Browser Fingerprinting dan Consent: Panduan Publisher untuk Teknik Pelacakan yang Diawasi Regulator
Selama sebagian besar diskusi era cookie tentang pelacakan online, permukaan teknis yang penting adalah lapisan penyimpanan: cookie di browser, entri localStorage, database IndexedDB, hal-hal yang dapat dilihat pengembang dan dapat ditunjuk oleh regulator. Fingerprinting bekerja secara berbeda. Teknik ini tidak meminta browser untuk menyimpan apa pun. Sebaliknya, ia mengajukan pertanyaan kepada browser — font apa yang terinstal, seperti apa tampilan render canvas ini, bagaimana konteks audio memproses sinyal ini — dan menggabungkan jawabannya menjadi pengidentifikasi yang bertahan lintas sesi, perangkat, dan bahkan jendela penjelajahan pribadi. Bagi penerbit dan vendor ad-tech, fingerprinting telah menjadi cara yang menarik untuk mengatasi penghapusan cookie pihak ketiga. Bagi regulator, teknik ini telah menjadi salah satu teknik pelacakan yang paling agresif dikejar karena, secara desain, ia mengidentifikasi pengguna tanpa kerja sama mereka. CNIL, EDPB, UK ICO, dan Italian Garante semuanya telah mengeluarkan keputusan penegakan atau panduan yang secara khusus menargetkan fingerprinting dalam 24 bulan terakhir. Panduan ini membahas apa itu fingerprinting sebenarnya, apa yang termasuk fingerprinting menurut hukum, dan bagaimana penerbit harus menanganinya dalam kerangka manajemen persetujuan.
Apa Itu Browser Fingerprinting
Browser fingerprint adalah pengidentifikasi entropi tinggi yang dibangun dari properti yang diekspos browser ke JavaScript apa pun yang berjalan. Teknik dasarnya terbagi menjadi beberapa kelompok, masing-masing berkontribusi entropi pada fingerprint gabungan.
Canvas fingerprinting
Elemen HTML5 canvas merender grafik dengan cara yang sedikit berbeda tergantung pada GPU, driver, sistem operasi, dan subsistem font yang mendasarinya. Menggambar string tetap dengan font tertentu, lalu melakukan hashing pada data piksel yang dihasilkan, menghasilkan pengidentifikasi yang bervariasi antar perangkat tetapi stabil lintas sesi pada perangkat yang sama. Canvas fingerprinting adalah contoh kanonik dan teknik yang paling sering dikutip dalam tindakan penegakan.
Audio fingerprinting
API AudioContext memproses sinyal audio melalui jenis pipeline perangkat keras dan perangkat lunak yang sama seperti grafik, dan output yang dihasilkan bervariasi dengan cara yang menciptakan entropi. Menjalankan osilator yang diketahui melalui kompresor dan melakukan hashing pada hasilnya menghasilkan pengidentifikasi per-perangkat yang stabil.
Enumerasi font
Sistem operasi dan profil pengguna yang berbeda memiliki set font yang berbeda yang terinstal. Memeriksa keberadaan atau ketiadaan font — dengan mengukur metrik teks untuk daftar font kandidat — menghasilkan pengidentifikasi yang sangat membedakan bagi pengguna yang telah menyesuaikan set font mereka.
WebGL fingerprinting
WebGL mengekspos kemampuan GPU dan perilaku rendering. Kombinasi string vendor, string renderer, dan rendering adegan tetap menghasilkan pengidentifikasi entropi tinggi lainnya.
Metadata jaringan dan perangkat
Di luar teknik probing aktif, fingerprint biasanya menggabungkan metadata pasif: string User-Agent, preferensi bahasa, zona waktu, resolusi layar, kedalaman warna, memori yang tersedia, prosesor yang tersedia, status baterai, dan fingerprint TLS pada lapisan koneksi. Setiap item menambah entropi tersendiri dan berkombinasi secara multiplikatif dengan yang lain.
