Using Salient Object Detection to Identify Manipulative Cookie Banners that Circumvent GDPR

📄 arXiv: 2510.26967v1 📥 PDF

作者: Riley Grossman, Michael Smith, Cristian Borcea, Yi Chen

分类: cs.CY, cs.AI, cs.CV, cs.HC

发布日期: 2025-10-30

备注: Accepted to International AAAI Conference on Web and Social Media 2026 (ICWSM'26)

💡 一句话要点

利用显著性目标检测识别规避GDPR的操纵性Cookie横幅

🎯 匹配领域: 支柱一:机器人控制 (Robot Control)

关键词: Cookie横幅 GDPR 美学操纵 显著性目标检测 隐私保护

📋 核心要点

  1. 现有研究对Cookie横幅的美学操纵检测不足,难以发现新的操纵类型,且缺乏对用户位置影响的深入分析。
  2. 该论文利用显著性目标检测模型,量化Cookie横幅元素的显著性,从而更准确地识别美学操纵,并分析用户位置的影响。
  3. 实验结果表明,美学操纵比以往报告的更为普遍,且欧盟网站更倾向于使用美学操纵,并会根据用户位置调整横幅设计。

📝 摘要(中文)

本文旨在研究符合通用数据保护条例(GDPR)的Cookie横幅中,通过美学操纵(一种吸引用户注意允许个人数据共享按钮的设计策略)出现的频率。同时,评估这些横幅在多大程度上符合GDPR以及国家数据保护机构关于横幅设计的建议。研究人员访问了2579个网站,识别了所使用的Cookie横幅类型。虽然45%的相关网站具有完全合规的横幅,但38%的合规横幅存在美学操纵。与以往的美学操纵研究不同,本文使用计算机视觉模型进行显著性目标检测,以衡量每个横幅元素的显著性(即吸引注意力的程度)。这使得能够发现新的美学操纵类型(例如,按钮放置),并得出结论:美学操纵比之前报告的更为常见(38% vs 27%)。为了研究用户和/或网站位置对Cookie横幅设计的影响,研究包括欧盟(EU)内部的网站(隐私监管执行更为严格)和欧盟以外的网站。研究人员从欧盟和美国(US)的IP地址访问网站。结果发现,当用户来自美国时,13.9%的欧盟网站会更改其横幅设计,并且欧盟网站使用美学操纵的可能性比非欧盟网站高约48.3%,突显了它们对隐私监管的创新应对。

🔬 方法详解

问题定义:该论文旨在解决如何更准确、全面地识别网站上用于征求用户同意共享个人数据的Cookie横幅中的美学操纵问题。现有方法主要依赖人工分析或简单的启发式规则,难以捕捉复杂的美学操纵手段,并且缺乏对用户地理位置对横幅设计影响的量化分析。

核心思路:该论文的核心思路是利用计算机视觉中的显著性目标检测技术,量化Cookie横幅中各个元素(如按钮、文本等)的视觉显著性,从而客观地评估是否存在美学操纵。通过比较不同元素之间的显著性差异,可以判断设计者是否刻意引导用户点击特定按钮。同时,结合用户地理位置信息,分析不同地区网站在Cookie横幅设计上的差异。

技术框架:该研究的技术框架主要包括以下几个步骤:1) 收集大量的网站Cookie横幅数据,包括欧盟和非欧盟地区的网站;2) 使用显著性目标检测模型(具体模型未知)分析每个横幅图像,提取各个元素的显著性得分;3) 定义美学操纵的指标,例如“同意”按钮的显著性是否显著高于“拒绝”按钮;4) 统计不同地区网站的美学操纵比例,并分析用户地理位置对横幅设计的影响。

关键创新:该论文的关键创新在于将显著性目标检测技术应用于Cookie横幅的美学操纵分析。与传统的人工分析或启发式规则相比,这种方法更加客观、自动化,并且能够发现新的美学操纵类型,例如按钮的巧妙放置。此外,该研究还关注了用户地理位置对横幅设计的影响,揭示了网站在不同地区采取不同策略的现象。

关键设计:论文中关于显著性目标检测模型的具体选择和参数设置未知。但是,可以推测,该模型需要能够准确地检测和分割Cookie横幅中的各个元素,并给出每个元素的显著性得分。美学操纵的指标定义是关键,需要根据实际情况进行调整。例如,可以定义一个显著性差异阈值,只有当“同意”按钮的显著性得分超过“拒绝”按钮的得分达到该阈值时,才认为存在美学操纵。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

研究发现,38%的合规GDPR Cookie横幅存在美学操纵,高于以往研究报告的27%。欧盟网站使用美学操纵的可能性比非欧盟网站高约48.3%。当用户来自美国时,13.9%的欧盟网站会更改其横幅设计。这些数据表明,网站在隐私监管方面存在规避行为,且不同地区策略存在差异。

🎯 应用场景

该研究成果可应用于隐私保护工具的开发,帮助用户识别和规避操纵性Cookie横幅,从而更好地保护个人数据。同时,可以为监管机构提供更有效的监管手段,促进网站设计更加透明和公平。未来,该技术可扩展到其他用户界面元素的分析,例如广告和社交媒体内容。

📄 摘要(原文)

The main goal of this paper is to study how often cookie banners that comply with the General Data Protection Regulation (GDPR) contain aesthetic manipulation, a design tactic to draw users' attention to the button that permits personal data sharing. As a byproduct of this goal, we also evaluate how frequently the banners comply with GDPR and the recommendations of national data protection authorities regarding banner designs. We visited 2,579 websites and identified the type of cookie banner implemented. Although 45% of the relevant websites have fully compliant banners, we found aesthetic manipulation on 38% of the compliant banners. Unlike prior studies of aesthetic manipulation, we use a computer vision model for salient object detection to measure how salient (i.e., attention-drawing) each banner element is. This enables the discovery of new types of aesthetic manipulation (e.g., button placement), and leads us to conclude that aesthetic manipulation is more common than previously reported (38% vs 27% of banners). To study the effects of user and/or website location on cookie banner design, we include websites within the European Union (EU), where privacy regulation enforcement is more stringent, and websites outside the EU. We visited websites from IP addresses in the EU and from IP addresses in the United States (US). We find that 13.9% of EU websites change their banner design when the user is from the US, and EU websites are roughly 48.3% more likely to use aesthetic manipulation than non-EU websites, highlighting their innovative responses to privacy regulation.