Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Dosje
Objavljeno: 28.1.2025 | Avtor: Matej Huš | Monitor Februar 2025

Zaton dobre zamisli

Pred poldrugim desetletjem so brskalniki dobili nastavitev, s katero smo lahko spletnim stranem sporočili, naj nam ne sledijo. Izvrstna zamisel je v nekaj letih končala v vicah, ko je oglaševalci niso upoštevali, uporabniki niso poznali in regulatorji niso preverjali. Simboličen konec je z umikom podpore letos naredila Mozilla, a brez velikega pompa smo dobili reinkarnacijo, ki ima na svoji strani zakonodajo.

Firefox je do letos podpiral Do Not Track, od leta 2020 pa tudi že Global Privacy Control.

Na internetu nam sledijo. To ni teorija zarote ali kakšno posebej zlovešče dejstvo, prav tako se bralcev teh vrstic ni nihče lotil osebno in neposredno. Oglaševanje poganja internet, proračuni pa so ogromni. Po konservativnih ocenah je bil leta 2023 trg internetnega oglaševanja težak dobrih 500 milijard evrov, letno pa raste z dvomestnimi odstotki. Ponudniki oglasnega prostora želijo o občinstvu izvedeti čim več, da lahko oglaševalcem čim dražje zaračunavajo ciljano oglaševanje, najraje personalizirano.

Ljudem pa načelno ni všeč nič od tega. Ne marajo (pretiranega, vsiljivega, neželenega) oglaševanja, zato marsikdo na poštne nabiralnike lepi nalepko proti nenaslovljenim tiskovinam, v elektronskih predalih uporablja filtre proti spamu, med brskanjem po spletu vtičnike za blokiranje oglasov, tehnično vešči si namestijo celo specializirane strežnike DNS, ki poskrbijo za obrambo pred oglasi (Pihole).

Ste edinstveni?

Drobci, potrebni za prstni odtis računalnika na spletu, so zelo različni: različica operacijskega sistema, ločljivost, jezik, časovni pas, lokacija, priključena strojna oprema, nameščeni programi, nastavitve brskalnika itd.

Na spletni strani amiunique.org/fingerprint lahko preverite, kako natančno vas ločijo od drugih spletnih deskarjev.

Tudi na le teden dni starem računalniku smo z nameščeno programsko opremo in nastavitvami edinstveni in zato zelo prepoznavni.

Še manj pa so ljudje navdušeni nad sledenjem, saj je zasebnost v modernem svetu cenjena dobrina. K njeni dragocenosti nedvomno prispevata tudi njeno krčenje in ogrožanje, kjer je internet med glavnimi nepridipravi. S sprehajanjem po spletu za seboj ne puščamo drobtinic, temveč velike kosme podatkov, s katerimi je posameznika mogoče precej dobro profilirati. A lahko bi bilo drugače.

Ne sledi mi

Zamisel je bila plemenita. Spletne strani in s tem oglaševalci imajo možnost, da nam sledijo, a naj to počno le z izrecnim soglasjem. Če bi obiskovalci strani nedvoumno dejali, da sledenja ne želijo, bi oglaševalci to spoštovali. To sicer zahteva precej zaupanja vanje, a če bi bilo takšno ravnanje predpisano, bi lahko regulatorji to tudi preverjali.

Prvi predlogi segajo v leto 2007, ko je več organizacij, ki se ukvarjajo z zasebnostjo, na ameriško Zvezno komisijo za trgovino (FTC) poslalo zahtevo za uvedbo mehanizma za preprečevanje neželenega sledenja. Med njimi so bili tudi Electronic Frontier Foundation, World Privacy Forum in Center for Democracy and Technology. Predlagali so uvedbo nacionalnega seznama Do Not Track, ki bil podoben kot obstoječi Do Not Call proti oglaševanju po telefonu.

Dve leti pozneje se je pojavila prva preizkusna implementacija. Chris Soghoian in Sid Stamm sta leta 2009 predstavila preprost vtičnik za Firefox in ta je v glavo zahtevkov, ki jih brskalnik pošilja strežnikom, dodal polje Do Not Track (DNT). Če je uporabnik zapovedal prepoved sledenja, je bila vrednost DNT enaka 1, sicer pa 0. Tretja možnost je null, če uporabnik odločitve ni sprejel (to bo še zelo pomembno!). Tedaj DNT ni podpiral še noben strežnik, zato je bilo polje ignorirano.

