Kolmannen osapuolen evästeet saivat lisäaikaa Googlen pyörrettyä päätöksensä poistaa ne Chrome-selaimestaan. Tulevaisuuden suuntaus lienee kuitenkin selvillä, ja evästeiden katoaminen on käytännössä vain ajan kysymys. Googlen Privacy Sandbox -hanke lupaa keinoja mainonnan kohdentamiseen myös evästeiden kuoleman jälkeen. Lisäksi hankkeen tavoitteena on käyttäjän tietosuojan parantaminen. Mitä Privacy Sandbox sisältää? Pitäisiköhän hiekkalaatikolle lähteä jo tutustumaan?
Kolmannen osapuolen evästeet tekevät hidasta kuolemaa. Suurista mainosalustoista Apple on tiensä valinnut jo aikoja sitten. Googlella sen sijaan tuntuu olevan ongelmia evästeettömään maailmaan siirtymisessä, ja evästeiden poistamista Chrome-selaimesta on lykätty jo lukuisia kertoja. Heinäkuussa Google ilmoitti muuttavansa suuntaa täydet 180 astetta ja jatkavansa evästeiden tukemista myös jatkossa. Google elää mainostulojen varassa ja lienee huomannut, että evästeet korvaavaa teknologiaa ei saada käyttöön riittävän nopeasti ja evästeiden hylkäämisestä aiheutuvat tulonmenetykset ovat ihmisten yksityisyyden suojaa tärkeämpiä.
Vastauksena tietosuojahuoliin Google on suunnitellut, että Chromen käyttäjät saisivat itse valita, haluavatko he jatkaa evästeiden käyttöä. Google on käytännön toteutustavasta vaitonainen kertoen ainoastaan, että käyttäjät voivat tehdä ”tietoisen valinnan” (informed choice). Arvausten perusteella kyseessä voisi olla Applen ”Ask App Not to Track” -tyylinen valinta tai suppea hyväksyntäikkuna, jollaista Google käytti alkuvuodesta testatessaan kolmannen osapuolen evästeiden poistamista yhdellä prosentilla Chromen käyttäjistä.
Todellisuudessa harva selaimenkäyttäjä lienee kiinnostunut yksityisyyden suojastaan tarpeeksi, että näkisi vaivaa asian tutkimiseen ja eri vaihtoehtojen selvittämiseen. Mikäli käyttäjä pakotetaan valinnan eteen, harva oikeasti ymmärtää, mihin tulee antaneeksi luvan. Siksi selainvalmistajien oletusarvot ja valintaikkunassa esitettävän tekstin muotoilu ovatkin ensiarvoisen tärkeitä, sillä suurin osa käyttäjistä tekee päätöksen niiden perusteella. Tämä on nähty myös evästekyselyissä, jotka koetaan lähinnä esteiksi ja vain klikataan nopeasti pois tieltä sen ihmeemmin tutustumatta.
Keksien jälkeen hiekkalaatikolle
Evästeiden kuolema aiheuttaa myös ongelmia. Evästeistä puhuttaessa keskitytään usein vain niiden haittoihin ja unohdetaan, että evästeistä on myös paljon hyötyä. Evästeet on alun perin kehitetty ihan oikeaan tarpeeseen. Nämä tarpeet tulee kyetä täyttämään myös evästeiden kuoleman jälkeen. Google on jo viiden vuoden ajan viritellyt Privacy Sandbox -hanketta, joka sisältää useita tekniikoita ja toimintoja, joilla evästeet voidaan korvata. Useimmissa näistä korostuu selaimen rooli käyttäjän tietojen vartijana.
Evästeiden muuttuessa käyttökelvottomiksi pelkona on, että käyttäjiä pyritään tunnistamaan salakavalilla menetelmillä kuten selaimen tiedoista kerätyllä digitaalisella sormenjäljellä. Privacy Sandbox pyrkiikin edistämään myös muita tietosuojaa parantavia tekniikoita ja tätä kautta tarjoamaan turvallisemman ja yksityisyyttä paremmin varjelevan mahdollisuuden netin käyttämiseen, kuitenkin niin, että myös mainostajilla ja mainosrahoitteisuuteen nojaavilla verkkopalveluilla on mahdollisuus kannattavaan liiketoimintaan verkossa. Googlen visiona on tuoda Privacy Sandbox osaksi W3C-standardia, jota kaikki muutkin toimijat noudattaisivat.
Mainostajille Privacy Sandbox tarjoaisi mahdollisuuden mainosten kohdentamiseen ilman, että käyttäjän henkilöllisyys paljastuu.
