ถึง Paul Graham, ไม่มีกฎหมายแบนเนอร์คุกกี้
(amazingcto.com)ว่าด้วยเรื่องที่ไม่มีกฎหมายแบนเนอร์คุกกี้
- Paul Graham เคยคิดว่า EU บังคับให้ต้องมีแบนเนอร์คุกกี้ แต่ความจริงคือไม่มีกฎหมายเกี่ยวกับแบนเนอร์คุกกี้โดยตรง
- EU ระบุว่าการติดตาม การทำโปรไฟล์ และการขายข้อมูลส่วนบุคคล ต้องได้รับความยินยอม
- บริษัทต่าง ๆ สามารถหลีกเลี่ยงแบนเนอร์คุกกี้ได้โดยไม่ทำการติดตาม หรือเคารพเฮดเดอร์
Do Not Trackของผู้ใช้ที่ไม่ต้องการถูกติดตาม
วิธีทางเลือกสำหรับการขอความยินยอมเรื่องคุกกี้
- เบราว์เซอร์สามารถแสดงไอคอนการติดตามคล้ายไอคอน SSL และให้ข้อมูลที่ผู้ใช้กดเพื่อให้ความยินยอมได้
- อาจใช้แบนเนอร์ขนาดเล็กด้านบนของเว็บไซต์เพื่อขอความยินยอมเรื่องคุกกี้ หรือวางปุ่มเล็ก ๆ ไว้ด้านล่างของหน้าเพื่อขอความยินยอมแบบ "สนับสนุนผ่านการติดตาม"
การใช้แบนเนอร์คุกกี้ของบริษัทต่าง ๆ
- บริษัทต่าง ๆ รู้ว่าผู้ใช้ไม่ต้องการถูกติดตาม แต่ก็ยังต้องการติดตามอยู่ดี
- ดังนั้นจึงบังคับแสดงแบนเนอร์คุกกี้ขนาดครึ่งหน้าจอ หวังให้ผู้ใช้กดยินยอม พร้อมทั้งบังเนื้อหาและรบกวนการใช้งานเว็บไซต์
- ใช้ 'Dark UI Patterns' เช่น ทำให้ผู้ใช้เหนื่อยล้าหรือสับสนจนยอมกดตกลง
ความจริงของแบนเนอร์คุกกี้
- EU ไม่ได้บังคับให้ต้องมีแบนเนอร์คุกกี้ แต่บริษัทต่าง ๆ กำลังทำให้ชีวิตของผู้ใช้ยุ่งยากขึ้น
- เมื่อบริษัทไม่สามารถเอาเปรียบผู้ใช้แบบลับ ๆ ได้อีกต่อไป ก็เลยเลือกวิธีที่สร้างความรำคาญแทน
ความเห็นเกี่ยวกับการคุ้มครองความเป็นส่วนตัว
- กฎระเบียบของ EU ไม่ได้ดีเสมอไป แต่ความเป็นส่วนตัวของข้อมูลเป็นเรื่องสำคัญ และผู้เขียนเคยต่อสู้เพื่อ PGP มาแล้วเมื่อ 30 ปีก่อน และจะสู้ต่อไป
ความเห็นของ GN⁺
- แบนเนอร์คุกกี้อาจบั่นทอนประสบการณ์ผู้ใช้ และทำให้การเข้าถึงเว็บไซต์แย่ลง
- การปกป้องความเป็นส่วนตัวของข้อมูลผู้ใช้เป็นสิ่งสำคัญ แต่แนวทางที่ใช้ควรเป็นมิตรกับผู้ใช้
- นักพัฒนาเว็บควรมองหาวิธีที่ดีกว่าในการขอความยินยอมจากผู้ใช้ และสิ่งนี้อาจช่วยผลักดันการพัฒนามาตรฐานเว็บ
- ควรพิจารณาออกแบบเว็บไซต์ที่เคารพความเป็นส่วนตัวของผู้ใช้ แทนการใช้แบนเนอร์คุกกี้
- ในทางเทคนิค การนำกลไกอย่างการเคารพเฮดเดอร์
