Seurantakuninkaat Suomessa – kuka trackkaa kovimmin? Perttu Tolvanen , 31.5.2018 klo 11.05

GDPR ja Facebookin paljastunut leväperäinen suhde kävijädataan nostivat monelle agendalle sivustojen kävijäseurantasysteemit jotka välittävät tietoja kolmansille osapuolille. Nyt GDPR:n voimaantulon jälkeen melkein jokainen sivusto pyytää kävijöiltään lupia monenlaiseen seurantaan ja tietojen välittämiseen kolmansille osapuolille. Kuinka laajasta seurannasta ja tietojen keräämisestä oikein on kysymys? Tässä artikkelissa tehdään katsaus 70 isoon Suomessa toimivaan sivustoon ja seurantatrackkereiden määriin, tarkoituksena selvittää kuinka paljon isot sivustot käyttäjiään seuraavat, ja millaisia vaikutuksia tällä on esimerkiksi sivustojen nopeuteen.

Seurantatrackkereiden määrähän on kasvanut oikeastaan koko webin historian ajan, mutta viime vuosina myös vastustajia holtittomalle mittaamiselle on tullut. EU lienee se tunnetuin nyt GDPR:n myötä, mutta yllättäin myös Google on kunnostautunut trackkerihuuman hillitsemisessä. Google on jo pitkään käyttänyt sivustojen nopeutta ranking-kriteerinä hakutuloksissa. Googlen AMP-projektia voi pitää myös merkittävänä webin nopeutta edistävänä kehityshankkeena. AMP myös rajoittaa trackkerien käyttöä, mikä on ollut etenkin monille mediataloille ongelma.

Ylenpalttisessa trackkerien käytössähän on käyttäjien näkökulmasta kaksi ongelmaa: a) useimpien trackkereiden idea on kerätä kävijöistä käyttäytymisdataa jollekin kolmannelle osapuolelle (tai useille) ja b) trackkerit hidastavat sivustojen latautumista. Täten vaikka kaikki trackkerit eivät ole ”pahoja”, niin mitä enemmän trackkereita on käytössä, niin sitä todennäköisemmin sivusto on hidas ja välittää kävijädataa moneen suuntaan. Voisi jopa sanoa, että mitä enemmän trackkereita, niin sitä todennäköisemmin sivuston bisnes on tehdä kävijädatalla rahaa, joko mainonnan kautta tai myymällä tietoja eteenpäin tai jotenkin toisin (esim. verkkokaupat, treffipalvelut).

Ketkä ovat Suomen trackkerikuninkaita?

Tämän artikkelin tarkoituksiin käytiin läpi FIAMin mittauksessa olevien kotimaisten mediasivustojen 50 eniten liikennöityä brändiä. FIAMin mittauksessa olevat sivustot ovat suurimmaksi osin sivustoja, joille mainosmyynti on keskeinen liiketoimintamalli. Lisäksi mukaan heitettiin satunnaisotannalla joukko isoja Suomessa toimivia verkkokauppoja, jotta katsaukseen saatiin myös sellaisia sivustoja, jotka eivät myy mainoksia, mutta hyödyntävät paljon trackkereita muista syistä. Vertailun vuoksi seassa on myös muutama iso julkishallinnon sivusto.

Yhteensä mitattiin 70 sivuston trackkerit ja sivustojen latautumisnopeudet. Otanta ei ole mitenkään tieteellinen, mutta antanee jonkinlaisen käsityksen siitä kuinka paljon isot Suomessa toimivat sivustot käyttävät erilaisia, pääosin kolmansien osapuolien trackkereita.

Trackkerien määrä mitattiin Ghostery-palvelun Chrome-lisäosalla ja puhtaalla selaimella, jossa ei ollut mitään keksejä tallessa. Lisäksi sivustoista mitattiin sivuston etusivun latausnopeutta Googlen Lighthouse -palvelulla (3G-latausnopeus Nexus 5X -puhelimella on Googlen käyttämä oletusarvo). Näin voitiin samalla arvioida hieman sitä onko trackkerien määrällä ja sivuston latautumisnopeudella jotain suhdetta.

Nopeusmittauksessa kirjattiin ylös kolme eri arvoa. Ensimmäinen mittari on Googlen käyttämä ”first meaningful paint (FMP)”, eli ei vielä koko saitin latautuminen, vaan ensimmäinen käyttäjälle merkityksellinen näkymä. FMP:n lisäksi mitattiin “time to interactive (TTI)” -aika, joka kertoo sen miten nopeasti käyttäjä voi klikata jotain tai tehdä jotain valintoja sivulla (ja voi olettaa sivuston olevan suurinpiirtein kokonaan latautunut). TTI-mittaus on trackkereiden näkökulmasta olennaisempi, koska yleensä ensimmäinen käyttäjälle merkityksellinen näkymä (FMP) tulee jo ennenkuin trackkereita on vielä edes aloitettu lataamaan.

