Τι είναι το αποτύπωμα περιηγητή

Το αποτύπωμα περιηγητή είναι ένα αναγνωριστικό υψηλής εντροπίας που κατασκευάζεται από ιδιότητες που ο περιηγητής εκθέτει σε οποιαδήποτε εκτελούμενη JavaScript. Οι βασικές τεχνικές χωρίζονται σε αρκετές οικογένειες, καθεμία από τις οποίες συνεισφέρει εντροπία στο συνδυασμένο αποτύπωμα.

Fingerprinting Canvas

Το στοιχείο canvas στο HTML5 αποδίδει γραφικά με ελαφρώς διαφορετικούς τρόπους ανάλογα με την υποκείμενη GPU, τον οδηγό, το λειτουργικό σύστημα και το υποσύστημα γραμματοσειρών. Η σχεδίαση μιας σταθερής συμβολοσειράς με μια συγκεκριμένη γραμματοσειρά και στη συνέχεια η κατακερματισμός των δεδομένων pixel που προκύπτουν παράγει ένα αναγνωριστικό που ποικίλλει μεταξύ συσκευών αλλά είναι σταθερό μεταξύ συνεδριών στην ίδια συσκευή. Το fingerprinting canvas είναι το κανονικό παράδειγμα και η πιο συχνά αναφερόμενη τεχνική σε αποφάσεις εφαρμογής.

Fingerprinting ήχου

Το API AudioContext επεξεργάζεται ηχητικά σήματα μέσω του ίδιου τύπου αγωγού υλικού και λογισμικού όπως τα γραφικά, και η αποτελούμενη έξοδος ποικίλλει με τρόπο που δημιουργεί εντροπία. Η εκτέλεση ενός γνωστού ταλαντωτή μέσω ενός συμπιεστή και η κατακερματισμός του αποτελέσματος παράγει ένα σταθερό αναγνωριστικό ανά συσκευή.

Απαρίθμηση γραμματοσειρών

Διαφορετικά λειτουργικά συστήματα και προφίλ χρηστών έχουν διαφορετικά σύνολα εγκατεστημένων γραμματοσειρών. Η ανίχνευση της παρουσίας ή απουσίας γραμματοσειρών — μετρώντας μετρικές κειμένου για μια λίστα υποψήφιων γραμματοσειρών — παράγει ένα αναγνωριστικό που είναι ιδιαίτερα χαρακτηριστικό για χρήστες που έχουν προσαρμόσει το σύνολο γραμματοσειρών τους.

Fingerprinting WebGL

Το WebGL εκθέτει δυνατότητες GPU και συμπεριφορά απόδοσης. Ο συνδυασμός της συμβολοσειράς προμηθευτή, της συμβολοσειράς renderer και της απόδοσης μιας σταθερής σκηνής παράγει ένα άλλο αναγνωριστικό υψηλής εντροπίας.

Μεταδεδομένα δικτύου και συσκευής

Πέρα από τις ενεργές τεχνικές ανίχνευσης, τα αποτυπώματα συνήθως ενσωματώνουν παθητικά μεταδεδομένα: συμβολοσειρά User-Agent, προτιμήσεις γλώσσας, ζώνη ώρας, ανάλυση οθόνης, βάθος χρώματος, διαθέσιμη μνήμη, διαθέσιμους επεξεργαστές, κατάσταση μπαταρίας και αποτύπωμα TLS στο επίπεδο σύνδεσης. Κάθε στοιχείο προσθέτει εντροπία από μόνο του και συνδυάζεται πολλαπλασιαστικά με τα άλλα.

