Több nagy webes szolgáltató is kitörölhetetlen cookie-kkal biztosította be magát a személyes adatait féltő felhasználók ellen. A KISSMentrics analitikai céggel együttműködve 25 cég, köztük a Hulu, az iVillage, a Spotify és a GigaOm használta az ETags nevű megoldást, melynek hála azokat is tovább tudta követni a cég, akik a böngészőjükben törölték a sütiket. Az előző héten nyilvánosságra került hír nem tesz jót az amerikai privacy harcoknak, hiszen míg a szakma próbálja bizonygatni, hogy önszabályozással kordában tudja tartani a tagjait, addig az ilyen események tovább rombolják az internetes cégek megítélését.
Az ETag (entity tag) a HTTP protokoll egy része, melynek az elsődleges feladata cache kezelés segítése lenne, de a KISSMeter arra használta, hogy újraküldje a saját cookie-ait azoknak, akik törölték őket, vagy Privacy Mode-ban böngésztek. Ennek köszönhetően a cég szolgáltatását használó weboldalak akkor is tudták követni a felhasználóikat, ha azok a böngészőjükben ezt letiltották. A KISSMeter a megoldást először teljesen törvényesnek és szabályosnak nevezte, ráadásul opt-out lehetőséget is ajánlott az oldalán (az AdBlock Plust...). A botrány kirobbanása után a cég végül módosította az ETag használatát és adatkezelési nyilatkozatát is, így egy hét alatt megoldódni látszik a helyzet.
A KISSMeter ETag használata ugyanakkor más problémát is felvetett, ugyanis a perzisztens cookie-k felhasználása mellett az így gyűjtött adatok cseréjét is (elméletileg) engedélyezte az ügyfelei között. Ennek köszönhetően például a Spotify-n összegyűjtött információkat a Hulu is használhatta, amennyiben erről megegyezett a két cég. Bár a KISSMeter állítása szerint erre sosem került sor, de kifejezetten aggályosnak tekinthető az adatok ilyen szintű kezelése.
Csepp a tengerben
A privacy harcok kereszttüzében a nemzetközi sajtóban nagy port kavart a KISSMeter ügye, de nem mondhatjuk, hogy egyedi esetről lenne szó. 2009-ben egy másik cég keveredett hasonló botrányba, akkor Flash cookie-kat használtak a HTTP sütik újratermeléséhez. A 2009-ben a technológiai cég végül 2,6 millió dolláros bírságot fizetett, és ígéretet tett arra, hogy nem nyúl ilyen eszközökhöz a jövőben. Ezzel szemben az ügyfelei (köztük az itt is érintett Hulu) már nem voltak ennyire bűnbánóak, ők csak azt jelentették ki, hogyha saját szakállukra kezdenek el ilyen szintű user követéssel foglalkozni, azt feltüntetik az adatvédelmi nyilatkozatukban is.
A botrányt kirobbantó jelentés nem mellesleg az ETag mellett a HTML5 cookie-kat is megnevezi, mint alternatív módon használható eszközök, ráadásul ezek alkalmasabbak is lehetnek a user követésre, mint az eddig használt technológiák. (Más vélemények szerint, pont a HTML5 fogja elősegíteni a még jobb privacy kezelést.)
Az egész privacy, opt-out kérdés sokak véleménye szerint nem akkora probléma, mint amilyennek egyesek beállítják, főleg azért, mert kevés felhasználó van, aki valóban élne ezzel a lehetőséggel. (Ha opt-in lenne, mint ahogy nálunk is tervezték, akkor nagyobb lenne az aggodalom.) Sajnos eddig kevés adat állt rendelkezésre, hogy megítélhessük az opt-out veszélyét, így csak becslések voltak arra, hogy hányan lépnének ki. Pár napja viszont az Evidon, az About Ads (az amerikai szolgáltatók közös opt-out oldala) legnagyobb technológiai partnere, nyilatkozta azt, hogy az általuk elért 80 millió felhasználóból 500 ezer élt eddig az opt-out adta lehetőségekkel, tehát mindössze 0,625%, ami így egy időre be is árazta ezt a kérdést.
Tanulságok
A KISSMetrics már előző héten kirakta az oldalára az opt-out lehetőséget (nem tartott ki az AdBlock Plus mellett), így elviekben elhárult a veszély, de ez az eset is felhívta rá a figyelmet, hogy nem a technológiák korlátozása a megoldás a problémák kezelésére (,ami tegnap az ETag volt, az holnap a HTML5), hanem a megfelelő szabályozás és keretrendszer kialakítása, melyhez tarthatják magukat a vállalatok.
Mindenkinek a vérmérsékletére bízzuk, hogy a KISSMetrics hivatalos közleményéből mennyit hisz el, ugyanakkor a 2009-es és a mostani eset Hulu-s metszéspontja rámutat arra, hogy nem feltétlenül a technológiai cégek az igazi nyertesei ezeknek a megoldásoknak, hanem azok a médiavállalatok, akik ezeket kihasználva (és mögéjük bújva) próbálnak további előnyt szerezni a felhasználóikból.
Magyarországon a KISSMetrics ügye azért lehet érdekes, mert miután megúsztuk az kötelező opt-int, pont a cookie-k böngészőben való tiltása lehet a felhasználók egyik eszköze, mellyel védekezhetnek a különböző adatgyűjtő megoldásokkal szemben, és az ETag-hez hasonló megoldások kreatív használata pont ez ellen menne.
Várhatóan a jövőben még számos alkalommal találkozhatunk azzal, hogy technológiai cégek, vagy rajtuk keresztül nagy weboldalak megpróbálják kiterjeszteni az adatkezelési lehetőségeiket. A kérdés nem csak az lesz, hogy ezek mennyiben ellenkeznek majd a privacy aggályokkal, hanem hogy ezekkel végül mennyit nyerhetnek a felhasználók.