Tavoitteena on järjestely, jossa selain (ei mainostaja tai mainostilan myyjä) tietää, mistä aiheista käyttäjä on kiinnostunut. Selain voisi mm. valita mielenkiintoisia mainoksia käyttäjälle näytettäväksi sen perusteella, millä sivuilla käyttäjä on aiemmin vieraillut ilman, että mainostajan tai mainostilan tarjoajan tarvitsee tuntea käyttäjän selaushistoriaa. Googlen kesällä julkaiseman tutkimuksen mukaan Privacy Sandbox voi auttaa pelastamaan osan mainonnan ohjelmallisen ostamisen tuloksista, joka muuten kolmannen osapuolen evästeiden poistumisen myötä hävittäisiin, mutta muuten tulokset eivät juuri antaneet aihetta juhlaan – ainakaan vielä tässä vaiheessa.
Tarjolla useita uusia leluja
Privacy Sandboxin hiekkalaatikko koostuu useista eri toiminnoista, joista tässä mainostajien kannalta kiintoisimmat:
- Topics – Mahdollistaa mainonnan kohdentamisen
Selain tallentaa yleisimmät aihepiirit, joihin kuuluvilla sivustoilla käyttäjä vierailee, ja tarjoilee näitä teemoja mainostajien käyttöön mainonnan kohdentamista varten. Urheiluaiheisilla sivustoilla vieraileva käyttäjä näkee siis enemmän urheiluaiheisia mainoksia. Selaimen asetuksissa käyttäjä voi itse poistaa listalta aiheet, joiden mainoksia hän ei halua nähdä. Topics tunnettiin aiemmin nimellä Federal Learning of Cohorts tai FLoC. Mikäli Chrome-selaimessasi on aktivoitu mainonnan asetukset (chrome://settings/adprivacy), voit tarkistaa selaimesi tallentamat aihepiirit kirjoittamalla selaimeen chrome://topics-internals/ - Protected Audience – Mahdollistaa uudelleenmarkkinoinnin
Kun käyttäjä vierailee sivulla, joka haluaa mainostaa tuotteitaan, selaimeen tallentuu tästä tieto. Kun käyttäjä tämän jälkeen vierailee sivulla, joka myy mainostilaa, selain tarjoaa tallennettuja tuotteita mukaan mainoshuutokauppaan. Selain toimii siis välittäjänä mainostajan ja mainostilan myyjän välillä. - Attribution Reporting – Mittaamista ja raportointia
Kun selain toimii mainosten välittäjänä, se voi auttaa myös markkinoinnin tehon mittaamisessa ja raportoinnissa tietoturvallisella tavalla aina konversioihin saakka. Käytännössä selain hoitaa sen homman, minkä evästeet ovat hoitaneet tähän asti. Selain kuitenkin suojaa käyttäjän henkilöllisyyttä toimittamalla raportit koosteina ja pienellä viiveellä, jotta yksittäistä käyttäjää ei pystytä tunnistamaan.
Näiden lisäksi Privacy Sandbox sisältää runsaasti työkaluja ja tekniikoita mm. verkkosivujen keskinäiseen tiedonvaihtoon, kirjautumiseen sekä tietoturvan kehittämiseen käyttäjän henkilöllisyyttä suojaamalla:
- Privacy State Tokens – ”Olen ihminen, en robotti!”
Ihmiskäyttäjän erottamiseksi robotista verkkopalvelu voi tallentaa luotettujen käyttäjiensä selaimeen tunnisteen, jota selain voi edelleen tarjota muille sivustoille käyttäjän ihmisyyden varmistamiseksi. Tunniste ei sisällä käyttäjän henkilöllisyyttä eli sen avulla ei ole mahdollista saada selville, kuka käyttäjä todellisuudessa on. - Federated Credential Management – ”Kirjaudu palvelun X tunnuksilla”
Jokaiseen verkkopalveluun ei tarvita omaa käyttäjätunnusta ja salasanaa, mikäli palveluun voi kirjautua käyttämällä keskitettyä tunnistuspalvelua. Nykyiset kertakirjautumiset käyttävät usein kolmannen osapuolen evästeitä. FedCM tuo selaimeen mahdollisuuden valita kirjautumisessa käytettävän tunnistuspalvelun, jolloin evästeitä ei tarvita. - User-Agent Reduction, Client Hints
Pienentämällä ja suojaamalla selaimen lähettämän user-agent-tunnisteen mukana välitettävää tietoa ja kyselemällä tiedot tarvittaessa suoraan selaimelta voidaan vaikeuttaa digitaalisen sormenjäljen luomista ja sitä kautta käyttäjän tunnistamista hänen tahtomattaan. - Fenced Frames, Shared Storage, Related Website Sets, CHIPS, DNS-over-HTTPS
Privacy Sandbox kattaa lukuisia teknisiä menetelmiä, joiden avulla tietojen tallentamista ja oikeuksia tallennetun tiedon lukemiseen voidaan hallita ja rajata, jotta tietoon pääsevät käsiksi vain asiaankuuluvat tahot. Näin varmistetaan, että kukin pysyy omalla tontillaan.
