Fingerprinting prohlížeče a souhlas: Průvodce vydavatele technikou sledování, kterou regulátoři sledují
Po většinu diskuse v éře cookies o online sledování byla technická plocha, na které záleželo, vrstva úložiště: cookies v prohlížeči, záznamy v localStorage, databáze IndexedDB – věci, které mohl vývojář vidět a regulátor na ně ukázat. Fingerprinting funguje jinak. Nežádá prohlížeč, aby cokoli uložil. Místo toho klade prohlížeči otázky – jaká písma máte nainstalovaná, jak vypadá tento canvas render, jak zvukový kontext zpracovává tento signál – a kombinuje odpovědi do identifikátoru, který přetrvává napříč relacemi, zařízeními a dokonce soukromými okny prohlížeče. Pro vydavatele a dodavatele reklamních technologií byl fingerprinting atraktivním způsobem, jak obejít ukončení podpory cookies třetích stran. Pro regulátory se stal jednou z nejagresivněji pronásledovaných technik sledování, protože záměrně identifikuje uživatele bez jejich spolupráce. CNIL, EDPB, UK ICO a italský Garante vydali v posledních 24 měsících rozhodnutí o vymáhání nebo pokyny zaměřené konkrétně na fingerprinting. Tento průvodce vysvětluje, co fingerprinting skutečně je, co se jako fingerprinting počítá ze zákona a jak by jej vydavatel měl zvládnout v rámci správy souhlasů.
Co je fingerprinting prohlížeče
Otisk prohlížeče je identifikátor s vysokou entropií sestavený z vlastností, které prohlížeč zpřístupňuje jakémukoli spuštěnému JavaScriptu. Základní techniky se rozdělují do několika rodin, každá přispívá k entropii kombinovaného otisku.
Canvas fingerprinting
Element canvas v HTML5 vykresluje grafiku mírně odlišnými způsoby v závislosti na základním GPU, ovladači, operačním systému a subsystému písem. Nakreslení pevného řetězce specifickým písmem a následný hash výsledných dat pixelů vytváří identifikátor, který se mezi zařízeními liší, ale je stabilní napříč relacemi na stejném zařízení. Canvas fingerprinting je kanonickým příkladem a nejcitovanější technikou v rozhodnutích o vymáhání.
Zvukový fingerprinting
API AudioContext zpracovává zvukové signály prostřednictvím stejného druhu hardwarově-softwarového kanálu jako grafika a výsledný výstup se liší způsobem, který vytváří entropii. Spuštění známého oscilátoru přes kompresor a zahashování výsledku vytváří stabilní identifikátor pro každé zařízení.
Výčet písem
Různé operační systémy a uživatelské profily mají různé sady nainstalovaných písem. Sondování přítomnosti nebo absence písem – měřením textových metrik pro seznam kandidátních písem – vytváří identifikátor, který je obzvláště rozlišovací pro uživatele, kteří si přizpůsobili sadu písem.
WebGL fingerprinting
WebGL zpřístupňuje možnosti GPU a chování při vykreslování. Kombinace řetězce dodavatele, řetězce rendereru a vykreslení pevné scény vytváří další identifikátor s vysokou entropií.
Síťová a zařízení metadata
Kromě aktivních technik sondování otisky obvykle zahrnují pasivní metadata: řetězec User-Agent, jazykové preference, časové pásmo, rozlišení obrazovky, barevnou hloubku, dostupnou paměť, dostupné procesory, stav baterie a TLS otisk na vrstvě připojení. Každá položka sama o sobě přidává entropii a kombinuje se multiplikativně s ostatními.
Jak regulátoři přistupují k fingerprintingu
Právní analýza je v hrubých rysech jednoduchá, ale v praxi obtížnější. Fingerprinting, který identifikuje uživatele, vytváří osobní údaje podle definice GDPR a čtení nebo přístup k informacím již uloženým na zařízení spadá pod článek 5(3) směrnice ePrivacy – stejné ustanovení, které upravuje cookies. Jak článek 5(3), tak GDPR vyžadují předchozí souhlas pro nezbytné sledování. Kde právo jde za cookies, je, že ePrivacy 5(3) pokrývá „ukládání informací nebo přístup k informacím již uloženým v koncovém zařízení účastníka nebo uživatele" – jazyk dostatečně široký, aby pokryl sondování stavu zařízení, na němž fingerprinting závisí.
EDPB toto výklad potvrdil ve svých pokynech z roku 2023 o aplikaci článku 5(3) na sledování bez cookies a CNIL byl nejagresivnějším vykonavatelem: řada pokut z roku 2024 citovala fingerprint knihovny fungující před souhlasem jako hlavní porušení. Prohlášení UK ICO z roku 2024 o sledování je ještě přímočařejší při rámování canvas, zvukových a podobných otisků jako vyžadujících souhlas opt-in na stejné úrovni jako cookies.
Šedá zóna: prevence podvodů vs. sledování
Nejvíce sporným případem použití fingerprintingu je prevence podvodů. Detekce botů, obrana před převzetím účtů a screening platebních podvodů se všechny spoléhají na fingerprinting zařízení jako základní signál. Regulátoři uznali, že část tohoto zpracování může být odůvodněna na základě oprávněného zájmu spíše než souhlasu – ale laťka je vysoká a rozsah úzký. Postoj CNIL, který echují ostatní dozorové úřady, je, že:
- Striktně nezbytná prevence podvodů na vlastních stránkách může probíhat na základě oprávněného zájmu s příslušnou dokumentací v posouzení oprávněného zájmu (LIA).
- Behaviorální nebo reklamní použití stejného otisku vyžaduje souhlas a nemůže se opírat o základ prevence podvodů.
