Böngésző-ujjlenyomat és hozzájárulás: Kiadói útmutató egy olyan nyomkövetési technikához, amelyet a szabályozók figyelnek
Az online nyomkövetésről szóló, sütik korszakában folytatott viták nagy részében az a technikai felület számított, amelyik a tárolási réteg volt: sütik a böngészőben, localStorage bejegyzések, IndexedDB adatbázisok — olyan dolgok, amelyeket egy fejlesztő láthatott és amelyekre egy szabályozó hatóság rámutathatott. Az ujjlenyomat-készítés (fingerprinting) másképp működik. Nem kéri a böngészőt, hogy tároljon bármit. Ehelyett kérdéseket tesz fel a böngészőnek — milyen betűtípusok vannak telepítve, hogyan néz ki ez a canvas renderelés, hogyan dolgozza fel az audio kontextus ezt a jelet — és a válaszokat egy olyan azonosítóvá kombinálja, amely munkamenetek, eszközök és még privát böngészőablakok között is megmarad. A kiadók és az adtech-szolgáltatók számára az ujjlenyomat-készítés vonzó megoldás volt a harmadik féltől származó sütik kivezetésének megkerülésére. A szabályozó hatóságok számára ez az egyik legagresszívebben üldözött nyomkövetési technikává vált, mivel tervezésénél fogva a felhasználók közreműködése nélkül azonosítja őket. A CNIL, az EDPB, az Egyesült Királyság ICO és az olasz Garante az elmúlt 24 hónapban mind végrehajtási határozatokat vagy iránymutatásokat adtak ki kifejezetten az ujjlenyomat-készítéssel kapcsolatban. Ez az útmutató bemutatja, hogy mi is valójában az ujjlenyomat-készítés, mi minősül ujjlenyomat-készítésnek a jogszabályok szerint, és hogyan kezelje azt egy kiadó a hozzájárulás-kezelési keretrendszeren belül.
Mi az a böngésző-ujjlenyomat
A böngésző-ujjlenyomat egy magas entrópiájú azonosító, amely olyan tulajdonságokból épül fel, amelyeket a böngésző bármely futó JavaScript számára elérhetővé tesz. Az alaptechnikák több családba sorolhatók, amelyek mindegyike entrópiát ad a kombinált ujjlenyomathoz.
Canvas ujjlenyomat-készítés
A HTML5 canvas elem kissé eltérő módon rendereli a grafikákat az alapul szolgáló GPU-tól, illesztőprogramtól, operációs rendszertől és betűtípus-alrendszertől függően. Egy rögzített szöveg meghatározott betűtípussal történő kirajzolása, majd az eredményül kapott pixeladatok hash-elése olyan azonosítót eredményez, amely eszközönként eltér, de ugyanazon az eszközön munkamenetek között stabil. A canvas ujjlenyomat-készítés a klasszikus példa és a végrehajtási intézkedésekben leggyakrabban hivatkozott technika.
Audio ujjlenyomat-készítés
Az AudioContext API ugyanolyan típusú hardver-szoftver csővezetéken keresztül dolgozza fel az audiojeleket, mint a grafika, és az eredményül kapott kimenet entrópiát létrehozó módon változik. Egy ismert oszcillátor kompresszoron való átfuttatása és az eredmény hash-elése stabil, eszközönkénti azonosítót eredményez.
Betűtípus-felsorolás
A különböző operációs rendszerek és felhasználói profilok eltérő betűtípus-készlettel rendelkeznek. A betűtípusok meglétének vagy hiányának vizsgálata — jelölt betűtípusok listájának szövegmetrikáinak mérésével — különösen megkülönböztető azonosítót eredményez azoknál a felhasználóknál, akik testreszabták a betűtípus-készletüket.
WebGL ujjlenyomat-készítés
A WebGL feltárja a GPU képességeit és a renderelési viselkedést. A gyártói karakterlánc, a renderelő karakterlánc és egy rögzített jelenet renderelésének kombinációja újabb magas entrópiájú azonosítót eredményez.
Hálózati és eszköz-metaadatok
Az aktív vizsgálati technikákon túl az ujjlenyomatok jellemzően passzív metaadatokat is tartalmaznak: User-Agent karakterlánc, nyelvi beállítások, időzóna, képernyőfelbontás, színmélység, rendelkezésre álló memória, elérhető processzorok, akkumulátor állapota, valamint TLS ujjlenyomat a kapcsolati rétegen. Minden egyes elem önmagában is entrópiát ad, és multiplikatívan kombinálódik a többivel.
