Untuk Paul Graham, Tidak Ada Hukum Banner Cookie
(amazingcto.com)Tentang tidak adanya hukum banner cookie
- Paul Graham mengira UE mewajibkan banner cookie, tetapi sebenarnya tidak ada hukum yang secara khusus mewajibkan banner cookie.
- UE menyatakan bahwa persetujuan diperlukan untuk pelacakan, pembuatan profil, dan penjualan data pribadi.
- Perusahaan dapat menghindari banner cookie dengan tidak melakukan pelacakan, atau dengan menghormati header 'Do Not Track' dari pengguna yang tidak menginginkan pelacakan.
Metode alternatif untuk persetujuan cookie
- Browser dapat menyediakan ikon pelacakan seperti ikon SSL, dan memberi informasi yang dapat diklik pengguna untuk memberikan persetujuan.
- Situs dapat meminta persetujuan cookie dengan banner kecil di bagian atas situs, atau menempatkan tombol kecil di bagian bawah halaman untuk meminta persetujuan atas "dukungan melalui pelacakan".
Penggunaan banner cookie oleh perusahaan
- Perusahaan tahu bahwa pengguna tidak menginginkan pelacakan, tetapi tetap ingin melacak.
- Karena itu, mereka memaksa menampilkan banner cookie sebesar setengah halaman dengan harapan pengguna akan setuju, sambil menutupi isi dan mengganggu penggunaan situs.
- Mereka menggunakan 'Dark UI Patterns' seperti membuat pengguna lelah atau bingung agar akhirnya memberikan persetujuan.
Hakikat banner cookie
- UE tidak mewajibkan banner cookie, tetapi perusahaanlah yang membuat hidup pengguna menjadi lebih sulit.
- Ketika perusahaan tidak lagi bisa diam-diam menyalahgunakan pengguna, mereka memilih cara lain yang lebih menjengkelkan.
Pandangan tentang perlindungan privasi
- Regulasi UE tidak selalu baik, tetapi privasi data itu penting, dan penulis telah memperjuangkan PGP 30 tahun lalu dan akan terus berjuang.
Opini GN⁺
- Banner cookie dapat merusak pengalaman pengguna dan menurunkan aksesibilitas situs web.
- Melindungi privasi data pengguna itu penting, tetapi pendekatan untuk melakukannya harus ramah pengguna.
- Pengembang web perlu mencari cara yang lebih baik untuk mendapatkan persetujuan pengguna, dan ini dapat berkontribusi pada perkembangan standar web.
- Alih-alih banner cookie, perlu dipertimbangkan desain situs web yang menghormati privasi pengguna.
- Secara teknis, menerapkan mekanisme seperti menghormati header 'Do Not Track' dapat menjadi tantangan baru bagi pengembang, dan hal ini dapat membantu memperoleh kepercayaan pengguna.
1 komentar
Opini Hacker News
Bayangkan saja pasar tempat perusahaan menambahkan banyak biaya tersembunyi tanpa sepengetahuan pelanggan, lalu pengguna baru tahu belakangan dan merasa kesal.
Ketika hukum berubah menjadi “biaya tidak boleh dikenakan jika tidak diberitahukan sebelumnya”, perusahaan-perusahaan yang banyak biayanya tetap mempertahankan biaya itu, lalu membuat pengguna membaca biaya tersebut di setiap halaman menu dengan cara yang paling menyebalkan.
Lalu mereka mempromosikan bahwa masalahnya bukan biaya yang berlebihan, bukan pula bahwa dulu biaya itu disembunyikan lalu karena hukum jadi harus diberitahukan, melainkan hukum yang memaksa mereka memberi tahu sebelum terlambat.
Banner cookie pada dasarnya sama seperti ini, dan di pihak yang sekarang mencaci hukum cookie, ada campuran antara orang yang sengaja salah karena punya kepentingan, dan orang yang salah karena benar-benar tidak memahami posisi yang mereka bela.
Ini juga menunjukkan seperti apa keadaan hubungan antara perusahaan dan konsumen, sampai reaksi pertama terhadap perilaku buruk seperti ini menjadi “kamu yang membuatnya begitu!”
Pada akhirnya, semua orang diperlakukan seolah bersalah kecuali pelaku buruk itu sendiri.
Analogi yang lebih dekat adalah ketika masuk ke restoran, Anda diberi kertas berisi informasi alergi untuk semua makanan, dan baru boleh duduk jika mengatakan, “Saya setuju bahan-bahan ini masuk ke makanan.”