Πώς αντιμετωπίζουν οι ρυθμιστές το fingerprinting

Η νομική ανάλυση είναι απλή στην επισκόπησή της αλλά δυσκολότερη στην πράξη. Το fingerprinting που αναγνωρίζει έναν χρήστη παράγει προσωπικά δεδομένα σύμφωνα με τον ορισμό του GDPR, και η ανάγνωση ή πρόσβαση σε πληροφορίες που είναι ήδη αποθηκευμένες σε μια συσκευή εμπίπτει στο Άρθρο 5(3) της Οδηγίας ePrivacy — η ίδια διάταξη που διέπει τα cookies. Τόσο το Άρθρο 5(3) όσο και το GDPR απαιτούν προηγούμενη συναίνεση για μη ουσιαστική παρακολούθηση. Εκεί που ο νόμος υπερβαίνει τα cookies είναι ότι το ePrivacy 5(3) καλύπτει "την αποθήκευση πληροφοριών, ή την πρόσβαση σε πληροφορίες που είναι ήδη αποθηκευμένες, στον τερματικό εξοπλισμό ενός συνδρομητή ή χρήστη" — γλώσσα αρκετά ευρεία ώστε να καλύπτει την ανίχνευση κατάστασης συσκευής από την οποία εξαρτάται το fingerprinting.

Το EDPB επιβεβαίωσε αυτή την ερμηνεία στις κατευθύνσεις του του 2023 για την εφαρμογή του Άρθρου 5(3) στην παρακολούθηση χωρίς cookies, και η CNIL ήταν ο πιο επιθετικός εφαρμοστής: αρκετά πρόστιμα το 2024 ανέφεραν βιβλιοθήκες fingerprinting που λειτουργούσαν πριν τη συναίνεση ως κύρια παραβίαση. Η δήλωση του UK ICO του 2024 για την παρακολούθηση είναι ακόμα πιο άμεση στο πλαίσιό της που τα αποτυπώματα canvas, ήχου και παρόμοια απαιτούν συναίνεση opt-in σε ισότιμη βάση με τα cookies.

Η γκρίζα ζώνη: πρόληψη απάτης έναντι παρακολούθησης

Η πιο αμφιλεγόμενη περίπτωση χρήσης fingerprinting είναι η πρόληψη απάτης. Η ανίχνευση botnet, η άμυνα κατά της κατάληψης λογαριασμών και η διαλογή απάτης πληρωμών όλα βασίζονται στο fingerprinting συσκευής ως βασικό σήμα. Οι ρυθμιστές αναγνώρισαν ότι μέρος αυτής της επεξεργασίας μπορεί να δικαιολογηθεί υπό έννομο συμφέρον αντί συναίνεσης — αλλά ο πήχης είναι ψηλός και το εύρος στενό. Η θέση της CNIL, που απηχείται από άλλες ΑΠΔ, είναι ότι:

• Η αυστηρά αναγκαία πρόληψη απάτης σε ιδιοκτησίες πρώτου μέρους μπορεί να προχωρήσει υπό έννομο συμφέρον, με κατάλληλη τεκμηρίωση σε αξιολόγηση έννομου συμφέροντος (LIA).
• Η συμπεριφορική ή διαφημιστική χρήση του ίδιου αποτυπώματος απαιτεί συναίνεση και δεν μπορεί να βασιστεί στη βάση της πρόληψης απάτης.
• Η κοινοποίηση του αποτυπώματος σε τρίτους για οποιονδήποτε σκοπό συνήθως εκπίπτει εκτός του εύρους του έννομου συμφέροντος και απαιτεί συναίνεση.
• Η μόνιμη αποθήκευση του αποτυπώματος πέρα από τον άμεσο έλεγχο απάτης απαιτεί γενικά είτε συναίνεση είτε μια πολύ αυστηρά διατυπωμένη θέση έννομου συμφέροντος.

Η πρακτική επίπτωση είναι ότι ένας εκδότης που εκτελεί τόσο fingerprinting πρόληψης απάτης όσο και fingerprinting διαφημιστικής τεχνολογίας δεν μπορεί να βασιστεί στη βάση της απάτης για να καλύψει και τα δύο. Τα δύο ροές πρέπει να είναι αρχιτεκτονικά διαχωρισμένες, με τη ροή διαφημιστικής τεχνολογίας να ελέγχεται από τη συναίνεση και τη ροή πρόληψης απάτης να περιορίζεται στον τεκμηριωμένο σκοπό της.

