Gửi Paul Graham: Không hề có luật về biểu ngữ cookie
(amazingcto.com)Về việc không hề có luật bắt buộc biểu ngữ cookie
- Paul Graham đã nghĩ rằng EU bắt buộc phải có biểu ngữ cookie, nhưng trên thực tế không tồn tại luật nào về biểu ngữ cookie.
- EU cho rằng cần có sự đồng ý đối với việc theo dõi cá nhân, lập hồ sơ và bán dữ liệu.
- Doanh nghiệp có thể tránh biểu ngữ cookie bằng cách không theo dõi, hoặc bằng cách tôn trọng header
Do Not Trackcủa những người dùng không muốn bị theo dõi.
Các cách thay thế cho việc xin đồng ý cookie
- Trình duyệt có thể cung cấp một biểu tượng theo dõi giống như biểu tượng SSL, và khi người dùng nhấp vào đó có thể xem thông tin để đưa ra đồng ý.
- Có thể dùng một biểu ngữ nhỏ ở đầu trang để xin đồng ý cookie, hoặc đặt một nút nhỏ ở cuối trang để xin chấp thuận "hỗ trợ thông qua theo dõi".
Việc các công ty sử dụng biểu ngữ cookie
- Các công ty biết rằng người dùng không muốn bị theo dõi, nhưng họ vẫn muốn theo dõi.
- Vì vậy, họ ép hiển thị các biểu ngữ cookie lớn bằng nửa trang với hy vọng người dùng sẽ đồng ý, che khuất nội dung và cản trở việc sử dụng website.
- Họ sử dụng các 'Dark UI Patterns' như khiến người dùng mệt mỏi hoặc bối rối để buộc họ chấp thuận.
Bản chất thực sự của biểu ngữ cookie
- EU không hề bắt buộc biểu ngữ cookie, nhưng các công ty đang khiến cuộc sống của người dùng trở nên khó chịu hơn.
- Khi các công ty không còn có thể âm thầm lạm dụng người dùng nữa, họ đã chọn cách gây phiền toái thay thế.
Quan điểm về quyền riêng tư
- Quy định của EU không phải lúc nào cũng tốt, nhưng quyền riêng tư dữ liệu là quan trọng, và tác giả đã đấu tranh cho PGP từ 30 năm trước và sẽ tiếp tục làm vậy.
Ý kiến của GN⁺
- Biểu ngữ cookie có thể làm giảm trải nghiệm người dùng và làm giảm khả năng truy cập của website.
- Bảo vệ quyền riêng tư dữ liệu của người dùng là quan trọng, nhưng cách tiếp cận cho việc này cần thân thiện với người dùng.
- Các nhà phát triển web cần tìm kiếm những cách tốt hơn để có được sự đồng ý của người dùng, và điều này có thể góp phần vào sự phát triển của các tiêu chuẩn web.
- Thay vì biểu ngữ cookie, nên cân nhắc thiết kế website tôn trọng quyền riêng tư của người dùng.
- Về mặt kỹ thuật, việc triển khai các cơ chế như tôn trọng header
Do Not Trackcó thể là một thách thức mới với nhà phát triển, và điều này sẽ giúp giành được lòng tin của người dùng.
1 bình luận
Ý kiến trên Hacker News
Hãy tưởng tượng một thị trường nơi doanh nghiệp lén gắn thêm cả đống phí ẩn mà khách hàng không biết, rồi về sau người dùng phát hiện và khó chịu
Khi luật đổi thành “không được thu phí nếu không thông báo trước”, các doanh nghiệp nhiều phí vẫn giữ nguyên phí, nhưng lại bắt người dùng đọc các khoản phí trên mọi trang của menu theo cách khó chịu nhất có thể
Rồi họ tuyên truyền rằng vấn đề không phải là phí quá mức, cũng không phải trước đây họ từng giấu phí và nay vì luật mới phải thông báo, mà là chính đạo luật bắt họ phải cho biết trước khi quá muộn
Banner cookie về bản chất cũng giống vậy, và trong nhóm đang chửi luật cookie hiện nay có lẫn những người cố tình sai vì lợi ích liên quan, và những người sai vì thật sự không hiểu lập trường mà mình đang bảo vệ
Điều này cũng cho thấy quan hệ giữa doanh nghiệp và người tiêu dùng đang ở trạng thái nào, khi phản ứng đầu tiên trước hành vi xấu như vậy lại là “chính anh đã khiến họ làm thế!”
