Paul Graham'a göre çerez banner'ı yasası yok
(amazingcto.com)Çerez banner'ı yasasının olmaması üzerine
- Paul Graham, AB'nin çerez banner'larını zorunlu kıldığını düşünüyordu; ancak gerçekte çerez banner'larına dair böyle bir yasa yok.
- AB, kişilerin izlenmesi, profillenmesi ve verilerinin satılması için rıza gerektiğini savunuyor.
- Şirketler izleme yapmayarak ya da izlenmek istemeyen kullanıcıların
Do Not Trackbaşlığını dikkate alarak çerez banner'larından kaçınabilir.
Çerez onayı için alternatif yöntemler
- Tarayıcılar, SSL simgesi gibi bir izleme simgesi sunabilir ve kullanıcıların buna tıklayarak onay verebileceği bilgiler gösterebilir.
- Sitenin üst kısmında küçük bir banner ile çerez onayı istenebilir ya da sayfanın altına küçük bir düğme konularak "izleme yoluyla destek" için onay talep edilebilir.
Şirketlerin çerez banner'ı kullanımı
- Şirketler, kullanıcıların izlenmek istemediğini bilse de izleme yapmak istiyor.
- Bu yüzden kullanıcıların onay vermesini umarak sayfanın yarısını kaplayan çerez banner'larını zorla gösteriyor, içeriği örtüyor ve site kullanımını engelliyorlar.
- Kullanıcıları yorar ya da kafalarını karıştırarak onay vermelerini sağlamaya yönelik
Dark UI Patternskullanıyorlar.
Çerez banner'larının gerçeği
- AB çerez banner'larını zorunlu kılmadı; ancak şirketler kullanıcıların hayatını zorlaştırıyor.
- Şirketler kullanıcıları artık gizlice istismar edemeyince, bunun yerine sinir bozucu olmayı seçti.
Gizlilik hakkındaki görüş
- AB düzenlemeleri her zaman iyi olmayabilir; ancak veri gizliliği önemlidir ve yazar 30 yıl önce PGP için mücadele etti, etmeye de devam edecek.
GN⁺ görüşü
- Çerez banner'ları kullanıcı deneyimini bozabilir ve web sitelerinin erişilebilirliğini düşüren bir unsur olabilir.
- Kullanıcı verilerinin gizliliğini korumak önemlidir; ancak bunun için izlenecek yaklaşım kullanıcı dostu olmalıdır.
- Web geliştiricileri, kullanıcı rızasını almanın daha iyi yollarını aramalıdır; bu da web standartlarının gelişimine katkı sağlayabilir.
- Çerez banner'ları yerine, kullanıcı gizliliğine saygı duyan web sitesi tasarımları düşünülmelidir.
- Teknik olarak
Do Not Trackbaşlığına saygı gösterilmesi gibi mekanizmaların uygulanması, geliştiriciler için yeni bir meydan okuma olabilir ve bu da kullanıcı güveni kazanmaya yardımcı olabilir.
1 yorum
Hacker News yorumları
Şirketlerin müşterilerden gizlice bir sürü gizli ücret aldığı, kullanıcıların da bunu sonradan öğrenip rahatsız olduğu bir pazar hayal etmek yeterli
Yasa “ücretler önceden bildirilmezse tahsil edilemez” diye değişince, çok ücret alan şirketlerin ücretleri olduğu gibi bırakıp menünün her sayfasında bu ücretleri en sinir bozucu şekilde okutması gibi
Sonra da sorunun ne aşırı ücretler, ne eskiden bunları saklayıp yasa yüzünden bildirmek zorunda kalmaları, asıl sorunun çok geç olmadan haber vermeyi zorunlu kılan yasa olduğunu pazarlıyorlar
Çerez banner’ları da özünde bununla aynı; şu anda çerez yasasına söven tarafta, çıkarları yüzünden bilerek yanlış yapanlarla, savundukları pozisyonu gerçekten anlamadıkları için yanılanlar karışık halde
Şirket ile tüketici arasındaki ilişkinin ne durumda olduğunu da gösteriyor: böyle kötü bir davranışa verilen ilk tepki “Bunu sen böyle yaptın!” oluyor
Sonuçta kötü aktörün kendisi hariç herkes suçluymuş gibi muamele görüyor
Daha yakın bir benzetme, bir restorana girdiğinizde size tüm yemeklerin alerjen bilgilerini içeren bir kâğıt verilmesi ve oturtulmak için “Bu malzemelerin yemeğe girmesini kabul ediyorum” demenizin gerekmesi olurdu
