你有没有想过,当你浏览网页时,你是如何记住你的登录状态、购物车内容或个性化偏好的?
答案就在一件看似平凡的小事里——网络 Cookie。
在本文中,我们将揭穿 Cookie,了解 Cookie、主 Cookie,以及如何使用 Cookie 在保持合规性的同时产生商业价值。
首先,如果我们当前正在浏览一个**,有些功能只有在登录后才能查看,此时**会要求你登录,比如输入账号和密码,或者使用一些第三方登录方式。
当我们单击登录按钮时,浏览器会以固定格式将我们的帐户和密码等其他信息发送到服务器。 如果服务器验证它是正确的,它会将我们请求的内容返回给浏览器,以便我们可以登录并访问我们想要查看的内容。
那么问题就来了,服务器本身只接受来自浏览器的请求,而无法记录我们的登录状态,如果你此时访问了相同**的其他页面,在没有记录的情况下,服务器还是会要求你重新登录。
可想而知,如果你在浏览器上**,每次点击都会要求你重新登录,那会有多麻烦。
因此,我们经常可以看到一些**允许用户在一段时间内免费登录,例如3天,10天,30天等。
这要归功于 cookie 的作用
每次用户登录时,服务器都会为用户向浏览器返回一个唯一的ID,这个唯一的ID就是cookie,当用户继续操作网页时,浏览器每次请求服务器时都会带上这个cookie,让服务器知道你是谁,并能返回一些你独有的信息和内容, 而且您不需要被重新识别。
正如我们所看到的,cookie 本质上会在请求过程中携带一些信息,例如用户的唯一 ID。 但是,在实际业务场景中,这些信息可能是各种各样的,当然也可以局限于用户的唯一ID,实际上,当你访问时ip位置语言偏好,购物车中的商品类型等,可以作为cookie携带并发送到服务器。
至于cookies携带哪些信息,则取决于**本身。 他们中的大多数人,为了更好地了解我们,希望从我们这里收集更多的信息,例如您的购物车内容、点击的链接、查看的内容、点击的类型等,以形成更全面的分析画像。
单个 cookie 的容量限制为 4kb,这显然是不够的,因为需要记录的信息越来越多,浏览器也会限制 cookie 的数量
聪明的开发人员想出了一个解决方案,因为存储在浏览器中的cookie数量有限且不是很安全(相当于浏览器生成的令牌,存在一定的篡改风险)。
所以session它诞生了。
如果 cookie 主要是存储在客户端上以表示客户端帐户身份的字符串,则可以像令牌一样在很长一段时间内重复使用。
会话是为了满足当前的通信状态并保留信息,然后在结束时关闭。 Cookie 只是实现会话的方法之一。 虽然它是最常用的,但它并不是唯一的方法。 禁用 Cookie 后,还有其他方法可以存储它们,例如在 URL 中。
如今,它们中的大多数是会话 + cookie,但理论上可以只用没有 cookie 的会话来维护会话状态,或者只有有 cookie 而没有会话。 然而,在实践中,由于各种原因,它通常不会单独使用。
使用会话,你只需要在客户端上保存一个ID,实际上,很多数据都存储在服务器上。 如果使用所有 cookie,则当数据量很大时,客户端将没有那么多空间。
如果只使用cookie而不是会话,那么所有的账户信息都存储在客户端中,一旦被劫持,所有信息都会被泄露。 并且客户端上的数据量变大,网络传输的数据量也会增加。
简而言之,会话类似于用户配置文件,其中包含用户的凭据和登录状态等信息。 而cookie是用户通行证。
根据上面的描述,cookie和会话存储在客户端和服务器端,但同样会存储用户的一些基本身份信息,如浏览器信息、动态IP地址等。
在Patrick Breyer v在BundsRepublic Deutchland案中,欧盟法院(CJEU)认为,如果将动态IP地址与互联网服务提供商(ISPS)持有的其他数据(例如用户访问)相结合,哪些页面可以“间接识别”自然人,因此确定动态IP数据是“去标识化”的个人信息,需要受到GDPR的监管。
在cookie的使用上一直存在一个限制,即一个**,只能查看自己保存的cookie,那么,一个有广告需求的购物者,如何跟踪用户在其他人**,并有针对性地投放广告呢?
