Gangguan Terbesar di Internet: Hukum Cookie Seharusnya Menargetkan Browser, Bukan Situs Web

 (nednex.com/en)
9 poin oleh GN⁺ 2025-10-23 | 2 komentar | Bagikan ke WhatsApp
  • Prosedur persetujuan banner cookie yang berulang di setiap situs web menimbulkan kelelahan bagi pengguna, dan dinilai sebagai sistem gagal yang pada praktiknya tidak melindungi privasi
  • Struktur saat ini mengharuskan setiap situs web mengimplementasikan prosedur persetujuan secara terpisah, sehingga membebani operator situs kecil secara berlebihan
  • Sebagai solusi, penulis mengusulkan agar persetujuan cookie dikelola secara terpusat pada tahap pengaturan browser
  • Dengan satu kali pengaturan, pengguna dapat mengendalikan cakupan penggunaan data mereka secara terintegrasi, dan browser akan menerapkannya ke semua situs
  • Pendekatan ini diajukan sebagai solusi yang lebih masuk akal dari tiga sisi: peningkatan pengalaman pengguna, peningkatan efisiensi regulasi, dan pengurangan beban pengembang

Kegagalan Nyata Banner Cookie

  • Undang-undang perlindungan data pribadi seperti GDPR dan CCPA dibuat dengan niat baik, tetapi cara penerapannya tidak efisien
    • Banyak sekali situs web harus secara terpisah menampilkan popup seperti “Accept All” atau “Manage Preferences”
    • Sebagian besar pengguna, karena lelah, akhirnya mengklik “izinkan semua” tanpa berpikir
  • Pendekatan ini membuat hak pilih nyata pengguna menjadi tidak berarti, sekaligus membuat pengalaman internet semakin tidak nyaman
  • Penulis menunjukkan bahwa inti masalahnya bukan ‘apa yang harus dilindungi’ melainkan ‘di mana pengelolaannya harus dilakukan’

Masalah pada Struktur Saat Ini

  • 1) Kelelahan persetujuan (Consent Fatigue): karena permintaan persetujuan yang berulang, pengguna menjadi kebal dan ‘persetujuan sukarela’ dalam arti sebenarnya tidak tercapai
  • 2) Kerugian bagi operator kecil: perusahaan besar dapat menanganinya dengan tim legal dan CMP (Consent Management Platform), tetapi blogger individu atau bisnis kecil-menengah harus menanggung beban hukum dan teknis
  • 3) Tidak adanya kendali nyata: bahkan jika tersedia opsi selain “Accept All”, istilah hukum yang rumit dan struktur menu yang panjang pada praktiknya membatasi pilihan pengguna

Usulan Baru: Manajemen Persetujuan Berpusat pada Browser

  • Saat pengaturan awal browser, pengguna hanya perlu sekali memilih preferensi penggunaan data
    • Essential Only: hanya mengizinkan cookie esensial
    • Performance & Analytics: mengizinkan analisis performa berbasis data anonim
    • Personalized Experience: mengizinkan konten dan iklan yang dipersonalisasi
    • Custom: menyesuaikan langsung per item secara rinci
  • Berdasarkan pilihan pengguna, browser akan secara otomatis mengizinkan atau memblokir cookie per situs
    • Cookie dengan tujuan yang tidak jelas akan diblokir otomatis oleh browser
  • Fokus regulasi hukum dapat dipindahkan dari jutaan situs web → beberapa pengembang browser utama, sehingga pengawasan yang realistis menjadi mungkin

Perubahan yang Diharapkan

  • Bagi pengguna: dengan satu kali pengaturan, memperoleh pengalaman internet yang lebih bersih dan cepat, serta kendali nyata atas data
  • Bagi operator situs web: menghapus beban pengelolaan banner cookie dan CMP sehingga kinerja web meningkat dan efisiensi pengembangan naik
  • Bagi regulator: alih-alih mengawasi banyak situs, cukup mengawasi pengembang browser dalam struktur yang lebih sederhana, sehingga efisiensi penegakan hukum meningkat

