1 คะแนน โดย GN⁺ 2024-03-19 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ว่าด้วยเรื่องที่ไม่มีกฎหมายแบนเนอร์คุกกี้

  • Paul Graham เคยคิดว่า EU บังคับให้ต้องมีแบนเนอร์คุกกี้ แต่ความจริงคือไม่มีกฎหมายเกี่ยวกับแบนเนอร์คุกกี้โดยตรง
  • EU ระบุว่าการติดตาม การทำโปรไฟล์ และการขายข้อมูลส่วนบุคคล ต้องได้รับความยินยอม
  • บริษัทต่าง ๆ สามารถหลีกเลี่ยงแบนเนอร์คุกกี้ได้โดยไม่ทำการติดตาม หรือเคารพเฮดเดอร์ Do Not Track ของผู้ใช้ที่ไม่ต้องการถูกติดตาม

วิธีทางเลือกสำหรับการขอความยินยอมเรื่องคุกกี้

  • เบราว์เซอร์สามารถแสดงไอคอนการติดตามคล้ายไอคอน SSL และให้ข้อมูลที่ผู้ใช้กดเพื่อให้ความยินยอมได้
  • อาจใช้แบนเนอร์ขนาดเล็กด้านบนของเว็บไซต์เพื่อขอความยินยอมเรื่องคุกกี้ หรือวางปุ่มเล็ก ๆ ไว้ด้านล่างของหน้าเพื่อขอความยินยอมแบบ "สนับสนุนผ่านการติดตาม"

การใช้แบนเนอร์คุกกี้ของบริษัทต่าง ๆ

  • บริษัทต่าง ๆ รู้ว่าผู้ใช้ไม่ต้องการถูกติดตาม แต่ก็ยังต้องการติดตามอยู่ดี
  • ดังนั้นจึงบังคับแสดงแบนเนอร์คุกกี้ขนาดครึ่งหน้าจอ หวังให้ผู้ใช้กดยินยอม พร้อมทั้งบังเนื้อหาและรบกวนการใช้งานเว็บไซต์
  • ใช้ 'Dark UI Patterns' เช่น ทำให้ผู้ใช้เหนื่อยล้าหรือสับสนจนยอมกดตกลง

ความจริงของแบนเนอร์คุกกี้

  • EU ไม่ได้บังคับให้ต้องมีแบนเนอร์คุกกี้ แต่บริษัทต่าง ๆ กำลังทำให้ชีวิตของผู้ใช้ยุ่งยากขึ้น
  • เมื่อบริษัทไม่สามารถเอาเปรียบผู้ใช้แบบลับ ๆ ได้อีกต่อไป ก็เลยเลือกวิธีที่สร้างความรำคาญแทน

ความเห็นเกี่ยวกับการคุ้มครองความเป็นส่วนตัว

  • กฎระเบียบของ EU ไม่ได้ดีเสมอไป แต่ความเป็นส่วนตัวของข้อมูลเป็นเรื่องสำคัญ และผู้เขียนเคยต่อสู้เพื่อ PGP มาแล้วเมื่อ 30 ปีก่อน และจะสู้ต่อไป

ความเห็นของ GN⁺

  • แบนเนอร์คุกกี้อาจบั่นทอนประสบการณ์ผู้ใช้ และทำให้การเข้าถึงเว็บไซต์แย่ลง
  • การปกป้องความเป็นส่วนตัวของข้อมูลผู้ใช้เป็นสิ่งสำคัญ แต่แนวทางที่ใช้ควรเป็นมิตรกับผู้ใช้
  • นักพัฒนาเว็บควรมองหาวิธีที่ดีกว่าในการขอความยินยอมจากผู้ใช้ และสิ่งนี้อาจช่วยผลักดันการพัฒนามาตรฐานเว็บ
  • ควรพิจารณาออกแบบเว็บไซต์ที่เคารพความเป็นส่วนตัวของผู้ใช้ แทนการใช้แบนเนอร์คุกกี้
  • ในทางเทคนิค การนำกลไกอย่างการเคารพเฮดเดอร์ Do Not Track ไปใช้ อาจเป็นความท้าทายใหม่สำหรับนักพัฒนา และจะช่วยสร้างความเชื่อมั่นจากผู้ใช้ได้

1 ความคิดเห็น

 
GN⁺ 2024-03-19
ความคิดเห็นจาก Hacker News
  • ลองจินตนาการถึงตลาดที่บริษัทต่าง ๆ แอบใส่ ค่าธรรมเนียมแฝง จำนวนมากโดยที่ลูกค้าไม่รู้ แล้วผู้ใช้ก็มารู้ทีหลังและรู้สึกไม่พอใจ
    พอกฎหมายเปลี่ยนเป็นว่า “ถ้าไม่แจ้งค่าธรรมเนียมล่วงหน้าก็ห้ามเรียกเก็บ” บริษัทที่มีค่าธรรมเนียมเยอะก็ยังคงเก็บเท่าเดิม แต่เปลี่ยนมาให้ผู้ใช้อ่านค่าธรรมเนียมด้วยวิธีที่น่ารำคาญที่สุดในทุกหน้าของเมนูแทน
    แล้วก็โฆษณาว่าปัญหาไม่ใช่ค่าธรรมเนียมที่มากเกินไป ไม่ใช่การที่เมื่อก่อนซ่อนเอาไว้แล้วเพิ่งต้องมาเปิดเผยเพราะกฎหมาย แต่เป็นกฎหมายที่บังคับให้ต้องแจ้งก่อนที่จะสายเกินไป
    แบนเนอร์คุกกี้ก็โดยแก่นแล้วเหมือนกัน และฝั่งที่ด่า กฎหมายคุกกี้ อยู่ตอนนี้ก็มีทั้งคนที่จงใจพูดผิดเพราะมีผลประโยชน์ทับซ้อน และคนที่พูดผิดเพราะไม่เข้าใจจุดยืนที่ตัวเองกำลังปกป้องจริง ๆ