TTI-lukemia mitattiin kaksi kappaletta, ensimmäinen lukema kertoo sivuston normaalin latautumisajan, toinen lukema kertoo miten nopeasti sivusto latautuisi ilman trackkereita (Ghosteryn Restrict-modea on tässä käytetty trackkerien riisumiseen, mutta se ei ota aivan kaikkia pois, vain raskaimmat ja eniten dataa keräävät – ja osa mediasaiteista osaa myös vältellä tällaista blokkaamista). Mediasivustojen kohdalla tämä trackkereiden poistaminen tietysti riisuu myös suurimman osan mainoksista sivustoilta, koska useimmat mediatalot käyttävät kolmannen osapuolen mainosjärjestelmiä, ja tästä syystä etenkin mediatalojen sivustolatauksissa on huomattavia eroja TTI-lukemien välillä.

Yhdelläkään saitilla ei hyväksytty aktiivisesti evästeiden käyttöä ennen mittaamista, joten luvut heijastavat niitä trackkerimääriä mitä sivustot latasivat ennenkuin käyttäjä kuittasi hyväksyvänsä mittaamisen. Muutama sivusto lisäsi trackkereita selkeästi evästehyväksynnän jälkeen, joten siksi osalla sivustoista on kaksi eri trackkerilukemaa. Suurin osa sivustoista ei siis välittänyt ollenkaan siitä onko käyttäjä painanut “hyväksyn mittauksen” -nappia vai ei.

Trackkerien lataamisessa on monilla sivustoilla viiveitä ja satunnaisuutta, joten tulokset vaihtelevat jonkin verran mittauskerrasta toiseen. Näin tuntuu olevan etenkin mediatalojen sivustoilla. Ylipäätään paljon trackkereita sisältävillä sivustoilla lukemat voivat heittää kohtuullisen paljon eri testikertojen välillä. Nopeusmittauksissa sitä vastoin ei ollut kovin suurta eroa havaittavissa eri latauskerroilla.

Mitatut 70 sivustoa trackkerien mukaan järjestettynä:

* = Sivusto lisää trackkereita evästeiden hyväksynnän jälkeen.

Tämä tapa mitata ei tietysti kerro kuin pienen otannan, koska monien trackkereiden takana on paljon erilaista mittausta. Esimerkiksi Tori.fi:ssä mitataan evästeiden hyväksynnän jälkeen 35 trackkerilla suurinpiirtein, mutta jos menee katsomaan moneenko palveluun ja työkaluun he pyytävät oletuksena luvan, niin listalla on noin 250 tahoa (!), joista useimmat ruksattuna oletuksena päälle. (*Huom. jutun julkaisun jälkeen lukijat laskivat Tori.fi:stä oletuksena olevat tahot kaikista kategorioista ja yhteenlaskettu luku on 963 tahoa! Tuo 250 on vain yksi lupakategoria. Kommenteissa tarkemmat luvut.)

Screenshotti Tori.fi:n “evästeluvan” hallintapaneelista:

Tuon listan näkemisen jälkeen on aivan ymmärrettävää miksi Tori.fi kysyy luvan todella keskeyttävällä pop-upilla, eikä käytännössä päästä sivustolle surffailemaan ennenkuin käyttäjä on hyväksynyt seurannan (tai säätänyt asetukset sopivaksi, eli klikkaillut pari sataa ruksia pois päältä). Toteutus on linjassa saitin liiketoimintamallin kanssa, mutta pistää tietysti miettimään, että minne kaikkialle käyttödataa menee jos oletuksena jo pyydetään lupia pariinsataan tahoon.

Isot kotimaiset mediatalot tuskin pyytävät ainakaan kovin paljon vähempään lupia, vaikka eivät samalla tavalla tuokaan käyttäjälle esiin sitä mihin kaikkeen luvat pyydetään.

Isot mediatalot myös pyytävät käytännössä joka sivustollaan hyvin laajat luvat käyttää kaikkea keräämäänsä tietoa myös konsernin muiden palveluiden tarkoituksiin. Esimerkiksi Aller Media, Alma Media ja Sanoma suhtautuvat kaikkiin sivustoihinsa yhtenä suurena kokonaisuutena, joten jos käyttäjä antaa luvat yhdelle sivustolle, niin mediayhtiö tulkitsee sen tarkoittavan koko heidän konserniaan. Tätä ei tietenkään lupaa pyydettäessä alleviivata, eikä ole kovin helppoa selvittää mitä kaikkea minkäkin konsernin kokonaisuuteen kuuluu. Yhdellä klikkauksella kuitenkin antaa juridisesti luvan useisiin kymmeniin sivustoihin (ja samalla paljon muuhunkin, kuten Tori.fi-esimerkki osoittaa).