Kaikki Privacy Sandboxin ominaisuudet on hyvin selitetty hankkeen omalla verkkosivulla.
Pukki kaalimaan vartijana?
Googlen ilmoitus evästeiden tuen jatkamisesta vetää kuitenkin mattoa Privacy Sandboxin alta. Vaikka Google vakuuttaakin jatkavansa Privacy Sandboxin kehittämistä, muilla toimijoilla ei välttämättä ole halua investoida aikaa ja rahaa uuden tekniikan käyttöönottoon. Pakko on paras motivaattori, ja jos evästeitä voi edelleen popsia vanhaan malliin, syytä hiekkalaatikolle lähtemiseen ei ole. Vielä viiden vuoden kehityksenkin jälkeen Privacy Sandbox on edelleen keskeneräinen ja monet kriitikot epäilevät jo sen kykyä suoriutua haasteesta. Kilpailevat selainvalmistajat ovat myös suhtautuneet hankkeeseen nuivasti.
Privacy Sandbox on lisäksi saanut runsaasti kritiikkiä myös tietosuojasta huolestuneilta. Selaimen rooli tietosuojan vartijana on merkittävä ja kukapa selaimen (ja sen keräämät tiedot) omistaakaan? Googlen Chrome-selaimen markkinaosuus on yli 65 prosenttia. Pelkona on, että Google itse pääsisi selaimensa kautta käsiksi kaikkiin käyttäjän henkilötietoihin samalla, kun se estää muita osapuolia keräämästä tätä tietoa.
Pahimmillaan Privacy Sandbox voisi muodostua evästeitäkin pahemmaksi uhaksi käyttäjien tietosuojalle.
Niin kauan kuin selainvalmistajalla on valtava osuus maailman mainosmarkkinoista, eturistiriitaan liittyvät huolet tulevat aina olemaan läsnä (tämä koskee toki myös Applea). Brittiviranomaiset CMA ja ICO ovatkin ottaneet Privacy Sandboxin tutkintaan mahdollisten kilpailunrajoituksen riskien selvittämiseksi.
Joko puetaan kurahousut eli tarvitseeko Privacy Sandboxiin jotenkin varautua?
Vielä ei ole aika etsiä hiekkalapiota, sillä keksejä on yhä tarjolla. Tällä hetkellä Privacy Sandbox on vielä rajoitetussa testikäytössä Googlella sekä valikoiduilla kumppaneilla, ja sen tulevaisuus ja aikataulu ovat vähintäänkin epävarmoja. Kuitenkin, kuten Googlen U-käännöksestä on havaittavissa, tilanne saattaa muuttua nopeastikin.
Tietosuojaruuvi kiristyy silti jatkuvasti ja kolmannen osapuolen evästeiden kuolema koittaa joko ennemmin tai – Googlen suunnanmuutoksen ansiosta – hieman myöhemmin. Joka tapauksessa luotettavan brändin markkinointistrategian tulisi nojata myös muuhun kuin evästeiden (tai Privacy Sandboxin) tarjoamaan tarkkaan kohdentamiseen.
Haluttuja kohdeyleisöjä on mahdollista tavoitella myös muilla menetelmillä, kuten kohdentamalla markkinointia kohderyhmää kiinnostavien sisältöjen yhteyteen tai omien asiakas- tai osallistujarekistereiden avulla. Sosiaalisen median alustat voivat jatkossakin hyödyntää kovan tunnistautumisen tuomia hyötyjä ja käyttäjien itsestään antamia tietoja kohdentamisessa, ja Conversions APIn kaltaisten uusien tekniikoiden mahdollisuudet kannattaa ehdottomasti selvittää.
Aina kohdentamista ei edes tarvita. Myös perinteisellä ison pensselin broadcast-markkinoinnilla on edelleen paikkansa brändimielikuvan luojana ja tarinoiden kertojana. Nämä keinot ovat toimineet jo sata vuotta ennen evästeiden keksimistä. Pitkäjänteinen brändiin panostaminen on samalla varautumista tuleviin muutoksiin, joista vahvalla brändillä on paremmat mahdollisuudet selviytyä kuivin jaloin. Brändiin tehdyt investoinnit maksavat itsensä nopeasti takaisin, kun brändin arvoa voidaan ulosmitata ja käyttää hyödyksi toimintaympäristön muuttuessa.
Käsittelemme mainonnan kohdentamista tarkemmin blogissamme myöhemmin – pysy kuulolla!