Bagaimana Regulator Memperlakukan Fingerprinting
Analisis hukumnya lugas dalam garis besar tetapi lebih sulit dalam praktik. Fingerprinting yang mengidentifikasi pengguna menghasilkan data pribadi di bawah definisi GDPR, dan membaca atau mengakses informasi yang sudah tersimpan di perangkat termasuk dalam Article 5(3) dari ePrivacy Directive — ketentuan yang sama yang mengatur cookie. Baik Article 5(3) maupun GDPR memerlukan persetujuan sebelumnya untuk pelacakan non-esensial. Di mana hukum bergerak melampaui cookie adalah bahwa ePrivacy 5(3) mencakup "penyimpanan informasi, atau memperoleh akses ke informasi yang sudah tersimpan, dalam peralatan terminal pelanggan atau pengguna" — bahasa yang cukup luas untuk mencakup probing status perangkat yang menjadi dasar fingerprinting.
EDPB mengonfirmasi pembacaan ini dalam panduan 2023-nya tentang penerapan Article 5(3) terhadap pelacakan non-cookie, dan CNIL telah menjadi penegak paling agresif: sejumlah denda pada tahun 2024 menyebut pustaka fingerprinting yang beroperasi sebelum persetujuan sebagai pelanggaran utama. Pernyataan UK ICO tahun 2024 tentang pelacakan bahkan lebih langsung dalam membingkai canvas, audio, dan fingerprint serupa sebagai memerlukan persetujuan opt-in setara dengan cookie.
Area Abu-abu: Pencegahan Penipuan vs Pelacakan
Kasus penggunaan fingerprinting yang paling diperdebatkan adalah pencegahan penipuan. Deteksi bot, pertahanan pengambilalihan akun, dan penyaringan penipuan pembayaran semuanya bergantung pada device fingerprinting sebagai sinyal inti. Regulator telah mengakui bahwa sebagian pemrosesan ini dapat dibenarkan di bawah kepentingan sah daripada persetujuan — tetapi standarnya tinggi dan cakupannya sempit. Posisi CNIL, yang digemakan oleh DPA lain, adalah bahwa:
- Pencegahan penipuan yang sangat diperlukan pada properti pihak pertama dapat dilanjutkan di bawah kepentingan sah, dengan dokumentasi yang sesuai dalam penilaian kepentingan sah (LIA).
- Penggunaan perilaku atau periklanan dari fingerprint yang sama memerlukan persetujuan dan tidak dapat menumpang pada dasar pencegahan penipuan.
- Berbagi fingerprint dengan pihak ketiga untuk tujuan apa pun biasanya berada di luar cakupan kepentingan sah dan memerlukan persetujuan.
- Penyimpanan fingerprint secara persisten di luar pemeriksaan penipuan langsung umumnya memerlukan persetujuan atau posisi kepentingan sah yang disusun sangat ketat.
Implikasi praktisnya adalah bahwa penerbit yang menjalankan fingerprinting pencegahan penipuan dan fingerprinting ad-tech tidak dapat mengandalkan dasar penipuan untuk mencakup keduanya. Kedua alur harus terpisah secara arsitektur, dengan alur ad-tech dibatasi di balik persetujuan dan alur pencegahan penipuan dibatasi pada tujuan yang didokumentasikan.
Cara Menangani Fingerprinting dalam CMP
Pola integrasi untuk fingerprinting mirip dengan teknik pelacakan lainnya tetapi dengan kehati-hatian tambahan karena tidak adanya penyimpanan yang jelas membuat batas persetujuan lebih mudah terlewatkan.
1. Inventarisasi permukaan fingerprinting
Audit situs untuk skrip apa pun yang memanggil canvas toDataURL(), pemrosesan berbasis AudioContext, probing font melalui pengukuran metrik teks, atau kueri renderer WebGL. Panggilan ini sering tersembunyi dalam pustaka pihak ketiga — SDK ad-tech, vendor anti-penipuan, alat pengujian A/B — dan tidak langsung terlihat.
2. Kategorikan setiap penggunaan fingerprinting
Untuk setiap pustaka yang melakukan fingerprinting, dokumentasikan apakah itu (a) sangat diperlukan agar situs berfungsi, (b) tindakan pencegahan penipuan di bawah kepentingan sah, atau (c) untuk pelacakan, analitik, atau periklanan. Kategori (a) dan (b) dapat dilanjutkan tanpa persetujuan eksplisit di bawah dasar yang didokumentasikan; kategori (c) memerlukan opt-in.
