Uživatel, cookie, sledování a remarketing – kde jsou hranice?

Digichef

Asi každý, kdo se někdy dostal do kontaktu s online marketingem, se dostal i do kontaktu s remarketingem. Funkce, která je mnohými tak opěvovaná, však s sebou nese jistá rizika, která je dobré mít na paměti. Řeč je o sledování uživatelů pomocí cookies, které jsou, jak uvidíte, velmi mocné. A jak by řekl klasik: s velkou mocí přichází i velká zodpovědnost.

Trocha teorie na začátek.

Řekněme, že jste nějaká webová služba. Pak máte možnost svým návštěvníkům poslat do prohlížeče malý textový soubor zvaný cookie. Tento soubor většinou obsahuje vitální informace o vašem počítači: operační systém, verzi prohlížeče, čas návštěvy, co jste na webu dělali (například počet stránek) atd.

Kromě tohoto však soubor cookie obsahuje ještě jednu, a to tu nejpodstatnější informaci: ID. Totiž vaše ID, díky kterému vás služba pozná při další návštěvě a je tak schopná vám znovu načíst např. některá vaše nastavení.

Přizpůsobení a efektivita nade vše

Přiznám se, že si nedovedu online svět bez cookies dobře představit. Je to něco, co nám na internetu zajišťuje pohodlí – služby si pamatují, že chceme hledat v nefiltrovaných výsledcích, že máme nastavené nějaké jazykové rozhraní nebo například že máme určitou historii akcí, ke které se můžeme vracet. Jinými slovy si díky cookies můžeme webové služby "customizovat".

V online marketingu to má výhodu, že v reklamním rozhraní můžeme cílit s přesným sdělením na vhodné soubory cookie, tedy uživatele, kteří na našem webu provedli určité akce. Můžeme nasadit remarketingové značky Google AdWords, nebo stanovit remarketingová publika v Google Analytics, a systém sám začne sbírat ID cookies jednotlivých uživatelů a skládat je do publik určených k cílení – například cílení na uživatele, kteří byli v košíku, ale neobjednali.

image

S remarketingem lze cílit reklamy na libovolné publikum, jaké si pomocí seznamů nasbíráme.

Přístup k datům a jejich vlastnictví

Jak na Marketing Festivalu 2013 vysvětlila Aurelie Pols, problém s takovými daty je ten, že v elektronické podobě jsou snadno donekonečna přenositelné a bez "úmrtnosti" ("Transferable at infinitum and without decay").

Dalším z problémů dle Aurelie je i fakt, že služby, které tato data sbírají, nejsou vaše. Zkrátka tato data nemáte pod kontrolou. A tak se stane, že i když služby jako AdWords či Analytics jsou fakticky jen zpracovateli dat, tato data, i když pocházejí z vašeho webu, vám nenáleží.

Už tímto se dostáváme na hranu porušování ochrany soukromí - o uživatelích sbíráme data, která však patří 3. straně. Hezká věta, kterou jsem si z přednášky zapamatoval: "Analytics is about the €/$/£, Privacy is about data flows" - volně přeloženo "Analytika je o datech, ale soukromí je o toku dat."

Na toto je obzvláště dobré pamatovat při udělování přístupů do účtů služeb na sběr dat.

Cookies a osobní údaje

Dokud se cookies sbírají s anonymními ID pak je to, lidově řečeno, v pohodě. Problém ovšem nastává v případě, kdy se k ID přiřadí konkrétní osoba: jméno, příjmení, věk, pohlaví a další podobné osobní údaje. Tyto údaje jsou pak poměrně lehce zneužitelné.

Světlá stránka věci je přesnost měření. Při analýze výkonnosti (například v Google Analytics) či při cílení pomocí remarketingu vás v podstatě ID cookie nezajímá – zajímá vás konkrétní persona (respektive kohorta) a pomocí cookie tyto persony pouze aproximujete.

Jenže neplatí, že 1 cookie = 1 uživatel. Uživatel má možnost cookie smazat, použít jiný prohlížeč, jiný počítač atd. A tak, pokud jste schopni identifikovat uživatele napříč různými kanály, platformami a zařízeními, jste schopni přesně analyzovat a cílit.

Dle přednášky Matthiase Bettaga na Marketing Festivalu 2013 v tomto mají hlavní výhodu firmy, které produkují jak hardware, tak software, protože konkrétního uživatele lze díky přihlášení identifikovat napříč zařízeními i platformami.

Stinnou stránkou věci je samozřejmě sběr osobních dat. Vzhledem k tomu, že data jsou relativně snadno přenositelná, vyvstává otázka, zda výhody sběru těchto dat vyvažují riziko z potenciálního zneužití.

V tomto směru je fér poukázat na obrovské korporace jako například Google či Facebook, které mají prostředky k tomu detailně sledovat nejen cookie jako anonymní ID, ale uživatele samotné.

Téměř věčná persistence dat

Ano, nyní můžete říci, že si přeci můžete smazat cookies, nebo se odhlásit ze sledování (opt-out) a tím by vás neměl nikdo poznat. Bohužel, realita bývá často jiná. Existují různé triky, jak si data o uživatelích zachovat.

V tomto směru mě osobně asi zaujala nejvíce přednáška Phila Pearce na Marketing Festivalu 2013 o blackhat analytics. Zejména pak možnost zneužití cookies. Například tzv. zombie cookie, která se i po smazání znovu obnoví, například ze zálohy ve Flashi (local shared object).