Cuối cùng mọi thứ bị xem như lỗi của tất cả mọi người, trừ chính kẻ có hành vi xấu
Một phép so sánh gần hơn là bạn bước vào nhà hàng, được đưa một tờ giấy ghi thông tin dị ứng của mọi món ăn, và phải nói “tôi đồng ý với việc các nguyên liệu này có trong món ăn” thì mới được xếp chỗ
Tôi đồng ý rằng nhà hàng không nên giấu thông tin đó, và một số ít người có thể muốn biết, nhưng việc có nên bắt tất cả mọi người chịu bước bất tiện như vậy lại là chuyện khác. Cách làm thực tế vốn có là cung cấp thông tin dị ứng khi được yêu cầu cũng đã hoạt động tốt
Doanh nghiệp phải thông báo những thông tin mà ai cũng quan tâm và có thể thấy sốc, nhưng cũng có rất nhiều thứ chỉ một số ít người quan tâm. Tại sao lại dừng ở cookie? Nếu hạ tầng máy chủ của website là hàng sản xuất ở nước ngoài thì hiện popup, nếu công ty vận hành có mức phát thải carbon cao hơn trung bình thì hiện popup, nếu đồ ăn ở food court trụ sở không phải kosher thì cũng có thể bắt buộc popup
Nhóm người quan tâm sâu sắc đến cookie có quy mô tương tự nhóm quan tâm đến kích thước binary hay việc thực thi JavaScript. Vậy JavaScript chạy cũng phải hiện popup bắt buộc à? Nếu website vượt quá 10MB thì trước tiên phải xin đồng ý trên một trang nhẹ hơn à? Vấn đề là xác định thế nào hành vi nào đáng nhận cảnh báo popup
Lý do thị trường không giải quyết được vấn đề banner cookie và luật này tệ là vì người dùng thực ra không quan tâm, họ chỉ thấy khó chịu
California có luật yêu cầu thông báo nếu trong cơ sở kinh doanh có hóa chất có thể gây ung thư. Mục đích thì tốt, nhưng ngưỡng đặt ra thấp hơn mức có thể kiểm tra thực tế, nên gần như mọi bất động sản đều treo biển “ở đây có thể có hóa chất”
Cảnh báo trở nên vô dụng và chỉ gây khó chịu, mà đó là do sức ép thị trường; nói cách khác, luật đã khuyến khích hành vi như vậy
Việc phải thông báo rằng dùng cookie cho phiên truy cập giống như phải thông báo rằng bạn ăn cơm bằng nĩa
Vấn đề là vì có người dùng cái nĩa đó để đâm người, nên giờ mọi người đều phải nói trước mình sẽ dùng nĩa thế nào. Trong khi đáng lẽ chỉ cần cấm hành vi đâm người là được
Hơn nữa tôi không phải công dân EU, cũng không xem website đặt tại EU, vậy mà vẫn liên tục bị đập vào mặt bởi banner cookie
Việc KingOfCoders/amazingcto nói “không có luật banner cookie, chỉ cần không theo dõi là được” về mặt kỹ thuật là đúng, nhưng Paul Graham không nói về chính văn bản luật
Sự bất bình của ông ấy nên được hiểu dưới góc nhìn lý thuyết trò chơi, tức là quy luật hệ quả ngoài ý muốn khi nhìn vào cách doanh nghiệp thực sự phản ứng với luật
Bài blog tập trung vào ý định tốt đẹp của luật, còn tweet của PG tập trung vào kết quả thực tế
Tôi không hiểu vì sao chỉ chửi EU mà không chửi doanh nghiệp
Kết quả thực tế là doanh nghiệp vẫn muốn tiếp tục theo dõi, và dùng dark pattern cùng sự tuân thủ ác ý để dồn ép người dùng phải “đồng ý”
Paul Graham vẫn sai
Ý bài viết muốn nói là các doanh nghiệp cố tình làm như vậy để lấy “đồng ý” trái với ý muốn của người dùng, vì thế họ đi trên sợi dây rất mong manh: về hình thức không vi phạm luật nhưng thực chất là vi phạm tinh thần của luật
Thật ra tweet của PG chẳng liên quan mấy đến lý thuyết trò chơi, mà giống than phiền kiểu nước giàu về việc phải bấm banner cookie hơn. Việc đánh giá kết quả thực tế của quy định và lập pháp phức tạp vượt quá phạm vi một tweet
Trước hết Graham nên xác định mình muốn lập luận điều gì. Ông ấy đang phản bác một đại diện EU cụ thể khoe rằng họ làm quy định tốt? Hay đang nói EU ngay từ đầu không nên cả gan thử quản lý?