Do Not Trackไปใช้ อาจเป็นความท้าทายใหม่สำหรับนักพัฒนา และจะช่วยสร้างความเชื่อมั่นจากผู้ใช้ได้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ลองจินตนาการถึงตลาดที่บริษัทต่าง ๆ แอบใส่ ค่าธรรมเนียมแฝง จำนวนมากโดยที่ลูกค้าไม่รู้ แล้วผู้ใช้ก็มารู้ทีหลังและรู้สึกไม่พอใจ
พอกฎหมายเปลี่ยนเป็นว่า “ถ้าไม่แจ้งค่าธรรมเนียมล่วงหน้าก็ห้ามเรียกเก็บ” บริษัทที่มีค่าธรรมเนียมเยอะก็ยังคงเก็บเท่าเดิม แต่เปลี่ยนมาให้ผู้ใช้อ่านค่าธรรมเนียมด้วยวิธีที่น่ารำคาญที่สุดในทุกหน้าของเมนูแทน
แล้วก็โฆษณาว่าปัญหาไม่ใช่ค่าธรรมเนียมที่มากเกินไป ไม่ใช่การที่เมื่อก่อนซ่อนเอาไว้แล้วเพิ่งต้องมาเปิดเผยเพราะกฎหมาย แต่เป็นกฎหมายที่บังคับให้ต้องแจ้งก่อนที่จะสายเกินไป
แบนเนอร์คุกกี้ก็โดยแก่นแล้วเหมือนกัน และฝั่งที่ด่า กฎหมายคุกกี้ อยู่ตอนนี้ก็มีทั้งคนที่จงใจพูดผิดเพราะมีผลประโยชน์ทับซ้อน และคนที่พูดผิดเพราะไม่เข้าใจจุดยืนที่ตัวเองกำลังปกป้องจริง ๆ
มันยังสะท้อนด้วยว่าความสัมพันธ์ระหว่างบริษัทกับผู้บริโภคอยู่ในสภาพแบบไหน จนปฏิกิริยาแรกต่อพฤติกรรมแย่ ๆ แบบนี้กลายเป็น “ก็คุณทำให้พวกเขาเป็นแบบนั้นเอง!”
สุดท้ายก็กลายเป็นว่าผิดกันหมดทุกคน ยกเว้นตัวคนทำเรื่องแย่ ๆ เอง
อุปมาที่ใกล้กว่าคือ เดินเข้าไปในร้านอาหารแล้วมีคนยื่นกระดาษที่ระบุข้อมูลสารก่อภูมิแพ้ของอาหารทุกอย่างให้ พร้อมบอกว่า “คุณต้องยินยอมว่าส่วนผสมเหล่านี้อยู่ในอาหาร” ก่อนถึงจะให้นั่งโต๊ะ
ผมเห็นด้วยว่าร้านอาหารไม่ควรซ่อนข้อมูลนี้ และคนส่วนน้อยอาจต้องการข้อมูลดังกล่าว แต่การบังคับให้ทุกคนต้องผ่านขั้นตอนที่น่ารำคาญแบบนี้เป็นอีกเรื่องหนึ่ง วิธีที่ใช้กันจริงในโลกเดิมคือให้ข้อมูลสารก่อภูมิแพ้เมื่อมีการร้องขอ ซึ่งก็ทำงานได้ดีอยู่แล้ว
ข้อมูลบางอย่างที่ทุกคนควรสนใจและอาจรู้สึกตกใจก็ควรให้บริษัทแจ้ง แต่ก็มีอีกมากที่มีแค่คนส่วนน้อยเท่านั้นที่สนใจ แล้วทำไมถึงหยุดแค่คุกกี้? ถ้าโครงสร้างพื้นฐานเซิร์ฟเวอร์ของเว็บไซต์เป็นสินค้าที่ผลิตจากต่างประเทศก็ต้องมีป๊อปอัป ถ้าบริษัทผู้ดำเนินงานปล่อยคาร์บอนสูงกว่าค่าเฉลี่ยก็ต้องมีป๊อปอัป ถ้าอาหารในฟู้ดคอร์ตสำนักงานใหญ่ไม่เป็นโคเชอร์ก็อาจบังคับให้มีป๊อปอัปได้เหมือนกัน
กลุ่มคนที่ใส่ใจคุกกี้อย่างลึกซึ้งมีขนาดพอ ๆ กับกลุ่มที่ใส่ใจขนาดไบนารีหรือการรัน JavaScript แล้วการรัน JavaScript ก็ควรต้องมีป๊อปอัปบังคับด้วยไหม? ถ้าเว็บไซต์ใหญ่เกิน 10MB ควรต้องขอความยินยอมบนหน้าเบา ๆ ก่อนหรือเปล่า? ปัญหาคือจะตัดสินอย่างไรว่าพฤติกรรมแบบไหนสมควรได้รับคำเตือนแบบป๊อปอัป