Zamisel je pri uporabnikih in razvijalcih brskalnikov naletela na dober odziv, zato jo je sčasoma posvojilo več brskalnikov. FTC je podprl uvedbo DNT. W3C (World Wide Web Consortium), ki predpisuje mednarodne standarde za splet, je ustanovil delovno skupino za razvoj DNT. Brskalniki so ga podprli: Firefox leta 2011, Chrome in Safari leta 2012, Edge leta 2015. Podprli so ga tudi Internet Explorer, Opera in drugi. Leta 2012 je ameriška Bela hiša sporočila, da so z 90 odstotki (ameriških) oglaševalcev na internetu sklenili dogovor o prostovoljnem spoštovanju DNT. V ameriškem kongresu so bile razprave, ali bi DNT celo uzakonili, kar bi prineslo strog nadzor in kaznovanje, a se na koncu to ni zgodilo.

Umiranje na obroke

A pristanek oglaševalcev je bil že od začetka negotov in neiskren, zakonodajalci pa jih niso znali prisiliti k spoštovanju. Dogovor iz leta 2012 je imel pomembno luknjo. FTC je imel pristojnost nadzorovati spoštovanje DNT le pri oglaševalcih, ki so prostovoljno podpisali dogovor in s tem pristali na regulacijo. Kdor se s tem ni strinjal, mu tudi FTC ni mogel nič. A vendarle je bilo tedaj videti, da bo gentlemanski dogovor zdržal, dasiravno so oglaševalci s stisnjenimi zobmi zahtevali nekaj pomembnih malenkosti, ki so ga kasneje pomagale zrušiti.

Ker večina ljudi ni uporabljala ali sploh poznala nastavitve Do Not Track, brskalniki pa jo imajo privzeto izključeno, ljudje z vključenim DNT izstopajo. Kdor se torej potrudi in izrecno pove spletnim stranem, naj mu ne sledijo, mu je lažje slediti.

Oglaševalci so bili – leta 2012 – večidel pripravljeni spoštovati DNT, a pod dvema pogojema. Uporabnikom je moralo biti v razumljivem jeziku predstavljeno, kakšne so posledice DNT in da se nekateri podatki še vedno lahko zbirajo. Še pomembnejša pa je bila na prvi pogled malenkostna zahteva: DNT je moral izbrati uporabnik sam, ne pa kakšna druga entiteta, tehnologija ali programska oprema. Ali tehnično: 0 in null ni enako.

Prvi žebelj v krsto DNT je že istega leta zabil Microsoft. Leta 2012 je v novi različici Internet Explorerja možnost DNT privzeto vključil, ne da bi morali uporabniki karkoli storiti in ne da bi za to sploh vedeli. To je resda uporabniku prijaznejša izbira, a Microsoft se je odločil DNT izkoristiti v komercialne namene. To pa je oglaševalce močno zaskrbelo, saj bi kaj kmalu lahko sledili še ostali pisci brskalnikov, s čimer bi jim korenito posegli v vsakdanji kruh. Ne pozabimo: DNT ni bil uzakonjen in njegovo upoštevanje ni bilo obvezno.

Microsoft je z Internet Explorerjem spodkopal namen DNT, ko ga je privzeto vključil.

Tretja komponenta, ki je katalizirala propad DNT, je bila anemična delovna skupina pri W3C. Med letoma 2011 in 2013 je bilo aktivnosti precej, nato pa je dejavnost zastala. Od 2013 do 2019, ko je bil DNT že klinično mrtev, se skupina v živo ni sestala niti enkrat. Naivno prepričanje, da se bo oglaševalska industrija samoregulirala in našla rešitev, s katero bodo zadovoljni tudi uporabniki, pa se nikoli ni udejanjilo. Microsoft je sicer privzeto vključitev DNT ukinil leta 2015, a bilo je prepozno.

