Czym są pliki cookies?
Ciasteczka (ang. cookies) to niewielkie pliki (informacje) wysyłane przez strony internetowe i zapisywane w pamięci komputera oraz innych urządzeń podczas korzystania z internetu. Każdy oddzielny plik „cookie” składa się m.in. z: informacji na temat nazwy strony pochodzenia, losowo wygenerowanego numeru do identyfikacji przeglądarki i urządzenia, z jakiego następuje połączenie ze stroną oraz „długością życia”, czyli czasu, w jakim będzie istnieć na komputerze użytkownika. Cookies są zbudowane z szeregu liter i cyfr, który zawiera bardzo dokładne informacje o ciągłości i działaniach użytkownika podczas jednej sesji.
Pliki cookies pełnią szereg funkcji – odpowiadają na przykład za zapamiętywanie danych i preferencji użytkownika dotyczących korzystania ze strony oraz utrzymanie ciągłości sesji. Dzięki „cookies” możliwe jest też zapamiętanie danych logowania do serwisu, jak również produktów dodanych przez użytkownika do koszyka w sklepie internetowym.
Na wykorzystaniu cookies w dużym stopniu opiera się wiele działań w zakresie digital marketingu. Coraz więcej znaków wskazuje jednak na to, że ciasteczka umożliwiające śledzenie i profilowanie użytkowników w internecie, powoli odchodzą do przeszłości. Ze względów bezpieczeństwa największe przeglądarki internetowe zaczęły blokować wykorzystanie zewnętrznych plików cookies (third-party cookies). Duży wpływ na to miało wprowadzenie rozporządzenia unijnego — General Data Protection Regulation (GDPR)[2].
W pierwszej kolejności na rezygnację ze wsparcia dla plików third party cookie zdecydowało się Safari (jeszcze w 2017 roku), następnie podobne kroki powzięły Firefox i Edge. Największe znaczenie dla digital marketingu będzie mieć jednak pozbycie się zewnętrznych cookies przez najpopularniejszą przeglądarkę na świecie – Google Chrome, co nastąpi już w najbliższym czasie. Brak wsparcia dla 3rd party cookies może oznaczać ograniczenie możliwości w behawioralnym kierowaniu (docieraniu w ten sposób do nowych potencjalnych klientów), jak również wykorzystywaniu działań remarketingowych w strategii reklamowej [3].
W jaki sposób rezygnacja z 3rd party cookies wpłynie na digital marketing? Zmieni się przede wszystkim to, że już w najbliższej przyszłości targetowanie kampanii może być możliwe jedynie przy wykorzystaniu własnych danych (1st party data) oraz ekosystemów (Walled Gardens), co może doprowadzić do prawdziwej rewolucji w świecie marketingu internetowego. Walled Gardens jak np. Amazon lub Facebook umożliwiają przeprowadzenie działań marketingowych przy wykorzystaniu danych zebranych i udostępnionych przez platformę. Nie zmienia to jednak faktu, że pomiary i wskaźniki, które dziś są oczywistością dla marketerów, już niedługo mogą stać się niedostępne.
Do czego pliki cookies służą marketingowcom?
Wykorzystanie cookies jest bardzo powszechne. Używa ich nawet Google np. do zapamiętywania ustawień preferowanego języka na stronie. Z perspektywy reklamodawców, największe znaczenie mają w działaniach marketingowych. Ciasteczka to przede wszystkim jedno z najważniejszych źródeł danych o ścieżce zakupowej klientów, preferencjach potencjalnych klientów oraz przyczyn, które powodują, że użytkownik nie decyduje się na zakup. Dzięki plikom cookies jesteśmy w stanie zweryfikować na przykład, jakie podstrony odwiedza klient przed dokonaniem zamówienia oraz jak dużo spędza na nich czasu.
Pliki cookies kojarzą się też ze spersonalizowaną reklamą – ich wykorzystanie pozwala na wyświetlanie reklam dopasowanych do dotychczasowej aktywności użytkowników. Na przykład, po odwiedzeniu strony sklepu sportowego, Google wykorzysta tę informację do wyświetlenia temu samemu użytkownikowi reklam ze sprzętem sportowym. Dla marketerów najważniejsze jest jednak to, że pliki cookies ułatwiają prześledzenie całej ścieżki zakupowej klienta i wprowadzanie ulepszeń na stronie na podstawie uzyskanych danych.