Hogyan kezelik a szabályozó hatóságok az ujjlenyomat-készítést
A jogi elemzés alapjaiban egyszerű, de a gyakorlatban nehezebb. Az ujjlenyomat-készítés, amely azonosít egy felhasználót, a GDPR definíciója szerint személyes adatot eredményez, és az eszközön már tárolt információk kiolvasása vagy elérése az ePrivacy irányelv Article 5(3) hatálya alá esik — ugyanaz a rendelkezés, amely a sütiket szabályozza. Mind az Article 5(3), mind a GDPR előzetes hozzájárulást követel meg a nem alapvető nyomkövetéshez. Ahol a jog túlmutat a sütiken, az az, hogy az ePrivacy 5(3) kiterjed „az információ tárolására, vagy az előfizető vagy felhasználó végberendezésében már tárolt információhoz való hozzáférésre" — ez a megfogalmazás elég tág ahhoz, hogy lefedje azt az eszközállapot-vizsgálatot, amelyre az ujjlenyomat-készítés épül.
Az EDPB 2023-as iránymutatásaiban megerősítette ezt az értelmezést az Article 5(3) nem süti alapú nyomkövetésre történő alkalmazásáról, és a CNIL volt a legagresszívebb végrehajtó: számos 2024-es bírság hivatkozott a hozzájárulás előtt működő ujjlenyomat-könyvtárakra mint elsődleges jogsértésre. Az Egyesült Királyság ICO 2024-es nyilatkozata a nyomkövetésről még direktebb abban, hogy a canvas, audio és hasonló ujjlenyomatokat a sütikkel egyenrangú opt-in hozzájárulást igénylőként keretezi.
A szürke zóna: csalásmegelőzés kontra nyomkövetés
A legvitatottabb ujjlenyomat-használati eset a csalásmegelőzés. A botfelismerés, a fiókátvétel elleni védelem és a fizetési csalások szűrése mind az eszköz-ujjlenyomatra támaszkodik mint alapvető jelzésre. A szabályozó hatóságok elismerték, hogy ennek a feldolgozásnak egy része jogos érdek alapján is igazolható a hozzájárulás helyett — de a mérce magas és a hatókör szűk. A CNIL álláspontja, amelyet más adatvédelmi hatóságok is visszhangoznak, a következő:
- Szigorúan szükséges csalásmegelőzés az első féltől származó felületeken jogos érdek alapján folytatható, megfelelő dokumentálással egy jogos érdek értékelésben (LIA).
- Viselkedésen alapuló vagy hirdetési célú használat ugyanannak az ujjlenyomatnak hozzájárulást igényel, és nem támaszkodhat a csalásmegelőzési jogalapra.
- Az ujjlenyomat harmadik felekkel való megosztása bármilyen célból jellemzően kívül esik a jogos érdek hatókörén, és hozzájárulást igényel.
- Az ujjlenyomat tartós tárolása az azonnali csalásellenőrzésen túl általában vagy hozzájárulást, vagy egy nagyon szorosan megfogalmazott jogos érdek pozíciót igényel.
A gyakorlati következmény az, hogy egy kiadó, aki egyszerre alkalmaz csalásmegelőzési és adtech ujjlenyomat-készítést, nem támaszkodhat a csalásmegelőzési jogalapra mindkettő lefedésére. A két folyamatot architektúrailag el kell különíteni: az adtech folyamatot hozzájárulás mögé kell helyezni, a csalásmegelőzési folyamatot pedig a dokumentált céljára kell korlátozni.
Hogyan kezeljük az ujjlenyomat-készítést egy CMP-ben
Az ujjlenyomat-készítés integrációs mintája hasonló más nyomkövetési technikákéhoz, de további odafigyelést igényel, mert a nyilvánvaló tárolás hiánya miatt a hozzájárulási határvonalat könnyebb elmulasztani.
1. Az ujjlenyomat-felület leltározása
Vizsgálja át a webhelyet minden olyan szkript után, amely canvas toDataURL() hívást, AudioContext alapú feldolgozást, szövegmetrika-mérésen alapuló betűtípus-vizsgálatot vagy WebGL renderelő lekérdezéseket végez. Ezek a hívások gyakran harmadik féltől származó könyvtárakba vannak beágyazva — adtech SDK-k, csalás elleni szolgáltatók, A/B tesztelő eszközök — és nem azonnal láthatók.
2. Az egyes ujjlenyomat-használatok kategorizálása
Minden ujjlenyomat-készítést végző könyvtárnál dokumentálja, hogy az (a) a webhely működéséhez szigorúan szükséges, (b) jogos érdek alapján működő csalásmegelőzési intézkedés, vagy (c) nyomkövetési, elemzési vagy hirdetési célú. Az (a) és (b) kategóriák dokumentált jogalapok mellett kifejezett hozzájárulás nélkül is folytathatók; a (c) kategória opt-in hozzájárulást igényel.
3. A nyomkövetési célú ujjlenyomat-készítés hozzájáruláshoz kötése
A (c) kategóriába eső könyvtárak esetében a CMP-nek ugyanúgy kell kezelnie azokat, mint a marketing sütiket: a szkript a DOM-ban van, de inaktív, amíg a látogató el nem fogadja a marketing kategóriát. A legtöbb modern CMP már támogatja ezt a szabványos type="text/plain" + kategória-attribútum mintán keresztül.
4. A csalásmegelőzési ujjlenyomat-készítés jogos érdek jogalapjának dokumentálása
Ahol az ujjlenyomat-készítés jogos érdek alapján folytatódik, a LIA-nak konkrétnak, aktuálisnak kell lennie, és tükröznie kell a tényleges feldolgozási hatókört. Az általános „csalásmegelőzés" nem elegendő — a LIA-nak meg kell határoznia, milyen adatokat dolgoznak fel, mennyi ideig őrzik meg azokat, milyen védelmi intézkedések vonatkoznak rájuk, és mik a felhasználó reális elvárásai.
5. Érdemi tiltakozási lehetőség biztosítása a jogos érdek alapú folyamatokhoz
Még ha a csalásmegelőzési ujjlenyomat-készítés hozzájárulás nélkül is folytatódik, a GDPR Article 21 biztosítja a felhasználó számára a jogot, hogy tiltakozzon a jogos érdek alapú feldolgozás ellen. A CMP-nek felszínre kell hoznia ezt a jogot, és a technikai megvalósításnak ténylegesen le kell állítania az ujjlenyomat-készítést, amikor a jogot gyakorolják — nem csak rögzíteni a tiltakozást, miközben az ujjlenyomat-készítés folytatódik.
Ellenőrzési lista
Hat konkrét kérdés, amelyet meg kell válaszolni minden olyan webhely esetében, amely potenciálisan ujjlenyomat-felületeket tesz elérhetővé.
1. A leltár teljessége
Készített-e a biztonsági csapat aktuális listát minden olyan könyvtárról, amely canvas, audio, betűtípus, WebGL vagy eszköz-metaadat vizsgálatot végez? Ha a válasz „nem vagyunk biztosak benne", az ellenőrzés nem folytatható.
2. Jogalap besorolása
Minden könyvtárhoz tartozik-e dokumentált jogalap (hozzájárulás, jogos érdek LIA-val, szerződéses szükségesség)? A nem dokumentált jogalapok az elszámoltathatóság szempontjából de facto hiányoznak.
3. Hozzájáruláshoz kötés
A nyomkövetési célú ujjlenyomat-könyvtárak a marketing hozzájárulási kategória mögé vannak-e helyezve, úgy, hogy a szkript nem tud az elfogadás előtt futni?
4. A LIA frissessége
A jogos érdek értékelések az elmúlt 12 hónapon belül keltezettek-e, és a tényleges jelenlegi feldolgozási hatókört tükrözik-e, nem pedig korábbi leírásokat?
5. A tiltakozás érvényesítése
Amikor egy felhasználó gyakorolja az Article 21 szerinti jogát, a rendszer ténylegesen leállítja-e a jogos érdek alapú ujjlenyomat-készítést, vagy csak rögzíti a tiltakozást?
6. Harmadik féltől származó adatmegosztás rendezése
Ha egy ujjlenyomatot megosztanak harmadik féllel (hirdetési hálózat, attribúciós szolgáltató, azonosítási szolgáltató), ezt a megosztást külön hozzájárulás fedi-e le, és feltüntették-e az adatvédelmi tájékoztatóban?
Hol helyezkedik el az ujjlenyomat-készítés a nyomkövetés jövőjében
A böngészőgyártók aktívan dolgoznak azon, hogy csökkentsék az ujjlenyomat-könyvtárak számára elérhető entrópiát. Az Apple ITP, a Firefox beépített védelme és a Google Privacy Sandbox javaslatai mind csökkentik az alapul szolgáló felületet. Ezek a beavatkozások azonban egyikük sem szüntetik meg a szabályozási problémát — még egy csökkentett entrópiájú ujjlenyomat is személyes adat, ha sikeresen azonosít egy felhasználót, és a sikerarány csökkentése nem változtatja meg a jogi elemzést, amikor működik. A kiadók számára a biztonságosabb feltételezés az, hogy az ujjlenyomat-készítés az elkövetkező 24 hónapban továbbra is valós, ellenőrzés szempontjából releváns technika marad, hogy a szabályozó hatóságok továbbra is a sütikkel egyenértékűnek tekintik hozzájárulási szempontból, és hogy a helyes működési válasz az, ha az ujjlenyomat-készítést ugyanúgy kezeljük, mint bármely más nyomkövetési felületet: leltárba véve, cél szerint kategorizálva, hozzájáruláshoz kötve ahol szükséges, és alaposan dokumentálva ahol más jogalapon folytatódik.