Cụm từ “quản lý tốt” cũng bao gồm khả năng dự đoán các kết quả có thể xảy ra của quy định
Nếu đưa ra một quy định kiểu “doanh nghiệp từ nay phải cung cấp sản phẩm miễn phí. Nhưng được phép ấn mũi khách hàng như còi xe”, thì sẽ có rất nhiều người đau mũi
Trường hợp này cũng tương tự. Gần như mọi website đều kiếm tiền bằng quảng cáo, hoặc ít nhất cũng ghi log hoạt động của người dùng để tối ưu hóa site, và điều đó sẽ không thay đổi, nên quy định ngu ngốc của EU chỉ khiến khách hàng đau khổ thêm một chút
“Ghi log hoạt động của người dùng để tối ưu hóa site” cũng không đòi hỏi theo dõi cá nhân
Nhưng không phải website nào cũng cần banner cookie. GitHub chẳng phải là một website khá phức tạp và được tối ưu theo người dùng sao? https://github.blog/2020-12-17-no-cookie-for-you/
Không theo dõi > không banner > mọi người đều vui hơn > cứ thoải mái hiển thị quảng cáo cần thiết
Khoảnh khắc công ty cần theo dõi tôi, thì họ đang làm nhiều hơn “tối ưu hóa website”. Họ đang dùng dữ liệu của tôi để bán thứ gì đó cho tôi, hoặc bán dữ liệu của tôi cho bên thứ ba
Tôi cho rằng việc cần có sự cho phép cho những chuyện như vậy là điều tốt
Đây không chỉ là luật cookie, mà còn là một luật chống mã độc quan trọng của EU
Nguyên tắc là bất kỳ phần mềm nào do bên thứ ba kiểm soát, khi ghi hoặc đọc thông tin trên máy tính hay điện thoại của tôi qua Internet, đều phải có sự đồng ý trước dựa trên giải thích đầy đủ
Ngoại lệ chỉ giới hạn trong các chức năng hẹp như lưu trữ/đọc cần thiết để cung cấp dịch vụ người dùng yêu cầu, hoặc cân bằng tải. Điều này áp dụng không chỉ với cookie trình duyệt mà cả webcam, micro và nội dung thư mục Documents
Bản thân nguyên tắc có vẻ hợp lý, nhưng EU đang bế tắc trong các cải cách nhằm tạo thêm ngoại lệ như kiểm tra bảo mật/cập nhật bắt buộc hoặc chỉ số người dùng tôn trọng quyền riêng tư. Cơ quan quản lý trên thực tế cũng nhắm mắt làm ngơ ở một mức nào đó, nên khó nói EU đang quản lý tốt
Xã hội nhìn chung vẫn chưa sửa được những phần bị coi là lỗi hoặc quá mức trong đạo luật gốc đã tồn tại hàng chục năm
Điều thú vị của lập pháp là nó cũng phải chịu trách nhiệm về hệ quả ngoài ý muốn của luật
Dữ liệu cần thiết để dịch vụ hoạt động ở mức tối thiểu thì không cần banner. Vì nếu không có nó site không hoạt động, nên cũng không có chỗ cho sự đồng ý can thiệp vào
Lập pháp thường là cuộc đấu giữa các lợi ích, và lý tưởng nhất là nhà làm luật cố bảo vệ lợi ích chung của công chúng khi nó xung đột với lợi ích tư hẹp
Nếu phía có lợi ích hẹp là một nhóm mạnh, cuộc chiến chắc chắn sẽ xảy ra; và nếu họ có cách khiến quy định trông intrusive và khó chịu hơn cả tác hại mà quy định vốn định ngăn chặn, họ sẽ tận dụng để kéo dư luận về phía mình
Vì vậy, các nhà lập pháp cũng nên dự liệu những cuộc đấu như vậy, và có thể chịu một phần trách nhiệm về hình dạng của nó, nhưng không phải toàn bộ trách nhiệm. Lực lượng lợi ích tư càng mạnh thì càng có khả năng tìm cách chống lại quy định
Trong chuyện này, các website hiển thị banner cũng tự gây hại cho mình. Vì đối thủ cạnh tranh sẽ có động lực cung cấp trải nghiệm tốt hơn mà không có banner. Nói cách khác, trong bối cảnh cạnh tranh, quy định có thể khiến việc không hiển thị banner trở nên có giá trị, nên cứ chờ xem kết quả
Dùng cookie và khiến người khác khó chịu là một lựa chọn có chủ ý
Khó nói các nhà lập pháp đã dự liệu hay có ý định gì, nhưng tôi cho rằng banner cookie thực ra a) là tốt, và b) là lỗi của các công ty không thể tưởng tượng ra cách đối xử tốt hơn với người dùng
Lý do tôi cho là tốt: nó gây sự phiền toái về tâm lý cho người dùng phần mềm không chịu tránh nhu cầu đó hoặc không chịu làm cho đúng. Hy vọng theo thời gian, người dùng sẽ hình thành nhận thức rằng các site có banner cookie cũng đáng ngờ và thiếu lương tâm như quảng cáo popup
Dù sao tôi vẫn nghĩ có luật này, cùng các vòng lặp và sửa đổi bổ sung trong tương lai, còn hơn là không có. Mức độ dữ liệu của mọi người bị lạm dụng quá vô lý
pg có vẻ đang nói về banner quảng cáo, và nếu vậy thì đúng. EU đã làm hỏng trải nghiệm web của chúng ta trong khi đem lợi thế cho các ứng dụng di động theo dõi còn tệ hơn
Vấn đề lớn hơn là luật này chẳng sửa được gì, phá hủy mảng kinh doanh quảng cáo trực tuyến vốn còn lại rất ít của EU, và tập trung sai chỗ
Ngay từ đầu, công dân châu Âu không yêu cầu luật này, và còn có những vấn đề lớn hơn. Nó được thúc đẩy bởi một nhóm lợi ích cụ thể của Đức mà phần lớn công dân EU không quan tâm
Theo dõi quảng cáo không phải là mối quan tâm của đa số công dân EU, và họ cũng không được hỏi về luật này. Trong khi đó, nghiện Internet và mạng xã hội là vấn đề thực tế của đa số công dân
EU đã dùng quá nhiều năng lượng và vốn chính trị cho vấn đề banner cookie vô nghĩa này, khiến nguồn lực để giải quyết vấn đề nghiện bị giảm đi
Lập pháp hấp tấp luôn tạo ra những chuyện như vậy, và điều tệ nhất là không có trách nhiệm nào đi kèm với những quyết định sai lầm kiểu này. Những người truyền cảm hứng cho việc lập pháp không phải đối mặt với bầu cử, và cuộc bầu cử Nghị viện châu Âu sắp tới cũng là cuộc chiến ủy nhiệm của chính trị trong nước chứ không phải chính trị EU
Dù có chỉ ra sự lệch pha chính trị này vài lần, vẫn không có cơ chế nào để thay đổi cho đến khi một chuyện thật sự nghiêm trọng xảy ra và mọi thứ đã quá muộn
Theo một giai thoại cá nhân, tôi từng được giao thêm cookie banner vào website công ty. Trong vài năm tôi đã ngăn được việc đưa banner vào, nhưng chủ sở hữu mới lấy lý do là bộ phận marketing muốn thử những thứ mới và các luật sư nói cần có sự đồng ý của người dùng
Tôi được bảo đừng tốn nhiều thời gian, hãy dùng sản phẩm có sẵn là OneTrust và cũng đừng tùy chỉnh gì
Khi tôi nói rằng câu chữ mặc định của banner nghe rất đáng sợ và ám chỉ rằng chúng tôi làm rất nhiều việc mà thực tế không làm, họ bảo chắc các luật sư của OneTrust đã xem xét rồi, nên nếu sửa thì rủi ro pháp lý lớn, cứ để nguyên
Tôi lập luận rằng sản phẩm của OneTrust là sản phẩm đa dụng phải giúp cả những site media bẩn thỉu nhất, bị ad tech làm ô nhiễm, tuân thủ quy định, còn chúng tôi không phải loại site đó, nhưng không có tác dụng
Các công ty như OneTrust và các tư vấn trong lĩnh vực này có động cơ rất lớn để thổi phồng rủi ro không tuân thủ. Nhìn từ góc độ người không chuyên, rủi ro pháp lý mà một tác nhân thiện chí phải gánh thực ra khá thấp. Nếu cơ quan chức năng phát hiện việc không tuân thủ, thường họ sẽ cho cơ hội khắc phục, và cùng lắm có thể chỉ nhận một cảnh cáo nhẹ. Những khoản phạt đáng sợ tính theo tỷ lệ doanh thu toàn cầu sẽ không áp dụng cho các sai sót trung thực
Ngoài ra, những doanh nghiệp thực sự cần các banner này vì phụ thuộc vào theo dõi xâm phạm sẽ được lợi khi tất cả những người khác cũng hiểu nhầm rằng họ phải phá hỏng trải nghiệm người dùng bằng banner. Vì như vậy việc họ làm trông sẽ bình thường và có thể chấp nhận được
Ví dụ hay. Hacker News cũng như bài được liên kết đều không cần cookie banner