Restoranın bu bilgiyi saklamaması gerektiğine ve küçük bir azınlığın bu bilgiyi isteyebileceğine katılıyorum; ama herkese böyle zahmetli bir adımı dayatmanın gerekip gerekmediği ayrı bir konu. İstendiğinde alerjen bilgisinin sunulduğu mevcut gerçek dünya yöntemi de gayet iyi çalışıyordu
Herkesin önemseyeceği ve şaşıracağı bilgileri şirketler bildirmeli; fakat yalnızca azınlığın önemsediği pek çok şey de var. Neden çerezlerde duruyoruz? Web sitesinin sunucu altyapısı yurt dışında üretilmişse pop-up, işletmeci şirketin karbon emisyonu ortalamanın üstündeyse pop-up, merkez ofis yemekhanesindeki yemekler koşer değilse pop-up zorunlu hale getirilebilir
Çerezleri derinden önemseyen grup, binary boyutu ya da JavaScript çalıştırılmasını önemseyen grupla benzer büyüklükte. JavaScript çalıştırmak için de zorunlu pop-up mı gösterilmeli? Bir web sitesi 10 MB’ı aşıyorsa önce hafif bir sayfada onay mı almalı? Sorun, hangi eylemin pop-up uyarısını hak ettiğine nasıl karar verileceği
Çerez banner’ı sorununu piyasanın çözememesi ve bu yasanın kötü olmasının nedeni, kullanıcıların aslında umursamayıp sadece sinirlenmesi
California’da bir işletmede kansere yol açabilecek kimyasallar varsa bunun bildirilmesini gerektiren bir yasa var. Niyeti iyi, ama eşik değeri pratikte test edilebilir seviyenin altında olduğu için neredeyse tüm gayrimenkuller “burada kimyasal madde bulunabilir” tabelası asıyor
Uyarı işe yaramıyor, sadece sinir bozuyor; bu da piyasa güçlerinden kaynaklanıyor, başka bir deyişle yasa bu davranışı teşvik etmiş oluyor
Oturum için çerez kullanıldığını söylemek zorunda kalmak, yemek yerken çatal kullandığını söylemek gibi
Sorun, bazı insanların o çatalla insanları bıçaklaması yüzünden artık herkesin çatalı nasıl kullanacağını önceden söylemek zorunda kalması. Oysa yapılması gereken sadece bıçaklamayı yasaklamak
Üstelik ben AB vatandaşı da değilim, AB merkezli web sitelerine de bakmıyorum; yine de sürekli çerez banner’larına maruz kalıyorum
KingOfCoders/amazingcto’nun “çerez banner’ı yasası yok; takip etmiyorsan gerekmez” demesi teknik olarak doğru, ama Paul Graham yasa metninin kendisinden bahsetmiyordu
Onun şikâyeti oyun teorisi açısından, yani şirketlerin yasalara gerçekte nasıl tepki verdiğine bakan istenmeyen sonuçlar yasası olarak yorumlanmalı
Blog yazısı yasanın iyi niyetine odaklanıyordu, PG’nin tweet’i ise fiili sonuca odaklanıyordu
Neden sadece AB’ye kızılıp şirketlere kızılmadığını pek anlayamıyorum
Fiili sonuç, şirketlerin takip etmeye devam etmek istemesi ve düşmanca kalıplar ile kötü niyetli uyum yoluyla kullanıcıyı “rıza” vermeye zorlaması
Paul Graham hâlâ haksız
Yazıda anlatılmak istenen nokta, şirketlerin kullanıcının iradesine karşı “rıza” almak için bunu bilerek böyle yaptığı ve bu yüzden yasayı ihlal etmeden yasayı ihlal etme sınırında cambazlık yaptığıydı
Aslında PG’nin tweet’inin oyun teorisiyle pek ilgisi yok; daha çok çerez banner’ına tıklamak zorunda kalmaya yönelik gelişmiş ülke sızlanması gibi. Karmaşık düzenlemelerin ve yasama faaliyetinin gerçek sonuçlarını değerlendirmek tek bir tweet’in kapsamını aşar
Graham’ın en başta hangi iddiayı ortaya koymak istediğine karar vermesi iyi olur. Düzenleme yapmakla övünen belirli bir AB temsilcisine mi karşı çıkıyor? Yoksa AB’nin en baştan düzenleme yapmaya kalkışacak cüreti olmaması gerektiğini mi söylüyor?
