Selaimen sormenjäljet ja suostumus: Julkaisijan opas seurantatekniikkaan, jota sääntelyviranomaiset tarkkailevat
Suurimman osan evästekaudesta käydystä verkossa tapahtuvaa seurantaa koskevasta keskustelusta teknisesti merkityksellinen pinta-ala oli tallennuskerros: evästeet selaimessa, localStorage-merkinnät, IndexedDB-tietokannat, asiat joita kehittäjä pystyi näkemään ja johon sääntelyviranomainen pystyi osoittamaan. Sormenjälkitunnistus toimii eri tavalla. Se ei pyydä selainta tallentamaan mitään. Sen sijaan se esittää selaimelle kysymyksiä — mitä fontteja sinulla on asennettuna, miltä tämä canvas-renderöinti näyttää, miten äänikonteksti käsittelee tätä signaalia — ja yhdistää vastaukset tunnisteeksi, joka säilyy istuntojen, laitteiden ja jopa yksityisten selaustilaikkunoiden välillä. Julkaisijoille ja mainosteknologiatoimittajille sormenjälkitunnistus on ollut houkutteleva keino kiertää kolmannen osapuolen evästeiden poistuminen. Sääntelyviranomaisille siitä on tullut yksi aggressiivisimmin valvotuista seurantatekniikoista, koska se suunnittelunsa mukaan tunnistaa käyttäjät ilman heidän yhteistyötään. CNIL, EDPB, UK ICO ja Italian Garante ovat kaikki antaneet täytäntöönpanopäätöksiä tai ohjeistusta, joka kohdistuu erityisesti sormenjälkitunnistukseen viimeisen 24 kuukauden aikana. Tämä opas käy läpi mitä sormenjälkitunnistus oikeastaan on, mikä lasketaan sormenjälkitunnistukseksi lain mukaan ja miten julkaisijan tulisi käsitellä sitä suostumuksenhallinnan viitekehyksessä.
Mitä selaimen sormenjälkitunnistus on
Selaimen sormenjälki on korkea-entropinen tunniste, joka rakennetaan ominaisuuksista, jotka selain paljastaa kaikelle suoritettavalle JavaScriptille. Perustekniikat jakautuvat useisiin perheisiin, joista jokainen tuottaa entropiaa yhdistettyyn sormenjälkeen.
Canvas-sormenjälkitunnistus
HTML5 canvas-elementti renderöi grafiikkaa hieman eri tavoin riippuen taustalla olevasta GPU:sta, ajurista, käyttöjärjestelmästä ja fonttijärjestelmästä. Kiinteän merkkijonon piirtäminen tietyllä fontilla ja sitten tuloksena olevan pikselidatan tiivistäminen tuottaa tunnisteen, joka vaihtelee laitteiden välillä mutta on vakaa saman laitteen istuntojen välillä. Canvas-sormenjälkitunnistus on kanoninen esimerkki ja täytäntöönpanotoimissa eniten mainittu tekniikka.
Äänisormenjälkitunnistus
AudioContext API käsittelee äänisignaaleja samanlaisen laitteisto- ja ohjelmistoputken läpi kuin grafiikka, ja tuloksena oleva tulos vaihtelee tavalla, joka luo entropiaa. Tunnetun oskillaattorin ajaminen kompressorin läpi ja tuloksen tiivistäminen tuottaa vakaan laitekohtaisen tunnisteen.
Fonttien luettelointi
Eri käyttöjärjestelmissä ja käyttäjäprofiileissa on asennettuna erilaisia fontteja. Fonttien olemassaolon tai puuttumisen kartoittaminen — mittaamalla tekstimetriikoita ehdokasfonttien listalle — tuottaa tunnisteen, joka on erityisen erottava käyttäjille, jotka ovat mukauttaneet fonttijoukkojaan.
WebGL-sormenjälkitunnistus
WebGL paljastaa GPU-ominaisuudet ja renderöintikäyttäytymisen. Toimittajajonon, renderöimerkkijonon ja kiinteän kohtauksen renderöinnin yhdistelmä tuottaa toisen korkea-entropisen tunnisteen.
Verkko- ja laitemetatieto
Aktiivisten kartoitustekniikoiden lisäksi sormenjäljet sisältävät tyypillisesti passiivista metatietoa: User-Agent-merkkijono, kielipreferenssit, aikavyöhyke, näytön resoluutio, värisyvyys, saatavilla oleva muisti, saatavilla olevat prosessorit, akkutila ja TLS-sormenjälki yhteyskerroksella. Jokainen kohta lisää entropiaa itsessään ja yhdistyy multiplikatiivisesti muiden kanssa.
