Analytiikka jatkuu vaikka evästeet kiellettäisiin kokonaan

Miksi evästeestä tehtiin kävijäseurannan syntipukki?

Kirjoitin muutama päivä sitten blogin otsikolla "Analytiikka jatkuu vaikka evästeet kiellettäisiin kokonaan". Aihe tuntuu jonkin verran kiinnostavan, sillä blogilla on nyt ollut yli 1000 lukijaa ja Facebookin Markkinointikollektiivissa sille kertyi parissa päivässä yli 50 tykkääjää.

Ilmeisesti aihe koettiin tärkeäksi, ja monelle näyttää tulleen täysin uutena asiana se, että evästeet eivät itse asiassa kerää käyttäjistä mitään dataa. Ne ainoastaan antavat selaimelle "numerolapun", eli numero/kirjainmerkkijonon, kuten 4IzrDFqcshaOmMOtb2W3Zfx7, joka on esimerkki todellisesta evästeestä.

Eväste on siis tunniste, jonka perusteella palvelin voi tunnistaa, onko kävijä vieraillut palvelussa aiemmin, ja jos on, voidaan yhdistää käyttäjään sivuston palvelimelle tallennettuja käyttäjätietoja, jotka on saatu ihan muulla tiedonkeruuteknologialla kuin evästeillä. Esimerkiksi palvelin kaivaa tietokannoistaan esille nimesi, jolla vaikkapa Amazon tervehtii Sinua etusivullaan. Ei sitä nimitietoa ole evästeessä, mutta evästeen avulla Amazon tietää, että juuri Sinä olet palannut palveluun, ja kaivaa tietokannoistaan nimesi ja ostohistoriasi, joiden perusteella personoi etusivunsa juuri Sinulle.

Vielä vähemmän voitaisiin väittää, että se eväste on kerännyt tietosi nimestäsi. Kyllä Sinä olet sen ihan itse antanut Amazonin tietokantoihin, kun olet kirjautunut palvelun käyttäjäksi. Ja ei, Amazon ei todellakaan tallenna nimitietoasi evästeeseen. Mutta kun olet saanut Amazonista evästeen, sen "numerolapun", niin tämän numerolapun avulla Amazon kaivaa aiemmin palvelimelle antamasi nimitiedon, kun palaat palveluun.

Mistä johtuu, että väitetään, että "evästeet keräävät tietoa"?

Jos kerran eväste ei kerää yhtään mitään tietoa, vaan on pelkkä numerolappu selaimelle, niin miksi kaikkialla väitetään, että "evästeet keräävät Sinusta tietoa" tai "vakoilevat" tai "seuraavat" käyttäytymistäsi? Tietenkin juuri siitä syystä, että evästeet ovat tänä päivänä se tunnistetieto, jonka avulla palvelimet yhdistävät tietokannoistaan niitä tietoja, joita palvelimet ovat Sinusta keränneet. Olet itse antanut nimesi ja osoitteesi Amazonille palveluun kirjautumisen yhteydessä, ja Amazon on tallentanut tietokantoihinsa ostohistoriasi, sekä mistä asioista olet kiinnostunut. Kaikki nämä tiedot tietenkin säilyvät Amazonin tietokannoissa, vaikka kuinka tuhoaisit evästeesi!

Web-analytiikka tallentaa kävijälokitietoa, jota selaimet välittävät palvelimille eli servereille, joita kutsut, aina kun kirjoitat selaimeesi URL:in eli Web-osoitteen, jonne haluat selaimellasi siirtyä, tai kun klikkaat linkkiä, joka johtaa haluamallesi sivustolle. Kaikki tämä lokitieto kerätään niiden kutsujen yhteydessä, joita teet, kun selaimellasi kutsut eri sivustoja. Vaikka estäisit kaikki evästeet, joita palvelimet lähettävät selaimellesi, kutsusi on jo mennyt palvelimelle, jolla ylläpidetään sivustoa, jota kutsuit. Ja kun selaimesi avaa sivun, avautuvan sivun lähdekoodissa on usein myös kutsu 3. osapuolen mittauspalvelimelle, kuten Google Analyticsille, ja samat palvelinkutsun tiedot välittyvät kutsustasi myös Googlelle. Voit estää Googlen evästeet, mutta se ei estä sitä, että palvelin on jo kutsunut Googlen mittauspalvelinta, ja Google on jo saanut lokitietosi. Voit jopa estää kaiken liikenteen Googlen palvelimille. Sekään ei estä sitä, että kutsut eri sivustoille lähettävät lokitietosi väistämättä kaikille niille palvelimille, jotka ylläpitävät kutsumiasi sivustoja.

Et voi estää lokitietojen tallennusta palvelimelle, joita kutsut selaimellasi

Liki kaikissa tietosuojalausekkeissa, joita yritykset lakimiehineen ovat naputelleet sivuilleen voimassaolevan lainsäädännön vaatimuksesta, väitetään, että "evästeiden avulla keräämme" tietoa kävijöistä tai että "evästeiden avulla tallennetaan" tai "evästeisiin tallennetaan" näitä tietoja. Ei kerätä, eikä tallenneta. Evästeisiin ei tallenneta näitä tietoja, ja estämällä evästeet et millään tavalla estä tätä lokitietojen lähettämistä ja tallentamista. Vaikka estäisit kaikki mahdolliset evästeet, niin 1. osapuolen kuin 3. osapuolen evästeet kategorisesti, niin edelleen lähetät kutsuja eri palvelimille aina kun selaimellasi pyydät eri verkkopalvelujen sivuja omalle päätelaitteellesi. Ilman IP-osoitetta et koskaan voisi saada noita tietoja takaisin omalle päätelaitteellesi, sillä vain siitä IP-numerostasi tiedetetään, kenelle kutsuttu sivu tiedostoineen tulee lähettää!

Sekä eväste että IP-osoite ovat tunnistetietoja, ja molempia niistä pidetään nykyisin "henkilötietoina" lainsäädännössä. Näin siitäkin huolimatta, että kummankaan avulla yksin ei voida yksilöidä henkilöä, joka on saanut yksittäisen evästeen tai IP-osoitteen päätelaitteelleen. Sekä evästeet että IP-osoitteet voivat vaihtua moneen kertaan päivässä, eikä yksittäisestä evästeestä tai IP-numerosta voida aukotta tunnistaa käyttäjää; ei edes Internet-operaattori, jonka pitää laskutussyistä tietää, kenelle mikäkin dynaamisesti vaihtuva IP-osoite kuuluu milläkin hetkellä. Käytännössä kuitenkin esim. kotitaloudessa tai yrityksessä saman IP-osoitteen takana voi olla lukuisia eri ihmisiä, jotka käyttävät samaa IP-osoitetta. Evästeet auttavat nimenomaan tunnistamaan eri päätelaitteita (selaimia) samankin IP-osoitteen takana, mutta pelkästä evästetiedosta on mahdoton päätellä, kenelle se on lähetetty. Mutta tietenkin esimerkiksi Amazon tai muu verkkokauppa, jolle olemme antaneet yhteystietomme, pystyy tarkistamaan ja yhdistämään evästeet ja tietokantansa tiedoista niin nimemme, kuin muut henkilötietomme - ja siksi juridisesti IP-osoite ja eväste ovat tänä päivänä henkilötietoja.

Tiedonkeruu ja evästeet kaksi täysin eri asiaa

Edellä kuvatun mukaisesti evästeisiin voidaan yhdistää monenlaista henkilötietoa ja kiinnostustietoa yksittäisistä ihmisistä. Siksi tietosuojalausekkeisiin ja yleiseen kielenkäyttöön nämä asiat on yhdistetty, ja puhutaan siitä, kuin evästeet "keräisivät" dataa ja niihin "tallennettaisiin" tietoja, vaikka evästeet, tiedonkeruu ja tietokannat ovat täysin erillisiä asioita. Eväste on yksi tunnistetieto siinä missä IP-osoitekin. En ole vielä koskaan lukenut yhtään tietosuojalauseketta tai blogia, jossa olisi kerrottu, miten IP-osoitteiden avulla kerätään ja niihin tallennetaan tietoja käyttäjistä, mutta jostain syystä evästeistä on tehty kaiken Internetissä tapahtuvan tietojen keruun ja tallentamisen synonyymi, vaikka se on pelkkä harmiton merkkijono numeroita ja/tai kirjaimia.

Miksi olisi kaikesta huolimatta tärkeää ymmärtää tiedonkeruun ja evästeiden tai muiden tunnistetietojen ero? Juuri siitä syystä, että nyt jopa lainlaatijat ja viranomaiset - politiikoista puhumattakaan - ovat ryhtyneet tarmolla määräämään, kuinka evästeet tulisi kieltää ja miten evästeet uhkaavat yksityisyyttämme. Evästeet kieltämällä emme kuitenkaan voi millään tavalla estää sitä, miten yritykset edelleen keräävät dataa palvelimilleen omista käyttäjistään, ja miten me kuluttajat ja Internet-käyttäjät itse annamme eri sivustoille itsestämme tietoja. Kuinka helposti annammekaan itsestämme vaikka mitä tietoja, jos vaikkapa mainoksessa luvataan palkintokisa, jossa arvotaan voittajien kesken yksi sadan euron lahjakortti. Tai miten moni onkaan antanut luottokorttitietonsa sivustolle, jossa luvataan yhdellä eurolla uusi matkapuhelin, tai lähettänyt rahaa huijarille, joka on juuri lähettämässä meille miljoonia dollareita, kunhan vain maksamme pienen toimituskulun.

Älä ole siis itse hölmöläinen. Älä usko siihen, että evästeet kieltämällä, tai evästeet estämällä tiedonkeruu verkossa loppuu. Evästeet eivät ole tähänkään asti keränneet meistä yhtään henkilötietoa - olet itse niitä luovuttanut.

Evästeistä on tehty verkon tiedonkeruuseen syntipukki, ja nyt esitetään naiiveja ratkaisuja, miten verkon tiedonkeruun yksityisyysongelmista päästään, kun kielletään evästeet, tai estetään evästeet selainten asetuksin, tai siirtymällä selaimiin, jotka jo tänä päivänä estävät 3. osapuolen evästeet. Mikään näistä ei estä verkossa tapahtuvaa tiedonkeruuta, koska ne evästeet eivät ole tiedonkeruun lähde.

- Ismo Tenkanen

 

 

 

 

Kommentit

Feed You can follow this conversation by subscribing to the comment feed for this post.

Verify your Comment

Kommentin esikatselu

This is only a preview. Your comment has not yet been posted.

Working...
Your comment could not be posted. Error type:
Your comment has been saved. Comments are moderated and will not appear until approved by the author. Post another comment

The letters and numbers you entered did not match the image. Please try again.

As a final step before posting your comment, enter the letters and numbers you see in the image below. This prevents automated programs from posting comments.

Having trouble reading this image? View an alternate.

Working...

Kommentoi

Comments are moderated, and will not appear until the author has approved them.

Your Information

(Name and email address are required. Email address will not be displayed with the comment.)