Браўзерны адбітак і згода: кіраўніцтва выдаўца па тэхніцы адсочвання, за якой сочаць рэгулятары
Большую частку абмеркавання анлайн-адсочвання эпохі cookie тэхнічнай паверхняй, якая мела значэнне, быў узровень сховішча: cookie ў браўзеры, запісы localStorage, базы IndexedDB — рэчы, якія распрацоўшчык мог бачыць, а рэгулятар мог указаць. Зняцце адбіткаў працуе інакш. Яно не просіць браўзер нічога захоўваць. Замест гэтага яно задае браўзеру пытанні — якія шрыфты ў цябе ўсталяваны, як выглядае гэты рэндэрынг canvas, як аўдыякантэкст апрацоўвае гэты сігнал — і аб'ядноўвае адказы ў ідэнтыфікатар, які захоўваецца паміж сесіямі, прыладамі і нават вокнамі прыватнага прагляду. Для выдаўцоў і ad-tech-вендараў зняцце адбіткаў было прывабным спосабам абысці адмову ад староніх cookie. Для рэгулятараў яно стала адной з найбольш агрэсіўна пераследуемых тэхнік адсочвання, таму што па сваёй канструкцыі ідэнтыфікуе карыстальнікаў без іх супрацоўніцтва. CNIL, EDPB, брытанскі ICO і італьянскі Garante — усе выпусцілі рашэнні аб праваўжыванні або кіраўніцтвы, спецыяльна накіраваныя на зняцце адбіткаў за апошнія 24 месяцы. Гэта кіраўніцтва разбірае, што такое зняцце адбіткаў на самай справе, што лічыцца зняццем адбіткаў па законе і як выдавец павінен абыходзіцца з ім унутры сістэмы кіравання згодай.
Што такое браўзерны адбітак
Браўзерны адбітак — гэта высокаэнтрапійны ідэнтыфікатар, пабудаваны з уласцівасцей, якія браўзер раскрывае любому працуючаму JavaScript. Базавыя тэхнікі дзеляцца на некалькі сямействаў, кожнае з якіх уносіць энтрапію ў аб'яднаны адбітак.
Адбітак canvas
Элемент canvas HTML5 адмалёўвае графіку крыху па-рознаму ў залежнасці ад ляжачага ў аснове GPU, драйвера, аперацыйнай сістэмы і шрыфтавой падсістэмы. Маляванне фіксаванага радка пэўным шрыфтам, затым хэшаванне выніковых пиксельных даных, вырабляе ідэнтыфікатар, які вар'іруецца паміж прыладамі, але стабільны паміж сесіямі на адной прыладзе. Адбітак canvas — кананічны прыклад і найбольш цытаваная тэхніка ў дзеяннях па праваўжыванні.
Аўдыяадбітак
API AudioContext апрацоўвае аўдыясігналы праз той жа тып апаратна-праграмнага канвееру, што і графіку, і выніковы вывад вар'іруецца так, што стварае энтрапію. Прагон вядомага асцылятара праз кампрэсар і хэшаванне выніку вырабляе стабільны ідэнтыфікатар на прыладу.
Пералічэнне шрыфтоў
Розныя аперацыйныя сістэмы і карыстальніцкія профілі маюць розныя наборы ўсталяваных шрыфтоў. Праверка наяўнасці або адсутнасці шрыфтоў — шляхам вымярэння метрык тэксту для спіса кандыдатаў — вырабляе ідэнтыфікатар, асабліва які адрознівае для карыстальнікаў, якія наладзілі свой набор шрыфтоў.
Адбітак WebGL
WebGL раскрывае магчымасці GPU і паводзіны рэндэрынгу. Камбінацыя радка вендара, радка рэндэрэра і рэндэрынгу фіксаванай сцэны вырабляе яшчэ адзін высокаэнтрапійны ідэнтыфікатар.
Метаданыя сеткі і прылады
Акрамя тэхнік актыўнага зандавання, адбіткі звычайна ўключаюць пасіўныя метаданыя: радок User-Agent, моўныя перавагі, гадзінны пояс, разрозненне экрана, глыбіню колеру, даступную памяць, даступныя працэсары, стан батарэі і TLS-адбітак на ўзроўні злучэння. Кожны элемент дадае энтрапію сам па сабе і камбінуецца мультыплікатыўна з астатнімі.