Saya setuju restoran tidak boleh menyembunyikan informasi itu, dan sebagian kecil orang mungkin menginginkannya, tetapi apakah tahap merepotkan seperti ini harus dipaksakan kepada semua orang adalah soal berbeda. Cara yang selama ini berlaku di dunia nyata, yaitu menyediakan informasi alergi jika diminta, juga berjalan baik.
Informasi yang diperhatikan semua orang dan bisa membuat mereka terkejut memang harus diberitahukan oleh perusahaan, tetapi ada banyak hal yang hanya dipedulikan segelintir orang. Mengapa berhenti di cookie? Jika infrastruktur server situs web adalah produk buatan luar negeri, wajib popup; jika emisi karbon perusahaan operator lebih tinggi dari rata-rata, wajib popup; jika makanan di food court kantor pusat tidak kosher, popup juga bisa diwajibkan.
Kelompok yang sangat memedulikan cookie kira-kira sebesar kelompok yang memedulikan ukuran biner atau eksekusi JavaScript. Apakah eksekusi JavaScript juga harus menampilkan popup wajib? Jika sebuah situs web melebihi 10MB, apakah harus meminta persetujuan lebih dulu di halaman ringan? Masalahnya adalah bagaimana menentukan tindakan apa yang layak mendapat peringatan popup.
Alasan mengapa pasar tidak menyelesaikan masalah banner cookie dan mengapa hukum ini buruk adalah karena pengguna pada dasarnya tidak peduli dan hanya merasa terganggu.
Di California ada hukum yang mewajibkan pemberitahuan jika di tempat usaha terdapat bahan kimia yang dapat menyebabkan kanker. Niatnya baik, tetapi ambang batasnya lebih rendah daripada tingkat yang secara realistis bisa diuji, sehingga hampir semua properti memasang papan bertuliskan “mungkin ada bahan kimia di sini”.
Peringatan itu tidak berguna dan hanya mengganggu, dan itu terjadi karena kekuatan pasar; dengan kata lain, hukum tersebut mendorong perilaku seperti itu.
Harus memberi tahu bahwa cookie dipakai untuk sesi mirip seperti harus memberi tahu bahwa Anda makan nasi dengan garpu.
Masalahnya, karena ada orang-orang yang menusuk orang lain dengan garpu itu, sekarang semua orang harus mengatakan terlebih dahulu bagaimana mereka akan memakai garpu. Padahal cukup larang saja tindakan menusuk itu.
Selain itu, saya bukan warga Uni Eropa dan tidak sedang melihat situs web berbasis Uni Eropa, tetapi saya terus-menerus dihantam banner cookie.
Secara teknis, KingOfCoders/amazingcto benar ketika mengatakan “tidak ada hukum banner cookie, cukup jangan melacak”, tetapi Paul Graham bukan sedang membicarakan teks hukum itu sendiri.
Keluhannya harus dipahami dari sudut pandang teori permainan, yaitu sebagai hukum konsekuensi yang tidak disengaja, dengan melihat bagaimana perusahaan benar-benar merespons hukum tersebut.
Tulisan blog itu berfokus pada niat baik hukum, sedangkan tweet PG berfokus pada hasil nyatanya.
Saya tidak begitu paham mengapa hanya Uni Eropa yang disalahkan, sementara perusahaan tidak.
Hasil nyatanya adalah perusahaan tetap ingin terus melacak, lalu mendorong pengguna dengan pola bermusuhan dan kepatuhan berniat buruk untuk memaksa “persetujuan”.
Paul Graham tetap salah.
Inti yang ingin disampaikan tulisan itu adalah bahwa perusahaan sengaja melakukan ini untuk mendapatkan “persetujuan” yang bertentangan dengan kehendak pengguna, sehingga mereka berjalan di garis tipis: melanggar hukum sejauh masih tidak tampak melanggar hukum.
Sebenarnya tweet PG tidak terlalu berkaitan dengan teori permainan, dan lebih mirip keluhan ala negara maju karena harus mengeklik banner cookie. Menilai hasil nyata dari regulasi dan legislasi yang rumit berada di luar cakupan satu tweet.
Akan lebih baik jika Graham sejak awal menentukan klaim apa yang ingin ia buat. Apakah ia membantah perwakilan Uni Eropa tertentu yang membanggakan regulasi yang baik? Ataukah ia mengatakan bahwa Uni Eropa sejak awal tidak seharusnya punya keberanian untuk mencoba membuat regulasi?
