遵循 GDPR 准则的 Cookie 同意逻辑
Cookie Consent Logic Following GDPR guidelines
自从 GDPR 成为现实以来,我还没有部署过网站,并且有点混淆了我需要在服务器端和客户端上执行以遵守 GDPR 的一些逻辑。很抱歉这里有多个问题。
- 目前,我只有一个第一方 cookie,用于在用户成功登录时存储会话 cookie。这应该是选择加入吗?比如,如果某人没有接受 cookie,我是否应该阻止他们登录?如果是这样,express.js 中是否有仅在接受 cookie 后才设置 cookie 的标准?
- 当用户拒绝 cookie(登录或未登录)时,我应该在哪里存储他们拒绝的信息?我是否将其存储为具有二进制值的 cookie?或者这是否违背了整个同意的想法,所以,如果用户拒绝 cookie,但我随后添加了 cookie?
- 同样,如果用户接受 cookie 同意,是否应该将其存储为 cookie,作为二进制值,这样他们就不会在每次刷新时都弹出 cookie,或者是否有更好的方法?
- 假设我以后向站点添加了更多 cookie,例如 Google Analytics。如何再次提示用户弹出 cookie,即使他们在添加 Google Analytics cookie 之前已经接受了 cookie。
是否有任何关于更深入的 cookie 策略实施的好资源,尤其是 Express 和 React?
这是我对这个话题的理解。这不是法律建议。
关于#1,用户知道登录意味着让服务器知道他们自己,会话 cookie 没有其他用途。换句话说:通过按下“登录”按钮,他们同意该 cookie(但仅限于该 cookie)。当用户再次注销时,会话 cookie 必须从客户端和服务器中删除(因为它已经达到了它的目的)。理想情况下,当用户通过简单地关闭浏览器“注销”时,也将其从服务器中删除。
允许您在多大程度上“跟踪”已登录用户的操作是一个不同的问题。但这与您的应用程序的透明度有关,与 cookie 无关。
关于#2 和#3,如果您的应用程序除了会话 cookie 之外不使用其他 cookie,您根本不应该用 cookie 弹出窗口来打扰用户。只有在您开始使用其他 cookies (#4) 之后,您才必须面对这个问题。
自从 GDPR 成为现实以来,我还没有部署过网站,并且有点混淆了我需要在服务器端和客户端上执行以遵守 GDPR 的一些逻辑。很抱歉这里有多个问题。
- 目前,我只有一个第一方 cookie,用于在用户成功登录时存储会话 cookie。这应该是选择加入吗?比如,如果某人没有接受 cookie,我是否应该阻止他们登录?如果是这样,express.js 中是否有仅在接受 cookie 后才设置 cookie 的标准?
- 当用户拒绝 cookie(登录或未登录)时,我应该在哪里存储他们拒绝的信息?我是否将其存储为具有二进制值的 cookie?或者这是否违背了整个同意的想法,所以,如果用户拒绝 cookie,但我随后添加了 cookie?
- 同样,如果用户接受 cookie 同意,是否应该将其存储为 cookie,作为二进制值,这样他们就不会在每次刷新时都弹出 cookie,或者是否有更好的方法?
- 假设我以后向站点添加了更多 cookie,例如 Google Analytics。如何再次提示用户弹出 cookie,即使他们在添加 Google Analytics cookie 之前已经接受了 cookie。
是否有任何关于更深入的 cookie 策略实施的好资源,尤其是 Express 和 React?
这是我对这个话题的理解。这不是法律建议。
关于#1,用户知道登录意味着让服务器知道他们自己,会话 cookie 没有其他用途。换句话说:通过按下“登录”按钮,他们同意该 cookie(但仅限于该 cookie)。当用户再次注销时,会话 cookie 必须从客户端和服务器中删除(因为它已经达到了它的目的)。理想情况下,当用户通过简单地关闭浏览器“注销”时,也将其从服务器中删除。
允许您在多大程度上“跟踪”已登录用户的操作是一个不同的问题。但这与您的应用程序的透明度有关,与 cookie 无关。
关于#2 和#3,如果您的应用程序除了会话 cookie 之外不使用其他 cookie,您根本不应该用 cookie 弹出窗口来打扰用户。只有在您开始使用其他 cookies (#4) 之后,您才必须面对这个问题。