Cookie“清单”报告

此报告提供有关 Web 站点上各 cookie 的内容和安全性的信息,其中包括:设有 cookie 的页面的列表、用于设置 cookie 的特定 PageComponent、是否为第三方 cookie、数据返回到的域、cookie 的安全性级别以及 cookie 是否包含紧凑策略。此报告中的信息有助于评估 cookie 的使用是否符合隐私策略。

它为什么重要

会话 cookie 在访问者退出 Web 站点后或之后不久到期,因此通常不被视为隐私或安全性问题。持久 cookie 可以在计算机硬盘驱动器上存在一段指定的时期,并且由于可以将其用于跟踪访问者浏览和跟踪他们所查看的页面,因此至关重要。

cookie 是 Web 服务器放置的提供 Web 站点高级个性化的数字标识。通过使用 Cookie 来跟踪因特网用户的导航模式及其访问的 Web 站点已成为许多高度公开化的在线隐私侵害的中心。如果获取的行为信息可能会与个人身份相联系,那么这种获取信息的行动会被视为极其敏感的行动。

隐私专家的困难在于识别所有用于在线跟踪访问者的机制,以确定这些机制是否适当并且在发布的隐私策略中充分进行了描述。此问题因这些机制通常对用户不透明且隐藏在 Web 页面的源代码中而复杂化。

cookie(特别是第三方所提供的 cookie)过多或不明的使用可能会被视为欺骗性的数据收集技术,甚至可能导致用户离开您的站点。大多数 Web 浏览器都可设置为在浏览 Web 站点时检测 cookie 并在遇到 cookie 时发出警报。普遍公认的行业标准建议公司透露其 cookie 的使用,特别是由第三方广告 (ad) 服务器所执行的在线概要分析,并且允许用户选择不接收第三方 cookie。如果在线使用者知道其可做的选择以及公司的 cookie 使用规程,那么他们可能更愿意与 Web 站点进行交互。

鉴于 Electronic Communications Directive 在欧盟成员国的实施,近来跨国公司对 cookie 的控制需求已经增加,如今在这些国家需要就 cookie 的使用时间和方式提供适当的通知,并提供相关信息以允许访问者控制那些使用 Cookie 进行的信息收集。

针对 cookie 的修复和最佳做法

  • 仅在有益于用户体验并且可以衍生商业价值的情况下使用 Cookie。
  • 仅在符合下列条件时使用第三方 cookie:第三方已通过审查,实施了适当的契约保护并且提供了用户披露信息。
  • 不要收集 cookie 中的任何个人信息,因为这些信息最经常以明文形式在 Web 浏览器和 Web 服务器之间传递。
  • 确保隐私策略准确描述 Web 站点的 cookie 规程并在设有 cookie 的所有页面上都予以提供。
  • 为诸如姓名、年龄、薪水、信用卡号、SSN 或健康信息(内部网站点)之类的敏感个人信息的收集提供更高的安全保护。
  • 明确收集个人信息时的可选内容。
  • 使用会话 cookie 而不是持久 cookie。
  • 如果必须使用持久 cookie,请确保其仅包含基本信息并将任何使用不当的风险最小化。
  • 创建 P3P 精简策略,透露如何使用 cookie 收集访问者信息。
  • 检查和评估可能位于您 Web 站点上的任何第三方 cookie。

针对 P3P 精简策略的修复和最佳做法

决定是否实施 P3P 之前:

  • 组建适当的团队。成员必须充分代表法律、技术和商业利益。
  • 考虑外界认知度。可能您 Web 站点一半以上的用户已在使用 IE 6.0。当其逐渐熟悉新隐私特性并遇到已实施 P3P 的 Web 站点时,如果您的 Web 站点尚未实施 P3P,那么他们是否会将其视为隐私保证不足?
  • 执行影响分析。Web 站点运营商必须主动评估 IE 6.0 对其 Web 站点属性的影响,以确定缺少 P3P 策略是否正在造成任何副作用,包括购物车和登录不正常以及 Web 度量值误报。在一些情况下,仅此一项影响便会迫使组织实施 P3P。

当决定开发和部署 P3P 时:

  • 执行全面的 Web 站点复审。准确的 P3P 策略需要体现所有数据收集和使用,包括通过使用 Web 表单进行的主动数据收集以及通过 cookie 和日志文件进行的较被动的收集。
  • 产生和部署 P3P 文件。通过使用其中一种 P3P 策略生成器工具,可以将此策略的创建简化。但是,请务必确保此工具针对最新版本的 P3P 规范而设计并且会创建“完全”和“精简”两种策略。许多组织首选在 XML 中直接进行编码。
  • 确保策略一致。请务必将 P3P 视为您隐私策略的一项转换,并且所有版本基本上都应传达同一消息且不会以任何方式相互抵触。

您应了解的有关此报告的信息

  • 当您尝试从此报告中页面的 URL 打开页面时,您可能会收到一条消息,表明页面要求使用 cookie。如果要继续打开此页面,请单击确定
  • 如果您的站点使用框架,那么 HCL® 软件服务人员或您的产品管理员可以提供 PageComponent 数据集,以便您可以使用这些数据集来对报告结果进行分组:
    • PageComponent:有助于识别构成 Web 页面的文件,如 gif、js、html 或框架文件。
    • PageComponent 标识:指定用于识别页面中此特定组件的唯一标识。打开关于该 PageComponent 报告,以查看有关该特定 PageComponent 的更多详细信息。