“Regulasi yang baik” juga mencakup kemampuan memperkirakan kemungkinan dampak dari regulasi
Jika dibuat regulasi seperti “Perusahaan sekarang harus memberikan produknya secara gratis. Namun, mereka boleh menekan hidung pelanggan seperti klakson,” maka akan ada banyak orang yang hidungnya sakit
Di sini juga mirip. Hampir semua situs web menghasilkan uang dari iklan, atau setidaknya mencatat log aktivitas pengguna untuk optimasi situs, dan karena itu tidak akan berubah, regulasi bodoh UE hanya menambah sedikit penderitaan bagi pelanggan
“Mencatat log aktivitas pengguna untuk optimasi situs” juga tidak membutuhkan pelacakan pribadi
Namun tidak semua situs web membutuhkan banner cookie. Bukankah GitHub situs web yang cukup kompleks dan dioptimalkan untuk pengguna? https://github.blog/2020-12-17-no-cookie-for-you/
Tanpa pelacakan > tanpa banner > semua orang lebih bahagia > silakan tampilkan iklan yang diperlukan sepuasnya
Saat sebuah perusahaan harus melacak saya, itu berarti mereka melakukan lebih dari sekadar “optimasi situs web”. Mereka memakai data saya untuk menjual sesuatu kepada saya, atau menjual data saya kepada pihak ketiga
Menurut saya, bagus bahwa hal seperti itu membutuhkan izin
Ini bukan hukum cookie, melainkan juga hukum anti-malware utama UE
Prinsipnya adalah bahwa perangkat lunak apa pun yang dikendalikan pihak ketiga, ketika menulis atau membaca informasi di komputer atau ponsel saya melalui internet, harus mendapatkan persetujuan yang didasarkan pada penjelasan memadai sebelumnya
Pengecualiannya terbatas pada fungsi sempit seperti penyimpanan/pembacaan yang diperlukan untuk menyediakan layanan yang diminta pengguna atau load balancing. Ini berlaku bukan hanya untuk cookie browser, tetapi juga webcam, mikrofon, dan isi folder Documents
Prinsipnya sendiri tampak masuk akal, tetapi UE mengalami kebuntuan dalam reformasi untuk membuat pengecualian tambahan seperti pemeriksaan keamanan/pembaruan wajib atau metrik pengguna yang menghormati privasi. Regulator juga pada praktiknya menutup mata sampai batas tertentu, jadi sulit mengatakan bahwa UE pandai membuat regulasi
Masyarakat pada umumnya tidak mampu memperbaiki bagian-bagian dari undang-undang lama yang sudah berusia puluhan tahun yang dianggap sebagai bug atau ekses
Hal menarik dari legislasi adalah bahwa ia juga bertanggung jawab atas dampak yang tidak disengaja dari hukum
Data yang dibutuhkan agar layanan dapat berjalan secara minimal tidak memerlukan banner. Karena tanpa itu situs tidak berfungsi, tidak ada ruang bagi persetujuan untuk ikut campur
Legislasi biasanya adalah pertarungan kepentingan, dan idealnya pembuat undang-undang berusaha melindungi kepentingan umum secara luas ketika berbenturan dengan kepentingan pribadi yang sempit
Jika pihak dengan kepentingan sempit adalah kelompok yang kuat, pertarungan pasti terjadi, dan jika mereka punya cara untuk membuat regulasi terlihat lebih intrusive dan menyebalkan daripada bahaya yang semula hendak dicegah, mereka akan memanfaatkannya untuk membalik opini publik ke pihak mereka
Jadi pembuat undang-undang juga harus memperkirakan pertarungan seperti itu, dan mungkin sebagian bertanggung jawab atas bentuknya, tetapi bukan sepenuhnya. Semakin kuat kekuatan kepentingan pribadi, semakin besar kemungkinan mereka mencari cara untuk melawan regulasi
Dalam isu ini, situs web yang menampilkan banner juga merugikan diri sendiri. Sebab pesaing mendapat insentif untuk menawarkan pengalaman yang lebih baik tanpa banner. Dengan kata lain, dalam situasi kompetitif, regulasi bisa membuat tidak menampilkan banner menjadi sesuatu yang bernilai, jadi kita lihat saja hasilnya
Menggunakan cookie dan membuat orang merasa tidak nyaman adalah pilihan yang disengaja
Sulit mengatakan apa yang telah diperkirakan atau diniatkan para pembuat undang-undang, tetapi menurut saya banner cookie sebenarnya a) baik, dan b) salah perusahaan yang tidak bisa membayangkan perlakuan yang lebih baik bagi pengguna