Rodzaje plików cookies:
1st party
Pierwszym rodzajem ciasteczek, na którym chcemy się skupić, są 1st party cookies, czyli ciasteczka własne lub tzw. ciasteczka wewnętrzne. Są one umieszczane w przeglądarce bezpośrednio przez odwiedzaną stronę i w większości przypadków są bardzo przydatne. Ten rodzaj ciasteczek odpowiada za zapamiętywanie danych do logowania na różnych stronach oraz ustawień strony (np. język i wielkość tekstu). Pliki te znajdują zastosowanie również w e-commerce, ponieważ pozwalają zachować przedmioty w naszym koszyku, np. przy przypadkowym zamknięciu strony. Co więcej, na bazie ciasteczek 1st party sklep internetowy może zaproponować podobne produkty do tych, które użytkownik przeglądał lub dodał do koszyka. Ciasteczka wewnętrzne można usunąć z historii za pomocą opcji „wyczyść historię”, dlatego nie wywołują takich emocji, jak third party cookies.
3rd party
O 3rd party cookies (ciasteczka stron zewnętrznych) zrobiło się w ostatnim czasie bardzo głośno ze względu na zapowiedź Google, że już wkrótce przestanie je obsługiwać. Third party cookies są wykorzystywane nie przez stronę, którą odwiedziliśmy, lecz przez jej partnerów (np. Facebook czy Criteo). Third party cookies tworzą internetowy profil użytkownika na podstawie dotychczasowego zachowania i historii wyszukiwania. Ten rodzaj ciasteczek odpowiada przede wszystkim za działania reklamowe i analityczne. To dzięki nim możliwe jest wyświetlanie reklam na podstawie zebranych danych oraz mierzenie ich efektywność.
Kontekst społeczno-prawny związany z plikami cookies
Ciasteczka od wielu lat są szeroko wykorzystywane w digital marketingu m.in. do targetowania i retargetowania reklam czy tworzenia profili behawioralnych. Dlaczego więc pliki cookies stały się tak kontrowersyjnym tematem, jeżeli są one istotne dla marketerów? Wszystko wynika z coraz większego znaczenia bezpieczeństwa i prywatności w sieci. Stale rośnie świadomość użytkowników dotycząca tego, jak ważna jest ochrona danych.
Najlepszym potwierdzeniem powyższej tezy jest regularnie wzrastająca popularność wirtualnych sieci prywatnych (VPN), a także adblocków i trybu incognito. Jak potwierdzają statystyki opublikowane przez Euroconsumers, aż 69% internautów boi się o utratę swojej prywatności [5]. Jeszcze więcej użytkowników internetu (aż 81%) twierdzi, że firmy wiedzą już o nas zbyt wiele i powinny mieć utrudniony dostęp do naszych danych. Z drugiej zaś strony, jak wynika z badania Adlucent, aż 71% badanych woli reklamy, które są dopasowane do ich potrzeb i zainteresowań [6].
W odpowiedzi na coraz większe emocje wywoływane przez temat cyberbezpieczeństwa i ochrony danych osobowych, instytucje Unii Europejskiej podjęły niemniej kontrowersyjne działania. Po pierwsze, w 2018 r. weszły w życie nowe przepisy dotyczące RODO (z angielskiego GDPR), co sprawiło, że prywatność online zaczęła być monitorowana w większym niż do tej pory zakresie [7]. Na początku wprowadzenie nowych przepisów wcale nie musiało oznaczać ,,końca” plików cookie – nie zbierają one danych osobowych. Do ich wykorzystania konieczne jest akceptacja ,,ciasteczek” przed wejściem na każdą stronę, co teoretycznie wymaga dokładnego zapoznania się z treścią regulaminu.
W praktyce tylko niewielka część użytkowników zwraca uwagę na to, jakie dane może zbierać strona. Problem związany z interpretacją RODO w kontekście plików cookie częściowo rozwiązała Decyzja Trybunału Sprawiedliwości Unii Europejskiej – sąd stwierdził, że zgoda na umieszczanie na urządzeniu użytkownika plików cookie nie może być domyślna, a użytkownik musi mieć prawo w prosty sposób zablokować te pliki cookie, które nie są niezbędne dla korzystania ze strony [8]. Co prawda w Polsce nadal obowiązuje art. 173 ust. 2 prawa telekomunikacyjnego, który umożliwia wykorzystywanie plików cookie „za pomocą ustawień oprogramowania”, jednak prawnicy coraz częściej zalecają stosowanie się do stanowiska Trybunału Sprawiedliwości Unii.
Coraz większa presja użytkowników na „technologicznych gigantów” sprawiła, że przeglądarki zaczęły zmieniać swoją politykę dotyczącą ochrony danych osobowych. Najlepiej potwierdza to decyzja Google o zaprzestaniu obsługiwania third party cookies. Podobne działania podjęły wcześniej również inne przeglądarki.
Przeglądarki internetowe w trosce o ochronę prywatności
Niemal wszystkie największe światowe przeglądarki internetowe podjęły zdecydowane kroki, aby zadbać o ochronę prywatności swoich użytkowników. Przyjrzyjmy się bliżej najważniejszym metodom, które mają pomóc przeglądarkom w podniesieniu poziomu prywatności.
Program Intelligent Tracking Prevention (ITP)
Apple posiada silną reputację w dziedzinie innowacji technologicznych, a także pozostaje w czołówce w zakresie ochrony prywatności użytkowników. Jednym ze sposobów na ograniczenie śledzenia użytkowników było wprowadzenie w 2017 r. programu Intelligent Tracking Prevention (ITP). Jest to funkcja zainicjowana przez przeglądarkę Apple – Safari – w celu zmniejszenia wykorzystania third party cookies, czyli ciasteczek wykorzystywanych do analityki i śledzenia działań użytkowników.
Początkowo ograniczenia dotyczyły jedynie third party cookies, ale ze względu na nadużycia ze strony partnerów i generowanie cookies w imieniu strony jako pliki first party, przeglądarka wprowadziła dodatkowe obostrzenia. Dotyczyły one skrócenia czasu życia jakichkolwiek plików cookies generowanych przez skrypty do 7 dni. Program Intelligent Tracking Prevention (ITP) działa na podstawie machine learning, aby ocenić, które prywatnie kontrolowane domeny mają możliwość śledzenia użytkowników na różnych witrynach internetowych i blokuje cookies, które nie są zgodne z polityką przeglądarki[9].
Private Click Measurement (PCM)
Private Click Measurement (PCM) to kolejne rozwiązanie od Apple, które ma na celu uniemożliwienie śledzenia zachowania użytkownika w internecie i ograniczenie zbioru informacji o nim. Private Click Measurement wykorzystuje się przede wszystkim do uniemożliwienia obchodzenia blokad dot. zbierania plików cookie. Zazwyczaj w tym celu wykorzystywane są takie techniki jak np. przekazywanie dużej ilości informacji w parametrach adresu URL (link decoration) i fingerprinting, czyli strategia polegająca na identyfikacji użytkownika poprzez weryfikację charakterystycznych danych na temat jego urządzenia i łącza internetowego.
Private Click Measurement wykorzystuje takie ograniczenia jak np. 8-bitowy identyfikator kliknięcia (np. facebookowy fbclid), który sprawia, że można za jego pomocą przesyłać tylko 256 śledzonych źródeł oraz 4-bitowy identyfikator konwersji umożliwiający śledzenie maksymalnie 16 różnych zdarzeń konwersji. Oznacza to, że systemy śledzące otrzymują dostęp do bardzo małej liczby danych. Private Click Measurement szczególnie boleśnie oddziałuje na system reklamowy Facebooka, ponieważ ze względu na nowe ograniczenia platforma może nie być w stanie powiązać danych zbieranych za pomocą piksela FB z konkretnym użytkownikiem logującym się do panelu Facebooka. Poza tym wprowadzono jeszcze jedno ograniczenie, które ma zminimalizować możliwość identyfikacji użytkownika generującego konwersję na podstawie czasu jej realizacji, tj. opóźnienie w raportowaniu konwersji od 24 do 48 godzin [9].