3. Batasi fingerprinting untuk tujuan pelacakan
Untuk pustaka yang termasuk kategori (c), CMP harus memperlakukannya sama seperti cookie pemasaran: skrip ada di DOM tetapi tidak aktif sampai pengunjung menerima kategori pemasaran. Sebagian besar CMP modern sudah mendukung ini melalui pola standar type="text/plain" + atribut kategori.
4. Dokumentasikan dasar kepentingan sah untuk fingerprinting pencegahan penipuan
Di mana fingerprinting dilanjutkan di bawah kepentingan sah, LIA harus spesifik, terkini, dan mencerminkan cakupan pemrosesan aktual. "Pencegahan penipuan" generik tidak cukup — LIA perlu mengidentifikasi data apa yang diproses, berapa lama disimpan, perlindungan apa yang berlaku, dan apa ekspektasi realistis pengguna.
5. Sediakan opt-out yang bermakna untuk alur kepentingan sah
Bahkan di mana fingerprinting pencegahan penipuan dilanjutkan tanpa persetujuan, Article 21 GDPR memberikan pengguna hak untuk menolak pemrosesan kepentingan sah. CMP harus menampilkan hak ini, dan implementasi teknisnya harus benar-benar menghentikan fingerprinting ketika hak tersebut dilaksanakan — tidak hanya mencatat keberatan sambil terus melakukan fingerprinting.
Daftar Periksa Audit
Enam pertanyaan konkret yang harus dijawab untuk situs apa pun yang berpotensi mengekspos permukaan fingerprinting.
1. Kelengkapan inventaris
Apakah tim keamanan telah menghasilkan daftar terkini dari setiap pustaka yang melakukan probing canvas, audio, font, WebGL, atau metadata perangkat? Jika jawabannya "kami tidak yakin", audit tidak dapat dilanjutkan.
2. Klasifikasi dasar hukum
Untuk setiap pustaka, apakah ada dasar hukum yang didokumentasikan (persetujuan, kepentingan sah dengan LIA, kebutuhan kontraktual)? Dasar yang tidak didokumentasikan secara de facto tidak ada di bawah akuntabilitas.
3. Pembatasan persetujuan
Apakah pustaka fingerprinting untuk tujuan pelacakan dibatasi di balik kategori persetujuan pemasaran, dengan skrip tidak dapat berjalan sebelum penerimaan?
4. Kesegaran LIA
Apakah penilaian kepentingan sah tertanggal dalam 12 bulan terakhir, dan apakah mencerminkan cakupan pemrosesan aktual saat ini daripada deskripsi lama?
5. Penegakan opt-out
Ketika pengguna melaksanakan Article 21, apakah sistem benar-benar menghentikan fingerprinting kepentingan sah, atau hanya mencatat keberatan?
6. Pembersihan lintas vendor
Jika fingerprint dibagikan dengan pihak ketiga (jaringan iklan, penyedia atribusi, vendor identitas), apakah pembagian tersebut dicakup oleh persetujuan terpisah dan diungkapkan dalam pemberitahuan privasi?
Posisi Fingerprinting dalam Masa Depan Pelacakan
Vendor browser secara aktif bekerja untuk mengurangi entropi yang tersedia bagi pustaka fingerprinting. ITP dari Apple, perlindungan bawaan Firefox, dan proposal Google Privacy Sandbox semuanya mengikis permukaan yang mendasarinya. Tidak satu pun dari intervensi tersebut menghilangkan masalah regulasi — bahkan fingerprint dengan entropi berkurang tetap merupakan data pribadi ketika berhasil mengidentifikasi pengguna, dan mengurangi tingkat keberhasilan tidak mengubah analisis hukum ketika berhasil. Bagi penerbit, asumsi yang lebih aman adalah bahwa fingerprinting akan terus menjadi teknik nyata yang relevan dengan audit selama 24 bulan ke depan, bahwa regulator akan terus memandangnya setara dengan cookie untuk tujuan persetujuan, dan bahwa jawaban operasional yang tepat adalah memperlakukan fingerprinting seperti permukaan pelacakan lainnya: diinventarisasi, dikategorikan berdasarkan tujuan, dibatasi oleh persetujuan jika diperlukan, dan didokumentasikan secara menyeluruh jika dilanjutkan di bawah dasar lain.