เหตุผลที่ตลาดแก้ปัญหาแบนเนอร์คุกกี้ไม่ได้ และที่กฎหมายนี้แย่ ก็คือผู้ใช้แทบไม่ได้สนใจจริง ๆ มีแต่รู้สึกรำคาญ
ใน California มีกฎหมายว่าถ้าสถานประกอบการมีสารเคมีที่อาจก่อมะเร็ง ต้องมีการแจ้งเตือน เจตนารมณ์นั้นดี แต่เกณฑ์ถูกตั้งไว้ต่ำกว่าระดับที่ตรวจสอบได้จริงในทางปฏิบัติ จนอสังหาริมทรัพย์แทบทุกแห่งต้องติดป้ายว่า “ที่นี่อาจมีสารเคมีอยู่”
คำเตือนไม่มีประโยชน์และมีแต่สร้างความรำคาญ ซึ่งก็เป็นผลจากแรงของตลาด หรือพูดอีกอย่างคือกฎหมายได้ชักนำให้เกิดพฤติกรรมแบบนั้น
การต้องแจ้งว่าใช้คุกกี้กับเซสชัน ก็คล้ายกับต้องแจ้งว่าใช้ส้อมกินข้าว
ปัญหาคือมีบางคนใช้ส้อมนั้นไปแทงคนอื่น ตอนนี้เลยกลายเป็นว่าทุกคนต้องบอกล่วงหน้าว่าจะใช้ส้อมอย่างไร ทั้งที่จริง ๆ แค่ห้ามการแทงกันก็พอ
แถมผมก็ไม่ใช่พลเมือง EU และก็ไม่ได้ดูเว็บไซต์ที่มีฐานอยู่ใน EU ด้วย แต่ก็ยังโดนแบนเนอร์คุกกี้ใส่อยู่ตลอด
ที่ KingOfCoders/amazingcto บอกว่า “ไม่มีกฎหมายแบนเนอร์คุกกี้ แค่ไม่ติดตามก็พอ” นั้น ในเชิงเทคนิคก็ถูก แต่ Paul Graham ไม่ได้พูดถึงตัวบทกฎหมายโดยตรง
ข้อไม่พอใจของเขาควรถูกตีความในมุมของ ทฤษฎีเกม คือมองผลลัพธ์ไม่คาดคิดจากการที่บริษัทตอบสนองต่อกฎหมายกันอย่างไรในโลกจริง
บทความบล็อกเน้นที่เจตนาดีของกฎหมาย ส่วนทวีตของ PG เน้นที่ผลลัพธ์จริง
ผมไม่ค่อยเข้าใจว่าทำไมถึงด่าแต่ EU แต่ไม่ด่าบริษัท
ผลลัพธ์จริงคือบริษัทอยากติดตามต่อไป และใช้รูปแบบที่เป็นปฏิปักษ์กับผู้ใช้รวมถึงการทำตามกฎหมายแบบมุ่งร้ายเพื่อบีบให้ผู้ใช้ “ยินยอม”
Paul Graham ก็ยังผิดอยู่ดี
ประเด็นที่บทความพยายามจะสื่อคือ บริษัทต่าง ๆ จงใจทำแบบนี้เพื่อให้ได้ “ความยินยอม” ที่ขัดกับเจตจำนงของผู้ใช้ และจึงเดินไต่เส้นบาง ๆ ระหว่างการไม่ผิดกฎหมายกับการละเมิดเจตนาของกฎหมาย
ที่จริงทวีตของ PG แทบไม่เกี่ยวกับทฤษฎีเกมเลย และใกล้เคียงกับการ บ่นแบบคนประเทศพัฒนาแล้ว เรื่องที่ต้องมาคลิกแบนเนอร์คุกกี้มากกว่า
การประเมินผลลัพธ์จริงของกฎระเบียบและการออกกฎหมายที่ซับซ้อนนั้นเกินขอบเขตของทวีตเดียวมาก
น่าจะเริ่มจากการกำหนดก่อนว่า Graham กำลังพยายามเสนอข้อโต้แย้งอะไรตั้งแต่แรก กันแน่เขากำลังโต้แย้งผู้แทน EU บางคนที่ชอบอวดว่าตัวเองกำกับดูแลเก่ง หรือกำลังบอกว่า EU ไม่ควรมีความหน้าด้านพอจะลองออกกฎตั้งแต่แรก?
"การกำกับดูแลได้ดี" หมายถึงความสามารถในการคาดการณ์ผลลัพธ์ที่อาจเกิดจากกฎระเบียบด้วย
ถ้าคุณออกกฎว่า "ตอนนี้บริษัทต้องแจกผลิตภัณฑ์ฟรีได้ แต่มีสิทธิ์กดจมูกลูกค้าเหมือนบีบแตรได้" ก็ย่อมมีคนจำนวนมากที่เจ็บจมูก
กรณีนี้ก็คล้ายกัน เว็บไซต์แทบทั้งหมดหารายได้จากโฆษณา หรืออย่างน้อยก็เก็บบันทึกกิจกรรมผู้ใช้เพื่อปรับแต่งเว็บไซต์ให้เหมาะสม และสิ่งนั้นคงไม่เปลี่ยนไป ดังนั้นกฎระเบียบโง่ ๆ ของ EU ก็แค่เพิ่มความเจ็บปวดให้ลูกค้าอีกนิด
การบอกว่า "เก็บบันทึกกิจกรรมผู้ใช้เพื่อปรับแต่งเว็บไซต์ให้เหมาะสม" ก็ไม่ได้จำเป็นต้องมีการติดตามรายบุคคลเช่นกัน
แต่ไม่ใช่ว่าทุกเว็บไซต์จำเป็นต้องมีแบนเนอร์คุกกี้ GitHub ก็เป็นเว็บไซต์ที่ซับซ้อนและปรับให้เหมาะกับผู้ใช้พอสมควรไม่ใช่หรือ? https://github.blog/2020-12-17-no-cookie-for-you/
ไม่มีการติดตาม > ไม่มีแบนเนอร์ > ทุกคนมีความสุขมากขึ้น > จะลงโฆษณาที่จำเป็นเท่าไรก็ได้
ทันทีที่บริษัทต้องติดตามฉัน มันก็ทำมากกว่าแค่ "ปรับแต่งเว็บไซต์ให้เหมาะสม" แล้ว คือเอาข้อมูลของฉันไปใช้ขายอะไรบางอย่างให้ฉัน หรือขายข้อมูลของฉันให้บุคคลที่สาม
การที่เรื่องแบบนั้นต้องได้รับอนุญาต ฉันมองว่าเป็นเรื่องที่ดี
นี่ไม่ใช่แค่กฎหมายคุกกี้ แต่ยังเป็นกฎหมายหลักของ EU สำหรับ ป้องกันมัลแวร์ ด้วย
หลักการคือ เมื่อใดก็ตามที่ซอฟต์แวร์ใด ๆ ที่ถูกควบคุมโดยบุคคลที่สาม เขียนหรืออ่านข้อมูลบนคอมพิวเตอร์หรือโทรศัพท์ของฉันผ่านอินเทอร์เน็ต จะต้องมีความยินยอมล่วงหน้าที่ตั้งอยู่บนคำอธิบายที่เพียงพอ
ข้อยกเว้นจำกัดอยู่แค่การจัดเก็บ/อ่านข้อมูลที่จำเป็นต่อการให้บริการที่ผู้ใช้ร้องขอ หรือฟังก์ชันแคบ ๆ อย่างการกระจายโหลด หลักนี้ไม่ได้ใช้แค่กับคุกกี้ของเบราว์เซอร์ แต่ใช้กับเว็บแคม ไมโครโฟน และเนื้อหาในโฟลเดอร์ Documents ด้วย
ตัวหลักการเองดูสมเหตุสมผล แต่ EU กลับติดหล่มในการปฏิรูปที่จะเพิ่มข้อยกเว้น เช่น การตรวจสอบความปลอดภัย/อัปเดตที่จำเป็น หรือเมตริกการใช้งานที่เคารพความเป็นส่วนตัว และในทางปฏิบัติหน่วยงานกำกับก็หลับตาข้างหนึ่งอยู่พอสมควร จึงยากจะบอกว่า EU กำกับดูแลได้ดี
โดยรวมแล้วสังคมยังแก้ไขส่วนที่มองว่าเป็นบั๊กหรือความเกินเลยในกฎหมายดั้งเดิมอายุหลายสิบปีฉบับนี้ไม่ได้