Πώς να χειριστείτε το fingerprinting σε ένα CMP

Το μοτίβο ενσωμάτωσης για το fingerprinting είναι παρόμοιο με άλλες τεχνικές παρακολούθησης, αλλά με επιπλέον προσοχή επειδή η απουσία προφανούς αποθήκευσης κάνει το όριο συναίνεσης ευκολότερο να χαθεί.

1. Καταγράψτε την επιφάνεια fingerprinting

Ελέγξτε τον ιστότοπο για οποιοδήποτε σενάριο που καλεί canvas toDataURL(), επεξεργασία βασισμένη σε AudioContext, ανίχνευση γραμματοσειρών μέσω μέτρησης μετρικών κειμένου ή ερωτήματα renderer WebGL. Αυτές οι κλήσεις συχνά είναι θαμμένες σε βιβλιοθήκες τρίτων — SDK διαφημιστικής τεχνολογίας, προμηθευτές anti-fraud, εργαλεία δοκιμών A/B — και δεν είναι άμεσα ορατές.

2. Κατηγοριοποιήστε κάθε χρήση fingerprinting

Για κάθε βιβλιοθήκη που κάνει fingerprinting, τεκμηριώστε αν είναι (α) αυστηρά αναγκαία για τη λειτουργία του ιστότοπου, (β) ένα μέτρο πρόληψης απάτης υπό έννομο συμφέρον, ή (γ) για παρακολούθηση, ανάλυση ή διαφήμιση. Οι κατηγορίες (α) και (β) μπορούν να προχωρήσουν χωρίς ρητή συναίνεση υπό τεκμηριωμένες βάσεις· η κατηγορία (γ) απαιτεί opt-in.

3. Ελέγξτε το fingerprinting σκοπού παρακολούθησης

Για βιβλιοθήκες που εμπίπτουν στην κατηγορία (γ), το CMP θα πρέπει να τις αντιμετωπίζει ταυτόσημα με τα cookies μάρκετινγκ: το σενάριο βρίσκεται στο DOM αλλά είναι ανενεργό μέχρι ο επισκέπτης να αποδεχθεί την κατηγορία μάρκετινγκ. Τα περισσότερα σύγχρονα CMP υποστηρίζουν ήδη αυτό μέσω του τυπικού μοτίβου type="text/plain" + κατηγορία-χαρακτηριστικό.

4. Τεκμηριώστε τη βάση έννομου συμφέροντος για το fingerprinting πρόληψης απάτης

Όπου το fingerprinting προχωρά υπό έννομο συμφέρον, η LIA πρέπει να είναι συγκεκριμένη, τρέχουσα και να αντικατοπτρίζει το πραγματικό εύρος επεξεργασίας. Το γενικό "πρόληψη απάτης" δεν αρκεί — η LIA πρέπει να εντοπίζει ποια δεδομένα επεξεργάζονται, πόσο καιρό διατηρούνται, ποιες προστασίες ισχύουν και ποιες είναι οι ρεαλιστικές προσδοκίες του χρήστη.

5. Παρέχετε μια ουσιαστική επιλογή αποχώρησης για ροές έννομου συμφέροντος

Ακόμα και όπου το fingerprinting πρόληψης απάτης προχωρά χωρίς συναίνεση, το Άρθρο 21 του GDPR παρέχει στον χρήστη το δικαίωμα αντίρρησης στην επεξεργασία έννομου συμφέροντος. Το CMP πρέπει να επιδείξει αυτό το δικαίωμα, και η τεχνική υλοποίηση πρέπει να σταματά πραγματικά το fingerprinting όταν ασκείται το δικαίωμα — όχι μόνο να καταγράφει την αντίρρηση ενώ συνεχίζει το fingerprinting.

