Spioner på internettet

Brugen af cookies har længe været et stort diskussionsemne herhjemme og i udlandet. De fleste har en idé om, hvad en cookie er, men formentlig ikke, hvorfor dette ellers så uskyldige ord har fået menneskerettighedsaktivister til at løfte pegefingre, fået sendt ansatte i Erhvervsstyrelsen ud på ekstra arbejde og måske er grunden til, at du betaler overpris for produkter på internettet. Hvad er cookies, og hvordan bliver de brugt? Stud.Jur. har undersøgt begrebet cookie nærmere.

Du er sulten. Kagesulten. Du snegler dig forbi Lagekagehusets vinduer, mens du med øjnene spiser jordbærkagen bid for bid. Trods en SU-økonomi og en indre Christian Bitz, der maner til fornuft en mandag eftermiddag, beslutter du dig for at gå ind for at købe jordbærkagen over alle jordbærkager.

Det er ikke kun dine lækkersultne øjne, der afslører din svaghed for jordbærkager for ekspedienten; det er din historik gennem de seneste mange år. Ekspedienten kender dig og ved, at du om mandagen på vejen hjem fra studiet cykler forbi La Glace, Holms Bageri og Emmerys, for så at overgive dig, når du kommer til Lagkagehuset. Ekspedienten ved, at du går ind for økologi, at du foretrækker jordbær for blåbær, og at dit begær efter jordbærkage er særlig stort om sommeren.

Prisskiltet i vinduet viser 30 kr., men ekspedienten ændrer i det øjeblik, du træder ind butikken, prisen til 40 kr. Du er gået sukkerkold og betaler.

Sådan er det selvfølgelig ikke in real life. Eller rettere: ikke i den fysiske virkelighed. Men hvad med internettets virkelighed?

Luksus-cookies

Det har længe været en offentlig hemmelighed, at en hjemmeside som Amazon.com har benyttet sig af geografisk prisdiskriminering. En bog koster eksempelvis mere i Danmark end i USA. Det er dog de færreste, som også ved, at købernes adfærd på internettet direkte kan influere på prisen for varer og serviceydelser på internettet.

En gruppe forskere i Barcelona har med forskningsprojektet Detecting price and search discrimination on the Internetfundet frem til, at din adfærd på internettet kan influere på prisen på produkter på internettet. Forskerne testede, om der var forskel på det, en prisbevidst bruger skulle betale, versus det en mere luksusorienteret kom af med. De lod den prisbevidste bruger besøge mange discountsider og prissammenligningstjenester. Den luksusorienterede bruger kiggede på hjemmesider med dyre varer såsom biler og smykker. Forskerne antog, at de forskellige hjemmesider, som skulle testes, benyttede sig af cookies til at følge de to konstruerede brugere, og de fandt da også ud af, at der var forskel på den pris, som de to fiktive brugere skulle betale. Fx skulle den luksusorienterede bruger betale mere end den prisbevidste for hotelovernatninger.

Disse forskeres resultater er måske ikke den endelige sandhed. Omfanget af brugen af denne form for prisdiskriminering på baggrund af køberadfærd på internettet, er omtvistet, og det kan være svært af klarlægge omfanget helt nøjagtigt.

Adfærdsbaseret markedsføring

Mindre omtvistet er brugen af cookies til adfærdsbaseret markedsføring. Kommercielle hjemmesider bruger/giver ofte tilladelse til 3. part-cookies på deres hjemmesider. Denne form for cookies kan hjælpe annoncenetværk til at danne en adfærdsprofil af en bruger af en enhed. Det har de fleste nok bevidst eller ubevidst stiftet bekendtskab med.

Måden det gøres på er, at et annoncenetværk indgår et samarbejde med en række hjemmesider, som stiller reklameplads til rådighed.

Herefter har annoncenetværket mulighed for at placere cookies på brugerens enhed via bannerreklamer. Informationer fra de placerede cookies kan derefter anvendes til at skabe en mere præcis profil af brugeren, idet brugerens adfærd kan registreres.

Det er vigtig at være opmærksom på, at en cookie ikke identificerer den fysiske person, som bruger en computer, men derimod selve enheden. Med andre ord vil en computer, som bruges af en stor familie, ikke give en specielt god adfærdsprofil, fordi familiens medlemmer oftest vil have vidt forskellig adfærd på internettet.