Miten sääntelyviranomaiset käsittelevät sormenjälkitunnistusta
Oikeudellinen analyysi on suoraviivainen yleispiirteissään mutta vaikeampi käytännössä. Sormenjälkitunnistus, joka tunnistaa käyttäjän, tuottaa henkilötietoja GDPR:n määritelmän mukaan, ja päätelaitteella jo tallennetun tiedon lukeminen tai käyttäminen kuuluu ePrivacy-direktiivin Article 5(3):n piiriin — sama säännös, joka säätelee evästeitä. Sekä Article 5(3) että GDPR vaativat ennakkosuostumuksen muuhun kuin välttämättömään seurantaan. Siinä missä laki ylittää evästeet, ePrivacy 5(3) kattaa "tiedon tallentamisen tai jo tallennetun tiedon käyttämisen tilaajan tai käyttäjän päätelaitteistossa" — kielenkäyttö, joka on riittävän laaja kattamaan laitteen tilan kartoittamisen, johon sormenjälkitunnistus nojaa.
EDPB vahvisti tämän tulkinnan vuoden 2023 ohjeissaan Article 5(3):n soveltamisesta muuhun kuin evästeseurantaan, ja CNIL on ollut aggressiivisin täytäntöönpanija: useat vuoden 2024 sakot mainitsivat ennen suostumusta toimivat sormenjälkitunnistuskirjastot ensisijaisena rikkomuksena. UK ICO:n vuoden 2024 lausunto seurannasta on vielä suorempi kehystäessään canvas-, ääni- ja vastaavat sormenjäljet vaatimaan opt-in-suostumuksen evästeiden kanssa samanarvoisesti.
Harmaa alue: petoksentorjunta vs. seuranta
Kiistanalaisin sormenjälkitunnistuksen käyttötapaus on petoksentorjunta. Bottien havaitseminen, tilin kaappaamisen puolustus ja maksupetosten seulonta kaikki nojaavat laitesormenjälkitunnistukseen ydinsignaalina. Sääntelyviranomaiset ovat tunnustaneet, että osa tästä käsittelystä voidaan perustella oikeutetun edun perusteella suostumuksen sijaan — mutta rima on korkea ja soveltamisala kapea. CNIL:n kanta, jota muut tietosuojaviranomaiset toistavat, on että:
- Ehdottoman välttämätön petoksentorjunta ensimmäisen osapuolen sivustoilla voi edetä oikeutetun edun perusteella asianmukaisella dokumentoinnilla oikeutetun edun arvioinnissa (LIA).
- Käyttäytymiseen perustuva tai mainosperusteinen käyttö samasta sormenjäljestä vaatii suostumuksen eikä voi nojata petoksentorjuntaperusteeseen.
- Sormenjäljen jakaminen kolmansien osapuolten kanssa mihinkään tarkoitukseen putoaa tyypillisesti oikeutetun edun soveltamisalan ulkopuolelle ja vaatii suostumuksen.
- Sormenjäljen pysyvä tallentaminen välittömän petostarkistuksen ulkopuolella vaatii yleensä joko suostumuksen tai erittäin tiukasti laaditun oikeutetun edun kannan.
Käytännön implikaatio on, että julkaisija, joka suorittaa sekä petoksentorjuntaan perustuvaa sormenjälkitunnistusta että mainosteknologiaan perustuvaa sormenjälkitunnistusta, ei voi nojata petoksentorjuntaperusteeseen kattaakseen molemmat. Näiden kahden virtauksen on oltava arkkitehtonisesti erilliset mainosteknologiavirtauksen ollessa suostumuksen takana ja petoksentorjuntavirtauksen rajoittuessa dokumentoituun tarkoitukseensa.
Miten käsitellä sormenjälkitunnistusta CMP:ssä
Integraatiomalli sormenjälkitunnistukselle on samanlainen kuin muille seurantatekniikoille mutta vaatii lisähuomiota, koska ilmeisen tallennuksen puuttuminen tekee suostumusrajasta helpomman ohittaa.
1. Kartoita sormenjälkitunnistuspinta-ala
Auditoi sivusto kaikille skripteille, jotka kutsuvat canvas toDataURL(), AudioContext-pohjaista käsittelyä, fonttien kartoitusta tekstimetriikkojen mittauksen kautta tai WebGL-renderöijän kyselyitä. Nämä kutsut on usein haudattu kolmannen osapuolen kirjastoihin — mainosteknologia-SDK:t, petoksentorjuntatoimittajat, A/B-testaustyökalut — eivätkä ole välittömästi näkyvissä.
2. Luokittele jokainen sormenjälkitunnistuskäyttö
Jokaiselle kirjastolle, joka tekee sormenjälkitunnistusta, dokumentoi onko se (a) ehdottoman välttämätön sivuston toiminnalle, (b) petoksentorjuntatoimenpide oikeutetun edun perusteella tai (c) seurantaa, analytiikkaa tai mainontaa varten. Luokat (a) ja (b) voivat edetä ilman nimenomaista suostumusta dokumentoitujen perusteiden nojalla; luokka (c) vaatii opt-in-suostumuksen.