这其中涉及的技术是:Cookie 跟踪。
他们大多是免费向用户提供内容,比如社交、内容等,而这些收入大部分基本都来自广告,而广告其实是隶属于另外的,比如我们前面提到的购物。
广告空间所属的广告商将在社交(广告收入方)页面上放置一个跟踪 cookie,我们称之为第三方 Cookie每个**只能获得一小部分信息,但广告商可以将每个**的数据拼凑在一起,形成您的数字肖像。
例如,如果你经常在A**中浏览健身相关内容,广告商会从你那里收集这些信息,当你浏览B**时,你会在B**的广告位中看到健身器材的购物广告,在你感兴趣并点击后,健身器材**的销售将向广告商结算广告费用, 广告商还将部分收入分享给 A,以便 A 继续允许广告商在其**上跟踪用户 cookie。
现在我们知道,第三方cookie经常被用于一些广告和营销目的,这些使用会给他们自己、广告商和投放广告的广告商带来一些好处,而消费者往往无法选择是否接受这些广告。
GDPR 对 Cookie 的使用有限制,主要包括:第7条跟第22条.
第22条规定了需要用户同意的一些法律依据:
基于数据主体的明确同意;其影响是,Cookie收集的大部分信息只能通过获得用户的【同意】才能获得,而当只是出于某些认证、功能实现、安全风控等需要时,Cookie的这些小部分可以被定义为仅“履行合同所必需”,而绝大多数第三方Cookie只能通过【同意】来保证。为履行合同所必需;
基于欧盟或成员国的法律规定。
第7条描述了获得用户同意的一些原则和方法:
第7条 同意条件。该条款对交互设计和业务运营流程设置了一定的门槛,即用户在访问和进入时,例如必须通过弹窗等方式征得用户的同意,否则将不允许通过所有需要【同意】才能生效的cookie收集用户的任何数据。1.当数据处理必须基于数据主体的同意时,数据控制者应证明数据主体已同意处理其个人数据。
2.如果数据主体以书面声明的方式表示同意,而该声明还涉及其他事项,则同意应以与其他事项明确区分的形式,以清晰易懂的形式以及清晰简单的语言。 本声明中任何与本规定相抵触的内容均不具有法律约束力。
3.数据主体有权随时撤回其同意。 撤销不具有追溯力。 在表示同意之前,应明确告知数据主体上述事项。 撤销同意应该像给予同意一样容易。
4.在评估时,应尽可能考虑数据主体的同意是否基于自由意志,特别是如果包含服务条款的合同的履行是以数据主体同意处理其个人数据为条件的,并且处理对于履行合同不是必需的。
在这种情况下,传统的“一揽子同意”方式将使企业面临重大的合规风险,这就要求企业单独或组合列出不同类型的cookie,并设置足够友好的交互页面,以获得更多用户的同意。
随着九智汇长期专注于解决全球企业的数据合规和隐私保护需求,如今,中国企业纷纷选择出海拓展业务,我们也为企业出海提供一站式合规平台,除了PIA、DPIA、处理活动记录、数据映射、隐私协议管理等工具外,还包括【cookie同意偏好管理】系统。
目前,企业往往同时涉及多个国家或地区,如欧盟国家、非洲国家、新加坡、马来西亚和泰国、美国、加拿大、澳大利亚等,在这些国家或地区都会建立自己的业务**,如果能够统一管理自己的合规,就成为首要需求。
使用九之汇的【cookie同意偏好管理】可以满足企业的以下需求:
统一管理多个第一方和第三方 Cookie
快速准确的 cookie 扫描器,支持一键扫描**已使用的 cookie 信息。
提供可自定义的交互和横幅设置,快速使用内置模板配置不同国家和地区的交互表单。
当用户拒绝 Cookie 时,会自动禁用第三方 Cookie 跟踪。