Ironija usode

Oglaševalci so DNT čedalje bolj ignorirali (celo Google, ki ima DNT v Chromu, ga na svojih straneh ne upošteva), uporabniki pa tudi niso imeli posebnega razloga, da bi se o (neuporabni) funkciji poučili. Oglaševalci so zbirali čedalje več informacij o napravah, s katerih so obiskovalci dostopili do spletne strani. Več drobcev informacij je moč združiti v prstni odtis, ki enolično določi uporabnika in omogoča sledenje, ko se ta giblje po spletu. Bodimo natančni. Oglaševalcev ne zanima, kdo ste, temveč kaj ste. Imena in priimki so manj pomembni, interesi, družbenoekonomski položaj precej bolj. Ti drobci za prstni odtis obiskovalčevega računalnika pa so zelo različni: različica operacijskega sistema, ločljivost, jezik, časovni pas, lokacija, priključena strojna oprema, nameščeni programi, nastavitve brskalnika itd. Svojega si lahko ogledate na spletni strani amiunique.org/fingerprint in trenutno sestoji iz 59 lastnosti!

V dokumentaciji Firefoxa je DNT že označen kot zastarel.

V ironiji usode je eden izmed drobcev, ki omogočajo sledenje, prav nastavitev DNT. Ker je večina ljudi ni uporabljala ali sploh poznala, brskalniki pa imajo privzeto izključeno, ljudje z vključenim DNT izstopajo. Kdor se torej potrudi in izrecno pove spletnim stranem, naj mu ne sledijo, mu je lažje slediti. To je prvi javno izpostavil Apple, ki je leta 2019 iz Safarija odstranil možnost DNT. Letos mu bo sledila še Mozilla, ki je v inačici Firefox 135 napovedala ukinitev DNT. Chrome in Edge ga za zdaj še podpirata.

Ne gre le za enostransko odločitev avtorjev brskalnikov, temveč je podpora usahnila tudi na ravni standarda. Leta 2019 je W3C razpustil delovno skupino za DNT, ker niso opazili zadostnega razmaha in uporabe. Delovna skupina je že oktobra 2018 razpravljala, kako bi DNT označili kot zastareli ali neaktivni standard. Danes ima DNT uradni status zastarel (deprecated).

Posledice

Zgolj propadu DNT ne gre pripisovati tektonskih sprememb, ki so sledile, morda pa jih je vsaj malo spodbudil. Industrija se ni zmogla samoomejiti, zato so razvijalci in uporabniki udarec vrnili z blokado oglasov in mehanizmov za sledenje. Leta 2017 je imela približno desetina uporabnikov interneta nameščena orodja za blokiranje oglasov (ad block). Do danes je ta delež zrasel na približno tretjino uporabnikov interneta oziroma milijardo ljudi. To so bilijoni oglasov, ki se ne prikažejo, in večmilijonske izgube za spletne strani. Oglaševalci namreč ne plačujejo oglasov, ki jih ni.

Večina uporabnikov oglasov ne blokira izključno zaradi varovanja zasebnosti, temveč si preprosto želijo boljšo uporabniško izkušnjo. Današnji splet je mestoma že neprebavljiv, ko oglasi zasenčijo vsebino, ki jo želimo videti. Niso redke strani, ki imajo nekaj deset kosov kode v JavaScriptu ali sledilnih slikovnih elementov, zaradi česar se nalagajo celo večnost in obremenjujejo obiskovalčev računalnik.

Blokiranje oglasov se je razvilo v pravcato oboroževalno tekmo, saj številna spletišča poskušajo zaznati to prakso in uporabnike bodisi opomnijo bodisi jim preprečijo dostop. Orodja za blokiranje oglasov zato razvijajo pristope, ki bi to preprečili, in tako dalje.

Christopher Soghoian je eden izmed avtorjev Do Not Track.

Tudi proizvajalci brskalnikov so uvedli metode, s katerimi želijo omejiti sledenje uporabnikom med spletnimi stranmi (cross site tracking). Apple je v Safari že leta 2017 vgradil Intelligent Tracking Prevention, danes pa uporablja že peto različico. Najnovejša vsebuje model na osnovi strojnega učenja, ki se uči, katere domene so namenjene sledenju med spletnimi stranmi, in njihovo vsebino redno čisti. Drugi mehanizem je oviranje zajemanja prstnih odtisov, saj Safari spletnim stranem predstavi zgolj poenostavljene in zelo skrčene karakteristike sistema.

Mozillin odgovor iz leta 2018 se imenuje Enhanced Tracking Protection. Firefox privzeto blokira kose za sledenje z družbenih omrežij, piškotke za sledenje med stranmi, prstne odtise in nekatere druge mehanizme za sledenje. Podobno velja za Edge, medtem ko se je Chrome dolgo obiral in je šele lani storil prve resnejše korake. To je razumljivo, saj je Googlov poslovni model naravnan na oglase. Googlu niti blokiranje oglasov ni všeč in v novih izdajah Chroma zunanje razširitve ne bodo imele več pristojnosti same blokirati oglasov, temveč bodo lahko zgolj prijazno prosile Googlov pogon, da to stori. O tej spremembi, ki jo prinaša Manifest 3, smo že pisali lani (Boj za oglase, Monitor 01/24).

Zadnji, veliko bolj posredni rezultat pa je železna pest v obliki Splošne uredbe (GDPR). Evropska unija je prepoznala, da se z osebnimi podatki posameznikov dogaja marsikaj, predvsem pa, da nad tem ni nadzora. Leta 2018 je zato začel veljati GDPR, ki prinaša drakonske kazni, in evropski regulatorji se jih niso ustrašili izrekati. Počasi zakonodajo pripravljajo tudi druge države. V ZDA se je začelo s Kalifornijo leta 2020, kasneje pa je sledilo še deset zveznih držav.

Ne prodajaj me

In prav GDPR in kalifornijski CCPA, ki mu je sledil CPRA, sta omogočila reinkarnacijo nesrečnega DNT. Leta 2020 je več strokovnjakov in organizacij za zasebnost razvilo Global Privacy Control (GPC), ki deluje zelo podobno kot DNT. Tudi GPC se pošlje kot polje v glavi zahtevka http oziroma kot lastnost DOM (document object model).

Leta 2017 je imela približno desetina uporabnikov interneta nameščena orodja za blokiranje oglasov (ad block). Do danes je ta delež zrasel na približno tretjino uporabnikov interneta oziroma milijardo ljudi.

GPC posreduje informacijo, naj se uporabnikovi podatki ne prodajajo ali uporabljajo pri sledenju. V praksi gre torej za signal Do not sell. Izvedba je zelo podobna kot pri DNT, a ima GPC pomembno prednost. Naslanja se na GDPR in CCPA/CPRA, zato je njegovo spoštovanje iztožljivo. V ZDA je leta 2022 podjetje Sephora že plačalo 1,2-milijonsko poravnavo zaradi kršitev CCPA, ena izmed točk pa je bilo tudi neupoštevanje GPC.

V EU bi GPC lahko štel kot izrecno nestrinjanje s posredovanjem in z obdelovanjem osebnih podatkov, ki ga upravljavci morajo spoštovati. Sodne prakse na tem področju še ni, GDPR pa je starejši od GPC, zato ga izrecno na omenja. Podobno velja za Brazilijo in Južno Afriko, ki imata istovrstno zakonodajo.

Za zdaj GPC izmed velikih podpira le Firefox, med manjšimi pa še DuckDuckGo in Brave. Za Chrome obstaja razširitev, ki podporo vgradi. V Mozilli ga vključimo v nastavitvah Privacy & Settings z izbiro Tell websites not to sell or share my data.

Bo v drugo šlo?

Ali bo GPC, ki je dejansko DNT 2.0, dosegel svoj namen, bomo videli. Za prvi poskus čas ni bil pravi, saj je bilo zavedanje o varovanju zasebnosti prešibko, zakonodaja pa neprilagojena. Zdaj, 15 let pozneje, je čas dozorel. Usoda GPC pa je v največji meri odvisna od regulatorjev in sodišč. Oglaševalci so že dokazali, da ga bodo upoštevali le, če ga bodo res morali. Situacijo pa seveda zapletajo podjetja, ki zaradi vertikalne integracije delujejo v obeh vlogah.

Google, tebe gledamo.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov