Brauseri sõrmejäljestamine ja nõusolek: avaldaja juhend jälgimistehnika kohta, mida regulaatorid jälgivad
Enamiku küpsiste-ajastu arutelu veebijälgimise üle puudutas tehniline pind, mis oli oluline, salvestuskihti: küpsised brauseris, localStorage kirjed, IndexedDB andmebaasid, asjad, mida arendaja võis näha ja millele regulaator võis osutada. Sõrmejäljestamine töötab teisiti. See ei palu brauseril midagi salvestada. Selle asemel esitab see brauserile küsimusi — milliseid fonte teil on paigaldatud, milline näeb see canvas renderdamine välja, kuidas audio context seda signaali töötleb — ja kombineerib vastused identifikaatoriks, mis püsib seansside, seadmete ja isegi privaatsete sirvimisluukide vahel. Väljaandjatele ja reklaamitehnoloogia tarnijatele on sõrmejäljestamine olnud atraktiivne viis kolmanda osapoole küpsiste iganemisest mööda minna. Regulaatoritele on see muutunud üheks agressiivsemalt jälitatud jälgimistehnikaks, kuna see on disainilt loodud kasutajaid tuvastama ilma nende koostööta. CNIL, EDPB, UK ICO ja Itaalia Garante on kõik väljastanud jõustamisotsuseid või juhiseid, mis on spetsiaalselt suunatud sõrmejäljestamisele viimase 24 kuu jooksul. See juhend käsitleb, mis sõrmejäljestamine tegelikult on, mis loetakse seaduse järgi sõrmejäljestamiseks ja kuidas väljaandja peaks sellega toime tulema nõusolekuhalduse raamistikus.
Mis on brauseri sõrmejäljestamine
Brauseri sõrmejälg on kõrge entroopia identifikaator, mis on ehitatud omadustest, mida brauser avaldab mis tahes töötavale JavaScriptile. Põhitehnikad jagunevad mitmesse perekonda, millest igaüks aitab kaasa kombineeritud sõrmejälje entroopiale.
Canvas sõrmejäljestamine
HTML5 canvas element renderdab graafikat veidi erineval viisil sõltuvalt aluseks olevast GPU-st, draiverist, operatsioonisüsteemist ja fondisüsteemist. Kindla stringi joonistamine konkreetse fondiga, seejärel saadud pikselite andmete hashimine, toodab identifikaatori, mis erineb seadmete vahel, kuid on stabiilne sammas seadmes seansside vahel. Canvas sõrmejäljestamine on kanooniline näide ja jõustamismeetmetes kõige enam tsiteeritud tehnika.
Audio sõrmejäljestamine
AudioContext API töötleb audiosignaale läbi samalaadse riistvara-ja-tarkvara torujuhtme nagu graafika, ja saadud väljund erineb viisil, mis loob entroopiat. Teadaoleva ostsillaatori läbilaskmine kompressori kaudu ja tulemuse hashimine toodab stabiilse seadme kohese identifikaatori.
Fontide loendamine
Erinevatel operatsioonisüsteemidel ja kasutajaprofiilidel on paigaldatud erinevad fondikomplektid. Fontide olemasolu või puudumise sondeerimine — kandidaatfontide loendi tekstimõõtmiste abil — toodab identifikaatori, mis on eriti eristuv kasutajatele, kes on oma fondikomplekti kohandanud.
WebGL sõrmejäljestamine
WebGL avaldab GPU võimekused ja renderdamiskäitumise. Tarnija stringi, rendereri stringi ja kindla stseeni renderdamise kombinatsioon toodab teise kõrge entroopia identifikaatori.
Võrgu ja seadme metaandmed
Lisaks aktiivsetele sondeerimistehnikatele sisaldavad sõrmejäljed tavaliselt passiivseid metaandmeid: User-Agent string, keeleeelistused, ajavöönd, ekraani resolutsioon, värvusügavus, saadaolev mälu, saadaolevad protsessorid, aku olek ja TLS sõrmejälg ühenduskihis. Iga element lisab iseseisvalt entroopiat ja kombineerub teistega korrutavalt.