Dari Sistem yang Rumit ke Standar yang Sederhana

  • Internet saat ini terjebak dalam ekosistem yang rumit di mana setiap situs menempelkan CMP masing-masing
    • Beragam alat, jaringan iklan, dan layanan analitik saling berinteraksi, menimbulkan upaya yang tumpang tindih dan kebingungan
  • Pendekatan berbasis browser menyatukan ini menjadi satu standar tunggal
    • Pilihan pengguna → browser → diterapkan sama ke semua situs
  • Penulis menekankan bahwa ide ini bukan menciptakan sistem baru, melainkan membongkar struktur saat ini yang telah menjadi rumit secara tidak perlu

Bacaan terkait

2 komentar

 
shakespeares 2025-10-24

Kalau saja semuanya bisa diproses lebih dulu di browser, rasanya akan sangat nyaman.
 
GN⁺ 2025-10-23
Opini Hacker News

  • Saya ingin mengatakan bahwa inti masalahnya bukan hukumnya sendiri, melainkan situs-situs yang tidak mau melepaskan pelacakan dan sengaja mematuhi hukum dengan cara yang menyebalkan
    Ditekankan bahwa bukan alternatif yang diinginkan jika harus tersesat 5 menit di menu “setuju secara legal”, melainkan opsi “tolak semua” itulah tujuan aslinya
    Belakangan ini pengadilan mulai menegakkannya secara aktif, sehingga tombol “tolak semua” makin menghilang
    Pada akhirnya, hasil terbaik adalah lingkungan web tanpa pelacakan maupun banner sama sekali, dengan situs mematuhi header Do-Not-Track
    Tautan terkait

    • Masalahnya menurut saya 100% adalah hukumnya ditulis dengan buruk sehingga kepatuhan berniat jahat seperti ini dimungkinkan
      Jika menginginkan hasil yang baik, hukumnya sendiri harus ditulis dengan benar agar tidak bisa disalahgunakan
      Situs web secara dapat diprediksi akan mengejar maksimalisasi keuntungan, jadi idenya adalah menulis hukum yang lebih baik

    • Saya rasa hukum, pedoman, dan niatnya sudah jelas
      Tantangan terbesar yang tersisa justru struktur di mana segelintir “perusahaan raksasa” mengendalikan browser
      Apple maupun Google juga tidak punya kemauan untuk mengubah pelacakan menjadi struktur opt-in
      Situasi ke depan baru akan membaik jika pengaruh pemain besar dalam ekosistem browser dikurangi dan kebijakan seperti DMA diperluas untuk mencegah perlawanan dari kekuatan monopoli
      Saya juga merasa budaya litigasi ala AS dan perbedaan budaya Eropa turut berperan dalam masalah ini
      Kalau hanya memuat satu Google Fonts saja tidak membuat data terekspos ke ratusan “mitra”, sebagian besar popup persetujuan tidak akan diperlukan

    • Sanggahan: terus-menerus ditanya soal persetujuan cookie di tiap situs juga menyiksa
      Kepatuhan hukum itu sendiri merusak pengalaman pengguna dan membuat penggunaan internet lebih melelahkan
      Pada akhirnya, para pembuat hukum tampaknya lebih dekat ke sudut pandang perusahaan daripada pengalaman pengguna nyata atau privasi

    • Struktur pelacakan sebagai default itu sendiri tidak bisa diterima
      Saya pikir permintaan Do-Not-Track harus diwajibkan secara hukum, dan denda harus ditetapkan sebagai persentase dari pendapatan global

    • Saya rasa tanggung jawabnya lebih besar pada penyedia iklan daripada operator situs individu
      Struktur yang ada memaksa penggunaan manajer persetujuan pelacakan iklan agar perusahaan iklan bisa menayangkan iklan
      Saya pernah mencoba membuat formulir persetujuan sendiri, tetapi TCF terlalu sulit, dan solusi selain banner persetujuan dari perusahaan iklan sendiri hampir tidak didukung
      Pada akhirnya, ketika pendapatan iklan membayar biaya server, pengelola situs hobi sulit menanggung sistem serumit ini
      Akan bagus jika ada opsi sederhana yang lebih menghormati privasi pengguna, dan menurut saya struktur yang menargetkan browser agar mudah dikendalikan itulah yang ideal

  • Saya rasa jenis pengumpulan data seperti ini seharusnya dilarang sama sekali
    Saya ragu ada orang yang akan menekan persetujuan untuk “Apakah Anda setuju data Anda dibagikan ke 500 situs web mitra?”

    • Saya rasa perusahaan harus dilarang menyebut penyerahan data ke spammer sebagai “berbagi dengan mitra”
      Kata “mitra” mengandung nuansa kepercayaan dan kesetaraan, padahal kenyataannya sama sekali tidak begitu
      Jika itu penjualan data, hukum harus mewajibkan penyampaiannya secara jelas seperti itu, dan risiko kebocoran ke spam juga perlu diberitahukan secara spesifik
      Menurut saya seharusnya ditanyakan seperti ini: “Apakah Anda setuju data Anda dapat dijual ke perusahaan mana pun? Apakah Anda setuju dengan risiko bahwa data itu kelak dipakai untuk spam atau kejahatan? Ya/Tidak”

    • Saya dengar iklan bertarget menghasilkan pendapatan 3 kali lebih besar daripada iklan biasa
      Secara pribadi, kalau jumlah iklannya turun menjadi 1/3 walaupun data saya dilacak, saya justru akan senang
      Saya hanya akan melihat iklan menarik seperti keyboard dan pakaian pria, dan bisa menghindari paparan hal-hal yang tidak berguna, jadi menurut saya tidak masalah

    • Masalah iklan dan pengawasan selalu memakai logika yang mirip
      Tidak ada yang ingin menerima iklan, tetapi lobi yang kuat menentang penghapusan iklan dengan alasan dampak ekonomi dan penurunan PDB
      Hal yang sama juga berlaku untuk pengawasan, di mana logika “peningkatan keamanan” laku di kalangan politikus

    • Saya rasa iklan yang relevan bisa ditampilkan cukup berdasarkan konteks seperti situs web dan topiknya
      Misalnya situs hackerspace bisa menampilkan iklan Raspberry Pi, dan situs musik rock bisa menampilkan iklan piringan hitam atau tab gitar

    • Ada alasan yang sangat sederhana mengapa banyak pengguna setuju: mereka memang ingin mengakses konten berbasis iklan-pengawasan

  • Masalah verifikasi usia juga sama
    Header DNT pernah diusulkan, tetapi terlalu sederhana dan pada akhirnya juga gagal diadopsi secara nyata Dokumen terkait
    Industri mempertahankan struktur serumit ini demi memaksimalkan tingkat persetujuan pengguna
    Pendekatan yang berpusat pada browser akan menjadi yang paling teknis dan paling ramah pengguna, tetapi industri iklan dan pengumpulan data pada dasarnya punya insentif untuk menghambat kontrol berbasis browser
    Pada akhirnya, selama mereka menguasai sebagian besar web, solusi berbasis browser sulit terwujud

    • Fitur DNT memang pernah ada di browser, tetapi situs-situs mengabaikannya
      Menurut bantuan Chrome, permintaan DNT bisa dikirim, tetapi sebagian besar situs web tetap mengumpulkan data dengan alasan “meningkatkan keamanan”, “menyediakan konten, layanan, dan iklan”, serta “pelaporan statistik”
      Hampir semua layanan web termasuk Google tidak merespons permintaan DNT, dan pada praktiknya satu-satunya hal yang bisa dilakukan di sisi browser hanyalah menghapus semua cookie saat browser ditutup
      Dokumen terkait

    • Verifikasi usia dan persetujuan privasi paling efektif bila ditangani di sisi browser
      Seperti dalam kasus P3P, kontrol berbasis browser/OS bisa menjadi pukulan telak bagi struktur pelacakan industri yang ada, jadi saya rasa perusahaan besar sengaja mengabaikan atau menghambat solusi semacam itu karena takut menjadi besar
      Akibatnya, operator situs individu terus berulang kali harus menanggung regulasi yang terlalu rumit

