Файли cookie, як вони реалізовані в сучасних веб-технологіях, по суті зберігають випадково згенерований унікальний ідентифікатор, який потім пов'язується з браузером користувача під час взаємодії з певними веб-сайтами. Ці ідентифікатори не містять персональних даних за своєю суттю; однак асоціація постійного ідентифікатора з безперервною веб-активністю дозволяє збирати детальні поведінкові профілі з часом. Докази демонструють такі ключові висновки:
- Унікальні ідентифікатори у файлах cookie полегшують міжсесійне відстеження: Після призначення ідентифікатор файлу cookie дозволяє розпізнавати браузери, що повертаються, даючи змогу сайтам співвідносити кілька візитів і дій з одним профілем (Mayer & Mitchell, 2012).
- Особиста ідентифікація стає можливою завдяки збагаченню профілю: Хоча самі файли cookie не зберігають імена або прямі ідентифікатори, при поєднанні з даними, наданими користувачем (наприклад, через вхід у систему, заповнення форм), файл cookie може стати проксі-сервером для особистої ідентифікації. Цей зв'язок особливо поширений на платформах, що вимагають автентифікації (Krishnamurthy & Wills, 2009).
- Сторонні файли cookie посилюють занепокоєння щодо конфіденційності: Сторонні механізми відстеження, встановлені іншими суб'єктами, а не веб-сайтом, який відвідується, збирають дані про перегляд веб-сторінок у різних доменах. Ці дані уможливлюють потенційно інвазивне профілювання та повторну ідентифікацію, навіть без явної згоди користувача (Englehardt & Narayanan, 2016).
- Нормативно-правова база розглядає файли cookie як персональні дані: Згідно з GDPR та CCPA, файли cookie, особливо ті, що дозволяють профілювати користувачів або націлювати рекламу, розглядаються як персональні дані. Перед зберіганням або доступом до таких ідентифікаторів вимагається явна згода («Регламент (ЄС) 2016/679», 2016).
- Емпіричні дослідження підтверджують ризики ідентифікації: Дослідження підтвердили, що поєднання даних файлів cookie з допоміжною інформацією з реєстраційних записів або від сторонніх брокерів може призвести до високих показників ідентифікації користувачів з високою достовірністю (Acar et al., 2014).
Отже, хоча необроблене значення файлу cookie не є явним ідентифікатором, постійні ідентифікатори у поєднанні з поведінковою та добровільно наданою інформацією можуть призвести до де-факто особистої ідентифікації. Цей ризик посилюється агрегацією даних третіх сторін та браком обізнаності чи контролю з боку користувача.
