Stopování (tracking) zjevně bude žhavým tématem i v letošním roce. Řada uživatelů negativně vnímá, že jejich pohyb napříč různými webovými stránkami je monitorován zejména reklamními a analytickými systémy. Neuklidňuje je, že stopování zatím zůstává obvykle čistě strojovou záležitostí, při níž nedochází ke ztotožňování jednotlivých uživatelů, ale „pouze“ k identifikaci konkrétní instalace webového prohlížeče.
Kritici však namítají, že i tak jde o zásah do soukromí uživatelů, na kterém je problematická hlavně možnost jeho plíživého stupňování. K tématu mají co říci i tvůrci webových prohlížečů. Mezi nimi je nejhlasitějším kritikem stopování Mozilla, tvůrce prohlížeče Firefox. Loni se dokonce kvůli stopování chystala ve Firefoxu zavést změnu politiky podpory cookies. Právě cookies se totiž dosud hojně využívají pro realizaci stopování.
Omezení podpory cookies zůstává ve Firefoxu stále jen volitelné.
Mozilla nakonec svůj hojně diskutovaný plán odsunula na neurčito. Údajně kvůli technickým problémům. Letos však Mozilla téma stopování znovu otevírá. Tentokrát se chystá zaměřit na tzv. otisky prohlížeče, které rovněž mohou sloužit k realizaci stopování. Z hlediska střednědobého vývoje jsou otisky prohlížeče dost možná podstatnějším tématem než cookies. Využívání cookies se totiž dostalo do hledáčku Evropské komise, která vydala tzv. sušenkovou direktivu.
Právě kvůli ní dnes řada webů žádá o souhlas s použitím cookies nebo o jejich užívání alespoň informuje. Ve světě e-commerce se bruselská direktiva nesetkává s pochopením. „Pro celý reklamní průmysl to není dobré opatření. Protože hlavním příjmem všech obsahových médií je reklama, neboť uživatelé internetu nechtějí v drtivé většině za obsah platit,“ řekla nám Kateřina Hrubešová, výkonná ředitelka Sdružení pro internetovou reklamu (SPIR).
Už i některé české weby žádají uživatele o svolení používat cookies.
Podle Kateřiny Hrubešové dosavadní aktivita bruselských úředníků může mít za následek „negativní dopad na rozmanitost médií, jejich nabídku a v konečném důsledku omezí uživatele internetu v jeho volbě obsahu“. Velmi podobné argumenty používá k obhajobě stopovacích praktik také Interactive Advertising Bureau, jedna z předních světových oborových organizací zastupující velkou část hlavních hráčů v oblasti e-commerce.
Sdružení pro internetovou reklamu ústy své výkonné ředitelky upozorňuje, že bruselská direktiva může poškodit evropské webové projekty. „Je to opatření selektivní, prakticky bude platit jen na území Evropské unie, čímž diskvalifikuje evropská média a firmy z celosvětové soutěže,“ říká Kateřina Hrubešová. I druhá strana pomyslné barikády si stěžuje, že bruselská direktiva je selektivní, ovšem míní tím skutečnost, že se zaměřuje pouze na cookies.
Cookies mají být nahrazeny něčím neregulovaným
Evropské tažené za ochranou soukromí uživatelů není technologicky neutrální, takže za cookies se již hledají jiné technické alternativy. Toto hledání probíhá i za hranicemi Evropské unie, protože k využívání cookies ke stopování se staví negativně i společnosti Microsoft a Apple, další dva významní tvůrci webových prohlížečů. Například Apple již dlouhodobě podporu cookies ve svém prohlížeči Safari omezuje jak na osobních počítačích, tak v mobilních zařízeních.
V případě společnosti Microsoft a Apple lze omezování podpory cookies vnímat i jako prostředek konkurenčního boje s Googlem, jehož tři stěžejní služby v oblasti e-commerce, tedy Analytics, AdWords a AdSense, jsou prozatím na používání cookies existenčně závislé pro vytváření analýz a cílení reklamy. Google ale není zdaleka jedinou firmou, která by další technické či legislativní kroky proti stopování v současnosti silně pocítila.
Žhavým kandidátem na nahrazení cookies pro identifikaci instalace prohlížeče při webovém stopování jsou právě otisky prohlížeče. „Jejich unikátnost je veliká a pro účely cílení reklamy může být dostačující,“ potvrzuje Kateřina Hrubešová. Ostatně na možnost jejich „zneužití“ již od roku 2010 upozorňuje organizace Electronic Frontier Foundation, která hájí práva občanů v souvislosti s moderními technologiemi.