Як рэгулятары ставяцца да зняцця адбіткаў
Юрыдычны аналіз просты ў агульных рысах, але складаней на практыцы. Зняцце адбіткаў, якое ідэнтыфікуе карыстальніка, вырабляе персанальныя даныя згодна з вызначэннем GDPR, а чытанне або доступ да інфармацыі, ужо захоўванай на прыладзе, падпадае пад артыкул 5(3) Дырэктывы аб электроннай прыватнасці — тое ж палажэнне, што кіруе cookie. І артыкул 5(3), і GDPR патрабуюць папярэдняй згоды для неасноўнага адсочвання. Дзе закон выходзіць за рамкі cookie, дык гэта тое, што ePrivacy 5(3) ахоплівае «захоўванне інфармацыі або атрыманне доступу да інфармацыі, ужо захоўванай у тэрмінальным абсталяванні абанента або карыстальніка» — фармулёўка дастаткова шырокая, каб ахапіць зандаванне стану прылады, на якое абапіраецца зняцце адбіткаў.
EDPB пацвердзіў гэта тлумачэнне ў сваіх кіруючых прынцыпах 2023 года аб прымяненні артыкула 5(3) да не-cookie-адсочвання, а CNIL быў найбольш агрэсіўным праваўжывальнікам: шэраг штрафаў у 2024 годзе спасылаўся на бібліятэкі зняцця адбіткаў, якія працуюць да згоды, як на асноўнае парушэнне. Заява брытанскага ICO 2024 года аб адсочванні яшчэ больш прамая ў фармуляванні адбіткаў canvas, аўдыё і падобных як патрабуючых opt-in-згоды нараўне з cookie.
Шэрая зона: прадухіленне махлярства супраць адсочвання
Самы спрэчны сцэнар зняцця адбіткаў — прадухіленне махлярства. Выяўленне ботаў, абарона ад захопу акаўнтаў і праверка плацежнага махлярства — усе абапіраюцца на зняцце адбіткаў прылады як асноўны сігнал. Рэгулятары прызналі, што частка гэтай апрацоўкі можа быць апраўдана законным інтарэсам, а не згодай — але планка высокая, а ахоп вузкі. Пазіцыя CNIL, паўтораная іншымі органамі, заключаецца ў тым, што:
- Строга неабходнае прадухіленне махлярства на ўласных рэсурсах можа ажыццяўляцца па законным інтарэсе, з належнай дакументацыяй у ацэнцы законнага інтарэсу (LIA).
- Паводзінскае або рэкламнае выкарыстанне таго ж адбітка патрабуе згоды і не можа ехаць на падставе прадухілення махлярства.
- Перадача адбітка трэцім асобам для любой мэты звычайна выходзіць за рамкі ахопу законнага інтарэсу і патрабуе згоды.
- Пастаяннае захоўванне адбітка за межамі неадкладнай праверкі махлярства звычайна патрабуе альбо згоды, альбо вельмі старанна складзенай пазіцыі законнага інтарэсу.
Практычны вынік у тым, што выдавец, які праводзіць як зняцце адбіткаў для прадухілення махлярства, так і ad-tech-зняцце адбіткаў, не можа спадзявацца на падставу махлярства, каб пакрыць абодва. Два патокі павінны быць архітэктурна раздзельнымі, з ad-tech-патокам за згодай і патокам прадухілення махлярства, абмежаваным яго дакументаванай мэтай.
Як абыходзіцца са зняццем адбіткаў у CMP
Патэрн інтэграцыі для зняцця адбіткаў падобны на іншыя тэхнікі адсочвання, але з дадатковай асцярожнасцю, таму што адсутнасць відавочнага сховішча робіць мяжу згоды лягчэй прапусціць.
1. Інвентарызуйце паверхню зняцця адбіткаў
Праверце сайт на любы скрыпт, які выклікае canvas toDataURL(), апрацоўку на аснове AudioContext, праверку шрыфтоў праз вымярэнне метрык тэксту або запыты рэндэрэра WebGL. Гэтыя выклікі часта схаваны ў староніх бібліятэках — ad-tech-SDK, антыфрод-вендарах, інструментах A/B-тэставання — і не адразу бачныя.
2. Катэгарызуйце кожнае выкарыстанне зняцця адбіткаў
Для кожнай бібліятэкі, якая здымае адбіткі, задакументуйце, ці з'яўляецца яна (a) строга неабходнай для функцыянавання сайта, (b) мерай прадухілення махлярства па законным інтарэсе або (c) для адсочвання, аналітыкі або рэкламы. Катэгорыі (a) і (b) могуць ажыццяўляцца без відавочнай згоды па дакументаваных падставах; катэгорыя (c) патрабуе opt-in.
