Cookie, như được triển khai trong các công nghệ web hiện tại, về cơ bản lưu trữ một mã định danh duy nhất được tạo ngẫu nhiên, sau đó được liên kết với trình duyệt của người dùng trong quá trình tương tác với các trang web cụ thể. Các mã định danh này vốn không chứa dữ liệu cá nhân; tuy nhiên, việc liên kết một mã định danh nhất quán với hoạt động web liên tục cho phép tổng hợp các hồ sơ hành vi chi tiết theo thời gian. Bằng chứng cho thấy các phát hiện chính sau đây:
- Các mã định danh duy nhất trong cookie tạo điều kiện theo dõi chéo phiên: Một khi được gán, mã định danh của cookie cho phép nhận dạng các trình duyệt quay trở lại, cho phép các trang web liên kết nhiều lượt truy cập và hành động với một hồ sơ duy nhất (Mayer & Mitchell, 2012).
- Nhận dạng cá nhân trở nên khả thi thông qua việc làm giàu hồ sơ: Mặc dù bản thân cookie không lưu trữ tên hoặc các mã định danh trực tiếp, nhưng khi được liên kết với dữ liệu do người dùng cung cấp (ví dụ: qua đăng nhập, gửi biểu mẫu), cookie có thể trở thành một phương tiện đại diện cho danh tính cá nhân. Mối liên kết này đặc biệt phổ biến trên các nền tảng yêu cầu xác thực (Krishnamurthy & Wills, 2009).
- Cookie của bên thứ ba làm gia tăng các lo ngại về quyền riêng tư: Các cơ chế theo dõi của bên thứ ba, do các thực thể không phải là trang web đang được truy cập thiết lập, tổng hợp dữ liệu duyệt web trên nhiều tên miền. Dữ liệu này cho phép lập hồ sơ và tái nhận dạng có khả năng xâm phạm, ngay cả khi không có sự đồng ý rõ ràng của người dùng (Englehardt & Narayanan, 2016).
- Các khung pháp lý coi cookie là dữ liệu cá nhân: Theo GDPR và CCPA, cookie—đặc biệt là những cookie cho phép lập hồ sơ người dùng hoặc quảng cáo nhắm mục tiêu—được coi là dữ liệu cá nhân. Việc có được sự đồng ý rõ ràng là bắt buộc trước khi lưu trữ hoặc truy cập các mã định danh đó (“Regulation (EU) 2016/679,” 2016).
- Các nghiên cứu thực nghiệm xác nhận rủi ro nhận dạng: Nghiên cứu đã xác nhận rằng việc kết hợp dữ liệu cookie với thông tin phụ từ việc đăng ký tài khoản hoặc các nhà môi giới bên thứ ba có thể mang lại tỷ lệ nhận dạng người dùng với độ tin cậy cao (Acar et al., 2014).
Tóm lại, trong khi giá trị cookie thô không phải là một mã định danh rõ ràng, các mã định danh liên tục kết hợp với thông tin hành vi và thông tin tự nguyện cung cấp có thể dẫn đến việc nhận dạng cá nhân trên thực tế. Rủi ro này tăng cao do sự tổng hợp dữ liệu của bên thứ ba và sự thiếu nhận thức hoặc kiểm soát của người dùng.