Provozuje projekt Panopticlick, kde si může každý uživatel jednoduše vyzkoušet, nakolik je jeho prohlížeč odlišný od dalších testovaných browserů jinými uživateli. Čím více se prohlížeč liší, tím spolehlivěji jej lze identifikovat a následně sledovat, které webové stránky zahrnuté do analytických a reklamních systémů jsou jeho prostřednictvím navštěvovány. Ve skutečnosti nejde jen o samotný prohlížeč (typ a verze), ale řadu dalších zjistitelných údajů.
Nástroj od Electronic Frontier Foundation otestuje, jak snadno nebo těžko lze spolehlivě identifikovat váš prohlížeč.
Namátkou může jít také o různá nastavení prohlížeče, nainstalované plug-iny a jejich verzi, typ a verzi operačního systému, nastavené rozlišení displeje, dostupné fonty v systému a tak dále. K vytvoření otisku prohlížeče stačí JavaScript. Stopování na základě otisků prohlížečů je náročnější na výkon než to realizované za pomocí cookies, ale v době cloudů to není neřešitelný problém. Ostatně otisky prohlížečů se ke sledování uživatelů již aktivně používají.
Otisky prohlížečů se již aktivně používají
Výzkumný tým z university v belgické Lovani loni v říjnu vydal zprávu, že podle jeho pozorování stovky z nejnavštěvovanějších webů sledují své uživatele právě pomocí otisků prohlížeče. Jen několik dnů od zveřejnění této zprávy Mozilla informovala, že postupně začne z Firefoxu odstraňovat prvky, které dnes de facto jen usnadňují vytváření spolehlivějších otisků prohlížečů. První opatření v tomto směru přinese Firefox 28.
Pro začátek již nebude možné využívat JavaScript k vyčíslování nainstalovaných plug-inů. Mozilla chce při vývoji následujících verzí svého prohlížeče postupně hledat další prvky, které pro vývoj webu nemají valný smysl, ale dají se využít jako další střípek do mozaiky k sestavení unikátního otisku prohlížeče. Má to být dlouhodobý proces, protože vždy prý bude nutné zvážit, jestli posílení ochrany soukromí zároveň nezkomplikuje život webovým vývojářům.
Je to však boj s větrnými mlýny. V první řadě Mozilla sama říká, že vytváření unikátních otisků prohlížečů lze reálně z konvenčního hlediska pouze omezit, resp. ztížit. Za druhé otisky prohlížeče nejsou jedinou potenciální náhradou za cookies. Mluví se také o využití HTML 5, které zavádí novou formu ukládání lokálních dat. Mezi nimi se za určitých okolností může ukrývat jedinečný identifikátor prohlížeče, podobně jako mezi cookies.
Iniciativa Do Not Track zpátky ve hře
Mozilla volá po návratu k myšlence projektu Do Not Track, tedy všeobecně podporovaného opt-in systému, který de facto vznikl na popud americké Federal Trade Commission. Projekt Do Not Track dnes podporují všechny tržně významnější webové prohlížeče pro osobní počítače. Uživatelé tak mohou nechat svůj prohlížeč prostřednictvím HTTP hlavičky předávat webovým stránkám informaci, že si nepřejí být stopováni.
Do Not Track podporují všechny hlavní prohlížeče, ale není přehnané tvrdit, že za aktuální situace víceméně zbytečně.
Jenže projekt Do Not Track je od začátku postaven na dobrovolnosti, takže přání uživatele nemusí být vyslyšeno. Jestliže se v počátku projektu objevovaly pochybnosti, jestli se k němu velcí zástupci e-commerce připojí, tak dnes je prakticky jisté, že dobrovolně to neudělají. Vina je dávána Microsoftu, jehož Internet Explorer už ve výchozím nastavení bez předchozího explicitního přání uživatele odesílá požadavek „nesledovat“, takže v jeho podání se Do Not Track mění na opt-out.
„Přístup k Do Not Track od tvůrců prohlížečů je nejednotný, čímž Do Not Track nejvíce uškodili. Tvůrci obsahu, reklamních a měřících systémů v důsledku této nejednotnosti postupně opouštějí akceptování Do Not Track nastavení právě z důvodu odchýlení od opt-in principu,“ naráží Kateřina Hrubešová ze Sdružení pro internetovou reklamu právě na Microsoft a jeho Internet Explorer. Dlužno však dodat, že největší hráči na poli e-commerce se nikdy do projektu nezapojili.