Kuidas regulaatorid sõrmejäljestamist käsitlevad
Õiguslik analüüs on lihtne üldjoontes, kuid raskem praktikas. Sõrmejäljestamine, mis kasutajat tuvastab, toodab isikuandmeid GDPR definitsiooni järgi, ja juba seadmes salvestatud teabe lugemine või juurdepääs kuulub ePrivacy direktiivi Article 5(3) alla — sama säte, mis reguleerib küpsiseid. Nii Article 5(3) kui ka GDPR nõuavad eelnevat nõusolekut mittevajalikuks jälgimiseks. Kus seadus küpsistest kaugemale liigub, on see, et ePrivacy 5(3) hõlmab "teabe salvestamist või juba salvestatud teabele juurdepääsu saamist tellijate või kasutaja terminalseadmes" — piisavalt lai keel, et hõlmata seadme oleku sondeerimist, millest sõrmejäljestamine sõltub.
EDPB kinnitas seda tõlgendust oma 2023. aasta juhistes Article 5(3) rakendamise kohta mitteküpsiste jälgimisele, ja CNIL on olnud agressiivseim jõustaja: mitmed 2024. aasta trahvid viitasid sõrmejäljestamise teekidele, mis töötasid enne nõusolekut kui peamisele rikkumisele. UK ICO 2024. aasta avaldus jälgimise kohta on veelgi otsesem, raamides canvas, audio ja sarnased sõrmejäljed nõusolek-sisselülitamist nõudvaks võrdsel alusel küpsistega.
Hall ala: pettusevastane ennetamine vs jälgimine
Kõige vaidlusalusem sõrmejäljestamise kasutusjuhtum on pettusevastane ennetamine. Botide tuvastamine, konto hõivamise kaitse ja maksepettuste kontrollimine tuginevad kõik seadme sõrmejäljestamisele kui põhisignaalile. Regulaatorid on tunnistanud, et osa sellest töötlemisest võib olla õigustatud õigustatud huvi alusel mitte nõusoleku alusel — kuid latt on kõrge ja ulatus on kitsas. CNIL positsioon, mida kordavad teised andmekaitse asutused, on see, et:
- Rangelt vajalik pettusevastane ennetamine esimese osapoole kinnisvaraobjektidel võib jätkuda õigustatud huvi alusel, asjakohase dokumentatsiooniga õigustatud huvi hindamises (LIA).
- Sama sõrmejälje käitumuslik või reklaamiline kasutamine nõuab nõusolekut ega saa tugineda pettusevastase ennetamise alusele.
- Sõrmejälje jagamine kolmandate osapooltega mis tahes eesmärgil jääb tavaliselt õigustatud huvi ulatusest väljapoole ja nõuab nõusolekut.
- Sõrmejälje püsiv salvestamine kauem kui vahetu pettusekontroll nõuab üldiselt kas nõusolekut või väga tihedalt koostatud õigustatud huvi positsiooni.
Praktiline mõju on see, et väljaandja, kes käitab nii pettusevastase ennetamise sõrmejäljestamist kui ka reklaamitehnoloogia sõrmejäljestamist, ei saa tugineda pettusevastasele alusele mõlema katmiseks. Need kaks voogu peavad olema arhitektuurselt eraldi, kusjuures reklaamitehnoloogia voog on nõusoleku taga väravas ja pettusevastase ennetamise voog on piiratud oma dokumenteeritud eesmärgiga.
Kuidas käsitleda sõrmejäljestamist CMP-s
Sõrmejäljestamise integreerimismuster on sarnane teiste jälgimistehnikatega, kuid täiendava hoolega, suna ilmse salvestamise puudumine teeb nõusoleku piiri kergemini vahele jätmiseks.
1. Sõrmejäljestamise pinna inventariseerimine
Auditeerige saiti mis tahes skripti jaoks, mis kutsub canvas toDataURL(), AudioContext-põhist töötlemist, fondi sondeerimist tekstimõõtmiste kaudu või WebGL rendereri päringuid. Need kutsed on sageli peidetud kolmanda osapoole teekidesse — reklaamitehnoloogia SDK-d, pettusevastad tarnijad, A/B testimise tööriistad — ja ei ole kohe nähtavad.
2. Iga sõrmejäljestamise kasutamise kategooriseerimine
Iga teegi jaoks, mis sõrmejäljestab, dokumenteerige, kas see on (a) rangelt vajalik saidi toimimiseks, (b) pettusevastane ennetus meetme õigustatud huvi alusel või (c) jälgimiseks, analüütikaks või reklaamimiseks. Kategooriad (a) ja (b) võivad jätkuda ilma selge nõusolekuta dokumenteeritud alustel; kategooria (c) nõuab sisselülitamist.