เรื่องน่าสนใจของการออกกฎหมายคือ คุณต้องรับผิดชอบต่อ ผลลัพธ์ที่ไม่ได้ตั้งใจ ของกฎหมายด้วย
ข้อมูลที่จำเป็นต่อการให้บริการทำงานได้ในระดับขั้นต่ำไม่ต้องมีแบนเนอร์ เพราะถ้าไม่มีข้อมูลนั้นเว็บไซต์ก็ใช้งานไม่ได้อยู่แล้ว จึงแทบไม่มีพื้นที่ให้พูดเรื่องความยินยอม
โดยทั่วไปการออกกฎหมายคือการต่อสู้ของผลประโยชน์ และในอุดมคติ ผู้ร่างกฎหมายควรปกป้องผลประโยชน์สาธารณะโดยรวมเมื่อมันขัดกับผลประโยชน์ส่วนตัวแบบแคบ ๆ
ถ้าฝ่ายที่มีผลประโยชน์แคบ ๆ เป็นกลุ่มที่ทรงพลัง ก็ย่อมต้องมีการต่อสู้ และถ้าพวกเขามีวิธีทำให้กฎระเบียบดู intrusive และน่ารำคาญยิ่งกว่าภัยที่กฎนั้นตั้งใจจะป้องกัน พวกเขาก็จะใช้มันเพื่อดึงความคิดเห็นสาธารณะมาอยู่ข้างตน
เพราะฉะนั้นผู้ร่างกฎหมายควรคาดการณ์การต่อสู้แบบนั้นด้วย และอาจต้องรับผิดชอบบางส่วนต่อรูปแบบที่มันออกมา แต่ไม่ใช่ทั้งหมด ยิ่งกลุ่มผลประโยชน์ส่วนตัวแข็งแรงเท่าไร ก็ยิ่งมีแนวโน้มจะหาวิธีต่อต้านกฎระเบียบได้มากขึ้น
ในประเด็นนี้ เว็บไซต์ที่แสดงแบนเนอร์ก็ทำร้ายตัวเองด้วย เพราะคู่แข่งมีแรงจูงใจจะมอบประสบการณ์ที่ดีกว่าโดยไม่มีแบนเนอร์ กล่าวคือ ในสภาพการแข่งขัน กฎระเบียบอาจทำให้การไม่ขึ้นแบนเนอร์กลายเป็นสิ่งที่มีคุณค่า ดังนั้นคงต้องรอดูผลต่อไป
การใช้คุกกี้และทำให้ผู้คนรู้สึกไม่พอใจเป็น การตัดสินใจโดยเจตนา
จะบอกได้ยากว่าผู้ร่างกฎหมายคาดการณ์หรือจงใจอะไรไว้บ้าง แต่ที่จริงแล้วแบนเนอร์คุกกี้นั้น a) ดี และ b) เป็นความผิดของบริษัทที่จินตนาการไม่ออกว่าจะปฏิบัติต่อผู้ใช้ให้ดีกว่านี้ได้อย่างไร
ที่มองว่าดี เพราะมันสร้าง ความรำคาญทางจิตใจ ให้กับผู้ใช้ซอฟต์แวร์ที่ไม่พยายามหลีกเลี่ยงหรือทำมันให้ถูกต้อง เมื่อเวลาผ่านไป ฉันหวังว่าผู้ใช้จะเริ่มมองว่าเว็บไซต์ที่มีแบนเนอร์คุกกี้นั้นน่าสงสัยและไร้จริยธรรมอยู่บ้าง คล้ายกับโฆษณาป๊อปอัป
สุดท้ายฉันยังมองว่ามีกฎหมายนี้ รวมถึงการทบทวนและแก้ไขเพิ่มเติมในอนาคต ดีกว่าไม่มีเลย เพราะระดับการนำข้อมูลของผู้คนไปใช้ผิดวัตถุประสงค์มันไร้สาระเกินไปแล้ว
pg ดูเหมือนกำลังพูดถึงแบนเนอร์โฆษณา และถ้าเป็นเช่นนั้นก็ถูกต้อง EU ทำลายประสบการณ์เว็บของเรา ขณะเดียวกันก็เอื้อประโยชน์ให้แอปมือถือที่ติดตามหนักยิ่งกว่า