Saya menganggapnya baik karena menimbulkan gangguan psikologis bagi pengguna perangkat lunak yang tidak berusaha menghindari kebutuhannya atau membuatnya dengan benar. Seiring waktu, saya berharap pengguna akan melihat situs dengan banner cookie sebagai sesuatu yang agak mencurigakan dan tidak beretika, seperti iklan popup
Pada akhirnya, saya pikir lebih baik ada hukum ini beserta iterasi dan revisi tambahan di masa depan daripada tidak ada sama sekali. Tingkat penyalahgunaan data orang sudah terlalu tidak masuk akal
pg sepertinya sedang membicarakan banner iklan, dan jika demikian, dia benar. UE merusak pengalaman web kita sambil menguntungkan aplikasi mobile yang melakukan pelacakan lebih buruk
Masalah yang lebih besar adalah hukum ini tidak memperbaiki apa pun, menghancurkan bisnis iklan online UE yang tinggal sedikit, dan berfokus pada hal yang keliru
Warga Eropa sejak awal tidak meminta hukum ini, dan ada masalah yang lebih besar. Ini didorong oleh kelompok kepentingan Jerman tertentu yang tidak dipedulikan oleh sebagian besar warga UE
Pelacakan iklan bukan perhatian mayoritas warga UE, dan mereka juga tidak pernah ditanya tentang hukum ini. Sementara itu, kecanduan internet dan media sosial adalah masalah nyata bagi mayoritas warga
UE menghabiskan terlalu banyak energi dan modal politik untuk masalah banner cookie yang tidak bermakna ini, sehingga kapasitas yang bisa dipakai untuk menyelesaikan masalah kecanduan menjadi berkurang
Legislasi yang tergesa-gesa selalu menimbulkan hal seperti itu, dan yang terburuk adalah tidak ada pertanggungjawaban atas keputusan keliru semacam ini. Orang-orang yang menginspirasi legislasi tidak dipertaruhkan dalam pemilu, dan pemilu Parlemen Eropa yang akan datang pun bukan tentang politik UE, melainkan perang proksi politik domestik
Meski ketidakselarasan politik seperti ini ditunjukkan beberapa kali, tidak ada mekanisme untuk mengubahnya sampai sesuatu yang benar-benar serius terjadi dan semuanya sudah terlambat
Sebagai anekdot pribadi, saya pernah ditugasi menambahkan banner cookie ke situs web perusahaan. Selama beberapa tahun saya berhasil menahan agar banner itu tidak dipasang, tetapi pemilik baru ingin mencoba hal baru dari departemen marketing, dengan alasan para pengacara mengatakan bahwa persetujuan pengguna diperlukan
Saya diberi tahu agar tidak menghabiskan banyak waktu, memakai produk siap pakai OneTrust, dan tidak melakukan kustomisasi
Ketika saya mengatakan bahwa teks default banner itu terdengar sangat menakutkan dan menyiratkan kami melakukan banyak hal yang sebenarnya tidak kami lakukan, mereka berkata bahwa para pengacara OneTrust pasti sudah meninjaunya, jadi mengubahnya akan menimbulkan risiko hukum besar dan sebaiknya dibiarkan apa adanya
Produk OneTrust adalah produk serbaguna yang harus bisa membuat situs media paling berantakan dan tercemar ad tech sekalipun tetap patuh, dan saya berargumen bahwa kami bukan situs seperti itu, tetapi tidak berhasil
Perusahaan seperti OneTrust dan para konsultan di bidang ini punya insentif besar untuk membesar-besarkan risiko ketidakpatuhan. Dari sudut pandang non-ahli, risiko hukum yang ditanggung pelaku beriktikad baik sebenarnya cukup rendah. Jika otoritas menemukan ketidakpatuhan, biasanya mereka memberi kesempatan untuk memperbaikinya, dan mungkin paling-paling mendapat peringatan ringan. Denda menakutkan yang dihitung berdasarkan persentase pendapatan global tidak akan diterapkan pada kesalahan jujur
Selain itu, pelaku bisnis yang memang membutuhkan banner seperti ini karena bergantung pada pelacakan invasif akan diuntungkan jika semua orang lain keliru mengira mereka juga harus merusak pengalaman pengguna dengan banner. Dengan begitu, apa yang mereka lakukan tampak normal dan dapat diterima
Contoh yang bagus. Hacker News maupun tulisan yang ditautkan itu sebenarnya tidak membutuhkan banner cookie
