我有一个用CodeIgniter编写的网站,默认情况下,该网站在首次访问网站时会创建CI_Session cookie。客户要求将网站符合GDPR。我没有在Google Analytics(分析)旁边添加任何Cookie或本地存储。我确实在PHP会话变量中添加了一些东西,但是我不属于GDPR范围。
因此,基本上我在网站上有cookie:
- ci_session
- Google Analytics(分析cookies)
我已经有一个想法如何处理Google Analytics(分析cookie),但是CI_Session会让我感到困惑。据我了解,在第一页的负载上,绝对不允许在客户同意之前允许饼干。
我的问题是:"在用户给予同意之前,禁用CI_Session cookie的最佳方法是什么?"
*CodeIgniter版本2.1.7
看起来似乎很好奇,GDPR对cookie一无所知,除了与持续标识符有关的独奏(背景信息而不是法律)中提及。是适用的是欧盟电子隐私指令,最终将被电子隐私法规所取代(" EPR")。英国ICO在EPD下的Cookie指南说:
如果:
有豁免cookie的唯一目的是通过电子通信网络进行通信的传输;或
cookie严格来说是提供订户或用户要求的"信息社会服务"(例如通过互联网上的服务)的必要条件。请注意,满足他们的请求必须是必不可少的 - 有用的或方便但不是必需的饼干,或者仅对您自己的目的至关重要,仍然需要同意。
这意味着您不太可能需要同意:
饼干用于记住用户希望在网上篮子中添加商品或在互联网购物网站上进行结帐的商品;
会话cookie提供的安全性对于符合用户要求的在线服务的数据保护安全要求至关重要 - 例如在线银行服务;或
负载平衡的cookie通过在几台计算机上分配工作负载来确保页面的内容快速有效地加载。
请注意,在此定义下,Google Analytics(Google Analytics(Analytics))不太必要;不过,这不仅与cookie有关 - 未经同意而言要预防的是跟踪,其中哪种cookie只是一种实施的方法,即使他们确实确实是在跟踪Google的JavaScript,也确实是在跟踪未设置cookie(可以将GA设置为执行)。
虽然在初次访问中根本不应该设置cookie,但在任何机会征得同意之前,第一方会话cookie for Authentication 肯定 严格符合"严格必要"出于技术目的,因此首先不需要同意。无论如何,当窗口关闭时,会删除会话cookie(根据定义),但是您也可以通过在注销上设置一个清晰的位置数据标头来抢占。
参考Codeigniter如何处理此操作,我会说值得一个错误报告或避免调用任何会在登录之前启动会话的任何内容。