    • เห็นด้วย ไม่รู้ว่าผู้คนเสพ โฆษณาชวนเชื่อของบริษัท กันมากแค่ไหน ถึงได้มองว่าพฤติกรรมแย่ ๆ ของบริษัทและการทำตามกฎหมายแบบมุ่งร้ายเป็นความผิดของผู้ร่างกฎหมายไปหมด
      มันยังสะท้อนด้วยว่าความสัมพันธ์ระหว่างบริษัทกับผู้บริโภคอยู่ในสภาพแบบไหน จนปฏิกิริยาแรกต่อพฤติกรรมแย่ ๆ แบบนี้กลายเป็น “ก็คุณทำให้พวกเขาเป็นแบบนั้นเอง!”
      สุดท้ายก็กลายเป็นว่าผิดกันหมดทุกคน ยกเว้นตัวคนทำเรื่องแย่ ๆ เอง
    • จุดอ่อนของอุปมานี้คือ โดยทั่วไปผู้บริโภคมักสนใจค่าธรรมเนียมแฝง อยากรู้ล่วงหน้า และถ้ารู้ก่อนก็อาจตัดสินใจต่างออกไป แต่ผู้บริโภคทั่วไปไม่ได้สนใจ คุกกี้
      อุปมาที่ใกล้กว่าคือ เดินเข้าไปในร้านอาหารแล้วมีคนยื่นกระดาษที่ระบุข้อมูลสารก่อภูมิแพ้ของอาหารทุกอย่างให้ พร้อมบอกว่า “คุณต้องยินยอมว่าส่วนผสมเหล่านี้อยู่ในอาหาร” ก่อนถึงจะให้นั่งโต๊ะ
      ผมเห็นด้วยว่าร้านอาหารไม่ควรซ่อนข้อมูลนี้ และคนส่วนน้อยอาจต้องการข้อมูลดังกล่าว แต่การบังคับให้ทุกคนต้องผ่านขั้นตอนที่น่ารำคาญแบบนี้เป็นอีกเรื่องหนึ่ง วิธีที่ใช้กันจริงในโลกเดิมคือให้ข้อมูลสารก่อภูมิแพ้เมื่อมีการร้องขอ ซึ่งก็ทำงานได้ดีอยู่แล้ว
      ข้อมูลบางอย่างที่ทุกคนควรสนใจและอาจรู้สึกตกใจก็ควรให้บริษัทแจ้ง แต่ก็มีอีกมากที่มีแค่คนส่วนน้อยเท่านั้นที่สนใจ แล้วทำไมถึงหยุดแค่คุกกี้? ถ้าโครงสร้างพื้นฐานเซิร์ฟเวอร์ของเว็บไซต์เป็นสินค้าที่ผลิตจากต่างประเทศก็ต้องมีป๊อปอัป ถ้าบริษัทผู้ดำเนินงานปล่อยคาร์บอนสูงกว่าค่าเฉลี่ยก็ต้องมีป๊อปอัป ถ้าอาหารในฟู้ดคอร์ตสำนักงานใหญ่ไม่เป็นโคเชอร์ก็อาจบังคับให้มีป๊อปอัปได้เหมือนกัน
      กลุ่มคนที่ใส่ใจคุกกี้อย่างลึกซึ้งมีขนาดพอ ๆ กับกลุ่มที่ใส่ใจขนาดไบนารีหรือการรัน JavaScript แล้วการรัน JavaScript ก็ควรต้องมีป๊อปอัปบังคับด้วยไหม? ถ้าเว็บไซต์ใหญ่เกิน 10MB ควรต้องขอความยินยอมบนหน้าเบา ๆ ก่อนหรือเปล่า? ปัญหาคือจะตัดสินอย่างไรว่าพฤติกรรมแบบไหนสมควรได้รับคำเตือนแบบป๊อปอัป
    • ตัวอย่างนี้ไม่ค่อยดี เพราะปัญหาแบบนั้นปกติแล้ว ตลาด เป็นฝ่ายแก้
      เหตุผลที่ตลาดแก้ปัญหาแบนเนอร์คุกกี้ไม่ได้ และที่กฎหมายนี้แย่ ก็คือผู้ใช้แทบไม่ได้สนใจจริง ๆ มีแต่รู้สึกรำคาญ
      ใน California มีกฎหมายว่าถ้าสถานประกอบการมีสารเคมีที่อาจก่อมะเร็ง ต้องมีการแจ้งเตือน เจตนารมณ์นั้นดี แต่เกณฑ์ถูกตั้งไว้ต่ำกว่าระดับที่ตรวจสอบได้จริงในทางปฏิบัติ จนอสังหาริมทรัพย์แทบทุกแห่งต้องติดป้ายว่า “ที่นี่อาจมีสารเคมีอยู่”
      คำเตือนไม่มีประโยชน์และมีแต่สร้างความรำคาญ ซึ่งก็เป็นผลจากแรงของตลาด หรือพูดอีกอย่างคือกฎหมายได้ชักนำให้เกิดพฤติกรรมแบบนั้น
    • ดูจะไม่ใช่คำพูดที่ตรงนัก จริง ๆ แล้ว ตัวคุกกี้เอง ไม่ใช่ปัญหา ปัญหาคือวิธีที่คุกกี้ถูกนำไปใช้
      การต้องแจ้งว่าใช้คุกกี้กับเซสชัน ก็คล้ายกับต้องแจ้งว่าใช้ส้อมกินข้าว
      ปัญหาคือมีบางคนใช้ส้อมนั้นไปแทงคนอื่น ตอนนี้เลยกลายเป็นว่าทุกคนต้องบอกล่วงหน้าว่าจะใช้ส้อมอย่างไร ทั้งที่จริง ๆ แค่ห้ามการแทงกันก็พอ
    • ถ้าใช้อุปมาแบบนั้น สุดท้ายแม้แต่บริษัทที่ไม่ได้เก็บ ค่าธรรมเนียมแฝง ก็อาจต้องแสดง แบนเนอร์ เผื่อไว้
      แถมผมก็ไม่ใช่พลเมือง EU และก็ไม่ได้ดูเว็บไซต์ที่มีฐานอยู่ใน EU ด้วย แต่ก็ยังโดนแบนเนอร์คุกกี้ใส่อยู่ตลอด
  • ที่ KingOfCoders/amazingcto บอกว่า “ไม่มีกฎหมายแบนเนอร์คุกกี้ แค่ไม่ติดตามก็พอ” นั้น ในเชิงเทคนิคก็ถูก แต่ Paul Graham ไม่ได้พูดถึงตัวบทกฎหมายโดยตรง
    ข้อไม่พอใจของเขาควรถูกตีความในมุมของ ทฤษฎีเกม คือมองผลลัพธ์ไม่คาดคิดจากการที่บริษัทตอบสนองต่อกฎหมายกันอย่างไรในโลกจริง
    บทความบล็อกเน้นที่เจตนาดีของกฎหมาย ส่วนทวีตของ PG เน้นที่ผลลัพธ์จริง