ปัญหาใหญ่กว่านั้นคือ กฎหมายนี้ไม่ได้แก้อะไรเลย ทำลายธุรกิจโฆษณาออนไลน์ของ EU ที่เหลืออยู่ไม่มาก และไปโฟกัสผิดจุด
ตั้งแต่แรก พลเมืองยุโรปก็ไม่ได้เรียกร้องกฎหมายนี้ และยังมีปัญหาใหญ่กว่านี้อีกมาก มันเป็นสิ่งที่กลุ่มผลประโยชน์เฉพาะในเยอรมนีซึ่งประชาชน EU ส่วนใหญ่ไม่สนใจ เป็นฝ่ายผลักดัน
การติดตามเพื่อโฆษณาไม่ใช่ประเด็นที่พลเมือง EU ส่วนใหญ่ใส่ใจ และพวกเขาก็ไม่เคยถูกถามเรื่องกฎหมายนี้ด้วยซ้ำ ตรงกันข้าม การเสพติดอินเทอร์เน็ตและโซเชียลมีเดียคือปัญหาจริงในชีวิตของประชาชนส่วนใหญ่
EU ใช้พลังงานและทุนทางการเมืองมากเกินไปกับปัญหาแบนเนอร์คุกกี้อันไร้ความหมายนี้ จนเหลือแรงไปจัดการปัญหาการเสพติดน้อยลง
การออกกฎหมายอย่างผลีผลาม มักนำไปสู่เรื่องแบบนี้เสมอ และที่แย่ที่สุดคือไม่มีความรับผิดชอบต่อการตัดสินใจผิดพลาดเช่นนี้ คนที่เป็นแรงบันดาลใจให้เกิดกฎหมายไม่ได้ต้องลงเลือกตั้ง และการเลือกตั้งรัฐสภายุโรปที่กำลังจะมาถึงก็เป็นเพียงสนามรบตัวแทนของการเมืองภายในประเทศ ไม่ใช่การเมืองของ EU
ต่อให้ชี้ให้เห็นความไม่สอดคล้องทางการเมืองแบบนี้อีกกี่ครั้ง ก็ไม่มีกลไกจะเปลี่ยนแปลงมันได้ จนกว่าจะเกิดเรื่องร้ายแรงจริง ๆ และสายเกินไป
มีเกร็ดส่วนตัวว่าเคยได้รับมอบหมายให้เพิ่ม แบนเนอร์คุกกี้ ลงในเว็บไซต์บริษัท
ตลอดหลายปีพยายามกันไม่ให้มีแบนเนอร์นี้ได้ดีอยู่แล้ว แต่เจ้าของใหม่อยากให้ฝ่ายการตลาดลองอะไรใหม่ ๆ และอ้างว่าทนายบอกว่าต้องขอความยินยอมจากผู้ใช้
ได้รับคำสั่งว่าอย่าใช้เวลามาก ให้ใช้ผลิตภัณฑ์สำเร็จรูปอย่าง OneTrust และไม่ต้องปรับแต่งอะไรด้วย
พอทักว่าข้อความเริ่มต้นของแบนเนอร์ฟังดูน่ากลัวมาก และชวนให้เข้าใจว่าเราทำหลายอย่างที่จริง ๆ ไม่ได้ทำ ก็ถูกบอกให้ปล่อยไว้แบบนั้น เพราะทนายของ OneTrust คงตรวจมาแล้ว และถ้าแก้จะมีความเสี่ยงทางกฎหมายสูง
ผลิตภัณฑ์ของ OneTrust เป็นของใช้ได้กับทุกกรณีที่ต้องทำให้แม้แต่เว็บสื่อที่รกและปนเปื้อน adtech ที่สุดยังปฏิบัติตามข้อกำหนดได้ และถึงจะเถียงว่าเราไม่ใช่เว็บแบบนั้นก็ไม่เป็นผล
ผู้ขายอย่าง OneTrust และที่ปรึกษาในสายงานนี้มีแรงจูงใจสูงที่จะทำให้ความเสี่ยงจากการไม่ปฏิบัติตามดูใหญ่เกินจริง ในมุมของคนนอกสายอาชีพ ความเสี่ยงทางกฎหมายที่ผู้กระทำโดยสุจริตต้องแบกรับจริง ๆ นั้นค่อนข้างต่ำ หากหน่วยงานตรวจพบว่าไม่ปฏิบัติตาม ปกติก็มักให้โอกาสแก้ไข และอาจแค่ได้รับคำเตือนเล็กน้อยเท่านั้น ค่าปรับน่ากลัวที่คำนวณเป็นสัดส่วนของรายได้ทั่วโลกนั้นไม่ได้มีไว้ใช้กับความผิดพลาดโดยสุจริต
อีกอย่างคือ ธุรกิจที่พึ่งพาการติดตามแบบล่วงล้ำและจึงต้องใช้แบนเนอร์แบบนี้จริง ๆ ก็ยิ่งได้ประโยชน์เมื่อทุกคนเข้าใจผิดว่าตัวเองก็ต้องทำให้ประสบการณ์ผู้ใช้พังด้วยแบนเนอร์เหมือนกัน เพราะนั่นทำให้สิ่งที่พวกเขาทำดูเป็นเรื่องปกติและยอมรับได้
เป็นตัวอย่างที่ดี Hacker News เองก็ไม่จำเป็นต้องมีแบนเนอร์คุกกี้ และบทความที่ลิงก์มาก็ไม่จำเป็นเช่นกัน
ไม่ชอบแนวคิดที่ว่ารัฐออกกฎที่ดูเหมือนมีเจตนาดีแต่ปล่อยช่องโหว่ไว้จนชีวิตของทุกคนยุ่งยากขึ้น แล้วคนก็มาปกป้องด้วยการบอกว่า “บริษัทแค่ไม่ต้องทำแบบนั้นก็พอ”
แต่เดิมก็เพราะไม่หยุดทำกันเองนี่แหละถึงต้องมีกฎหมาย พอมีกฎหมายแล้วกลับบอกให้หยุดกันเอง มันไม่แปลกหน่อยหรือ
ถ้ากฎหมายคุกกี้ถูกออกแบบมาดี มันน่าจะจบด้วย การตั้งค่าเบราว์เซอร์ เพียงอย่างเดียวที่ควรได้รับการเคารพ แบบนั้นจะโปร่งใสกับผู้ใช้อย่างสมบูรณ์และเป็นประโยชน์โดยปริยาย
แต่เพราะเจ้าหน้าที่ไร้ความสามารถ ตอนนี้เลยต้องเห็นแบนเนอร์คุกกี้บนแทบทุกเว็บไซต์ไปตลอด แถมยังไม่เป็นมาตรฐาน ทำให้ที่แย่ที่สุดอย่างเว็บไซต์ของสำนักพิมพ์ต่าง ๆ สามารถทำแบนเนอร์ที่เข้าใจยากยิ่งกว่าเดิมได้
Dark UI pattern นั้นผิดกฎหมายจริง และตอนนี้ศาลก็ตัดสินแบบนั้นแล้ว เหลือแค่ให้ความเข้าใจนี้แพร่ไปถึงบริษัทที่ทำแบนเนอร์คุกกี้
ในเบราว์เซอร์มีการตั้งค่า “ห้ามติดตาม” อยู่แล้ว หากเว็บไซต์เลือกที่จะเคารพการตั้งค่านั้น ก็สามารถไม่ติดตามได้โดยไม่ต้องแสดงแบนเนอร์คุกกี้เลย แต่ส่วนใหญ่ไม่ทำ
ตรงกันข้าม กฎหมายถูกเขียนให้ เป็นกลางทางเทคโนโลยี เสียจนไม่ได้เรียกด้วยซ้ำว่า “กฎหมายคุกกี้” ชื่อจริงคือ ePrivacy directive และคำว่า “cookie” ปรากฏเพียง 5 ครั้งในฐานะตัวอย่าง
อ้างอิง: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