- Sdílení otisku s třetími stranami pro jakýkoli účel obvykle padá mimo rozsah oprávněného zájmu a vyžaduje souhlas.
- Trvalé uložení otisku po okamžité kontrole podvodů obecně vyžaduje buď souhlas nebo velmi přísně formulovanou pozici oprávněného zájmu.
Praktickým důsledkem je, že vydavatel provozující fingerprinting pro prevenci podvodů i fingerprinting pro reklamní technologie se nemůže spoléhat na základ podvodů pro pokrytí obou. Oba toky musí být architektonicky oddělené, přičemž tok reklamních technologií je řízen souhlasem a tok prevence podvodů je omezen na svůj zdokumentovaný účel.
Jak zvládnout fingerprinting v CMP
Integrační vzor pro fingerprinting je podobný jiným technikám sledování, ale s dodatečnou péčí, protože absence zjevného úložiště usnadňuje přehlédnutí hranice souhlasu.
1. Inventarizovat plochu fingerprintingu
Auditujte web pro jakýkoli skript volající canvas toDataURL(), zpracování na základě AudioContext, sondování písem měřením textových metrik nebo dotazy na renderer WebGL. Tato volání jsou často pohřbena v knihovnách třetích stran – SDK reklamních technologií, dodavatelé anti-fraud, nástroje A/B testování – a nejsou okamžitě viditelná.
2. Kategorizovat každé použití fingerprintingu
Pro každou knihovnu, která provádí fingerprinting, zdokumentujte, zda je (a) striktně nezbytná pro fungování webu, (b) opatřením prevence podvodů na základě oprávněného zájmu, nebo (c) pro sledování, analytiku nebo reklamu. Kategorie (a) a (b) mohou pokračovat bez výslovného souhlasu na základě zdokumentovaných základů; kategorie (c) vyžaduje opt-in.
3. Řídit fingerprinting pro účely sledování
Pro knihovny spadající do kategorie (c) by CMP měl zacházet stejně jako s marketingovými cookies: skript je v DOM, ale je nečinný, dokud návštěvník nepřijme kategorii marketingu. Většina moderních CMP již toto podporuje prostřednictvím standardního vzoru type="text/plain" + atribut kategorie.
4. Zdokumentovat základ oprávněného zájmu pro fingerprinting prevence podvodů
Kde fingerprinting probíhá na základě oprávněného zájmu, LIA musí být specifická, aktuální a odrážet skutečný rozsah zpracování. Generická „prevence podvodů" nestačí – LIA musí identifikovat, jaké údaje jsou zpracovávány, jak dlouho jsou uchovávány, jaké ochranné prvky se uplatňují a jaká jsou realistická očekávání uživatele.
5. Poskytnout smysluplnou možnost opt-out pro toky oprávněného zájmu
I tam, kde fingerprinting prevence podvodů probíhá bez souhlasu, článek 21 GDPR uděluje uživateli právo vznést námitku proti zpracování na základě oprávněného zájmu. CMP musí toto právo zpřístupnit a technická implementace musí skutečně zastavit fingerprinting při uplatnění práva – nikoli pouze zaznamenat námitku, zatímco fingerprinting pokračuje.
Kontrolní seznam auditu
Šest konkrétních otázek, které je třeba zodpovědět pro jakýkoli web potenciálně vystavující plochy fingerprintingu.
1. Úplnost inventáře
Vytvořil bezpečnostní tým aktuální seznam každé knihovny provádějící canvas, zvukové, písemné, WebGL nebo sondování metadat zařízení? Pokud je odpověď „nejsme si jisti", audit nemůže pokračovat.
2. Klasifikace základu
Pro každou knihovnu existuje zdokumentovaný právní základ (souhlas, oprávněný zájem s LIA, smluvní nezbytnost)? Nezdokumentované základy jsou fakticky nepřítomné v rámci odpovědnosti.
3. Řízení souhlasem
Jsou knihovny fingerprintingu pro sledovací účely řízeny za kategorií marketingového souhlasu, přičemž skript nemůže běžet před přijetím?
4. Aktuálnost LIA
Jsou posouzení oprávněného zájmu datována v posledních 12 měsících a odráží skutečný aktuální rozsah zpracování spíše než zastaralé popisy?
5. Vymáhání opt-out
Když uživatel uplatní článek 21, systém skutečně zastaví fingerprinting oprávněného zájmu, nebo pouze zaznamená námitku?
6. Čistění mezi dodavateli
Pokud je otisk sdílen s třetí stranou (reklamní sítí, poskytovatelem atribuce, dodavatelem identity), je toto sdílení pokryto samostatným souhlasem a zveřejněno v oznámení o ochraně soukromí?
Kde fingerprinting stojí v budoucnosti sledování
Dodavatelé prohlížečů aktivně pracují na snížení entropie dostupné pro fingerprint knihovny. Apple ITP, vestavěná ochrana Firefoxu a návrhy Google Privacy Sandbox erodují základní plochu. Žádný z těchto zásahů však regulatorní problém neodstraňuje – i otisk se sníženou entropií zůstává osobními údaji, pokud se mu podaří identifikovat uživatele, a snížení míry úspěšnosti nemění právní analýzu, když funguje. Pro vydavatele je bezpečnějším předpokladem, že fingerprinting bude nadále reálnou, auditně relevantní technikou po příštích 24 měsíců, regulátoři jej budou nadále považovat za ekvivalent cookies pro účely souhlasu a správnou provozní odpovědí je zacházet s fingerprintingem jako s jakoukoli jinou sledovací plochou: inventarizovanou, kategorizovanou podle účelu, řízenou souhlasem tam, kde je to požadováno, a důkladně zdokumentovanou tam, kde probíhá na jiném základě.