    • ตรรกะนั้นใช้ได้ทั้งสองฝั่งไม่ใช่หรือ? ถ้ามองกฎระเบียบของ EU ในมุม ทฤษฎีเกม มันก็เป็นผลลัพธ์ไม่คาดคิดจากการเก็บข้อมูลเชิงรุกของบริษัทเช่นกัน
      ผมไม่ค่อยเข้าใจว่าทำไมถึงด่าแต่ EU แต่ไม่ด่าบริษัท
    • บล็อกนั้นพูดถึงในมุม ผลลัพธ์จริง อย่างชัดเจน และย้ำหลายครั้งด้วย บริษัทต่าง ๆ แค่ไม่ติดตามก็พอ
      ผลลัพธ์จริงคือบริษัทอยากติดตามต่อไป และใช้รูปแบบที่เป็นปฏิปักษ์กับผู้ใช้รวมถึงการทำตามกฎหมายแบบมุ่งร้ายเพื่อบีบให้ผู้ใช้ “ยินยอม”
      Paul Graham ก็ยังผิดอยู่ดี
    • ผมชอบการคิดต่อยอดขั้นที่สองและผลลัพธ์ไม่คาดคิด จึงเห็นด้วยในส่วนนั้น ถ้าอย่างนั้นจะออกแบบคำสั่งว่า “อย่าติดตามผู้คนโดยไม่ได้รับความยินยอม” อย่างไรให้ไม่มีผลข้างเคียงที่ไม่ตั้งใจ?
      ประเด็นที่บทความพยายามจะสื่อคือ บริษัทต่าง ๆ จงใจทำแบบนี้เพื่อให้ได้ “ความยินยอม” ที่ขัดกับเจตจำนงของผู้ใช้ และจึงเดินไต่เส้นบาง ๆ ระหว่างการไม่ผิดกฎหมายกับการละเมิดเจตนาของกฎหมาย
    • ทุกคนรู้อยู่แล้วว่าคนทำไม่ดีจะยังทำตัวแย่ต่อไปแม้อยู่ต่อหน้ากฎหมาย นั่นไม่ใช่ข้อสังเกตที่ลึกซึ้งอะไร
      ที่จริงทวีตของ PG แทบไม่เกี่ยวกับทฤษฎีเกมเลย และใกล้เคียงกับการ บ่นแบบคนประเทศพัฒนาแล้ว เรื่องที่ต้องมาคลิกแบนเนอร์คุกกี้มากกว่า
      การประเมินผลลัพธ์จริงของกฎระเบียบและการออกกฎหมายที่ซับซ้อนนั้นเกินขอบเขตของทวีตเดียวมาก
      น่าจะเริ่มจากการกำหนดก่อนว่า Graham กำลังพยายามเสนอข้อโต้แย้งอะไรตั้งแต่แรก กันแน่เขากำลังโต้แย้งผู้แทน EU บางคนที่ชอบอวดว่าตัวเองกำกับดูแลเก่ง หรือกำลังบอกว่า EU ไม่ควรมีความหน้าด้านพอจะลองออกกฎตั้งแต่แรก?
    • ถ้าสามารถมองออกได้ชัด ๆ ว่าเว็บไซต์ไหนห่วย และกด ย้อนกลับ ได้ทันที ผมถือว่านั่นเป็นผลลัพธ์ที่ดี
  • "การกำกับดูแลได้ดี" หมายถึงความสามารถในการคาดการณ์ผลลัพธ์ที่อาจเกิดจากกฎระเบียบด้วย
    ถ้าคุณออกกฎว่า "ตอนนี้บริษัทต้องแจกผลิตภัณฑ์ฟรีได้ แต่มีสิทธิ์กดจมูกลูกค้าเหมือนบีบแตรได้" ก็ย่อมมีคนจำนวนมากที่เจ็บจมูก
    กรณีนี้ก็คล้ายกัน เว็บไซต์แทบทั้งหมดหารายได้จากโฆษณา หรืออย่างน้อยก็เก็บบันทึกกิจกรรมผู้ใช้เพื่อปรับแต่งเว็บไซต์ให้เหมาะสม และสิ่งนั้นคงไม่เปลี่ยนไป ดังนั้นกฎระเบียบโง่ ๆ ของ EU ก็แค่เพิ่มความเจ็บปวดให้ลูกค้าอีกนิด