และเคยถูกนำไปใช้จริงด้วย ในยุคที่ Internet Explorer มีส่วนแบ่งตลาดเกิน 90%
จากนั้น Google ก็ส่ง P3P header ที่ไม่ถูกต้องโดยเจตนาเพื่อเลี่ยงค่ากำหนดของผู้ใช้ใน IE
ตอนที่ Safari เพิ่ม heuristic เพื่อปฏิเสธคุกกี้บุคคลที่สามของ Google ทาง Google ก็หาช่องเทคนิคเพื่อเลี่ยงมันเช่นกัน และโดนปรับเพราะเรื่องนั้น
หลังจาก IE และ P3P ตายสนิทแล้ว เบราว์เซอร์พยายามเสนอ DNT header ซึ่งเป็นการตั้งค่าขั้นต่ำที่อุตสาหกรรม adtech นำไปใช้ได้ง่ายที่สุด แต่อุตสาหกรรม adtech ก็เพิกเฉยมันอย่างสิ้นเชิง
มีบริษัทมูลค่าหลายแสนล้านดอลลาร์ที่พึ่งพา การติดตาม และพวกเขาจะทำทุกอย่างเท่าที่ทำได้เพื่อบ่อนทำลายเทคโนโลยีที่จะกระทบธุรกิจของตนและเพื่อขัดขวางกฎหมาย
ถ้าบอกว่า “บริษัทสามารถหลีกเลี่ยงแบนเนอร์คุกกี้ได้ง่าย ๆ แค่ไม่ต้องติดตาม” งั้น EU ก็ควรทำให้สิ่งนั้นเป็นกฎหมายไปเลย
แล้วเราก็คงเรียกมันว่า กฎหมายห้ามติดตามเฉย ๆ
แปลกใจที่มีคนปกป้อง EU ด้วยการพูดประมาณว่า “ไม่มีกฎหมายแบนเนอร์คุกกี้” คือไม่ใช่ กฎหมายมีอยู่ และก็เพราะกฎหมายนั่นแหละที่ทำให้คนคิดว่า “จะเสี่ยงไปทำไม” แล้วใส่ขยะแบบแบนเนอร์คุกกี้ลงไป
กฎหมายไม่ใช่แค่ชุดคำบนกระดาษ แต่เป็นระบบที่ให้รางวัลหรือบทลงโทษกับพฤติกรรมเพื่อเปลี่ยนพฤติกรรมของผู้คน
แต่การไม่พยายามทำความเข้าใจแล้วเลือกทางที่ปลอดภัยไว้ก่อนนั้นง่ายกว่า ถึงอย่างนั้นก็ไม่ควรโยนความรับผิดให้กฎหมายเพียงเพราะเลือกเซฟโดยไม่ศึกษาก่อน
คนส่วนใหญ่ชอบทำตามกัน พอเว็บไซต์ใหญ่ ๆ ใส่แบนเนอร์คุกกี้ ก็นึกว่าตัวเองต้องทำด้วย แล้วก็ค่อยโทษกฎหมาย
ถ้าไม่ใช่พวกชอบทำตามและเข้าใจธุรกิจของตัวเองจริง ก็ไม่มีเหตุผลจะโทษกฎหมายว่าไปบังคับให้ทำสิ่งที่ไม่จำเป็น
แน่นอนว่ากฎหมายบางครั้งก็เข้าใจยาก ซึ่งกฎหมายส่วนใหญ่ก็เป็นแบบนั้น และนั่นจึงมีทนาย แต่ในวงการเทคโนโลยี ทนายก็มักดูเหมือนพวกชอบทำตามกันเหมือนกัน เพราะงั้นคิดเองบ้างจึงดีเสมอ และไม่ควรเชื่อทุกอย่างที่คนอื่นพูด ลองค้นและศึกษาด้วยตัวเองก็ไม่ได้ยากขนาดนั้น
ธุรกิจของฉันไม่ได้ติดตามลูกค้าออนไลน์และก็ไม่มีแบนเนอร์ จบ
ถ้าทนายตีความเกินเหตุ หรือบริษัทแยกไม่ออกว่าอะไรคือการติดตามที่จำเป็นกับไม่จำเป็น ฝ่ายที่ไร้ความสามารถอาจเป็นพวกเขาเอง