“İyi düzenleme yapmak” ifadesi, düzenlemenin olası sonuçlarını öngörebilme becerisini de içerir
“Şirketler artık ürünlerini bedava vermek zorunda. Ama müşterinin burnuna korna gibi basmalarına izin var” diye bir düzenleme yaparsanız burnu acıyan çok insan olur
Burada da durum benzer. Neredeyse tüm web siteleri reklamla para kazanıyor ya da en azından site optimizasyonu için kullanıcı etkinlik günlükleri tutuyor; bu da değişmeyeceği için AB’nin aptalca düzenlemesi müşteriye biraz daha acı çektiriyor
“Site optimizasyonu için kullanıcı etkinlik günlükleri tutmak” da kişisel takip gerektirmez
Ancak her web sitesinin çerez banner’ına ihtiyacı yok. GitHub oldukça karmaşık ve kullanıcıya göre optimize edilmiş bir web sitesi değil mi? https://github.blog/2020-12-17-no-cookie-for-you/
Takip yok > banner yok > herkes daha mutlu > gerekli reklamları istediğiniz kadar gösterebilirsiniz
Bir şirketin beni takip etmesi gerektiği an, yaptığı şey “web sitesi optimizasyonu”ndan fazlasıdır. Verilerimi kullanarak bana bir şey satıyor ya da verilerimi üçüncü taraflara satıyordur
Böyle işler için izin gerekmesini iyi buluyorum
Bu sadece çerez yasası değil, aynı zamanda AB’nin başlıca kötü amaçlı yazılımı önleme yasasıdır
İlke şu: Üçüncü bir tarafın kontrol ettiği herhangi bir yazılım, internet üzerinden bilgisayarıma ya da telefonuma bilgi yazarken veya oradan bilgi okurken, önceden yeterli açıklamaya dayalı rıza alınmış olmalı
İstisnalar, kullanıcının talep ettiği hizmeti sağlamak için gerekli depolama/okuma ya da yük dengeleme gibi dar işlevlerle sınırlı. Bu yalnızca tarayıcı çerezleri için değil; web kamerası, mikrofon ve Documents klasörünün içeriği için de geçerli
İlkenin kendisi makul görünüyor; ancak AB, güvenlik kontrolleri/zorunlu güncellemeler veya mahremiyete saygılı kullanıcı metrikleri gibi ek istisnalar getirecek reformlarda tıkanmış durumda. Düzenleyiciler de fiilen bir ölçüde göz yumuyor; bu yüzden AB’nin düzenleme işini iyi yaptığını söylemek zor
Toplum genel olarak, onlarca yıllık asıl yasada hata ya da aşırılık olarak görülen kısımları düzeltemiyor
Yasamanın ilginç yanı, yasanın istenmeyen sonuçlarından da sorumlu olmasıdır
Hizmetin asgari düzeyde çalışması için gereken verilerde banner gerekmez. Site bunlar olmadan çalışmadığı için rızanın devreye gireceği bir alan da yoktur
Yasama çoğunlukla çıkarların çatışmasıdır ve ideal olarak yasa koyucunun, dar özel çıkarlarla çatıştığında kamunun genel yararını korumaya çalışmasıdır
Dar çıkara sahip taraf güçlü bir grupsa kavga çıkması kaçınılmazdır; düzenlemeyi, başlangıçta engellenmek istenen zarardan daha intrusive ve sinir bozucu gösterecek bir yol bulurlarsa, kamuoyunu kendi taraflarına çekmek için bunu kullanırlar
Bu yüzden yasa koyucuların da böyle bir mücadeleyi öngörmesi gerekir ve bunun biçiminden kısmen sorumlu olabilirler, ama tüm sorumluluk onlarda değildir. Özel çıkar güçleri ne kadar güçlü olursa, düzenlemeye karşı koymanın bir yolunu bulma ihtimalleri o kadar artar
Bu meselede banner gösteren web siteleri kendilerine de zarar veriyor. Çünkü rakipler banner olmadan daha iyi bir deneyim sunmaya teşvik ediliyor. Yani düzenleme, rekabet ortamında banner göstermemeyi değerli hale getirebilir; sonucu görmek gerek
Çerez kullanmak ve insanları rahatsız etmek bilinçli bir tercihtir
Yasa koyucuların neyi öngördüğünü ya da amaçladığını söylemek zor; ama bence çerez banner’ları aslında a) iyi ve b) kullanıcıya daha iyi davranmayı hayal edemeyen şirketlerin suçu
İyi olduğunu düşünmemin nedeni, ihtiyaçtan kaçınmayan ya da düzgün yapmaya çalışmayan yazılım kullanıcılarında psikolojik rahatsızlık yaratması. Zamanla kullanıcıların, çerez banner’ı olan siteleri pop-up reklamlar gibi biraz şüpheli ve vicdansız görmeye başlamasını umuyorum
Sonuçta bu yasanın ve gelecekteki yineleme/ek değişikliklerin olmamasındansa olmasını tercih ederim. Çünkü insanların verilerinin kötüye kullanılma düzeyi fazlasıyla akıl almaz
pg reklam banner’larından bahsediyor gibi, eğer öyleyse haklı. AB, daha kötü takip yapan mobil uygulamalara fayda sağlarken web deneyimimizi mahvetti
Daha büyük sorun, bu yasanın hiçbir şeyi düzeltmemesi, AB’de zaten az kalmış olan çevrim içi reklam işini yok etmesi ve yanlış şeye odaklanması
En başta Avrupa vatandaşları bu yasayı istemedi ve daha büyük sorunlar vardı. Çoğu AB vatandaşının umursamadığı belirli bir Alman çıkar grubu bunu dayattı
Reklam takibi, AB vatandaşlarının büyük çoğunluğunun meselesi değildi ve onlara bu yasa sorulmadı. Buna karşılık internet ve sosyal medya bağımlılığı, vatandaşların çoğu için gerçek bir sorun
AB bu anlamsız çerez banner’ı meselesine o kadar çok enerji ve siyasi sermaye harcadı ki bağımlılık sorununu çözmeye ayıracak kapasitesi azaldı
Aceleye getirilmiş yasama her zaman böyle şeylere yol açar; en kötüsü de bu tür yanlış kararlar için hesap sorulmamasıdır. Yasaya ilham veren kişiler seçimle gelmiyor; yaklaşan Avrupa Parlamentosu seçimleri de AB siyaseti değil, ulusal siyasetin vekâlet savaşı
Bu tür siyasi uyumsuzluklara birkaç kez işaret edilse bile, gerçekten ciddi bir şey olup çok geç kalınana kadar bunu değiştirecek bir mekanizma yok
Kişisel bir anekdot olarak, şirketin web sitesine çerez banner’ı ekleme işi bana verilmişti. Birkaç yıl boyunca banner’ın gelmesini başarıyla engellemiştim; ancak yeni sahip, pazarlama departmanının yeni şeyler denemek istediğini ve avukatların kullanıcı onayı gerektiğini söylediğini gerekçe gösterdi.
Buna çok zaman harcamamam, hazır bir ürün olan OneTrust’ı kullanmam ve özelleştirme de yapmamam söylendi.
Banner’ın varsayılan metninin çok korkutucu göründüğünü ve aslında yapmadığımız pek çok şeyi yapıyormuşuz gibi ima ettiğini söylediğimde, OneTrust avukatlarının bunu incelemiş olacağını, değiştirmenin büyük hukuki risk doğuracağını söyleyip olduğu gibi bırakmamı istediler.
OneTrust ürünü, en dağınık ve reklam teknolojileriyle kirlenmiş medya sitelerini bile uyumlu hale getirmek zorunda olan genel amaçlı bir ürün; biz öyle bir site değiliz diye savundum ama işe yaramadı.
OneTrust gibi şirketlerin ve bu alandaki danışmanların, uyumsuzluk riskini çok büyütmek için güçlü teşvikleri var. Uzman olmayan biri olarak bana, iyi niyetli aktörlerin üstlendiği hukuki risk aslında oldukça düşük görünüyor. Yetkililer uyumsuzluk tespit ederse genellikle düzeltme fırsatı verir; en fazla hafif bir uyarı alma olasılığı yüksektir. Dünya çapındaki ciro oranıyla hesaplanan korkutucu para cezaları dürüst hatalara uygulanacak şeyler değil.
Ayrıca gerçekten bu tür banner’lara ihtiyaç duyan, istilacı izlemeye dayalı işletmeler; herkesin kendilerinin de kullanıcı deneyimini banner’larla mahvetmesi gerektiğini sanmasından fayda görür. Çünkü böylece yaptıkları şey normal ve kabul edilebilir görünür.
İyi bir örnek. Hacker News’in de, bağlantı verilen yazının da çerez banner’ına ihtiyacı yoktu.
Devletin iyi niyetli görünen düzenlemeler yaparken açık kapı bırakıp herkesin hayatını daha zahmetli hale getirmesinden, sonra da insanların “şirketler sadece yapmasa olur” diye savunmasından hoşlanmıyorum.