    • การบอกว่า "เว็บไซต์แทบทั้งหมดหารายได้จากโฆษณา" ไม่ได้แปลว่าต้องมี การติดตามรายบุคคล
      การบอกว่า "เก็บบันทึกกิจกรรมผู้ใช้เพื่อปรับแต่งเว็บไซต์ให้เหมาะสม" ก็ไม่ได้จำเป็นต้องมีการติดตามรายบุคคลเช่นกัน
    • ใจความสื่อได้ดี และก็เห็นด้วยว่าเป็นผลลัพธ์น่าเสียดายของกฎระเบียบ อุปมาก็สนุกดี
      แต่ไม่ใช่ว่าทุกเว็บไซต์จำเป็นต้องมีแบนเนอร์คุกกี้ GitHub ก็เป็นเว็บไซต์ที่ซับซ้อนและปรับให้เหมาะกับผู้ใช้พอสมควรไม่ใช่หรือ? https://github.blog/2020-12-17-no-cookie-for-you/
    • กฎระเบียบของ EU ไม่ได้ห้ามการแสดงโฆษณา ที่เล็งเป้าจริง ๆ คือ การติดตาม
      ไม่มีการติดตาม > ไม่มีแบนเนอร์ > ทุกคนมีความสุขมากขึ้น > จะลงโฆษณาที่จำเป็นเท่าไรก็ได้
    • ดูเหมือนความสับสนจะอยู่ระหว่าง โฆษณาและการติดตาม แบนเนอร์ไม่ได้เกี่ยวกับโฆษณา แต่เกี่ยวกับการติดตาม
    • การเก็บบันทึกกิจกรรมผู้ใช้เพื่อปรับแต่งเว็บไซต์ให้เหมาะสม ทำได้โดยไม่ต้องติดตามข้อมูลส่วนตัวของฉัน
      ทันทีที่บริษัทต้องติดตามฉัน มันก็ทำมากกว่าแค่ "ปรับแต่งเว็บไซต์ให้เหมาะสม" แล้ว คือเอาข้อมูลของฉันไปใช้ขายอะไรบางอย่างให้ฉัน หรือขายข้อมูลของฉันให้บุคคลที่สาม
      การที่เรื่องแบบนั้นต้องได้รับอนุญาต ฉันมองว่าเป็นเรื่องที่ดี
  • นี่ไม่ใช่แค่กฎหมายคุกกี้ แต่ยังเป็นกฎหมายหลักของ EU สำหรับ ป้องกันมัลแวร์ ด้วย
    หลักการคือ เมื่อใดก็ตามที่ซอฟต์แวร์ใด ๆ ที่ถูกควบคุมโดยบุคคลที่สาม เขียนหรืออ่านข้อมูลบนคอมพิวเตอร์หรือโทรศัพท์ของฉันผ่านอินเทอร์เน็ต จะต้องมีความยินยอมล่วงหน้าที่ตั้งอยู่บนคำอธิบายที่เพียงพอ
    ข้อยกเว้นจำกัดอยู่แค่การจัดเก็บ/อ่านข้อมูลที่จำเป็นต่อการให้บริการที่ผู้ใช้ร้องขอ หรือฟังก์ชันแคบ ๆ อย่างการกระจายโหลด หลักนี้ไม่ได้ใช้แค่กับคุกกี้ของเบราว์เซอร์ แต่ใช้กับเว็บแคม ไมโครโฟน และเนื้อหาในโฟลเดอร์ Documents ด้วย
    ตัวหลักการเองดูสมเหตุสมผล แต่ EU กลับติดหล่มในการปฏิรูปที่จะเพิ่มข้อยกเว้น เช่น การตรวจสอบความปลอดภัย/อัปเดตที่จำเป็น หรือเมตริกการใช้งานที่เคารพความเป็นส่วนตัว และในทางปฏิบัติหน่วยงานกำกับก็หลับตาข้างหนึ่งอยู่พอสมควร จึงยากจะบอกว่า EU กำกับดูแลได้ดี
    โดยรวมแล้วสังคมยังแก้ไขส่วนที่มองว่าเป็นบั๊กหรือความเกินเลยในกฎหมายดั้งเดิมอายุหลายสิบปีฉบับนี้ไม่ได้

    • ถ้าหลักการคือ "ซอฟต์แวร์ที่อยู่ภายใต้การควบคุมของบุคคลที่สามไม่ควรเขียนหรืออ่านข้อมูลในคอมพิวเตอร์/โทรศัพท์โดยไม่มีความยินยอมล่วงหน้า" ผู้ที่ควรรับผิดชอบการทำให้สิ่งนี้เกิดขึ้นคือ ผู้ผลิตเบราว์เซอร์
    • เคยมีความพยายามจะทำสิ่งนี้ให้เป็น มาตรฐานของเบราว์เซอร์ ไหม? ฉันลองหาแล้วแต่ไม่เจอ
    • "กฎหมายดั้งเดิมอายุหลายสิบปี" หมายถึงอะไร? GDPR มีอายุ 8 ปีเอง
  • เรื่องน่าสนใจของการออกกฎหมายคือ คุณต้องรับผิดชอบต่อ ผลลัพธ์ที่ไม่ได้ตั้งใจ ของกฎหมายด้วย

    • ในกรณีนี้ มันแค่แสดงให้เห็นว่าบริษัทส่วนใหญ่เก็บข้อมูลมากกว่าที่จำเป็น
      ข้อมูลที่จำเป็นต่อการให้บริการทำงานได้ในระดับขั้นต่ำไม่ต้องมีแบนเนอร์ เพราะถ้าไม่มีข้อมูลนั้นเว็บไซต์ก็ใช้งานไม่ได้อยู่แล้ว จึงแทบไม่มีพื้นที่ให้พูดเรื่องความยินยอม
    • พูดอีกแบบคือ การออกกฎหมายห้ามพฤติกรรมบางอย่าง แทบจะเกิดขึ้นเสมอเพราะมีใครบางคนอยากทำพฤติกรรมนั้นพอดี
      โดยทั่วไปการออกกฎหมายคือการต่อสู้ของผลประโยชน์ และในอุดมคติ ผู้ร่างกฎหมายควรปกป้องผลประโยชน์สาธารณะโดยรวมเมื่อมันขัดกับผลประโยชน์ส่วนตัวแบบแคบ ๆ
      ถ้าฝ่ายที่มีผลประโยชน์แคบ ๆ เป็นกลุ่มที่ทรงพลัง ก็ย่อมต้องมีการต่อสู้ และถ้าพวกเขามีวิธีทำให้กฎระเบียบดู intrusive และน่ารำคาญยิ่งกว่าภัยที่กฎนั้นตั้งใจจะป้องกัน พวกเขาก็จะใช้มันเพื่อดึงความคิดเห็นสาธารณะมาอยู่ข้างตน
      เพราะฉะนั้นผู้ร่างกฎหมายควรคาดการณ์การต่อสู้แบบนั้นด้วย และอาจต้องรับผิดชอบบางส่วนต่อรูปแบบที่มันออกมา แต่ไม่ใช่ทั้งหมด ยิ่งกลุ่มผลประโยชน์ส่วนตัวแข็งแรงเท่าไร ก็ยิ่งมีแนวโน้มจะหาวิธีต่อต้านกฎระเบียบได้มากขึ้น
      ในประเด็นนี้ เว็บไซต์ที่แสดงแบนเนอร์ก็ทำร้ายตัวเองด้วย เพราะคู่แข่งมีแรงจูงใจจะมอบประสบการณ์ที่ดีกว่าโดยไม่มีแบนเนอร์ กล่าวคือ ในสภาพการแข่งขัน กฎระเบียบอาจทำให้การไม่ขึ้นแบนเนอร์กลายเป็นสิ่งที่มีคุณค่า ดังนั้นคงต้องรอดูผลต่อไป
    • คนจะมาพูดว่า "กฎหมายทำให้ต้องก้าวร้าวกับผู้ใช้" เพื่อปัดความรับผิดชอบไม่ได้
      การใช้คุกกี้และทำให้ผู้คนรู้สึกไม่พอใจเป็น การตัดสินใจโดยเจตนา
    • ทวีตต้นฉบับของ PG ดูเหมือนตั้งสมมุติฐานว่าแบนเนอร์คุกกี้นั้น a) แย่ b) เป็นความผิดของ EU และ c) เป็นผลลัพธ์ที่ไม่ได้ตั้งใจที่ EU คาดไม่ถึง จึงสะท้อนความไร้ความสามารถ