App Tracking Transparency w iOS 14.5+
W ostatnim czasie firma Apple coraz bardziej stara się udowodnić, jak bardzo ceni prywatność użytkowników i poufność ich danych. Od wersji iOS 14.5 urządzenia Apple zaczęły więc wspierać technologię App Tracking Transparency. Dla użytkowników oznacza to, że każda aplikacja, która do celów reklamowych używa identyfikatorów urządzeń, będzie musiała wyraźnie wyjaśnić, dlaczego to robi i uzyskać zgodę od użytkownika, zanim zacznie gromadzenie danych.
W ten sposób, przed rozpoczęciem korzystania z aplikacji każdy użytkownik będzie mieć możliwość wybrania opcji „Poproś aplikację o nieśledzenie”. Co ważne, rezygnacja nie wpływa na wydajność aplikacji, więc odrzucanie takich żądań śledzenia nie ma wad z perspektywy użytkownika. Według firmy Apple, rozwiązanie to ma pomóc w oczyszczeniu relacji pomiędzy twórcami aplikacji i właścicielami urządzeń oraz zmniejszyć ryzyko przekazania danych reklamodawcom [9].
Odejście przez Google od 3rd party cookies w 2023 r.
Pomimo wciąż powszechnego wykorzystania plików cookies w różnych przeglądarkach i aplikacjach, żadna firma nie zarabiała dzięki ich wykorzystaniu tak dużo, jak Google, ponieważ „ciasteczka” są kluczowym mechanizmem odpowiadającym za (re)targetowanie reklam display w ekosystemie Google Ads. Niemniej, właściciele Google również zadeklarowali odejście od obsługi plików cookie stron trzecich w 2022 r.
Ostatecznie third party cookies przestaną być obsługiwane w 2023 r. Przedłużenie okresu wprowadzania zmian ma na celu ułatwienie marketerom i właścicielom stron dostosowanie się do nowych warunków przeprowadzania kampanii reklamowych w Google Ads. Rezygnacja z obsługi plików cookie stron trzecich przez Google to z pewnością duże wyzwania dla świata digital marketingu, jednak już dziś istnieją liczne alternatywy dla cookies, które pozwalają na planowanie równie skutecznych kampanii.
Co zamiast plików cookies?
Przyjrzyjmy się teraz uważniej rozwiązaniom, które już są lub staną się w najbliższej przyszłości alternatywą dla third party cookies.
Server-side tracking
Server-side tagging to niejako sposób na obejście apple’owskiego program Intelligent Tracking Prevention (ITP). Umożliwia on wysyłanie i odbieranie danych z przeglądarki użytkownika na serwer sieciowy reklamodawcy, zanim zostaną przesłane do końcowego odbiorcy, jak np. Google Analytics. Wykorzystanie dodatkowego serwera pomiędzy stroną internetową i platformą gromadzącą dane znacznie zwiększa bezpieczeństwo danych użytkownika oraz jest zgodna z regulacjami dot. ochrony prywatności. W ten sposób uzyskuje się dane najwyższej jakości, ponieważ nie są one blokowane przez program Intelligent Tracking Prevention (ITP) oraz przez programy do blokowania reklam. Poza tym dane te należą do reklamodawcy, dlatego może on samodzielnie decydować, które z nich wykorzystać [17].
Facebookowe API konwersji
Facebookowe API konwersji (ang. Facebook Conversions API) to forma server-side tracking. Dzięki wykorzystaniu API można połączyć dane marketingowe ze swojej strony internetowej lub systemu CRM z Facebookiem, niezależnie od ustawień prywatności urządzeń końcowych odbiorców i przesyłać nawet bardzo szczegółowe dane. Facebook Conversions API bardzo dobrze sprawdza się do analityki konsumentów na każdym etapie lejka sprzedażowego[10].
Wykorzystanie Facebook Conversions API sprawia, że dane marketingowe mogą posłużyć do personalizacji reklam, pomiarów konwersji oraz skuteczniejszego targetowania grup odbiorców, którzy są zainteresowani tematyką przedstawioną w reklamach. W odróżnieniu od innego bardzo popularnego narzędzia Facebook Pixel, API konwersji Facebooka działa niezależnie od urządzeń odbiorców. Użytkownicy nie wiedzą więc, że są obserwowani przez narzędzia analityczne oraz, co najważniejsze z punktu widzenia marketerów, nie są w stanie zablokować integracji.
