三方Cookie是怎么出现的?
Cookie在使用时一直存在一个限制,那就是一个网站,只能查看他自己保存的Cookie,那么,一个有广告需求的购物网站,如何在其他网站追踪到用户,并定向的投送广告的呢?
这其中涉及到的技术就是Cookie追踪。
大部分的网站都是免费向用户提供内容的,例如社交类网站、内容类网站等等,这些网站大头的收入基本来自于广告,而广告实际上是隶属于另一个网站的,比如我们前面提到的购物网站。
广告位所属的网站(广告商)会往社交网站(广告收益方)的页面上,植入一个追踪的Cookie,我们称为第三方Cookie,每一个网站只可能获取到一小部分的信息,但是广告商可以将各个网站的数据拼凑起来,最终形成一个你的数字画像。
例如,你在A网站经常浏览健身相关的内容,广告商会收集到你的这个信息,并且在当你浏览B网站时,在B网站的广告位向你投放健身器材的的购物广告,你感兴趣并且点击之后,健身器材的售卖网站就会将本次广告费用结算给广告商,广告商也会将一部分收益分给A,从而使得A继续允许广告商在他的网站上追踪用户Cookie。
现在我们知道了,第三方Cookie往往用在一些广告和营销的用途,这些用途会给网站本身、广告商、投放广告的广告主都带来一些收益,而消费者,往往是无法选择是否接受这些广告的。
四、GDPR法律对于Cookie使用做出了哪些限制?
GDPR对与Cookie使用的限制,主要在第7条和第22条。
第22条中说明了需要获取用户同意的一些合法性基础:
基于数据主体明确同意;
基于履行合同的必要;
基于欧盟或成员国的法律规定。
由此带来的影响是,cookie所收集的大部分的信息只能通过获得用户的【同意】来获取,仅是一些身份验证、功能实现、安全风控的需求时,这些小部分的Cookie可以按照仅“履行合同所必要”的来定义,绝大多数的第三方Cookie,都只能通过【同意】这种方式来保证合规性。
第7条中说明了获取用户同意的一些原则和操作方法:
第7条 同意的条件
- 当数据处理必须基于数据主体的同意时,数据控制者应当证明数据主体已经对处理其个人数据的行为予以同意。
- 如果数据主体是通过书面声明的方式表示同意的,而该声明还涉及其他事项,则同意在形式上应当满足:明显区分于其他事项,以明了且易获取的形式,使用清楚简单的语言。该声明中任何与本条例规定相违背的内容不发生法律约束力。
- 数据主体有权在任何时候撤销其同意。该撤销不具有溯及力。在作出同意的意思表示之前,应将上述事项明确告知数据主体。撤销同意和作出同意应一样容易。
- 在评估时应当尽最大可能考虑数据主体的同意是否是基于自由意志作出,尤其是在包含服务条款的合同的履行是以数据主体同意其个人数据被处理为条件,而该数据处理又不为履行合同所必要。
此项条款对于网站的交互设计,以及业务操作流程设置了一定的门槛,也就是说用户访问进入网站时,比如要通过弹窗等手段获取用户同意,否则将不允许通过所有的需要【同意】才能生效的Cookie,收集用户的任何数据。
在这种情况下,传统的“一揽子同意”的做法将使企业面临极大的合规风险,这要求企业必须将不同类型的Cookie单独或组合列出,并设置足够友好的交互页面,以获取更多用户的同意。
五、如何使用优秀的【Cookie自动化同意管理系统】满足监管的合规要求?
用九智汇长期专注于解决全球企业的数据合规与隐私保护的需求,在中国企业纷纷选择出海拓展业务的今天,我们也提供了企业出海的一站式合规平台,除了PIA、DPIA、处理活动记录、Datamapping、隐私协议管理等工具外,也包括了【Cookie同意偏好管理】系统。
当前企业出海往往同时涉及到多个国家或地区,例如欧盟国家、非洲国家、新马泰地区、美国、加拿大、澳大利亚等,在这些国家或地区都会搭建属于自己的业务网站,如果能够统一管理其合规性,成了首要需求。
用九智汇的【Cookie同意偏好管理】可以满足企业以下需求:
- 统一管理多个网站的第一方、第三方Cookie
- 快速准确的Cookie扫描器,支持一键扫描网站已使用的Cookie信息
- 提供可定制化的交互、横幅设置,快捷使用内置的模板,配置出不同国家和地区的交互形式
- 用户拒绝Cookie后,自动禁止第三方Cookie跟踪