为什么每个网站都想让你接受cookies?

如果你在过去18个月访问过新网站，可能会看到一条通知：

这个页面正使用cookies跟踪你，并要求你同意这种行为。这个网站会让你阅读其“cookie政策”（你会读吗？），并且进一步告诉你，这种跟踪是为了“提高”用户体验——虽然说它给你的感觉完全相反。

Cookie是什么？有何作用？

Cookies是网站发送到你设备的小文件，然后被这些网站用来监视你，并记住关于你的某些信息，比如电商网站购物车中的内容或登录信息等等。

这种遍及整个互联网的cookies弹出通知是善意的，旨在提升用户线上隐私保护的透明度。

然而到头来，它们并没有什么卵用：

大多数人只是下意识的点击“同意”并继续访问。如果拒绝Cookie跟踪，有些网站就无法正常运行。但大多数时候，你拒绝了它依然可以继续浏览。

用一句话说，它们与我们会忽略的烦人在线弹出广告没太大区别。

Cookies警报理应为你提供更多的隐私控制权。但大多数情况下，你会单击"同意"然后继续。

互联网的困境：隐私保护

这些Cookie提示反映了互联网当前面对的一大根本缺陷，关于在线隐私保护和谁能访问并转售用户数据的问题。进一步说，谁能利用它在互联网和现实生活中跟踪用户。

Cookie警报的泛滥很大程度上源于欧盟两项不同的法规：

《GDPR》、ePrivacy条例

它们以及随之产生的Cookie警报有很多好的意图。但是，它们作用不大。

digi.me的CEO称，“我可以说，到目前为止，它们没有什么作用。我们又回到了1999年，到处可见弹出窗口，这相当令人讨厌。”

我们先回顾下，cookie是你上网时网站保存的关于你的信息。当你浏览时，它们会一直跟踪你。

假设你访问一个天气网站并输入自己的邮政编码，查看自己所在地区的情况；下次你访问同一网站时，它会记住你的邮政编码。

你访问的网站会保存第一方Cookie，然后是第三方Cookie，例如广告客户存放的Cookie，后者是用来查看你感兴趣的内容并为你投放对应广告的——即使你离开之前访问的网站，第三方Cookie也在生效。（这就是广告在互联网上跟踪你的机制。）

Cookies弹窗急剧增长的背后

关于Cookies警报的增长是一系列事件的综合影响结果，这些事件主要发生在欧盟以外的地区。

但从更宏观的视角来看，这些警报的背后是一场关于数字隐私保护的长期争议，争议内容包括要求用户来选择是否加入数据收集计划是不是更好的做法，以及谁应该拥有数据并负责保护数据等议题。

2018年5月，《GDPR》在欧洲生效。该隐私保护法案旨在确保用户知晓公司在收集有关他们的数据，并让用户有机会同意共享这些数据。这要求公司在收集哪些信息以及为什么收集这些信息等问题上保持透明。个人有权访问自己的所有数据，并控制它们的访问和使用权限，甚至删除它们。

《GDPR》生效后，许多网站都开始添加Cookie通知。但是，《GDPR》实际上只提到Cookie一次。它说，在一定程度上它们被用来识别用户，所以它们有资格被视为个人数据并受《GDPR》的约束，于是公司只要征得用户同意或让监管者认同某种“合法利益”，就可以处理这些数据。

但是，管理Cookie的不仅是《GDPR》，还有欧洲的ePrivacy条例，该条例的最新更新时间约为10年前。

它有时被称为“Cookie法案”，它为在线跟踪、保密和监视制定了指南。当前，欧洲正在尝试制定《电子隐私权法规》，该法规将取代上述条例，并为欧盟带来跨国家的全面法规监管，而不是各自为政。目前，《GDPR》和《ePrivacy条例》共享对Cookie的治理权。但是，无论新法律是否通过，Cookie警报都不会很快消失。

新美国旗下数字权利排名项目研究总监Amy Brouillette说：“GDPR是一只鞋，而另一只鞋是正在推进的电子隐私法规。”这个项目正在推动在线自由表达和隐私保护的权利。