3. Jälgimise eesmärgiga sõrmejäljestamise väravasse panemine
Kategooria (c) alla kuuluvate teekide jaoks peaks CMP käsitlema neid identsel viisil turundusküpsistega: skript on DOM-is, kuid inertsne, kuni külastaja turunduskategooria aktsepteerib. Enamik kaasaegseid CMP-sid toetavad seda juba standardse type="text/plain" + kategooria-atribuudi mustri kaudu.
4. Pettusevastase ennetamise sõrmejäljestamise õigustatud huvi aluse dokumenteerimine
Kus sõrmejäljestamine jätkub õigustatud huvi alusel, peab LIA olema konkreetne, praegune ja peegeldama tegelikku töötlemise ulatust. Üldine "pettusevastane ennetamine" ei ole piisav — LIA peab tuvastama, milliseid andmeid töödeldakse, kui kaua neid hoitakse, millised kaitsed kehtivad ja millised on kasutaja realistlikud ootused.
5. Õigustatud huvi voogude jaoks tähendusrikka loobumise pakkumine
Isegi kui pettusevastase ennetamise sõrmejäljestamine jätkub ilma nõusolekuta, annab GDPR Article 21 kasutajale õiguse õigustatud-huvi töötlemise vastu vastuväiteid esitada. CMP peab seda õigust avaldama ja tehniline rakendamine peab sõrmejäljestamise tegelikult peatama, kui õigust teostatakse — mitte ainult vastuväidet salvestama, jätkates samal ajal sõrmejäljestamist.
Auditi kontrollnimekiri
Kuus konkreetset küsimust, millele vastata mis tahes saidile, mis potentsiaalselt avaldab sõrmejäljestamise pindu.
1. Inventari täielikkus
Kas turvarühm on tootnud praeguse nimekirja igast teegist, mis teostab canvas, audio, font, WebGL või seadme metaandmete sondeerimist? Kui vastus on "me ei ole kindlad", ei saa audit jätkuda.
2. Aluse klassifitseerimine
Iga teegi jaoks, kas on dokumenteeritud seaduslik alus (nõusolek, õigustatud huvi LIA-ga, lepinguline vajalikkus)? Dokumenteerimata alused on de facto puuduvad vastutuse all.
3. Nõusoleku väravasse panemine
Kas jälgimise eesmärgiga sõrmejäljestamise teegid on turunduse nõusoleku kategooria taga väravas, kusjuures skript ei saa käivituda enne aktsepteerimist?
4. LIA värskus
Kas õigustatud huvi hinnangud on dateeritud viimase 12 kuu jooksul ja kas nad peegeldavad tegelikku praegust töötlemise ulatust mitte pärandbeskriptsioonide?
5. Loobumise jõustamine
Kui kasutaja teostab Article 21, kas süsteem tegelikult peatab õigustatud-huvi sõrmejäljestamise või ainult salvestab vastuväite?
6. Tarnijateülene puhastus
Kui sõrmejälge jagatakse kolmanda osapoolega (reklaamivõrgustik, atribueerimise pakkuja, identiteedipakkuja), kas seda jagamist hõlmab eraldi nõusolek ja avalikustatakse privaatsuspoliitikas?
Kus sõrmejäljestamine asub jälgimise tulevikus
Brauseri tarnijad töötavad aktiivselt sõrmejäljestamise teekidele saadaoleva entroopia vähendamiseks. Apple ITP, Firefox sisseehitatud kaitse ja Google Privacy Sandbox ettepanekud kõik vähendavad aluseks olevat pinda. Ükski neist sekkumistest ei eemalda regulatiivset küsimust siiski — isegi vähendatud entroopiaga sõrmejälg on endiselt isikuandmed, kui see õnnestub kasutajat tuvastama, ja edukuse määra vähendamine ei muuda õiguslikku analüüsi, kui see töötab. Väljaandjatele on turvalisem eeldus, et sõrmejäljestamine jätkub reaalse, auditi-asjakohase tehnikana järgmise 24 kuu jooksul, et regulaatorid jätkavad selle vaatamist võrdsena küpsistega nõusoleku eesmärkidel ja et õige operatiivne vastus on käsitleda sõrmejäljestamist nagu iga teist jälgimise pinda: inventariseeritud, eesmärgi järgi kategoriseeritud, nõusolekuga väravas kui nõutud ja põhjalikult dokumenteeritud, kus see jätkub teise alusel.