Λίστα ελέγχου ελέγχου

Έξι συγκεκριμένες ερωτήσεις για να απαντηθούν για οποιονδήποτε ιστότοπο που ενδέχεται να εκθέτει επιφάνειες fingerprinting.

1. Πληρότητα αποθέματος

Έχει η ομάδα ασφαλείας παράγει μια τρέχουσα λίστα κάθε βιβλιοθήκης που εκτελεί ανίχνευση canvas, ήχου, γραμματοσειρών, WebGL ή μεταδεδομένων συσκευής; Εάν η απάντηση είναι "δεν είμαστε σίγουροι", ο έλεγχος δεν μπορεί να προχωρήσει.

2. Ταξινόμηση βάσης

Για κάθε βιβλιοθήκη, υπάρχει τεκμηριωμένη νομική βάση (συναίνεση, έννομο συμφέρον με LIA, συμβατική ανάγκη); Οι αδοκίμαστες βάσεις απουσιάζουν de facto υπό λογοδοσία.

3. Έλεγχος συναίνεσης

Οι βιβλιοθήκες fingerprinting σκοπού παρακολούθησης ελέγχονται πίσω από την κατηγορία συναίνεσης μάρκετινγκ, με το σενάριο να μην μπορεί να τρέξει πριν την αποδοχή;

4. Φρεσκάδα LIA

Οι αξιολογήσεις έννομου συμφέροντος είναι χρονολογημένες εντός των τελευταίων 12 μηνών, και αντικατοπτρίζουν το πραγματικό τρέχον εύρος επεξεργασίας αντί για κληρονομημένες περιγραφές;

5. Εφαρμογή αποχώρησης

Όταν ένας χρήστης ασκεί το Άρθρο 21, σταματά πραγματικά το σύστημα το fingerprinting έννομου συμφέροντος, ή απλώς καταγράφει την αντίρρηση;

6. Καθαρισμός μεταξύ προμηθευτών

Εάν ένα αποτύπωμα κοινοποιείται με τρίτο μέρος (δίκτυο διαφημίσεων, πάροχος απόδοσης, προμηθευτής ταυτότητας), καλύπτεται αυτή η κοινοποίηση από ξεχωριστή συναίνεση και αποκαλύπτεται στην ειδοποίηση απορρήτου;

Πού βρίσκεται το fingerprinting στο μέλλον της παρακολούθησης

Οι προμηθευτές περιηγητών εργάζονται ενεργά για τη μείωση της εντροπίας που είναι διαθέσιμη στις βιβλιοθήκες fingerprinting. Το ITP της Apple, η ενσωματωμένη προστασία του Firefox και οι προτάσεις Google Privacy Sandbox υποβαθμίζουν όλα την υποκείμενη επιφάνεια. Καμία από αυτές τις παρεμβάσεις δεν αφαιρεί το ρυθμιστικό ζήτημα, ωστόσο — ακόμα και ένα αποτύπωμα με μειωμένη εντροπία παραμένει προσωπικά δεδομένα όταν καταφέρει να αναγνωρίσει έναν χρήστη, και η μείωση του ποσοστού επιτυχίας δεν αλλάζει την νομική ανάλυση όταν λειτουργεί. Για τους εκδότες, η ασφαλέστερη υπόθεση είναι ότι το fingerprinting θα συνεχίσει να είναι μια πραγματική, σχετική με ελέγχους τεχνική για τους επόμενους 24 μήνες, ότι οι ρυθμιστές θα συνεχίσουν να το αντιμετωπίζουν ως ισοδύναμο με τα cookies για σκοπούς συναίνεσης, και ότι η σωστή επιχειρησιακή απάντηση είναι να αντιμετωπίζετε το fingerprinting όπως κάθε άλλη επιφάνεια παρακολούθησης: απογεγραμμένη, κατηγοριοποιημένη κατά σκοπό, ελεγχόμενη από συναίνεση όπου απαιτείται και τεκμηριωμένη διεξοδικά όπου προχωρά υπό άλλη βάση.