3. Зачыніце зняцце адбіткаў з мэтай адсочвання за згодай
Для бібліятэк, якія падпадаюць пад катэгорыю (c), CMP павінна абыходзіцца з імі ідэнтычна маркетынгавым cookie: скрыпт знаходзіцца ў DOM, але інертны да таго, як наведвальнік прыме маркетынгавую катэгорыю. Большасць сучасных CMP ужо падтрымліваюць гэта праз стандартны патэрн type="text/plain" + атрыбут катэгорыі.
4. Задакументуйце падставу законнага інтарэсу для зняцця адбіткаў дзеля прадухілення махлярства
Дзе зняцце адбіткаў ажыццяўляецца па законным інтарэсе, LIA павінна быць канкрэтнай, актуальнай і адлюстроўваць фактычны ахоп апрацоўкі. Агульнага «прадухілення махлярства» недастаткова — LIA павінна ідэнтыфікаваць, якія даныя апрацоўваюцца, як доўга захоўваюцца, якія абароны прымяняюцца і якія рэалістычныя чаканні карыстальніка.
5. Прадастаўце значную opt-out для патокаў па законным інтарэсе
Нават там, дзе зняцце адбіткаў дзеля прадухілення махлярства ажыццяўляецца без згоды, артыкул 21 GDPR прадастаўляе карыстальніку права запярэчыць супраць апрацоўкі на аснове законнага інтарэсу. CMP павінна раскрываць гэта права, і тэхнічная рэалізацыя павінна фактычна спыніць зняцце адбіткаў пры ажыццяўленні права — а не проста запісаць пярэчанне, працягваючы здымаць адбіткі.
Кантрольны спіс аўдыту
Шэсць канкрэтных пытанняў для любога сайта, які патэнцыйна раскрывае паверхні зняцця адбіткаў.
1. Паўната інвентарызацыі
Ці вырабіла каманда бяспекі актуальны спіс кожнай бібліятэкі, якая выконвае зандаванне canvas, аўдыё, шрыфтоў, WebGL або метаданых прылады? Калі адказ «мы не ўпэўнены», аўдыт не можа працягвацца.
2. Класіфікацыя падставы
Для кожнай бібліятэкі ці ёсць дакументаваная законная падстава (згода, законны інтарэс з LIA, дагаворная неабходнасць)? Недакументаваныя падставы фактычна адсутнічаюць пры падсправаздачнасці.
3. Гейтынг згоды
Ці зачынены бібліятэкі зняцця адбіткаў з мэтай адсочвання за маркетынгавай катэгорыяй згоды, са скрыптам, няздольным працаваць да прыняцця?
4. Свежасць LIA
Ці датаваны ацэнкі законнага інтарэсу ў межах апошніх 12 месяцаў і ці адлюстроўваюць яны фактычны бягучы ахоп апрацоўкі, а не састарэлыя апісанні?
5. Прымяненне opt-out
Калі карыстальнік ажыццяўляе артыкул 21, ці сапраўды сістэма спыняе зняцце адбіткаў па законным інтарэсе або толькі запісвае пярэчанне?
6. Ачыстка паміж вендарамі
Калі адбітак перадаецца трэцяй асобе (рэкламнай сетцы, правайдару атрыбуцыі, вендару ідэнтычнасці), ці пакрыта гэтая перадача асобнай згодай і ці раскрыта ў паведамленні аб канфідэнцыйнасці?
Дзе зняцце адбіткаў знаходзіцца ў будучыні адсочвання
Вытворцы браўзераў актыўна працуюць над скарачэннем энтрапіі, даступнай бібліятэкам зняцця адбіткаў. ITP ад Apple, убудаваная абарона Firefox і прапановы Privacy Sandbox ад Google — усе адколваюць ад ляжачай у аснове паверхні. Аднак ні адно з гэтых умяшанняў не ліквідуе рэгулятарную праблему — нават адбітак са зменшанай энтрапіяй усё роўна з'яўляецца персанальнымі данымі, калі ён паспяхова ідэнтыфікуе карыстальніка, і зніжэнне паспяховасці не змяняе юрыдычны аналіз, калі ён спрацоўвае. Для выдаўцоў больш бяспечнае меркаванне ў тым, што зняцце адбіткаў працягне быць рэальнай, рэлевантнай для аўдыту тэхнікай на працягу наступных 24 месяцаў, што рэгулятары працягнуць разглядаць яго як эквівалент cookie для мэтаў згоды, і што правільны аперацыйны адказ — ставіцца да зняцця адбіткаў як да любой іншай паверхні адсочвання: інвентарызаванай, катэгарызаванай па мэце, зачыненай згодай там, дзе патрабуецца, і старанна задакументаванай там, дзе яна ажыццяўляецца па іншай падставе.