Zaten başta bunu yapmadıkları için yasaya ihtiyaç duyulmuştu; yasa çıktıktan sonra “kendiliğinizden durun” demek biraz tuhaf değil mi?
Çerez yasası doğru yazılsaydı, saygı gösterilmesi gereken tek bir tarayıcı ayarı ile iş biterdi. Bu, kullanıcı için tamamen şeffaf olurdu ve temelde fayda sağlardı.
Bunun yerine beceriksiz kamu görevlileri sayesinde neredeyse her sitede sonsuza dek çerez banner’ları görüyoruz; bunlar standartlaştırılmış da değil, bu yüzden haber kuruluşlarının yazı yayımladığı siteler gibi en kötü yerler daha da anlaşılmaz banner’lar üretebiliyor.
Karanlık UI kalıpları gerçekten yasa dışı ve artık mahkemeler de böyle hükmetti. Bu farkındalığın çerez banner’ları yapan şirketlere yayılması yeterli.
Tarayıcılarda zaten “izleme” ayarı var. Bir web sitesi bu ayara saygı göstermeyi seçerse, hiç çerez banner’ı göstermeden de izleme yapmayabilir. Ama çoğu bunu yapmıyor.
Bunun yerine yasa teknoloji açısından tarafsız yazılmıştır. O kadar tarafsızdır ki “çerez yasası” bile denmez. Adı ePrivacy directive’tir ve “cookie” kelimesi yalnızca örnek olarak 5 kez geçer.
Referans: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A...
Internet Explorer’ın %90’dan fazla pazar payına sahip olduğu dönemde gerçekten uygulanmıştı da.
Bunun üzerine Google, IE’nin kullanıcı tercihlerini aşmak için kasıtlı olarak hatalı P3P başlıkları gönderdi.
Safari, Google’ın üçüncü taraf çerezlerini reddeden sezgisel kurallar eklediğinde de Google bunu aşmak için teknik bir numara buldu ve bu yüzden para cezası aldı.
IE ve P3P tamamen öldükten sonra tarayıcılar, reklam teknolojisi sektörünün uygulaması en kolay asgari ayar olan DNT başlığını sunmaya çalıştı. Reklam teknolojisi sektörü bunu tamamen görmezden geldi.
İzlemeye dayanan trilyon dolarlık şirketler var ve bunlar işlerine zarar verecek teknolojileri sabote etmek ve yasaları engellemek için ellerinden gelen her şeyi yapacaklar.
“Şirketler çerez banner’larından kolayca kaçınabilir; sadece izleme yapmasınlar” deniyorsa, AB tam da bunu yasa haline getirmeliydi.
Biz de buna sadece izleme yapma yasası derdik.
“Çerez banner’ı yasası diye bir şey yok” diyerek AB’yi savunan insanlara şaşırıyorum. Hayır, yasa var. İnsanların “boşuna risk almaya değer mi?” diye düşünüp çerez banner’ı gibi çöpleri koymasının nedeni tam da o yasa.
Yasa, kâğıt üzerindeki bir kelime yığını değil; insanların davranışlarına ödül ya da ceza atfederek davranışlarını değiştiren bir kurumdur.
Ama anlamaya çalışmamak ve güvenli tarafta kalmak daha kolaydır. Yine de araştırmadan “garanti” yolu seçmenin sorumluluğunu yasaya yüklememek gerekir.
Çoğu kişi taklitçidir; büyük web siteleri çerez banner’ı koyunca kendilerinin de koyması gerektiğini düşünür. Sonra da yasayı suçlar.
Taklitçi değilseniz ve kendi işinizi anlıyorsanız, sizi gereksiz bir şey yapmaya zorladığı için yasayı suçlamanız gerekmez.
Elbette yasaları anlamak bazen karmaşıktır. Çoğu yasa böyledir; avukatlar da bu yüzden vardır. Ama teknoloji alanında avukatlar da sık sık taklitçi gibi görünür. Bu yüzden kendi başına düşünmek her zaman iyidir; başkalarının söylediklerine körü körüne inanmamak gerekir. Kendiniz araştırıp incelerseniz o kadar da zor değildir.
Benim işim müşterileri çevrimiçi takip etmiyordu ve banner’ımız da yoktu. Bu kadar.
Avukatlar aşırı tepki veriyorsa ya da şirket zorunlu izleme ile zorunlu olmayan izlemeyi ayırt edemiyorsa, beceriksiz olan taraf onlar olabilir.