Anderledes forholder det sig med de enheder, som kun betjenes af en enkelt person. Her er der langt større adgang til at danne et nuanceret billede af personen, som bruger enheden. De små spioner sørger derfor for at mange reklamer på hjemmesider, som du besøger, er tilpasset din computers adfærdsprofil.

En gråzone?

De fleste større hjemmesider kunne i dag ikke levere det samme indhold uden brug af reklamer. Reklamer er derfor et nødvendigt onde for brugere af internettet. Og ligesom målrettede annoncer er attraktive for annoncørerne, kunne man hævde, at de også er det for brugerne. Hverken hårfagre ungersvende eller hårtransplantationsklinikker i Polen har noget ud af, at de sidstnævnte sender deres bannerreklamer til alle.

Desuden er de såkaldte 1. part-cookies essentielle for en hjemmesides funktionalitet. Eksempelvis er det cookies, der sørger for, at man kan benytte sig af en virtuel indkøbskurv. Ligeledes kan cookies være med til at hjælpe hjemmesideejeren med oplysninger om, hvordan hjemmesiden kan gøres mere brugervenlig. Dette gøres ved, at hjemmesideejeren kan få adgang til at se brugeres adfærd på hjemmesiden. Ved gentagne besøg på en hjemmeside er cookies også medvirkende til, at ens standardindstillinger huskes.

På den anden side mener mange også, at personers adfærd på nettet er et privat anliggende, som har karakter af en grundrettighed. Brugen af cookies har da også længe været et kontroversielt emne. Et af problemerne har bl.a. været, hvorvidt man ud fra brugen af cookies kunne generere personoplysninger. I så fald vil disse være omfattet af persondataloven (herefter PDL).

Som det fremgår af PDL § 3, stk.1, nr.1, er en personoplysning defineret som enhver form for information om en identificeret eller identificerbar fysisk person.Idet informationer hentet fra cookies tilregnes maskinen og ikke en identificerbar fysisk person, kunne man umiddelbart fristes til at tro, at brugen af cookies ikke skulle respektere reglerne i PDL. Dette synspunkt har dog været debatteret heftigt, herunder særligt i forhold til adfærdsbaseret markedsføring. Særligt er det blevet gjort gældende, at internettets små spioner gør det let at identificere en maskines adfærd og, bag ved maskinen, en brugers adfærd. Retsstillingen er nu blevet en smule klarere med cookie-bekendtgørelsen.

Kagekontrol

Cookie-bekendtgørelsen, der trådte i kraft 14. december 2011, implementerede e-databeskyttelsesdirektivet (2002/58/EF) med seneste ændringer fra 2009 (2009/136/EF). Den direkte konsekvens af de nye regler er, at hjemmesideejere i dag skal bede sine brugere om at acceptere brugen af cookies – et såkaldt informeret samtykke.

Reglerne er således klokkeklare i dag, skulle man mene. En brugers terminaludstyr, fx en computer, udgør en del af brugerens privatsfære, der skal beskyttes mod uretmæssig indtrængen. Alligevel skabte cookie-bekendtgørelsen en del polemik, fordi det var svært for virksomheder, og sågar for offentlige institutioner, at finde ud af, hvordan de kunne opfylde kravet om et informeret samtykke. Tilmed åbnede cookie-bekendtgørelsen op for, at en hjemmesideejer kunne straffes med bøde, jf. cookie-bekendtgørelsens § 5.

Erhvervsstyrelsen måtte derfor udsende en vejledning til cookie-bekendtgørelsen. Alligevel er det langtfra alle hjemmesider, som overholder den nye cookie-lovgivning, viser flere undersøgelser. Erhvervsstyrelsen har været yderst tøvende med at sanktionere manglende efterlevelse af reglerne i cookie-bekendtgørelsen. I stedet er fokus rettet mod at skabe en forståelse for og en debat omkring cookie-lovgivningen. En af udfordringerne for Erhvervsstyrelsen har været, at andre EU-lande ikke har uddelt bøder for manglende efterlevelse af reglerne.

Med cookie-reglerne har man på den ene side formået at slå fast, at brugen af cookies nu skal tages seriøst, men på den anden side er der stadig en lang række uafklarede spørgsmål omkring en korrekt efterlevelse af reglerne.