Konwersje rozszerzone w Google Ads
Konwersje rozszerzone mają pomóc w zbieraniu dokładniejszych danych i w rezultacie w późniejszej optymalizacji kampanii Google Ads. Konwersje to jedna z miar skuteczności kampanii Google Ads i dzięki tej opcji Google sprawia, że marketerzy mogą uzyskać dostęp do dokładniejszych danych o konwersjach na stronie.
Mechanizm działania konwersji rozszerzonych wygląda następująco: (a) użytkownik zalogowany do swojego konta Google (np. do Gmaila lub YouTube) wchodzi na stronę internetową i dokonuje tam zakupu, zostawiając w formularzu zamówienia dodatkowe dane o sobie, takie jak: imię, nazwisko, numer telefonu, adres email. Dane te wychwytywane są przez tag konwersji oraz szyfrowane (Google korzysta z bezpiecznego algorytmu szyfrowania jednokierunkowego o nazwie SHA256 [11]). Zaszyfrowane dane są dopasowywane do kont Google zalogowanych użytkowników, a następnie informacja o konwersji jest przekazywana właścicielowi strony lub marketerom. W ten sposób można znacząco poprawić jakość raportowania konwersji online w sklepie internetowym [12].
Consent Management Platforms w celu uzyskania zgody opt-in oraz Consent Mode
Consent Mode Platform to platforma, która może być wykorzystywana przez właścicieli stron internetowych do otrzymywania i gromadzenia zgody użytkowników dot. przechowywania preferowanych plików cookies oraz do aktualizacji zebranych zgód (np. jeśli użytkownik chce zmienić te ustawienia).
W odróżnieniu od widgetu cookie, czyli okienka z informacją o cookies, wykorzystanie Consent Management Platforms w celu uzyskania zgody opt-in wymaga integracji z ustawieniami plików cookie (np. przez Google Tag Manager lub platformy zewnętrzne). Oznacza to, że użytkownik może dokładnie wybrać, jakie skrypty śledzące będą zbierać informacje o jego działaniach na stronie i w jakim zakresie. Na podstawie wyboru użytkownika, na stronie powinny zostać uruchomione wyłącznie te tagi, które zostały przez niego zaakceptowane (tzw. mechanizm “Consent Mode”). Tagi będą się dynamicznie dostosowywać, wykorzystując pliki cookie do określonych celów tylko po wyrażeniu zgody przez użytkownika. W przypadku, gdy użytkownik nie wyrazi zgody na śledzenie, dane będą zbierane wyłącznie w podstawowym zakresie, tak samo jak ma to miejsce w sytuacji z zablokowanymi plikami cookies. Dzięki Consent Mode można też oszacować liczbę konwersji. Na przykład, jeżeli wiemy, że połowa użytkowników nie zgodziła się na śledzenie, to liczbę uzyskanych konwersji teoretycznie należy pomnożyć razy dwa [9].
Privacy Sandbox
Privacy Sandbox to technologia powstająca z inicjatywy Google, która ma zastąpić pliki cookie w 2023 r.[13]. Jej celem jest stworzenie standardów sieciowych dla stron internetowych, które pozwolą na uzyskanie i wykorzystanie informacji o użytkownikach w celach reklamowych bez naruszeń prywatności. Privacy Sandbox to projekt oparty na oprogramowaniu open source, dlatego zarówno użytkownicy, jak również reklamodawcy mogą brać aktywny udział w jego stworzeniu. Po pełnej implementacji Privacy Sandbox reklamodawcy będą mogli nadal dopasowywać reklamy do użytkowników, jednak tylko na podstawie anonimowych i zagregowanych danych o atrybucji i konwersji. Takie rozwiązanie pozwoli więc na całkowitą rezygnację z obsługi plików third party cookies. Projekt Privacy Sandbox uwzględnia dwa kluczowe koncepty: FLoC oraz FLEDGE.