      จะบอกได้ยากว่าผู้ร่างกฎหมายคาดการณ์หรือจงใจอะไรไว้บ้าง แต่ที่จริงแล้วแบนเนอร์คุกกี้นั้น a) ดี และ b) เป็นความผิดของบริษัทที่จินตนาการไม่ออกว่าจะปฏิบัติต่อผู้ใช้ให้ดีกว่านี้ได้อย่างไร
      ที่มองว่าดี เพราะมันสร้าง ความรำคาญทางจิตใจ ให้กับผู้ใช้ซอฟต์แวร์ที่ไม่พยายามหลีกเลี่ยงหรือทำมันให้ถูกต้อง เมื่อเวลาผ่านไป ฉันหวังว่าผู้ใช้จะเริ่มมองว่าเว็บไซต์ที่มีแบนเนอร์คุกกี้นั้นน่าสงสัยและไร้จริยธรรมอยู่บ้าง คล้ายกับโฆษณาป๊อปอัป
    • การคาดการณ์ทุกอย่างเป็นไปไม่ได้ และขนาดของ การปฏิบัติตามแบบมุ่งร้าย ก็เช่นกัน
      สุดท้ายฉันยังมองว่ามีกฎหมายนี้ รวมถึงการทบทวนและแก้ไขเพิ่มเติมในอนาคต ดีกว่าไม่มีเลย เพราะระดับการนำข้อมูลของผู้คนไปใช้ผิดวัตถุประสงค์มันไร้สาระเกินไปแล้ว
  • pg ดูเหมือนกำลังพูดถึงแบนเนอร์โฆษณา และถ้าเป็นเช่นนั้นก็ถูกต้อง EU ทำลายประสบการณ์เว็บของเรา ขณะเดียวกันก็เอื้อประโยชน์ให้แอปมือถือที่ติดตามหนักยิ่งกว่า
    ปัญหาใหญ่กว่านั้นคือ กฎหมายนี้ไม่ได้แก้อะไรเลย ทำลายธุรกิจโฆษณาออนไลน์ของ EU ที่เหลืออยู่ไม่มาก และไปโฟกัสผิดจุด
    ตั้งแต่แรก พลเมืองยุโรปก็ไม่ได้เรียกร้องกฎหมายนี้ และยังมีปัญหาใหญ่กว่านี้อีกมาก มันเป็นสิ่งที่กลุ่มผลประโยชน์เฉพาะในเยอรมนีซึ่งประชาชน EU ส่วนใหญ่ไม่สนใจ เป็นฝ่ายผลักดัน
    การติดตามเพื่อโฆษณาไม่ใช่ประเด็นที่พลเมือง EU ส่วนใหญ่ใส่ใจ และพวกเขาก็ไม่เคยถูกถามเรื่องกฎหมายนี้ด้วยซ้ำ ตรงกันข้าม การเสพติดอินเทอร์เน็ตและโซเชียลมีเดียคือปัญหาจริงในชีวิตของประชาชนส่วนใหญ่
    EU ใช้พลังงานและทุนทางการเมืองมากเกินไปกับปัญหาแบนเนอร์คุกกี้อันไร้ความหมายนี้ จนเหลือแรงไปจัดการปัญหาการเสพติดน้อยลง
    การออกกฎหมายอย่างผลีผลาม มักนำไปสู่เรื่องแบบนี้เสมอ และที่แย่ที่สุดคือไม่มีความรับผิดชอบต่อการตัดสินใจผิดพลาดเช่นนี้ คนที่เป็นแรงบันดาลใจให้เกิดกฎหมายไม่ได้ต้องลงเลือกตั้ง และการเลือกตั้งรัฐสภายุโรปที่กำลังจะมาถึงก็เป็นเพียงสนามรบตัวแทนของการเมืองภายในประเทศ ไม่ใช่การเมืองของ EU
    ต่อให้ชี้ให้เห็นความไม่สอดคล้องทางการเมืองแบบนี้อีกกี่ครั้ง ก็ไม่มีกลไกจะเปลี่ยนแปลงมันได้ จนกว่าจะเกิดเรื่องร้ายแรงจริง ๆ และสายเกินไป