V podání Microsoftu a jeho prohlížeče Internet Explorer se princip projektu Do Not Track změnil z opt-in na opt-out.
Proto Mozilla a aktivisté sdružení kolem projektu Do Not Track volají po tom, aby respektování přání uživatele bylo požadováno legislativou. Evropská komise by se například mohla pustit do reparátu a současnou sušenkovou směrnici nahradit technologicky neutrální direktivou, která by ošetřovala pouze stopování, takže by nešikanovala víceméně všechny tvůrce a provozovatele webů. Zatím je ale pravděpodobnější spíše zdokonalování a rozšiřování technik pro stopování.
I George Orwell by žasnul, co vše je možné
Současné techniky stopování mají z pohledu provozovatelů, zákazníků a uživatelů analytických a reklamních systémů zásadní nedostatek. Přestože se hovoří o stopování uživatele, ve skutečnosti je sledována jedna konkrétní instalace prohlížeče, což není zdaleka totéž. Současné techniky například neumí spolehlivě odlišit různé uživatele tabletu, který sdílí celá rodina. Navíc neumí efektivně stopovat uživatele používajícího více zařízení.
Pro získání přesnějších dat z analytických služeb a dosažení efektivnějšího cílení reklamy je třeba stopovat skutečně právě uživatele. Nikoliv prohlížeč. Zde by v budoucnu mohli mít velké slovo tzv. poskytovatelé internetových identit, tedy uživatelských účtů pro přístup k různým službám, jejichž součástí jsou často i velmi osobní údaje jako je třeba datum narození, rodinný stav a další potenciálně zajímavé informace pro analytické a reklamní systémy.
S takovými účty již dnes pracují třeba Google, Microsoft, Twitter či Facebook. Obvykle je poměrně ochotně poskytují jako autentizační metodu pro služby třetích stran. Na jedné straně mnozí uživatelé kvitují, že si nemusí zakládat další a další uživatelské účty, ovšem na druhé straně roste význam jednotlivých poskytovatelů identit. Čím více webů bude účty od jednotlivých poskytovatelů používat, tím širší budou možnosti jejich využití pro velmi přesné stopování uživatelů.
Přihlašování prostřednictvím účtu od Googlu či Facebooku ke službám, které s nimi jinak nemají nic společného, je dnes k vidění často.
Kam až půjde zajít, bude záležet jen na (ne)flexibilitě legislativy a smluvních podmínkách, které čtou maximálně řádově promile uživatelů. Současné stopování pohybu po webech se může rozrůst do obludných rozměrů, protože analytické a reklamní systémy budou navíc teoreticky schopny zpracovávat třeba i elektronickou poštu či profil na sociální síti náležící k dané internetové identitě. Není to zase tak paranoidní a vzdálená představa, jak se možná zdá.
Například Google již dnes teoreticky může pospojovat prostřednictvím uživatelského účtu data ze svých různých služeb. Namátkou osobní informace a sociální vazby z Google Plus, elektronickou poštu z Gmailu, oblíbená videa a kanály z YouTube, plánované trasy z Google Maps, zakoupenou či poslouchanou hudbu z Google Play Music a tak dále. K tomu si ještě připočítejme těsné propojení mezi internetovou identitou a webovým prohlížečem.
Google Chrome a Google Account jsou již dlouho dobu vzájemně propojené.
Z tohoto příkladu je snad dobře patrné, jak (teoreticky) pouze jediná společnost může prostřednictvím svých služeb a produktů nejen stopovat konkrétního uživatele, ale k webové historii doplnit nespočet dalších relevantních údajů, které by třeba cílení reklamy povýšily na personalizaci reklamy ne nepodobnou představám tvůrcům kultovního filmu Minority Report. A teď si k tomu přidejte ještě potenciální data ze služeb třetích stran.
Podobný vývoj ovšem nemusí být výhodný pro celou sféru e-commerce. Je dost možné, že trh by ovládalo několik málo nadnárodních společností držících agregovaná data o svých ovečkách. Menší analytické a reklamní systémy, které by k těmto datům neměly přístup, by zůstaly ve značné nevýhodě. Vytvoření jakéhosi „oligopolu slídilů“ by samozřejmě bylo nevýhodné i pro zadavatele reklamy či platící odběratele dat z analytických systémů.
