Vuoden 2020 alussa Google ilmoitti aikeistaan estää kolmannen osapuolen evästeet Chrome-selaimessa kahden vuoden kuluessa. Heinäkuussa 2022 teknologiajätti ilmoitti viivästyttävänsä kolmannen osapuolen evästeiden käytöstä poistamista Chrome-selaimessa vuoteen 2024 asti, eli noin vuoden verran alkuperäistä aikataulua myöhemmin.
Chrome-selaimen valtavan käyttäjäkunnan vuoksi muutos tulee vaikuttamaan merkittävästi digitaalisen mainonnan ekosysteemiin. Tällä hetkellä kolmannen osapuolen evästeet ovat tärkeässä roolissa esimerkiksi mainonnan kohdentamisessa, mittaamisessa ja mainoshuijauksien estämisessä.
Heti Googlen ilmoituksen jälkeen alkoivat spekulaatiot siitä, mikä tulee korvaamaan kolmannen osapuolen evästeet tulevaisuudessa. Tässä tekstissä avaamme hieman Googlen ehdotusta aiheen tiimoilta. Mutta otetaanpa alkuun kuitenkin vielä pieni kertaus siitä, mikä eväste oikeastaan edes on?
Mikä on eväste?
Eväste (cookie) on pieni tekstitiedosto, jonka selain tallentaa käyttäjän laitteelle. Evästeitä käytetään esimerkiksi silloin, kun käyttäjän tietoja halutaan säilyttää tämän siirtyessä verkkopalvelun sivulta toiselle. Ensimmäisen osapuolen evästeet tallennetaan suoraan siltä verkkosivustolta, jolla käyt. Lisäksi verkkosivusto saattaa käyttää ulkopuolisia palveluja, jotka tallentavat omia evästeitään. Näitä kutsutaan kolmannen osapuolen evästeiksi. Evästeet eivät sisällä käyttäjien henkilötietoja eikä niitä sellaisenaan käytetä yksittäisten käyttäjien tunnistamiseen. Osa evästeistä vanhenee sivuston käyttöistunnon päättyessä, toiset taas säilyvät laitteessa kauemmin.
Evästeitä käytetään lukuisiin eri tarkoituksiin. Evästeet mahdollistavat verkkosivujen toimintojen käytön sekä parhaan mahdollisen käyttökokemuksen. Esimerkiksi kun selaimeen on tallennettu tieto kävijän kielivalinnasta ja laitteesta, pystytään hänelle tarjoamaan suoraan sopivan kielistä ja laitteeseen soveltuvaa sivuversiota ja näin helpottaa sivuston käyttöä. Evästeet mahdollistavat myös mm. erilaisten seurantatyökalujen toiminnan sekä sisältöjen, tarjousten, toiminnallisuuksien ja mainosten personoinnin kävijäkohtaisesti.
Privacy Sandbox
Googlen ajatus on korvata evästeet selainpohjaisilla avoimilla standardeilla, joiden lopullisen muodon löytämiseksi on käynnistetty "Privacy Sandbox" -hanke. Elokuussa 2019 käynnistyneen avoimen lähdekoodin aloitteen on kiistatta sanottu olevan Googlen vastaus kasvavaan paineeseen yksityisyydensuojan parantamiseksi, mainonnalla rahoitettujen sisältöjen varmistamiseksi sekä mahdollisesti myös muiden toimijoiden evästeiden estämiseksi. Googlen mukaan tavoitteena on luoda turvallinen standardi personoinnin mahdollistamiseksi käyttäjien yksityisyyttä kunnioittaen. Google kertoo, että tavoitteen saavuttaminen vaatii uusia lähestymistapoja sen varmistamiseksi, että jatkossakin voidaan esimerkiksi näyttää kävijälle soveltuvaa mainontaa.
Privacy Sandbox -hankkeessa sivustojen ja mainostajien välillä jaettavat tiedot pyritään minimoimaan ja tallentamaan aikaisempaa suurempi osa kävijätiedoista ainoastaan kävijän laitteelle. Googlen hankkeessa visioidaan mm. mainonnan kohdentamisesta ja konversioiden mittaamisesta yksityisyyttä suojaavien rajapintojen (API) kautta selainympäristössä. Rajapintoja on kaavailtu lukuisia erilaisia, joista jokainen täyttäisi eri tarpeita. Näitä rajapintoja hyödyntäisivät kaikki sidosryhmät.
Googlen ehdotukset rajapinnoista (API)
Tilanne ehdotuksista saattaa elää nopeastikin, tiedot on päivitetty 28.9.2023.
Mainonnan ja sisällön kohdentaminen:
- The Topics API - On suunniteltu mahdollistamaan kiinnostukseen perustuva mainonnan kohdentaminen selaimessa. Topicsin toiminta perustuu käyttäjän viimeaikaisiin selaintoimintoihin sekä sivustojen kategorisointiin. Näitä kategoriota mainostajat voivat sitten hyödyntää kohdentaessaan kävijälle soveltuvampaa mainontaa. Topics API:n alkuperäiset testaukset alkoivat vuoden 2022 ensimmäisen neljänneksen lopussa, ja se tuli yleisesti saataville syyskuussa 2023.
- Turtledove API - Rajapinta on suunniteltu tukemaan mainonnan kohdennusta ja uudelleenkohdennusta siten, että kolmansien osapuolten ei ole mahdollista seurata käyttäjien selauskäyttäytymistä eri sivustojen välillä. Tavoitteena on siirtää mainoshuutokaupat palvelimilta suoraan selaimiin. Protected Audience API on ensimmäinen kokeilu, joka on toteutettu Chromiumissa osana TURTLEDOVE-ehdotusten sarjaa. Muita TURTLEDOVE ehdotuksia ja keskustelua niistä löytyy: W3C Web Advertising Business Group.
- FLoC API - Rajapinnan tavotteena oli luoda suuria ryhmiä, tai "kohortteja", käyttäjistä, joilla on samanlaiset selaustottumukset. Tämän strategian tarkoituksena oli sulauttaa yksilöt tehokkaasti muiden samanlaisista asioista kiinnostuneiden joukkoon. FLoC-tekniikan kehittäminen päättyi kuitenkin vuonna 2021.
Petosten estäminen:
- Private State Tokens API – Tämän rajapinnan avulla julkaisijat pystyisivät varmentamaan todelliset käyttäjät ilman seurantatekniikkaa eli se on Googlen vaihtoehto CAPTCHA:lle. Rajapinnan ideana on, että kun kävijä olisi suorittanut sivustolla toimintoja, joihin perustuen Private State Tokens API uskoisi käyttäjän olevan todellinen ihminen, tallentaisi se käyttäjän selaimeen tunnuksen. Selaintunnuksen avulla yksittäistä kävijää ei voitaisi seurata vaan se ainoastaan lukoittelisi kävijän todelliseksi ihmiseksi. Tunnus säilyisi käyttäjän selaimessa, joka mahdollistaisi tiedon siirtymisen verkkosivulta toiselle. Private State Tokens API:n testit alkoivat alkuvuodesta 2021, testit ovat päättyneet ja rajapintaa päivitetään uusien versioiden ja tunnustyyppien mukaan.
Kampanjoiden seuranta:
- Attribution Reporting API – Rajapinta mahdollistaisi kampanjoiden suorituskykyyn liittyvien tietojen keräämisen ilman käyttäjän seurantaa. Tiedot tulisivat sisältämään mm. tavoittavuuden, katselut, mainosnäytöt ja paljon muuta tietoa tiivistettynä yhteen raporttiin. Rajapinta tekisi mahdolliseksi tietojen tallentamisen selaimeen ja tietojen välittämisen edelleen mainostajan järjestelmiin. Tähän rajapintaan on kaavailtu useita eri ominaisuuksia, ja ne ovat yleisesti saatavilla syyskuusta 2023 lähtien. Tätä rajapintaa kehitetään edelleen jatkuvasti ekosysteemin palautteeseen perustuen.
Yksityisyyden parantaminen sivustojen välillä:
- First-Party Sets API - Tämän rajapinnan avulla voitaisiin ilmoittaa sivustojen väliset suhteet, jotta selaimet voisivat sallia rajoitetun kolmansien osapuolten evästeiden käytön tiettyihin tarkoituksiin. Käytännössä FPS olisi kokoelma Chromelle ilmoitettua verkkotunnuksia, joista yksi olisi asetettu ensisijaiseksi (primary) ja muut jäseniksi (member). First-Party Sets olisi ratkaisu tapauksiin, joissa on tarpeen jakaa yhtäläinen sign on- identiteetti eri ylätason sivustojen välillä.
- Shared Storage API - Estääkseen käyttäjien seurannan sivustojen välillä, selaimet osioivat kaikki tallennusmuodot (evästeet, localStorage, välimuistit jne.). On kuitenkin olemassa useita laillisia käyttötapauksia, jotka perustuvat osoimattomaan tallennukseen. Shared Storage API mahdollistaisi sivustojen tallentaa ja hyödyntää osioimatonta sivustojen välistä tietoa.
- CHIPS API - CHIPS (Cookies Having Independent Partitioned State) -rajapinta mahdollistaisi kehittäjille evästeen valitsemisen "osioituun" tallennukseen jokaista ylätason sivustoa kohten. CHIPS:in tavoitteena olisi sallia evästeiden asettaminen kolmannen osapuolen palvelun toimesta, mutta niitä voitaisiin lukea vain sen ylätason sivuston yhteydessä, jossa ne alun perin asetettiin.
- Fenced Frames API - Fenced Frame olisi iframen kaltainen HTML-elementti upotetulle sisällölle. Se tarjoaisi kehittäjille keinon eristää sisältöä ja toimintoja luomalla suojatun ympäristön. Fenced Framesin avulla mainostajat voisivat esimerkiksi näyttää mainoksia turvallisesti ilman, että he pääsisivät käsiksi käyttäjän henkilökohtaisiin tietoihin. Lisäksi Fenced Frames voisi auttaa web-sovellusten kehittäjiä suojaamaan käyttäjiään haitallisilta kolmannen osapuolen skripteiltä ja sisällöltä.
- Federated Credential Management API - Federated Credentials Management (FedCM) olisi rajapinta, joka helpottaisi kolmannen osapuolen todennus- ja tilapalveluiden integrointia selaimiin. FedCM:n tavoitteena olisi tarjota turvallisempi ja yksityisyyttä kunnioittava tapa hallita käyttäjien todennustietoja eri palveluissa. Tämän rajapinnan avulla kehittäjät voisivat yhdistää eri palveluntarjoajien todennustietoja yhteen paikkaan, vähentäen käyttäjien tarvetta muistaa useita salasanoja yksityisyyttä sekä tietoturvaa edistäen.
Konversioseurannan rajoittaminen:
Käyttäjät voivat jossain määrin hallita selaimessa käytettäviä resursseja, kuten evästeitä, mutta toisaalta on myös muita selaimen osia, jotka mahdollistavat käyttäjien seurannan ja tunnistamisen ilman valvontaa. Nämä menetelmät hyödyntävät monimutkaisia selaimen yksityiskohtia, jotka usein jäävät käyttäjien huomaamatta ja vaikeuttavat niiltä suojautumista. Tästä syystä Chrome on ehdottanut useita teknologioita, joiden avulla pyritään purkamaan nämä piilotetut tiedonseurannan kanavat. Näihin ehdoituksiin sisältyvät tällä hetkellä User-Agent Client Hints, User-Agent Reduction, DNS-over-HTTPS, IP Protection, Privacy Budget, Storage Partitioning, Network State Partitioning, sekä Bounce Tracking Mitigations.
Kaikkien edellä mainittujen verkkosivustojen välisen yksityisyyden parantamiseen tarkoitettujen API:en testaus on aloitettu osittain rajoitetulle yleisölle vuosina 2021-2022. Toukokuussa 2023 Google ilmoitti aikomuksestaan tehdä kohdentamis- ja mittaus-rajapinnat yleisesti saataville kaikille käyttäjille heinäkuuhun mennessä, mahdollistaen kehittäjille laajamittaisten testaamisen. Syyskuussa 2023 Google ilmoitti, että rajapinnat ovat nyt kaikkien yleisesti saatavilla.
Spekulaatiot ja asteittainen aloittaminen
Google on sitoutunut avoimeen yhteistyöhön varmistaakseen, että Privacy Sandbox -projekti hyödyttää kaikkia sidosryhmiä. He ovat myös avoimia yleiselle palautteelle ja ehdotuksille liittyen sovellusliittymärajapintoihinsa (API).
Kriitikot ovat epäilleet, että Google haluaisi ainoastaan hallita digitaalista mainontaa nykyistä paremmin. Ainakin periaatteessa siirto on harkittu ja järkeenkäypä lähestymistapa, jossa hyödynnetään vahvuuksia – laaja ekosysteemi yhdistettynä tehokkaisiin tiedonkeruu- ja hallintamahdollisuuksiin – jolla pyritään säilyttämään Googlen määräävä markkina-asema.
Yhteistä tunnistetta, joka olisi myös alan toimijoiden käytettävissä, on enteilty Googlen Privacy Sandbox -hankkeen lopulliseksi tavoitteeksi. Maaliskuussa 2021 Google kuitenkin vahvisti, että kun kolmannen osapuolen evästeiden tuki loppuu, he eivät tule luomaan vaihtoehtoisia tunnisteita yksilöiden seuraamiseksi eivätkä tule käyttämään sellaista tuotteissaan.
Toukokuussa 2023 Google paljasti, että Chrome aikoo aloittaa evästeiden asteittaisen poistamisen 1 %:sta satunnaisesti valitusta käyttäjäryhmästä vuoden 2024 ensimmäisellä neljänneksellä ja laajentaa evästeiden poistamista vähitellen useampiin käyttäjiin vuoden edetessä.
Edessä vielä pitkä tie
Vaikka Chrome selaimen päivityksissä on nähty nopeitakin muutoksia (esim. fingerprintingin estäminen) on Google ilmoittanut, että tämän luokan hanke on monimutkainen prosessi ja kokemukseen perustuen ekosysteemin muutokset vievät paljon aikaa. Privacy Sandbox-ehdotukset ovat muuttuneet merkittävästi kuluneen vuoden aikana ja todennäköisesti ne tulevat muuttumaan vielä tulevaisuudessakin. Vaikka ehdotuksilla olisi potentiaalia, on edessä vielä pitkä tie.
Me Relevant Digitalilla seuraamme tilanteen kehittymistä ja avaamme sitä jatkossakin blogimme seuraajille. Hyppää mukaan kuukausittaisen uutiskirjeemme tilaajiin, niin pysyt kartalla!