  • มีเกร็ดส่วนตัวว่าเคยได้รับมอบหมายให้เพิ่ม แบนเนอร์คุกกี้ ลงในเว็บไซต์บริษัท
    ตลอดหลายปีพยายามกันไม่ให้มีแบนเนอร์นี้ได้ดีอยู่แล้ว แต่เจ้าของใหม่อยากให้ฝ่ายการตลาดลองอะไรใหม่ ๆ และอ้างว่าทนายบอกว่าต้องขอความยินยอมจากผู้ใช้
    ได้รับคำสั่งว่าอย่าใช้เวลามาก ให้ใช้ผลิตภัณฑ์สำเร็จรูปอย่าง OneTrust และไม่ต้องปรับแต่งอะไรด้วย
    พอทักว่าข้อความเริ่มต้นของแบนเนอร์ฟังดูน่ากลัวมาก และชวนให้เข้าใจว่าเราทำหลายอย่างที่จริง ๆ ไม่ได้ทำ ก็ถูกบอกให้ปล่อยไว้แบบนั้น เพราะทนายของ OneTrust คงตรวจมาแล้ว และถ้าแก้จะมีความเสี่ยงทางกฎหมายสูง
    ผลิตภัณฑ์ของ OneTrust เป็นของใช้ได้กับทุกกรณีที่ต้องทำให้แม้แต่เว็บสื่อที่รกและปนเปื้อน adtech ที่สุดยังปฏิบัติตามข้อกำหนดได้ และถึงจะเถียงว่าเราไม่ใช่เว็บแบบนั้นก็ไม่เป็นผล
    ผู้ขายอย่าง OneTrust และที่ปรึกษาในสายงานนี้มีแรงจูงใจสูงที่จะทำให้ความเสี่ยงจากการไม่ปฏิบัติตามดูใหญ่เกินจริง ในมุมของคนนอกสายอาชีพ ความเสี่ยงทางกฎหมายที่ผู้กระทำโดยสุจริตต้องแบกรับจริง ๆ นั้นค่อนข้างต่ำ หากหน่วยงานตรวจพบว่าไม่ปฏิบัติตาม ปกติก็มักให้โอกาสแก้ไข และอาจแค่ได้รับคำเตือนเล็กน้อยเท่านั้น ค่าปรับน่ากลัวที่คำนวณเป็นสัดส่วนของรายได้ทั่วโลกนั้นไม่ได้มีไว้ใช้กับความผิดพลาดโดยสุจริต
    อีกอย่างคือ ธุรกิจที่พึ่งพาการติดตามแบบล่วงล้ำและจึงต้องใช้แบนเนอร์แบบนี้จริง ๆ ก็ยิ่งได้ประโยชน์เมื่อทุกคนเข้าใจผิดว่าตัวเองก็ต้องทำให้ประสบการณ์ผู้ใช้พังด้วยแบนเนอร์เหมือนกัน เพราะนั่นทำให้สิ่งที่พวกเขาทำดูเป็นเรื่องปกติและยอมรับได้

  • เป็นตัวอย่างที่ดี Hacker News เองก็ไม่จำเป็นต้องมีแบนเนอร์คุกกี้ และบทความที่ลิงก์มาก็ไม่จำเป็นเช่นกัน

    • ในบทความนั้นยังมี โฆษณาหนังสือ อยู่ด้านข้างด้วย
  • ไม่ชอบแนวคิดที่ว่ารัฐออกกฎที่ดูเหมือนมีเจตนาดีแต่ปล่อยช่องโหว่ไว้จนชีวิตของทุกคนยุ่งยากขึ้น แล้วคนก็มาปกป้องด้วยการบอกว่า “บริษัทแค่ไม่ต้องทำแบบนั้นก็พอ”
    แต่เดิมก็เพราะไม่หยุดทำกันเองนี่แหละถึงต้องมีกฎหมาย พอมีกฎหมายแล้วกลับบอกให้หยุดกันเอง มันไม่แปลกหน่อยหรือ
    ถ้ากฎหมายคุกกี้ถูกออกแบบมาดี มันน่าจะจบด้วย การตั้งค่าเบราว์เซอร์ เพียงอย่างเดียวที่ควรได้รับการเคารพ แบบนั้นจะโปร่งใสกับผู้ใช้อย่างสมบูรณ์และเป็นประโยชน์โดยปริยาย
    แต่เพราะเจ้าหน้าที่ไร้ความสามารถ ตอนนี้เลยต้องเห็นแบนเนอร์คุกกี้บนแทบทุกเว็บไซต์ไปตลอด แถมยังไม่เป็นมาตรฐาน ทำให้ที่แย่ที่สุดอย่างเว็บไซต์ของสำนักพิมพ์ต่าง ๆ สามารถทำแบนเนอร์ที่เข้าใจยากยิ่งกว่าเดิมได้

    • ตัวกฎหมายเองจริง ๆ ไม่ได้แย่ขนาดนั้น แค่ศาลช้ามาก
      Dark UI pattern นั้นผิดกฎหมายจริง และตอนนี้ศาลก็ตัดสินแบบนั้นแล้ว เหลือแค่ให้ความเข้าใจนี้แพร่ไปถึงบริษัทที่ทำแบนเนอร์คุกกี้
    • กฎหมายไม่ได้บังคับให้เว็บไซต์ต้องแสดงแบนเนอร์คุกกี้
      ในเบราว์เซอร์มีการตั้งค่า “ห้ามติดตาม” อยู่แล้ว หากเว็บไซต์เลือกที่จะเคารพการตั้งค่านั้น ก็สามารถไม่ติดตามได้โดยไม่ต้องแสดงแบนเนอร์คุกกี้เลย แต่ส่วนใหญ่ไม่ทำ
    • กฎหมายไม่ได้กำหนดให้ต้องมี implementation แบบใดแบบหนึ่ง และก็ไม่ได้ถูกเขียนมาเพื่อให้กำหนดแบบนั้น หรือควรจะไม่ถูกเขียนแบบนั้นด้วย
      ตรงกันข้าม กฎหมายถูกเขียนให้ เป็นกลางทางเทคโนโลยี เสียจนไม่ได้เรียกด้วยซ้ำว่า “กฎหมายคุกกี้” ชื่อจริงคือ ePrivacy directive และคำว่า “cookie” ปรากฏเพียง 5 ครั้งในฐานะตัวอย่าง
      อ้างอิง: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
    • การตั้งค่าเบราว์เซอร์สำหรับคุกกี้ติดตามมีมาตั้งแต่ปี 2002: https://www.w3.org/P3P/
      และเคยถูกนำไปใช้จริงด้วย ในยุคที่ Internet Explorer มีส่วนแบ่งตลาดเกิน 90%
      จากนั้น Google ก็ส่ง P3P header ที่ไม่ถูกต้องโดยเจตนาเพื่อเลี่ยงค่ากำหนดของผู้ใช้ใน IE
      ตอนที่ Safari เพิ่ม heuristic เพื่อปฏิเสธคุกกี้บุคคลที่สามของ Google ทาง Google ก็หาช่องเทคนิคเพื่อเลี่ยงมันเช่นกัน และโดนปรับเพราะเรื่องนั้น
      หลังจาก IE และ P3P ตายสนิทแล้ว เบราว์เซอร์พยายามเสนอ DNT header ซึ่งเป็นการตั้งค่าขั้นต่ำที่อุตสาหกรรม adtech นำไปใช้ได้ง่ายที่สุด แต่อุตสาหกรรม adtech ก็เพิกเฉยมันอย่างสิ้นเชิง
      มีบริษัทมูลค่าหลายแสนล้านดอลลาร์ที่พึ่งพา การติดตาม และพวกเขาจะทำทุกอย่างเท่าที่ทำได้เพื่อบ่อนทำลายเทคโนโลยีที่จะกระทบธุรกิจของตนและเพื่อขัดขวางกฎหมาย
    • ถ้าใช้การตั้งค่าเบราว์เซอร์ก็น่าจะโอเค 100% แต่ที่ไม่เป็นแบบนั้นก็เพราะคนจำนวนมากเกินไปจะเลือก ปฏิเสธ นั่นคือประเด็นหลักของบทความนี้
  • ถ้าบอกว่า “บริษัทสามารถหลีกเลี่ยงแบนเนอร์คุกกี้ได้ง่าย ๆ แค่ไม่ต้องติดตาม” งั้น EU ก็ควรทำให้สิ่งนั้นเป็นกฎหมายไปเลย
    แล้วเราก็คงเรียกมันว่า กฎหมายห้ามติดตามเฉย ๆ
    แปลกใจที่มีคนปกป้อง EU ด้วยการพูดประมาณว่า “ไม่มีกฎหมายแบนเนอร์คุกกี้” คือไม่ใช่ กฎหมายมีอยู่ และก็เพราะกฎหมายนั่นแหละที่ทำให้คนคิดว่า “จะเสี่ยงไปทำไม” แล้วใส่ขยะแบบแบนเนอร์คุกกี้ลงไป
    กฎหมายไม่ใช่แค่ชุดคำบนกระดาษ แต่เป็นระบบที่ให้รางวัลหรือบทลงโทษกับพฤติกรรมเพื่อเปลี่ยนพฤติกรรมของผู้คน

    • ถ้าเข้าใจกฎหมายอย่างถูกต้อง ก็จะเข้าใจด้วยว่าเมื่อไม่ได้ติดตามผู้ใช้ ก็ไม่จำเป็นต้องมีแบนเนอร์คุกกี้
      แต่การไม่พยายามทำความเข้าใจแล้วเลือกทางที่ปลอดภัยไว้ก่อนนั้นง่ายกว่า ถึงอย่างนั้นก็ไม่ควรโยนความรับผิดให้กฎหมายเพียงเพราะเลือกเซฟโดยไม่ศึกษาก่อน
      คนส่วนใหญ่ชอบทำตามกัน พอเว็บไซต์ใหญ่ ๆ ใส่แบนเนอร์คุกกี้ ก็นึกว่าตัวเองต้องทำด้วย แล้วก็ค่อยโทษกฎหมาย
      ถ้าไม่ใช่พวกชอบทำตามและเข้าใจธุรกิจของตัวเองจริง ก็ไม่มีเหตุผลจะโทษกฎหมายว่าไปบังคับให้ทำสิ่งที่ไม่จำเป็น
      แน่นอนว่ากฎหมายบางครั้งก็เข้าใจยาก ซึ่งกฎหมายส่วนใหญ่ก็เป็นแบบนั้น และนั่นจึงมีทนาย แต่ในวงการเทคโนโลยี ทนายก็มักดูเหมือนพวกชอบทำตามกันเหมือนกัน เพราะงั้นคิดเองบ้างจึงดีเสมอ และไม่ควรเชื่อทุกอย่างที่คนอื่นพูด ลองค้นและศึกษาด้วยตัวเองก็ไม่ได้ยากขนาดนั้น
    • ไม่จริงเลย ผู้คนคิดว่า “จะเสี่ยงไปทำไม” และเกาะติด dark pattern ห่วย ๆ เพื่อปกปิดความรับผิดชอบของตัวเอง เพราะพวกเขาไม่อยากเลิกติดตามผู้ใช้ และเพิ่งตระหนักว่าถ้าทำพลาดมันผิดกฎหมาย
      ธุรกิจของฉันไม่ได้ติดตามลูกค้าออนไลน์และก็ไม่มีแบนเนอร์ จบ
    • กฎหมายลงโทษ บริษัท ไม่ใช่พลเมืองรายบุคคล
      ถ้าทนายตีความเกินเหตุ หรือบริษัทแยกไม่ออกว่าอะไรคือการติดตามที่จำเป็นกับไม่จำเป็น ฝ่ายที่ไร้ความสามารถอาจเป็นพวกเขาเอง