Moni käyttäjä voi olla esimerkiksi rekisteröitynyt Helsingin Sanomien sivuston käyttäjä tai rekisteröitynyt Suomi24 Treffit -palstan käyttäjä, eikä hahmota sitä että hänen profiiliinsa kertyvät myös selailutiedot kymmenistä muista sivustoista. Rekisteröityneiden käyttäjien kohdalla tiedot voidaan myös yhdistää yksilöityihin käyttäjiin, vaikka käyttäjä ei olisikaan kyseisellä sivustolla kirjautuneena. Esimerkiksi Suomi24:n käyttäjien tietoihin voidaan kerätä heidän surffailuhistoriansa Seiska.fi-sivustolta ja lukuisilta muilta Allerin sivustoilta.

Tämän tiedon hyödyntäminen mainonnan kohdentamisessa on tietysti mediatalojen ydinbisnestä, mutta herättää kyllä kysymyksen, että kuinka moni tavallinen käyttäjä hahmottaa tietojen keräämisen laajuuden. Riittääkö se, että lisätieto-linkin takaa on mahdollista löytää ne useat sadat tahot joille käyttäjän tietoja jaetaan? Jos kohta lähes kaikki saitit kyselevät näitä evästelupia, niin miten voi erottaa ne saitit, jotka keräävät ja myyvät tietoja eteenpäin?

Vaikuttaako hyväksyntäklikkaus käytännössä mihinkään?

Suurin osa sivustoista ei tehnyt evästeiden hyväksynnän jälkeen yhtään mitään. Verkkokauppa.com ja Aurinkomatkat ja Finnair näyttäisivät olevan harvoja poikkeuksia, jotka lisäävät enemmän trackkereita vasta kun käyttäjä hyväksyy evästeiden käytön. Muille tuo hyväksyntä näyttää olevan vain lakitekninen muodollisuus, jolla ärsytetään käyttäjiä, mutta jolla ei ole mitään käytännön vaikutusta saitin toimintaan.

Ikävää tässä on myös se, että toiminta on varsin selkeästi GDPR:n vastainen monen saitin kohdalla, koska mahdollisesti yksilöitävien tietojen keräämiseen pitäisi GDPR:n mukaan pyytää käyttäjältä lupa ennen kuin keräämisen aloittaa. Etenkin mediatalojen sivustot eivät tunnu tästä välittävän, vaikka pyytävät merkittävät oikeudet kerättyihin tietoihin. Tori.fi:n tapa kysyä lupa on itse asiassa harvinainen poikkeus, jota voi myös pitää varsin esimerkillisenä toteutuksena, koska käyttäjien kannalta viesti on selvä: saitti tallentaa tietoja ja mittaa käyttöä hyvin laajasti, ja jakelee niitä tietoja myös eteenpäin. Täten vaikka Tori.fi pyytää todella laajat oikeudet, niin käyttäjälle viesti tästä on tarjoiltu hyvin selkeästi.

Finnairin toteutus on myös esimerkillinen, koska ennen evästeiden hyväksyntää sivusto lataa vain yhden trackkerin. Kun evästeet hyväksyy, tulee yhdeksän (9) lisää. Finnairin kohdalla evästeiden tuoman lisäkuorman voi myös hyvin nähdä, nopeusmittaus ilman evästeiden hyväksyntää kertoo saitin latautumisen olevan lähes kymmenen sekuntia nopeampi kuin evästeiden hyväksynnän jälkeen (tämän testin voi tehdä siis ilman Ghosteryä, vain Googlen Lighthouse -selainlaajennusta käyttäen).

Finnairin malli on juuri sellainen mitä GDPR edellyttää, eli käyttäjää ei seurata ennen kuin käyttäjä on antanut siihen itse luvan. Saitin latautumisenkin kannalta malli on järkevä, koska saitti latautuu nopeammin ilman trackkereita, ja vasta kun käyttäjä hyväksyy seurannan, niin saitti lataa kasan trackkereita. Näin ensimmäinen lataus kevenee merkittävästi.

Finnairin pop-uppi erottuu myös massasta kertomalla varsin selkeästi mihin kaikkeen evästeitä saitilla käytetään. Epäselvän lisätietolinkin sijasta pop-upissa on myös selkeä “Muuta evästeasetuksia” -toimintakehotus.

Tuon “Muuta evästeasetuksia” -linkin takaa ei myöskään tule Tori.fi:n kaltaista piinaavaa listaa, vaan hyvin selkeä slaiderityyppinen valikko, jossa voi säätää mittausta itselleen sopivaksi. Slaiderilla on esimerkiksi helppo rajata evästeet vain saitin toiminnan kannalta kriittisiin evästeisiin.