    • Ini cerita yang cukup jenaka: kalau header DNT diproses dengan benar, layar persetujuan itu sendiri tidak diperlukan
      Tinggal jangan gunakan fitur yang memang membutuhkan persetujuan

    • Saya rasa browser sekarang seharusnya dijadikan utilitas publik
      Dalam keadaan tidak ada lagi manfaat dari kepemilikan swasta, menurut saya sudah tepat menerimanya sebagai barang publik

  • Terhadap argumen bahwa “browser harus berperan sebagai penegak privasi, dan pengguna cukup memilih sekali di browser lalu semua situs otomatis mengikuti opsi itu”
    diingatkan bahwa browser pada akhirnya adalah perangkat lunak yang dipasang pengguna, sehingga patut dipertanyakan apakah campur tangan pemerintah memang layak
    Dengan logika ini, perlu regulasi tambahan yang memaksa situs web mengungkapkan tiap tujuan cookie dalam metadata, dan pada akhirnya itu lagi-lagi aturan tambahan untuk administrator situs
    Disebutkan pula bahwa fitur browser seperti mode incognito dan multi-account containers sudah ada
    Tautan terkait

    • Ditanyakan apa dasar bahwa intervensi pemerintah tidak boleh dilakukan
      Juga ditanyakan apakah ada perbedaan nyata antara regulasi terhadap kode situs web dan regulasi terhadap kode browser

    • Saya rasa ada konflik kepentingan yang jelas karena penyedia browser yang paling banyak dipakai pada saat yang sama juga merupakan perusahaan iklan

  • Saya rasa browser tidak seharusnya menyelesaikan masalah ini
    Banner cookie memang terkenal sebagai masalah persetujuan cookie pelacakan, tetapi sebenarnya struktur yang membutuhkan persetujuan berlaku untuk semua keterlibatan pihak ketiga (iklan dan lain-lain) yang secara teknis tidak esensial
    Browser tidak bisa membedakan pihak ketiga mana yang benar-benar diperlukan secara teknis, sehingga pada akhirnya situs individulah yang harus memberi tahu
    Masalahnya menjadi lebih rumit karena tanggung jawab penyedia situs dan pihak ketiga bercampur

    • Saya rasa jika situs web diwajibkan secara hukum mematuhi header DNT saja, masalahnya langsung selesai
      Masalah sederhana membutuhkan solusi sederhana

    • Browser web memang tidak punya cara untuk mengetahui maksud tiap elemen di situs (apakah benar-benar perlu secara teknis atau untuk pelacakan)
      Verifikasi seperti itu adalah informasi yang hanya bisa diketahui operator situs web
      Hukum cookie berlaku bukan hanya untuk cookie, tetapi juga untuk seluruh sarana pelacakan identitas pribadi lain seperti pixel gif dan sidik jari JS

    • Jika secara hukum cookie diwajibkan diberi tag “third-party” dan “strictly necessary”, maka bila tidak akurat bisa tetap dihukum sebagai pelanggaran GDPR seperti sekarang
      Browser dapat membaca tag ini dan, sesuai keinginan pengguna, mengatur izin atau penolakan pelacakan per situs
      Di bilah URL juga bisa ditambahkan indikator status seperti gembok HTTP/HTTPS, sehingga kebijakan yang dipersonalisasi seperti mengubah persetujuan per situs menjadi mungkin
      Bahkan operator situs kecil pun penting untuk memahami cara kerja cookie yang digunakan jaringan iklan/alat analitik mereka dan memberi tag dengan akurat

  • Saat popup persetujuan cookie bekerja dengan menyebalkan, strategi saya adalah langsung menutup tab dan lanjut
    Saya menemukan bahwa notifikasi persetujuan cookie hampir sebanding dengan kualitas konten yang rendah, jadi justru menghemat waktu

    • Kalau begitu bagaimana dengan pemesanan tiket pesawat atau urusan penting lainnya?
      Bahkan situs dokter pun sekarang menampilkan banner cookie
      Ditanyakan apakah tempat-tempat seperti itu juga akan langsung ditinggalkan

  • Saya rasa Global Privacy Control (GPC) sudah mulai menyelesaikan masalah ini, dan di Firefox pun sudah diterapkan sebagai pengganti Do Not Track
    Sekarang yang tersisa hanyalah menjadikannya kewajiban hukum bagi situs web untuk mematuhinya
    Tautan terkait GPC
    Panduan resmi Firefox

    • DNT pun sebenarnya sudah punya kekuatan hukum di UE, dan tampaknya tidak ada perbedaan mendasar yang diselesaikan hanya dengan berganti nama menjadi GPC
      Beberapa undang-undang negara bagian di AS ditulis sedemikian rupa sehingga jika browser mengirim sinyal sebagai setelan default maka itu tidak diakui sebagai “sinyal yang sah”, dan saya pikir kalau kewajiban hukumnya diperkuat, GPC juga bisa dinonaktifkan dengan cara seperti ini
      Pada akhirnya ditunjukkan bahwa hukum ditulis dengan menguntungkan pelacak

    • Saya setuju bahwa Firefox secara teknis sudah mengadopsi GPC bahkan sebelum ada kewajiban hukum

  • Saya rasa jika perusahaan mau berhenti melacak begitu saja, jendela persetujuan seperti ini tidak akan diperlukan

    • Saya rasa UE harus memimpin pelaksanaannya terlebih dahulu
      Bahkan situs resmi Komisi Eropa juga memiliki banner cookie, jadi UE harus menghapus pelacak dari situs webnya sendiri atau mengakui bahwa hukumnya sendiri secara praktis terlalu sulit
      Masih banyak yang harus dilakukan
      Lihat situs Komisi Eropa

    • Namun perusahaan pada akhirnya selalu bergerak berdasarkan keuntungan
      Berlawanan dengan harapan pengguna, dalam pelacakan pun tanpa pengecualian mereka mendahulukan laba

    • Secara realistis, perusahaan tidak akan berhenti secara sukarela, dan jika “cookie” dilarang mereka hanya akan beralih ke metode pelacakan lain seperti browser fingerprinting

    • Saya rasa menjadikan semua pelacakan ini ilegal bisa menjadi langkah yang lebih mendasar
      Lagi pula hampir tidak ada pengguna yang benar-benar akan menyetujuinya secara sukarela

    • Masalah legislasi adalah definisi “pelacakan” itu kabur, sehingga dari sudut pandang operator situs, sering kali mereka terpaksa memasang layar persetujuan demi menghindari pelanggaran hukum

  • California telah memperkenalkan undang-undang yang mewajibkan setelan opt-out di browser mulai 2027, dan saat ini California, Connecticut, Colorado, dan lainnya mengatur bahwa permintaan opt-out melalui browser/ekstensi harus dihormati
    New Jersey juga sama
    Undang-undang California terkait
    Pengumuman resmi Connecticut & Colorado
    FAQ privasi data New Jersey

  • Saya ragu apakah hukum-hukum seperti ini benar-benar menghasilkan efek yang semula dimaksudkan
    Kalau tidak, saya ingin bertanya mengapa tetap dipertahankan, dan mengapa semua hukum tidak otomatis dicabut jika tidak terus-menerus membuktikan legitimasi mereka

    • Saya juga penasaran soal itu; secara pribadi saya merasa hukum-hukum ini hanya membuat hidup saya dan internet sedikit lebih tidak nyaman, tanpa efek positif besar yang benar-benar terasa

    • Ditanyakan apa kriteria dari “mencapai tujuan”
      “Apakah saat cookie ditolak situs benar-benar berhenti melacak?” → sebagian iya dan sebagian tidak
      Meski begitu, saya rasa tujuannya sendiri tetap valid

    • Jika ditanya apakah GDPR efektif, saya akan menjawab ya
      Tempat yang mengabaikannya sepenuhnya hanyalah perusahaan yang tidak dapat dipercaya, dan perusahaan yang mematuhinya dengan niat buruk pun makin lama reputasinya memburuk sehingga mulai berubah
      Saya percaya era ketika data pengguna tidak dilindungi sudah berakhir