Пръстов отпечатък на браузъра и съгласие: Ръководство на издателя за техника за проследяване под надзора на регулаторите
В по-голямата част от дискусията в ерата на бисквитките за онлайн проследяване, техническата повърхност, която имаше значение, беше слоят за съхранение: бисквитки в браузъра, записи в localStorage, бази данни IndexedDB — нещата, които разработчикът може да види и регулаторът може да посочи. Пръстовият отпечатък работи по различен начин. Той не иска от браузъра да съхранява нищо. Вместо това задава въпроси на браузъра — какви шрифтове са инсталирани, как изглежда рендирането на това платно, как аудио контекстът обработва този сигнал — и комбинира отговорите в идентификатор, който продължава да съществува между сесии, устройства и дори прозорци за частно сърфиране. За издателите и доставчиците на рекламни технологии пръстовият отпечатък е привлекателен начин за заобикаляне на премахването на бисквитки на трети страни. За регулаторите той се е превърнал в една от най-агресивно преследваните техники за проследяване, тъй като по своя дизайн идентифицира потребителите без тяхното сътрудничество. CNIL, EDPB, UK ICO и италианският Garante са издали решения за прилагане или насоки, насочени специално към пръстовия отпечатък на браузъра, през последните 24 месеца. Това ръководство разглежда какво всъщност е пръстовият отпечатък, какво се счита за пръстов отпечатък по закон и как издателят трябва да се справи с него в рамките на система за управление на съгласието.
Какво е пръстовият отпечатък на браузъра
Пръстовият отпечатък на браузъра е идентификатор с висока ентропия, изграден от свойства, които браузърът разкрива на всеки работещ JavaScript. Основните техники се разделят на няколко семейства, всяко от които допринася за ентропията на комбинирания отпечатък.
Пръстов отпечатък от Canvas
Елементът canvas в HTML5 рендира графики по леко различни начини в зависимост от основния GPU, драйвера, операционната система и подсистемата за шрифтове. Начертаването на фиксиран низ с конкретен шрифт, последвано от хеширане на получените пикселни данни, произвежда идентификатор, който варира между устройствата, но е стабилен между сесиите на едно и също устройство. Пръстовият отпечатък от canvas е каноничният пример и най-цитираната техника в решенията за прилагане.
Аудио пръстов отпечатък
API-то AudioContext обработва аудио сигнали чрез същия вид хардуерно-софтуерен конвейер като графиките, и получения резултат варира по начин, който създава ентропия. Пускането на известен осцилатор през компресор и хеширането на резултата произвежда стабилен идентификатор за всяко устройство.
Изброяване на шрифтове
Различните операционни системи и потребителски профили имат различни набори от инсталирани шрифтове. Проверката за наличие или отсъствие на шрифтове — чрез измерване на текстови метрики за списък с кандидат-шрифтове — произвежда идентификатор, който е особено отличителен за потребители, персонализирали набора си от шрифтове.
Пръстов отпечатък от WebGL
WebGL разкрива GPU възможности и поведение при рендиране. Комбинацията от низа на доставчика, низа на рендера и рендирането на фиксирана сцена произвежда друг идентификатор с висока ентропия.
Метаданни за мрежа и устройство
Освен активните техники за проверка, отпечатъците обикновено включват пасивни метаданни: низ User-Agent, езикови предпочитания, часова зона, разделителна способност на екрана, дълбочина на цветовете, налична памет, налични процесори, статус на батерията и TLS отпечатък на слоя за връзка. Всеки елемент добавя ентропия сам по себе си и се комбинира мултипликативно с другите.
Как регулаторите третират пръстовия отпечатък
Правният анализ е ясен в общи линии, но по-труден на практика. Пръстовият отпечатък, идентифициращ потребител, произвежда лични данни по дефиницията на GDPR, а четенето или достъпът до информация, вече съхранена на устройство, попада под Член 5(3) от Директивата ePrivacy — същата разпоредба, регулираща бисквитките. Както Член 5(3), така и GDPR изискват предварително съгласие за нееднозначно проследяване. Където законът надхвърля бисквитките, е, че ePrivacy 5(3) обхваща "съхранението на информация или получаването на достъп до информация, вече съхранена в крайното оборудване на абонат или потребител" — достатъчно широк език, за да обхване проверката на състоянието на устройството, от която пръстовият отпечатък зависи.
EDPB потвърди това тълкуване в насоките си от 2023 г. относно прилагането на Член 5(3) към проследяване без бисквитки, а CNIL е най-агресивният правоприлагащ орган: редица глоби от 2024 г. цитираха библиотеки за пръстов отпечатък, работещи преди съгласие, като основно нарушение. Изявлението на UK ICO от 2024 г. относно проследяването е дори по-директно при определянето на canvas, аудио и подобни отпечатъци като изискващи opt-in съгласие наравно с бисквитките.
Сивата зона: предотвратяване на измами срещу проследяване
Най-спорният случай на използване на пръстов отпечатък е предотвратяването на измами. Откриването на ботове, защитата срещу превземане на акаунти и проверката за измами при плащане — всички те разчитат на пръстовия отпечатък на устройството като основен сигнал. Регулаторите признаха, че някои от тези обработки могат да бъдат обосновани въз основа на законен интерес, а не съгласие — но летвата е висока, а обхватът — тесен. Позицията на CNIL, отекнала в другите надзорни органи, е, че:
- Строго необходимото предотвратяване на измами върху собствени платформи може да продължи въз основа на законен интерес, с подходяща документация в оценка на законния интерес (LIA).
- Поведенческото или рекламното използване на същия отпечатък изисква съгласие и не може да разчита на основанието за предотвратяване на измами.
- Споделянето на отпечатъка с трети страни за каквато и да е цел обикновено излиза извън обхвата на законния интерес и изисква съгласие.
- Постоянното съхраняване на отпечатъка след незабавната проверка за измами като цяло изисква или съгласие, или много прецизно формулирана позиция за законен интерес.
Практическото следствие е, че издател, работещ едновременно с пръстов отпечатък за предотвратяване на измами и пръстов отпечатък за рекламни технологии, не може да разчита на основанието за измами, за да покрие и двете. Двата потока трябва да бъдат архитектурно разделени, като потокът за рекламни технологии се управлява от съгласие, а потокът за предотвратяване на измами е ограничен до документираната му цел.
Как да се справим с пръстовия отпечатък в CMP
Моделът на интеграция за пръстовия отпечатък е подобен на другите техники за проследяване, но изисква допълнително внимание, тъй като отсъствието на очевидно съхранение улеснява пропускането на границата за съгласие.
1. Инвентаризирайте повърхността за пръстов отпечатък
Проверете сайта за скриптове, извикващи canvas toDataURL(), обработка на базата на AudioContext, проверка на шрифтове чрез измерване на текстови метрики или заявки за рендер на WebGL. Тези извиквания често са скрити в библиотеки на трети страни — SDK за рекламни технологии, доставчици на антифрод, инструменти за A/B тестване — и не са веднага видими.
2. Категоризирайте всяко използване на пръстов отпечатък
За всяка библиотека, създаваща пръстов отпечатък, документирайте дали е (а) строго необходима за функционирането на сайта, (б) мярка за предотвратяване на измами въз основа на законен интерес, или (в) за проследяване, анализ или реклама. Категории (а) и (б) могат да продължат без изрично съгласие въз основа на документирани основания; категория (в) изисква opt-in.
3. Ограничете пръстовия отпечатък за целите на проследяването
За библиотеки от категория (в), CMP трябва да ги третира идентично на маркетинговите бисквитки: скриптът е в DOM, но е неактивен до приемане на маркетинговата категория от посетителя. Повечето съвременни CMP вече поддържат това чрез стандартния модел type="text/plain" + атрибут за категория.
4. Документирайте основанието за законен интерес за пръстовия отпечатък за предотвратяване на измами
Когато пръстовият отпечатък продължава въз основа на законен интерес, LIA трябва да е конкретна, актуална и да отразява действителния обхват на обработката. Общото "предотвратяване на измами" не е достатъчно — LIA трябва да идентифицира какви данни се обработват, колко дълго се съхраняват, какви защити се прилагат и какви са реалистичните очаквания на потребителя.
5. Осигурете значима възможност за opt-out за потоци с законен интерес
Дори когато пръстовият отпечатък за предотвратяване на измами продължава без съгласие, Член 21 от GDPR предоставя на потребителя правото да се противопостави на обработката въз основа на законен интерес. CMP трябва да изведе това право на показ, а техническото изпълнение трябва действително да спре пръстовото отпечатване при упражняване на правото — а не само да запише възражението, докато продължава да взима отпечатъци.
Контролен списък за одит
Шест конкретни въпроса за отговор за всеки сайт, потенциално излагащ повърхности за пръстов отпечатък.
1. Пълнота на инвентаризацията
Изготвил ли е екипът по сигурността актуален списък на всяка библиотека, извършваща проверка на canvas, аудио, шрифтове, WebGL или метаданни на устройството? Ако отговорът е "не сме сигурни", одитът не може да продължи.
2. Класификация на основанията
За всяка библиотека има ли документирано правно основание (съгласие, законен интерес с LIA, договорна необходимост)? Недокументираните основания са фактически отсъстващи по силата на отчетността.
3. Ограничаване на съгласието
Библиотеките за пръстов отпечатък с цел проследяване ограничени ли са зад категорията за маркетингово съгласие, така че скриптът да не може да се изпълни преди приемане?
4. Актуалност на LIA
Датирани ли са оценките на законния интерес в рамките на последните 12 месеца и отразяват ли действителния текущ обхват на обработката, а не остарели описания?
5. Прилагане на opt-out
Когато потребителят упражни Член 21, системата действително ли спира пръстовото отпечатване въз основа на законен интерес, или само записва възражението?
6. Почистване между доставчиците
Ако отпечатъкът се споделя с трета страна (рекламна мрежа, доставчик на атрибуция, доставчик на идентичност), покрито ли е това споделяне от отделно съгласие и оповестено ли е в известието за поверителност?
Мястото на пръстовия отпечатък в бъдещето на проследяването
Производителите на браузъри активно работят за намаляване на ентропията, достъпна за библиотеките за пръстов отпечатък. Apple ITP, вграденото разширение на Firefox и предложенията за Google Privacy Sandbox — всички намаляват основната повърхност. Нито едно от тези намеси обаче не премахва регулаторния проблем — дори отпечатъкът с намалена ентропия остава лични данни, когато успее да идентифицира потребител, а намаляването на процента на успех не променя правния анализ, когато работи. За издателите по-безопасното предположение е, че пръстовият отпечатък ще продължи да бъде реална техника, свързана с одити, за следващите 24 месеца, регулаторите ще продължат да го разглеждат като еквивалент на бисквитките за целите на съгласието, а правилният оперативен отговор е да се третира пръстовият отпечатък като всяка друга повърхност за проследяване: инвентаризирана, категоризирана по цел, управлявана от съгласие при необходимост и подробно документирана, когато продължава въз основа на друго основание.