Tôi không thích lối tư duy trong đó chính phủ tạo ra quy định có vẻ xuất phát từ ý tốt nhưng để lại kẽ hở khiến cuộc sống của mọi người thêm phiền phức, rồi sau đó người ta biện hộ rằng “doanh nghiệp chỉ cần không làm là được”
Ngay từ đầu chính vì họ không chịu không làm nên mới cần luật, vậy sau khi có luật lại bảo họ tự dừng thì chẳng phải hơi kỳ sao
Nếu luật cookie được viết đúng, chỉ cần một thiết lập trình duyệt cần được tôn trọng là xong. Khi đó nó hoàn toàn minh bạch với người dùng và về cơ bản là có lợi
Thay vào đó, nhờ các công chức kém năng lực, chúng ta phải thấy cookie banner mãi mãi trên gần như mọi website, lại không được chuẩn hóa, nên những nơi tệ nhất như site nơi các báo đăng bài có thể tạo ra các banner còn khó hiểu hơn
Dark UI pattern thực sự là bất hợp pháp, và giờ tòa án cũng đã phán như vậy. Chỉ cần nhận thức này lan tới các công ty làm cookie banner là được
Trình duyệt vốn đã có thiết lập “Do Not Track”. Nếu website chọn tôn trọng thiết lập đó, họ có thể không theo dõi mà không cần hiển thị cookie banner nào cả. Nhưng đa số không làm vậy
Thay vào đó, luật được viết theo hướng trung lập về công nghệ. Trung lập đến mức nó thậm chí không được gọi là “luật cookie”. Tên của nó là ePrivacy directive, và “cookie” chỉ xuất hiện 5 lần như ví dụ
Tham khảo: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
Nó thậm chí đã được triển khai thực tế khi Internet Explorer có hơn 90% thị phần
Khi đó Google cố tình gửi header P3P sai để vượt qua lựa chọn ưu tiên của người dùng trên IE
Khi Safari thêm heuristic để từ chối cookie bên thứ ba của Google, Google cũng tìm ra một mánh kỹ thuật để vượt qua, và đã bị phạt vì việc đó
Sau khi IE và P3P chết hẳn, các trình duyệt cố cung cấp header DNT, thiết lập tối thiểu dễ triển khai nhất cho ngành ad tech. Ngành ad tech đã hoàn toàn phớt lờ nó
Có những công ty nghìn tỷ đô phụ thuộc vào tracking, và họ sẽ làm mọi thứ có thể để phá hoại các công nghệ gây hại cho việc kinh doanh của họ và ngăn chặn luật
Nếu “doanh nghiệp có thể dễ dàng tránh cookie banner, chỉ cần không theo dõi” thì EU đáng lẽ phải biến chính điều đó thành luật
Và chúng ta đã gọi nó là luật cứ đừng theo dõi
Tôi ngạc nhiên trước những người bảo vệ EU theo kiểu “không có luật cookie banner”. Không, có luật đấy. Chính vì luật đó mà người ta nghĩ “tội gì phải chấp nhận rủi ro vô ích?” rồi nhét vào những thứ rác rưởi như cookie banner
Luật không phải là một tập hợp câu chữ trên giấy, mà là một thể chế gán thưởng hoặc phạt cho hành vi của con người để thay đổi hành vi đó
Nhưng không cố hiểu và chọn phương án an toàn thì dễ hơn. Dù vậy, không nên đổ trách nhiệm đã không điều tra và chọn phương án “ăn chắc” cho luật
Phần lớn chỉ là bắt chước: thấy các website lớn đặt cookie banner thì nghĩ mình cũng phải làm vậy. Rồi sau đó đổ lỗi cho luật
Nếu không phải kẻ bắt chước và hiểu doanh nghiệp của mình, bạn không có lý do gì để đổ lỗi cho luật vì buộc bạn làm một việc không cần thiết
Tất nhiên luật đôi khi phức tạp và khó hiểu. Hầu hết luật đều vậy, nên mới có luật sư. Nhưng trong lĩnh vực công nghệ, luật sư cũng thường trông giống những kẻ bắt chước. Vì thế tự suy nghĩ luôn là điều tốt, và không nên tin mọi điều người khác nói. Tự tìm hiểu và nghiên cứu thì cũng không khó đến vậy
Doanh nghiệp của tôi không theo dõi khách hàng online và cũng không có banner. Hết chuyện
Nếu luật sư phản ứng thái quá hoặc công ty không phân biệt được theo dõi thiết yếu và không thiết yếu, thì bên kém năng lực có thể là họ