大多数公司都会向你抛出Cookie警报，因为他们不想出了问题再后悔

《GDPR》生效后，全球各地的公司（不仅是欧洲公司）都竞相遵守，并开始为各地用户实施隐私政策更新。这一改变就包括了Cookie弹出窗口。

“所有人都不想出了问题再后悔，所以抛出了一个横幅——所有人都承认这并不能起到很大作用，”民主与技术中心隐私与数据项目前政策顾问Joseph Jerome说到。这是一家注重隐私保护的非营利组织。Cookies弹出窗口恶化了用户体验，却没有带来真正的回报。

科技公司和网站所有者在如何处理和跟踪用户数据方面变得更透明，这无疑是一件好事。并且，《GDPR》和其规定的巨额罚金促使一些公司针对违规通知等问题进行自我纠正。

事实上，《GDPR》实施后，欧盟的数据共享和滥用情况变好。

但对于Cookies而言，这些弹出通知的作用并不大。轻松访问用户数据，并用这些数据来做任何想做的事，这就是互联网和头部网站的“生存方式”。

而且坦率说，我们在怂恿这种行为。大多数用户只需单击或轻触“确定”即可清除弹出窗口，并访问他们要看的页面。他们很少会去了解自己同意的到底是什么内容。

研究表明，绝大多数互联网用户没有阅读服务条款或隐私权政策信息。因此，他们也不会去阅读Cookie政策。这些政策条款的页面很长，并且说得不是“人话”（不是以普通人能理解的话写的）。

关于Cookie警报是否符合欧洲法律，这一点甚至还未达成共识。荷兰数据保护局在5月表示，这些披露方式实际并不符合《GDPR》，因为不同意就无法访问网站。

Brouillette表示，“除非采取执行行动，或监管机构出具一份实际的指导文件，上面写着‘我们想要的就是这些，我们认为用户会去阅读这些内容’，否则你还要面对这种糟糕的用户体验。“

有更好的解决方案吗？也许有，但没人能说明白它们是什么样子。

一方面，用户访问网站应该知道自己正进入怎样的领域，以及有哪些公司跟踪自己；另一方面，要求他们对不甚了解的协议选中一个复选框，并不给他们其他任何可行的选择，这似乎并不是理想的解决方案。

这会恶化用户体验，却不会带来什么有价值的回报。这再次反映了互联网上隐私和数据收集方面的“根本缺陷”。

有更好的答案吗？

Green建议使用某种认可或评级系统，来向用户表明网站是否遵循良好的隐私惯例。当然，我们必须决定由谁制定这些标准（公共部门、私营部门或某种组合）以及标准应该是什么。并且，要在这些问题上达成共识将很困难。

Jerome指出美国互动广告局（IAB）提出的透明性和许可框架。IAB是一个行业贸易组织，致力于研究互动广告并制定符合欧盟规则的标准和最佳实践。“这不一定是解决方案…但我们确实需要某种标准化的方案。”他说。

浏览器Brave的首席政策和产业关系官Johnny Ryan表示，IAB的框架实际上是有害的。他说，“实际上，当他们要求你回答ok时，你会被他们的展示信息所误导。最重要的是，在许多情况下，他们不允许你说不。”

Ryan称，《GDPR》导致科技行业和监管机构间的“猫鼠大战”，公司试图找出可钻的“漏洞”，并采取最低限度的对策，而不是有意义的行动，甚至在实际上不会遵守法律。“《GDPR》的纸面意义非常好，内容也几近完美，但其诉求还未得到执行。“

欧洲之外，美国也在开展一场在线隐私保护运动，并有一些潜在法规可能某天改变互联网上的数据收集机制，包括Cookie的工作机制。例如，加州民主党的议员提出《互联网权利法案》，列出数字时代的用户保护清单；参议院民主党人提出《消费者在线隐私权法案》（COPRA），该法案旨在扩大数字隐私权利的范围，并增强其保护力度，具体做法类似于《GDPR》。

但因共和党人控制众议院，并且相关法案在国会几乎没任何进展，因此尚不清楚这些想法何时或是否成为法律。

而在州一级，旨在保护隐私权并改善消费者数据保护的法律《CCPA》于2020年1月1日正式生效。

目前而言，我们还要面对Cookie弹窗，这给在线浏览增添许多麻烦，却没有真正意义。

英文原文：

Why every website wants you to accept its cookies