FLoC (Federated Learning od Cohorts) to prawdopodobnie najciekawsze rozwiązanie w ramach Privacy Sandbox. Umożliwia ono tworzenie anonimowych kohort na podstawie zainteresowań użytkowników. Po stworzeniu kategorii użytkowników z podobnymi zainteresowaniami są one udostępniane w celach reklamowych [14]. Dzięki temu reklamodawcy mogą skutecznie targetować swoje reklamy, nawet bez wykorzystania third party cookies, z zachowaniem prywatności użytkowników. Opierają bowiem swoje działania o anonimowe, zagregowane dane (nie o konkretnym użytkowniku, a o całej kohorcie, do której dany użytkownik należy). Użytkownicy są przydzielani do nowych kohort co tydzień na podstawie aktywności z poprzedniego tygodnia. Pomimo kontrowersji, które wywołuje wykorzystanie FLoC, z pewnością będzie to duże ułatwienie dla branży digital marketingu w świecie bez third party cookies.
FLEDGE to następna propozycja Privacy Sandbox, która ma na celu umożliwienie wykorzystania remarketingu i reklam kierowanych do niestandardowych odbiorców bez udostępnienia danych stronom trzecim do śledzenia zachowania użytkowników. FLEDGE funkcjonuje na podstawie kilkuetapowego procesu prowadzącego do wyłonienia reklamy, którą ujrzy użytkownik i opiera całość o wywoływanie odpowiednich kodów JavaScript na poszczególnych etapach tego procesu. Na samym końcu sprzedawca miejsca reklamowego i reklamodawcy licytują się o możliwość wyświetlenia reklamy (odbywa się to automatycznie). Przeglądarka renderuje zwycięską reklamę i oferuje dostęp do raportów dotyczących skuteczności działań reklamowych [15].
Czego reklamodawcy mogą się spodziewać w erze post-cookies?
Third party cookies przez długi czas stanowiły podstawę działań marketingowych w internecie. Dziś, kiedy rezygnacja z cookies staje się faktem, konieczne jest szybkie dostosowanie się do zmian. Planowanie działań reklamowych trzeba będzie opierać na mniej dokładne dane. Ograniczenia są jednak nieuniknione na drodze do bezpieczniejszego internetu. Należy zatem oswajać się z wizją, że użytkownicy będą wykorzystywać możliwość skrycia swojej aktywności. Z tego względu reklamodawcy powinni skupić się na obserwacji powszechnych wzorców zachowań, niż na zdobywaniu faktycznych danych [9]. Zmiany dotkną przede wszystkim mniejszych i średnich reklamodawców, ponieważ większe firmy dysponują dostępem do większego spektrum danych. Nie oznacza to jednak, że działania marketingowe muszą stać się mniej efektywnymi.
Po pierwsze, zmiany dotyczą przede wszystkim third party cookies. Oznacza to, że zwiększy się znaczenie first party cookies. Już teraz warto zadbać o systematyczne ich pozyskiwanie (np. poprzez kampanie promujące zapis do newslettera, formularza rezerwacyjnego czy poprzez wykorzystanie format Lead Ads). Podstawowymi problemami, z którymi będą mierzyć się reklamodawcy to m.in. ograniczenia w targetowaniu na podstawie zachowań użytkowników, ograniczenia w ilości wyświetleń reklamy (capping) oraz ograniczenia dotyczące remarketingu [16]. Konsekwencją tego będzie m.in. wzrost roli aplikacji mobilnych, ponieważ nie obsługują one ciasteczek oraz większa rola modelowania matematycznego w planowaniu i mierzeniu skuteczności kampanii reklamowych [9]. Efektywny remarketing będzie się opierać przede wszystkim na interakcjach w social mediach, ponieważ platformy społecznościowe również nie korzystają z cookies.
W świecie technologii nie ma miejsca na stagnację. Na miejscu plików cookies pojawią się nowsze, lepsze i bezpieczniejsze technologie, które również – miejmy nadzieję – umożliwią efektywne zarządzanie kampaniami reklamowymi. Jednego można być jednak pewnym – nowe wyzwania sprowokują powstanie nowych, alternatywnych rozwiązań wspierających reklamodawców.
Źródła:
[9] (Rewolucja prywatności 2021 – zmierz plików cookies, Witold Wrodarczyk, Sprawny Marketing Nr 2(16) 2021 Maj-Sierpień).