Dále tzv."EverCookie", která využívá více míst, kde se v počítači může uložit a z nichž se může obnovit, že je jen velmi obtížné ji odstranit. V roce 2013 v jednom vyzrazeném dokumentu vyšlo najevo, že dokonce i NSA zvažovala EverCookie jako metodu sledování uživatelů sítě Tor.

Nesnesitelná lehkost zneužití dat

Když už jsem zmínil NSA... věděli jste, že v roce 2013 uniklo, že NSA zneužívá Google cookies k vytipování uživatelů, které má dále sledovat?

A je to celkem logické. Gigant jako je Google, který provozuje řadu služeb, je přímo nevyčerpatelným zdrojem dat. Uživatelé mají u Googlu e-mail, Google+, používají mapy s geolokací atd. Zkrátka datový ráj.

Máte Google účet v chytrém telefonu? Tak to jste ideální uživatel na sledování. Pokud vás to zajímá, můžete se podívat na svůj Google Dashboard do sekce "Android" a tam si můžete nechat lokalizovat svůj telefon, prozvonit ho či na dálku zablokovat a smazat data. Také vám to připadá celkem strašidelné?

Kromě toho, že Google disponuje poměrně detailními informacemi (historie, věk, pohlaví, jméno atd.) o vás, pokud jste přihlášeni do Google účtu, je navíc schopen si některé věci (pohlaví, věk, zájmy) odvodit, i když přihlášeni nejste. Jak to dělá?

Má rozsáhlou síť partnerských webů, kde provozuje reklamu a zároveň si také sbírá cookies uživatelů. Z historie procházení a chování těchto cookies pak relativně přesně dovodí demografickou skupinu. V nastavení služby Reklamy Google se dokonce můžete podívat, co o vás Google ví.

A jestli vám toto připadá málo, pak byste asi měli vědět o tzv. Google Wi-Fi incidentu, kdy docházelo k tomu, že vozidla Google Street View díky speciálnímu kódu také "omylem" sbírala data z nezabezpečených Wi-Fi sítí. Tedy nejen SSID a MAC adresy, ale četla i síťovou komunikaci. Pro zájemce, zde je analýza dotyčného kódu a report bezpečnostní společnosti Stroz Friedberg.

Jak dál?

Dle některých bychom se při sledování uživatelů měli spolehnout na vlastní data - tím by nemělo docházet ke zneužití, pokud to sami nedovolíme. Problém zde však je v tom, že vlastní data nám neposkytnou tolik operačního prostoru jako data 3. strany. A přiznejme si to: kdo by nechtěl cílit na uživatele, které ještě neznáme, ale Google již ví, že jsou pro nás relevantní?

Problém ochrany soukromí opravdu vidím ve vykucích, kteří jsou schopni jich zneuží, a ve velkých společnostech, která data sbírají, respektive v nedostatečném zabezpečení, nebo chcete-li anonymizování, dat.

Asi pro to již v Googlu vznikají iniciativy, které mají za úkol více chránit uživatelská data jako například Google AdID (náhrada za klasické cookies) či Google Red Team (tým zodpovědný za kontrolu bezpečnosti dat).

No, pokusy hezké a krok pěkný. Obávám se ale, že jde jen o způsob, jak se vyhnout dalším budoucím pokutám. V dnešní informační době, kdy data jsou mocnější než zbraně, pochybuji, že Google nebude sbírat jakákoliv data, která bude moci.

Zásada by tedy asi měla znít: nedávat systémům nic zadarmo. Neposkytovat osobní údaje, které si budou moci spojit s našim prohlížečem – protože od toho okamžiku se naše důvěra v bezpečnost dat a ochranu soukromí může v mžiku obrátit proti nám.

Otázka ale zní: je toto opravdu nutné? Jsou úřady na ochranu osobních údajů natolik krátké, že se musíme uchýlit k „datové izolaci“? Co myslíte vy?

Měli bychom sbírat uživatelská data? Kde je hranice mezi customizací online služeb a ochranou osobních údajů?

  • Celkový průměr hodnocení: 5.0 z 5
  • 5.0
  • 5.0
  • 5.0
  • 5.0
  • 5.0

24. prosince 2013

K článku již nelze přidávat další komentáře.

  1. Aleš Miklík | 1. ledna 2014

    Poněkud slabý mix argumentů s různou váhou a významem - od slabých dojmů přes čistou paranoiu až po relevantní otázky, které ale zůstávají nerozvinuté; škoda. Přitom by bylo zajímavé přečíst si něco opravdu věcného o realitě s fakty, které se nejlépe získávají právě ze zkušenosti s kampaněmi a poctivým čtením cookies. Co se děje ve chvíli, kdy jste přihlášený a kdy ne, co se ve které chvíli zapisuje do cookiny a jaké reklamy v závislosti na to připlouvají. Anebo když teoretizovat, tak se vším všudy: třeba blízká budoucnost s regulací cookies od EU s ještě tragičtějšími důsledky než dnes.

  2. Ondřej Hnát | 5. ledna 2014

    Dobrý den, Aleši,

    Děkuji za feedback. Ano, článek asi opravdu je takový „mix“ - jde spíše o úvod do problematiky. Každopádně děkuji za podnět pro další článek, kde bych téma mohl více rozvinout, především v jeho praktické části.