3. Suojaa seurantatarkoitukseen perustuva sormenjälkitunnistus
Luokkaan (c) kuuluville kirjastoille CMP:n tulisi käsitellä niitä identtisesti markkinointievästeiden kanssa: skripti on DOM:ssa mutta inertti kunnes vierailija hyväksyy markkinointiluokan. Useimmat modernit CMP:t tukevat jo tätä tavallisella type="text/plain" + luokka-attribuutti -mallilla.
4. Dokumentoi oikeutetun edun peruste petoksentorjuntaan perustuvalle sormenjälkitunnistukselle
Jos sormenjälkitunnistus etenee oikeutetun edun perusteella, LIA:n on oltava spesifinen, ajantasainen ja heijastettava todellista käsittelyn laajuutta. Yleinen "petoksentorjunta" ei riitä — LIA:n on tunnistettava mitä dataa käsitellään, kuinka kauan sitä säilytetään, mitä suojauksia sovelletaan ja mitkä käyttäjän realistiset odotukset ovat.
3. Tarjoa merkityksellinen opt-out oikeutetun edun virtauksille
Vaikka petoksentorjuntaan perustuva sormenjälkitunnistus etenee ilman suostumusta, GDPR:n Article 21 myöntää käyttäjälle oikeuden vastustaa oikeutetun edun käsittelyä. CMP:n on tuotava tämä oikeus esiin, ja teknisen toteutuksen on todella lopetettava sormenjälkitunnistus kun oikeutta käytetään — ei vain kirjattava vastalausetta jatkaen samalla sormenjälkitunnistusta.
Auditointitarkistuslista
Kuusi konkreettista kysymystä, joihin on vastattava kaikilla sivustoilla, jotka mahdollisesti altistavat sormenjälkitunnistuspintoja.
1. Kartoituksen täydellisyys
Onko tietoturvatiimi tuottanut ajantasaisen luettelon jokaisesta kirjastosta, joka suorittaa canvas-, ääni-, fontti-, WebGL- tai laite-metatieto-kartoitusta? Jos vastaus on "emme ole varmoja", auditointi ei voi edetä.
2. Perustan luokittelu
Onko jokaiselle kirjastolle dokumentoitu laillinen peruste (suostumus, oikeutettu etu LIA:n kanssa, sopimuksellinen välttämättömyys)? Dokumentoimattomat perusteet ovat de facto puuttuvia vastuullisuuden alla.
3. Suostumuksen suojaus
Ovatko seurantatarkoitukseen perustuvat sormenjälkitunnistuskirjastot suojattu markkinointisuostumusluokan taakse, skriptin ollessa kykenemätön suorittumaan ennen hyväksyntää?
4. LIA:n tuoreus
Ovatko oikeutetun edun arvioinnit päivätty viimeisen 12 kuukauden sisällä ja heijastavatko ne todellista nykyistä käsittelyn laajuutta pikemminkin kuin vanhentuneita kuvauksia?
5. Opt-out-täytäntöönpano
Kun käyttäjä käyttää Article 21:tä, pysäyttääkö järjestelmä todella oikeutetun edun sormenjälkitunnistuksen vai vain kirjaa vastalauseen?
6. Toimittajien välinen siivous
Jos sormenjälki jaetaan kolmannen osapuolen kanssa (mainosverkosto, attribuutiopalvelu, identiteettitoimittaja), onko tuo jakaminen katettu erillisellä suostumuksella ja julkistettu tietosuojaselosteessa?
Missä sormenjälkitunnistus sijoittuu seurannan tulevaisuudessa
Selaimen valmistajat työskentelevät aktiivisesti vähentääkseen sormenjälkitunnistuskirjastoille saatavilla olevaa entropiaa. Applen ITP, Firefoxin sisäänrakennettu suojaus ja Googlen Privacy Sandbox -ehdotukset kaikki nakertavat taustalla olevaa pinta-alaa. Mikään näistä toimenpiteistä ei poista sääntelyongelmaa kuitenkaan — jopa alennetun entropian omaava sormenjälki on silti henkilötietoa kun se onnistuu tunnistamaan käyttäjän, ja onnistumisasteen alentaminen ei muuta oikeudellista analyysia kun se toimii. Julkaisijoille turvallisempi oletus on, että sormenjälkitunnistus tulee jatkumaan todellisena, auditointia vaativana tekniikkana seuraavan 24 kuukauden ajan, että sääntelyviranomaiset tulevat jatkamaan sen näkemistä evästeiden kanssa samalla tavalla suostumustarkoituksissa ja että oikea operatiivinen vastaus on käsitellä sormenjälkitunnistusta kuten mitä tahansa muuta seurantapintaa: kartoitettuna, luokiteltuna tarkoituksen mukaan, suostumuksella suojattuna kun vaaditaan ja perusteellisesti dokumentoituna kun se etenee toisen perusteen nojalla.