[论文解读] Are cookie banners indeed compliant with the law? Deciphering EU legal requirements on consent and technical means to verify compliance of cookie banners
本文根據歐盟法律,定義了17項合法合規且技術上可驗證的Cookie橫幅要求,結合法律分析與技術可行性評估。研究顯示,儘管大多數合規檢查可自動化,但由於現有網路架構的限制,確保可撤回同意等要求在技術上仍具挑戰性。
In this work, we analyze the legal requirements on how cookie banners are supposed to be implemented to be fully compliant with the e-Privacy Directive and the General Data Protection Regulation. Our contribution resides in the definition of seventeen operational and fine-grained requirements on cookie banner design that are legally compliant, and moreover, we define whether and when the verification of compliance of each requirement is technically feasible. The definition of requirements emerges from a joint interdisciplinary analysis composed of lawyers and computer scientists in the domain of web tracking technologies. As such, while some requirements are provided by explicitly codified legal sources, others result from the domain-expertise of computer scientists. In our work, we match each requirement against existing cookie banners design of websites. For each requirement, we exemplify with compliant and non-compliant cookie banners. As an outcome of a technical assessment, we verify per requirement if technical (with computer science tools) or manual (with any human operator) verification is needed to assess compliance of consent and we also show which requirements are impossible to verify with certainty in the current architecture of the Web. For example, we explain how the requirement for revocable consent could be implemented in practice: when consent is revoked, the publisher should delete the consent cookie and communicate the withdrawal to all third parties who have previously received consent. With this approach we aim to support practically-minded parties (compliance officers, regulators, researchers, and computer scientists) to assess compliance and detect violations in cookie banner design and implementation, specially under the current revision of the European Union e-Privacy framework.
研究动机与目标
- 識別並形式化17項細緻的、符合法律的Cookie橫幅設計要求,適用於歐盟電子隱私指令與GDPR。
- 判斷這些要求中哪些可使用電腦科學工具進行技術驗證,哪些需依賴人工檢視。
- 評估驗證同意機制合規性的可行性,特別是可撤回性與第三方通訊部分。
- 支援合規官員、監管機構與研究人員,以檢測現實世界中Cookie橫幅實作的違規行為。
- 彌補現有網路架構中影響同意合規性可靠技術驗證的缺口。
提出的方法
- 由法律專家與專精於網路追蹤技術的電腦科學家進行跨領域合作分析。
- 從成文法律來源與網路安全及隱私領域的專業知識中,推導出17項可操作的要求。
- 將每一項要求對應至真實網站上的既有Cookie橫幅設計,以識別合規與非合規範例。
- 評估使用自動化工具(例如網頁爬蟲、瀏覽器自動化)或人工審查,驗證每一項要求的技術可行性。
- 將要求分類為三類:技術上可驗證、需人工驗證,或在現有網路架構下無法確切驗證。
- 提供實務性實作指南,例如在撤回同意時刪除同意Cookie並通知所有接收同意的第三方。
实验结果
研究问题
- RQ1Cookie橫幅需符合歐盟電子隱私指令與GDPR的具體法律要求為何?
- RQ2這些要求中,哪些可使用自動化工具進行技術驗證,哪些需依賴人工檢視?
- RQ3在現有網路架構下,如何實際實作並驗證可撤回同意?
- RQ4當前網路基礎設施的哪些技術限制,導致無法可靠驗證某些合規要求?
- RQ5哪些Cookie橫幅設計在所定義的法律與技術標準下,可明確被識別為合規或非合規?
主要发现
- 正式定義了17項合法合規、細緻的Cookie橫幅設計要求,結合法律標準與技術可行性。
- 儘管大多數合規檢查可使用電腦科學工具自動化,但涉及同意撤回與第三方通訊的要求,仍需人工驗證或目前無法確切驗證。
- 透過刪除同意Cookie並通知所有接收同意的第三方,可技術性實作可撤回同意,但實際上並未一致執行。
- 現有網路架構限制了對某些要求(如確保所有第三方在同意撤回時均獲知)的合規性驗證能力。
- 許多現實世界中的Cookie橫幅未能符合基本法律標準,特別是在透明度、使用者控制權與同意可撤回性方面。
- 本研究提供實用框架,供監管機構與合規官員結合自動化與人工驗證技術,評估與檢測Cookie橫幅實作中的違規行為。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。