Saya tidak suka pola pikir ketika pemerintah membuat regulasi yang tampak berniat baik tetapi menyisakan celah sehingga hidup semua orang jadi lebih merepotkan, lalu orang-orang membelanya dengan berkata “perusahaan tinggal tidak melakukannya saja”
Bukankah hukum itu diperlukan justru karena sejak awal mereka tidak berhenti melakukannya? Rasanya agak aneh jika setelah ada hukum mereka diminta berhenti sendiri
Jika hukum cookie diterapkan dengan benar, semuanya bisa selesai dengan satu pengaturan browser yang harus dihormati. Itu akan sepenuhnya transparan bagi pengguna dan pada dasarnya menguntungkan
Sebaliknya, berkat para pejabat yang tidak kompeten, kita melihat banner cookie selamanya di hampir semua situs, dan karena tidak distandardisasi, tempat-tempat terburuk seperti situs tempat media menerbitkan artikel bisa membuat banner yang lebih membingungkan
Pola dark UI benar-benar ilegal, dan kini pengadilan juga telah memutuskan demikian. Tinggal kesadaran ini menyebar ke perusahaan-perusahaan pembuat banner cookie
Browser sudah memiliki pengaturan “Do Not Track”. Jika situs web memilih untuk menghormati pengaturan itu, mereka bisa tidak melacak tanpa menampilkan banner cookie sama sekali. Namun kebanyakan tidak melakukannya
Sebaliknya, hukum ditulis secara netral terhadap teknologi. Saking netralnya, ia bahkan tidak disebut “hukum cookie”. Namanya ePrivacy directive, dan kata “cookie” hanya muncul 5 kali sebagai contoh
Referensi: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
Itu bahkan benar-benar diimplementasikan ketika Internet Explorer memiliki pangsa pasar lebih dari 90%
Lalu Google sengaja mengirim header P3P yang salah untuk mengakali preferensi pengguna IE
Ketika Safari menambahkan heuristik untuk menolak cookie pihak ketiga dari Google, Google juga menemukan trik teknis untuk mengakalinya dan didenda karena hal itu
Setelah IE dan P3P benar-benar mati, browser mencoba menyediakan header DNT, yaitu pengaturan minimum yang paling mudah diimplementasikan oleh industri ad tech. Industri ad tech mengabaikannya sepenuhnya
Ada perusahaan-perusahaan bernilai triliunan dolar yang bergantung pada pelacakan, dan mereka akan melakukan segala cara untuk merusak teknologi yang merugikan bisnis mereka serta menghalangi hukum
Jika “perusahaan bisa dengan mudah menghindari banner cookie; cukup jangan melacak”, maka EU seharusnya menjadikannya hukum secara langsung
Dan kita akan menyebutnya hukum cukup jangan melacak
Saya heran dengan orang-orang yang membela EU dengan mengatakan “tidak ada hukum banner cookie”. Tidak, hukumnya ada. Justru karena hukum itulah orang berpikir “untuk apa mengambil risiko yang tidak perlu?” lalu memasang sampah seperti banner cookie
Hukum bukan sekadar kumpulan kata di atas kertas, melainkan institusi yang mengubah perilaku orang dengan memberi ganjaran atau hukuman atas tindakan mereka
Namun memang lebih mudah memilih jalan aman tanpa berusaha memahami. Meski begitu, tidak seharusnya menyalahkan hukum atas tanggung jawab memilih jalan aman tanpa menyelidikinya
Kebanyakan orang hanya ikut-ikutan; ketika situs-situs besar memasang banner cookie, mereka berpikir mereka juga harus melakukannya. Lalu mereka menyalahkan hukum
Jika Anda bukan peniru dan memahami bisnis Anda sendiri, tidak ada alasan menyalahkan hukum karena membuat Anda melakukan sesuatu yang tidak perlu
Tentu saja hukum kadang rumit untuk dipahami. Kebanyakan hukum memang begitu, dan karena itulah ada pengacara. Namun di bidang teknologi, para pengacara pun sering tampak seperti ikut-ikutan. Jadi selalu baik untuk berpikir sendiri, dan jangan percaya semua yang dikatakan orang lain. Jika menyelidiki dan meneliti sendiri, sebenarnya tidak sesulit itu
Bisnis saya tidak melacak pelanggan secara online dan tidak punya banner. Selesai
Jika para pengacara bereaksi berlebihan atau perusahaan tidak mampu membedakan pelacakan esensial dan non-esensial, pihak yang tidak kompeten mungkin adalah mereka