Mediataloja ei tällaisen helpon käyttöliittymän tarjoaminen todennäköisesti kiinnosta, mutta jotain parannusta nykytilan “ota tai jätä”-tyyppisiin dialogeihin toivoisi. Mainontaverkostoja aktiivisesti käyttäville verkkokaupoille Finnairin malli lienee erittäin hyvä esimerkkitoteutus.

Sivustojen välillä on todella huomattavia nopeuseroja

Ehkä yllättävintä tässä katsauksessa olivat kohtuullisen suuret erot latautumisnopeuksissa eri toimijoiden välillä. Etenkin sivuston täydessä latautumisessa (TTI-lukemassa) oli yllättävää vaihtelua, koska vaikka monet pääsevät siinä jopa alle 10 sekunnin, niin yllättävän monen ison saitin kohdalla lukema on yli 20 sekuntia trackkereiden kanssa. Tämän luulisi jo vaikuttavan aika merkittävästi käyttäjien kokemukseen sivustosta, jos tavallisella kännykällä ja 3G-yhteydellä kestää yli 20 sekuntia, että voi klikata kiinnostavinta linkkiä etusivulla tai ryhtyä kirjoittamaan jotain hakukenttään tai lomakkeelle.

Nopeudestaan harvemmin kehuttu Verohallinto kellottaa katsauksessa muuten yhdet kovimmista lukemista (2,3 sekuntia ensimmäinen näkymä ja 5,9 sekuntia koko sivusto, ei lainkaan kolmannen osapuolen trackkereita), ja antaa näin varsin komean esimerkin julkishallinnon puolelta.

On vaikea sanoa kovin täsmällisesti, että miten paljon trackkerit hitauteen vaikuttavat, mutta tuskin ne ainakaan helpottavat, kuten vaikka Finnairin esimerkissä voi hyvin havaita.

Mediatalojen kohdalla voi myös esittää sen ikuisuuskysymyksen, että eikö raskaille mainostenjakelujärjestelmille ole todellakaan mitään tehtävissä, vaikka sivustojen latautumisnopeudet usein tuplautuvat raskaiden mainontatagien ja bannereiden seurauksena.

Jos vertaa vaikka tämän katsauksen kärkisaitteja Facebookin ja Instagramin käyttökokemukseen, niin ero on valtava. Zuckerbergin megakorporaation käytänteistä voi olla montaa mieltä, mutta palvelut ovat nopeita, erittäin responsiivisia käyttäjän toimintaan, ja mainosten latautumiset eivät samalla tavalla aiheuta tietokoneen tuulettimen käynnistymistä kuin kotimaisilla saiteilla. Epäilemättä osa käyttäjistä preferoi Facebookia ja Instagramia jo tämän käyttökokemuseron johdosta.

Trackkerit tekevät sivustoista raskaampia ja hitaampia

Tämän katsauksen perusteella näyttäisi siltä, että isot trackkerimäärät kyllä korreloivat hitaan latautumisen kanssa, mutta toisaalta on selvää, että saitista voi saada myös kohtuullisen nopean, vaikka olisi paljon trackkereita käytössä. Kovin helppoa se ei vain ole, kuten tämäkin katsaus todistaa, moni ei ole jaksanut nopeuteen investoida. Listan kärkibrändit (esim. IS, HS) ovat toki optimoineet sivustonsa kohtuullisen nopeiksi valtavista trackkerimääristä huolimatta, joten trackkeritaakkojen tuomat hidastumiset näkyvät eniten astetta pienempien resurssien saiteilla.

Mediataloilla saittien hitauden isoin syy on toki mainosjakelun systeemissä, jossa nojataan hitaisiin ja vaikeasti ennakoitaviin kolmannen osapuolen järjestelmiin. Ehkä isoimmat yllätykset trackkerimäärissä tulivatkin isojen verkkokauppojen saralta. Voi esimerkiksi kysyä miksi VR.fi:ssä on 36 trackkeria? Yli 20 sekunnin latautumisesta saisi melkein kolmasosan pois vähentämällä trackkereita.

On avartavaa ja jokseenkin epämukavan tuntuista tajuta kuinka paljon trackkereita on käytössä saiteilla, ja kuinka harva saitti siitä kertoo avoimesti käyttäjilleen. Suurin osa pyytää evästeluvan viittaamalla vain saitin yleiseen toimivuuteen ja kehittämiseen. Hyvin harva sanoo pop-upissa mitään sen suuntaista, että saitissa on kiinni useita kymmeniä seurantatageja joiden keskeisin tehtävä on jakaa käyttäjän tietoja kolmansien osapuolien kanssa. Tätä voi monessa tapauksessa pitää käyttäjien harhaanjohtamisena.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut.