Cookie ที่ได้รับการยกเว้นจากการโวยวายบนหน้าเว็บ
ผมเชื่อว่าในปัจจุบันหลายคนคงจะคุ้นเคยเวลาที่เราเข้าเว็บบางแห่งแล้วจะมีการขึ้นหน้าจอให้ยินยอมการใช้ Cookie ขึ้นมา ตรงนี้คือส่วนที่ทางเว็บไซต์จะขออนุญาตเราในการเก็บข้อมูลที่เรียกว่า Cookie โดยจะบอกรายละเอียดว่าขอไปทำอะไรบ้าง ซึ่งตรงนี้เว็บไซตต่างๆ ทำเพื่อให้เป็นไปตามกฏหมาย GDPR นั่นเอง
อย่างไรก็ตามก็จะพบว่า บางเว็บไซต์ ก็ไม่ได้มีขึ้นมา ก็เลยไปลองค้นดูก็พบว่ามีบางกรณีที่เราไม่จำเป็นที่จะต้องขึ้นการขอ Consent ก็ได้
ซึ่งเรื่องนี้ ส่วนตัวก็พึ่งรู้ว่ามีเขียนเป็นเอกสารเลยทีเดียว โดยเอกสารนี้มีชื่อว่า Opinion 04/2012 on Cookie Consent Exception ครับ
เงื่อนไขที่ไม่จำเป็นต้องขอความยินยอมกับผู้ใช้
ถ้า Cookie ที่ใช้อยู่ในเงื่อนไขใดใน 2 เงื่อนไขนี้จะไม่ต้องแสดงเพื่อขอความยินยอม
- Cookie นั้นใช้เพื่อวัตถุประสงค์การควบคุมการเชื่อมต่อระหว่างเครือข่ายเพียงอย่างเดียว
- Cookie นั้นมีความจำเป็นสำหรับการเข้าถึงข้อมูลของสมาชิก ผู้ลงทะเบียน หรือ ผู้ใช้ภายในบริการนั้นๆ
กรณีแรก ซึ่งเป็นกรณีที่อาจจะไม่เห็นชัดเจนในผู้ใช้ทั่วไปเท่าไหร่นัก แต่เหล่าผู้ดูแลระบบจะคุ้นเคยกว่า ยกตัวอย่างเช่น ในการเข้าเว็บไซต์แห่งหนึ่ง อาจจะมีระบบหลังบ้านอยู่ 5 จุด เครื่องจากผู้ใช้จำเป็นที่จะต้องเลือกเชื่อมต่อกับเครื่องใดเครื่อง ดังนั้นระบบ application จึงทำการใส่ cookie เพื่อที่จะจำว่า เครื่องผู้ใช้คนนี้จะต้องไปที่หลังบ้านตัวไหน อันนี้คือตัวอย่างในกรณีแรก
กรณีที่สอง จะพบเจอบ่อยกว่า เช่น ในระบบ E-commerce เราจะต้องเข้าไปในระบบเพื่อเข้าไปใช้บัตรเครดิตในการซื้อขายของ ซึ่งระบบจะทำการเก็บข้อมูลของผู้ใช้ไว้ที่ Cookie ดังนั้นถ้าไม่มี Cookie ระบบก็จะไม่สามารถที่จะรู้ได้ว่าใคร และจะทำให้ไม่สามารถที่จะทำธุรกรรมต่อได้ นี่คือตัวอย่างในกรณีที่สอง
กรณีศึกษาตัวอย่างจากเอกสาร
- User-input Cookies
เป็น Cookie ที่เก็บข้อมูลที่ผู้ใช้ป้อนเข้ามา เช่น Shopping Cart ถ้าไม่มี Cookie ที่เก็บข้อมูล Shopping Chart ตัวตระกร้าก็จะว่าง และไม่สามารถทำการจ่ายเงินได้ จึงอยู่ใน เงื่อนไขที่ 2
2. Authentication cookies
เป็น Cookie ที่ใช้เพื่อระบุว่าผู้ใช้ได้ทำการ Log-in แล้ว อันนี้ก็ชัดเจนว่าจำเป็นต้องมีเพื่อให้เข้าถึงบริการที่จะให้กับผู้ใช้ จึงอยู่ในเงื่อนไขที่ 2
อย่างไรก็ตาม ถ้า Cookie เดียวกันนี้แอบเอาไปใช้ในการ Track เพื่อประโยชน์อื่นนอกเหนือจากนี้ ก็จะไม่อยู่ในเงื่อนไขที่ 2 โดยทันที
3. Remember me cookies
ตัว authentication cookie นั้นจะหายไปเมื่อปิดโปรแกรม ถ้าจะกลับมาใช้งานก็จำเป็นที่จะต้อง login ใหม่อีกครั้ง ตัว Remember me จึงเป็นตัวเลือกที่จะช่วยให้ผู้ใช้ไม่ต้องเสียเวลา Login อีกรอบ ถ้ากลับมาที่ระบบใหม่
อย่างไรก็ตาม ถึงเราจะไม่มี Remember me เราก็ยังคงสามารถเข้าสู่ระบบได้อยู่ดีจากการ login ซ้ำๆซากๆ ดังนั้น Remember me จะไม่ได้อยู่ในเงื่อนไข 2
แต่เนื่องจากการใช้งานตรงนี้ ส่วนใหญ่ก็มักจะเป็นลักษณะของการที่ผู้ใช้งานต้องการเลือกที่ checkbox ให้จดจำไว้ ดังนั้นจึงถือว่า ปุ่ม checkbox คือการแสดงและขอความยินยอมในตัว จึงไม่จำเป็นที่จะต้องนำเอาเรื่องนี้ไปแสดงเป็นหน้าจอต่างหาก
4. User-centric security cookies
ตัวอย่างของกรณีนี้เช่น เมื่อระบบต้องมาดักว่า ผู้ใช้คนนี้ Login ผิดมาแล้วกี่ครั้ง ถ้าพลาดเกิด 5 ครั้งจะทำการ Log ระบบป้องกัน Login จากการแอบเจาะระบบ กรณีนี้จะตกอยู่ในเงื่อนไขที่ 2
5. Multimedia Player session cookies
เช่น Cookie ที่ใช้สำหรับเก็บว่าตอนนี้เล่นวีดีโอถึงเวลาไหนแล้ว อันนี้ก็จะตกอยู่ในเงื่อนไขที่ 2 เช่นเดียวกัน
6. Load Balancing session cookies
ในระบบที่มีระบบหลังบ้าน อาจจะมี session ที่ทำหน้าที่ระบุว่าจะต้องไปปลายทางที่ไหน กรณีนี้จะตกอยู่ในเงื่อนไขแรก
7. UI Customization cookies
บางระบบจะมี cookie ที่ควบคุม ภาษาหรือธีมของเว็บไซต์ ซึ่งตรงนี้จะเป็นความสามารถที่เป็นไปตามผู้ใช้แต่ละคน ดังนั้นจึงเป็นเงื่อนไขที่ 2
8. Social plug-in content sharing cookies
บางเว็บไซท์อาจจะมีการเรียกข้อมูลจากเว็บต่างๆ เช่น ยอด Like ของ Facebook หรือ Twitter ในกรณีนี้ถ้าไม่เปิด cookie ก็จะไม่สามารถใช้เครื่องมืออื่นๆ ได้ จึงอยู่ในเงื่อนไข 2
Cookie ที่ไม่ได้รับการยกเว้น
- Social plug-in tracking cookies
เรื่องนี้จะดูคล้ายๆ ในหัวข้อก่อน แต่ว่าเป็นกรณีที่ใช้ Cookie ในการ track คน อันนี้จะต้องขอความยินยอมก่ออน
2. 3rd party advertising
เป็น cookie ที่ใช้สำหรับการโฆษณา โดยอาจจะเป็นการดูความถี่การเข้าถึงข้อมูล, ข้อมูลการเงิน, การกด link, ฯลฯ
3. First Party Analytics
เป็น cookie ที่เก็บข้อมูลการใช้งานของผู้ใช้
ดังนั้น ถ้าใครต้องออกแบบเว็บไซต์ เราจำเป็นต้องรู้เรื่องนี้บ้าง โดยเฉพาะถ้าเราต้องมีการติดต่อสื่อสารกับทางยุโรป จะได้ไม่มีความเสื่ยงในการทำผิดกฎหมายได้ครับ
ที่มา
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf