Vafrafingraför og samþykki: Handbók útgefanda um rakningartækni sem eftirlitsaðilar fylgjast með
Í mestum hluta umræðunnar um vafrakökur og netrekjun hefur tæknilega yfirborðið sem skipti máli verið geymslulagið: vafrakökur í vafranum, localStorage-færslur, IndexedDB-gagnagrunnar, hlutir sem forritari gat séð og eftirlitsaðili gat bent á. Fingrafar virkar öðruvísi. Það biður vafrann ekki um að geyma neitt. Þess í stað spyr það vafrann spurninga — hvaða leturgerðir eru uppsettar hjá þér, hvernig lítur þessi canvas-teikning út, hvernig vinnur hljóðsamhengið úr þessu merki — og sameinar svörin í auðkenni sem heldur sér á milli lota, tækja og jafnvel einkaflettingarglugga. Fyrir útgefendur og auglýsingatæknifyrirtæki hefur fingrafar verið aðlaðandi leið framhjá úreldingu þriðja aðila vafrakaka. Fyrir eftirlitsaðila hefur það orðið ein sú rekjunartækni sem harðast er leitað eftir vegna þess að, í eðli sínu, auðkennir hún notendur án samvinnu þeirra. CNIL, EDPB, UK ICO og ítalski Garante hafa öll gefið út fullnustuákvarðanir eða leiðbeiningar sem beinast sérstaklega að fingrafari á síðustu 24 mánuðum. Þessi leiðarvísir fer yfir hvað fingrafar í raun er, hvað telst fingrafar samkvæmt lögum og hvernig útgefandi ætti að meðhöndla það innan samþykkisstjórnunarkerfis.
Hvað fingrafar vafra er
Fingrafar vafra er háentrópíu-auðkenni byggt úr eiginleikum sem vafrinn birtir hvaða JavaScript-kóða sem er í keyrslu. Grunntæknin skiptist í nokkra flokka, sem hver um sig leggur til entrópíu í sameinaða fingrafarið.
Canvas-fingrafar
HTML5 canvas-einingin teiknar grafík á aðeins mismunandi hátt eftir undirliggjandi GPU, rekli, stýrikerfi og leturgerðarkerfi. Að teikna fasta strengi með ákveðinni leturgerð og hakka síðan pixlagögnin sem myndast framleiðir auðkenni sem er breytilegt á milli tækja en stöðugt á milli lota á sama tæki. Canvas-fingrafar er dæmigerðasta dæmið og mest nefnda tæknin í fullnustuaðgerðum.
Hljóð-fingrafar
AudioContext API vinnur úr hljóðmerkjum í gegnum sömu tegund vélbúnaðar-og-hugbúnaðar leiðslunnar og grafík, og úttakið er breytilegt á þann hátt sem skapar entrópíu. Að keyra þekktan sveiflugjafa í gegnum þjappar og hakka niðurstöðuna framleiðir stöðugt auðkenni fyrir hvert tæki.
Leturgerðarupptalning
Mismunandi stýrikerfi og notendaprófílar hafa mismunandi sett af leturgerðum uppsettum. Að kanna hvort leturgerðir séu til staðar eða ekki — með því að mæla textamælieiningar fyrir lista yfir hugsanlegar leturgerðir — framleiðir auðkenni sem er sérstaklega aðgreinandi fyrir notendur sem hafa sérsniðið leturgerðarsett sitt.
WebGL-fingrafar
WebGL birtir GPU-getu og teiknihamhegðun. Samsetning framleiðandastrengs, teiknisstrengs og teikningar á fastri senu framleiðir annað háentrópíu-auðkenni.
Net- og tækjalýsigögn
Fyrir utan virku leitartæknirnar innihalda fingraför venjulega óvirk lýsigögn: User-Agent streng, tungumálaval, tímabelti, skjáupplausn, litadýpt, tiltækt minni, tiltæka örgjörva, rafhlöðustöðu og TLS-fingrafar á tengilagi. Hver liður bætir entrópíu við á eigin spýtur og sameinast margfeldislega með hinum.
Hvernig eftirlitsaðilar meðhöndla fingrafar
Lagagreiningin er einföld í yfirliti en erfiðari í framkvæmd. Fingrafar sem auðkennir notanda framleiðir persónuupplýsingar samkvæmt skilgreiningu GDPR og lestur eða aðgangur að upplýsingum sem þegar eru geymdar á tæki fellur undir Article 5(3) í ePrivacy-tilskipuninni — sama ákvæðið og gildir um vafrakökur. Bæði Article 5(3) og GDPR krefjast fyrirframsamþykkis fyrir ónauðsynlegri rekjun. Þar sem lögin ná lengra en vafrakökur er að ePrivacy 5(3) nær til „geymslu upplýsinga, eða aðgangs að upplýsingum sem þegar eru geymdar, í endabúnaði áskrifanda eða notanda" — orðalag sem er nógu vítt til að ná til tækjaástandsrannsóknar sem fingrafar byggir á.
EDPB staðfesti þessa túlkun í leiðbeiningum sínum frá 2023 um beitingu Article 5(3) á rekjun sem ekki byggir á vafrakökum, og CNIL hefur verið áhrifamesti framkvæmdaraðilinn: fjöldi sekta árið 2024 nefndi fingrafarsbókasöfn sem virkuðu fyrir samþykki sem aðalbrot. Yfirlýsing UK ICO frá 2024 um rekjun er enn beinni í þeirri umgjörð að canvas, hljóð og svipuð fingraför krefjist samþykkis á jafnréttisgrundvelli við vafrakökur.
Gráa svæðið: Svikavörn gegn rekjun
Mest umdeilda notkunartilvik fingrafars er svikavörn. Vélmennjagreining, vörn gegn reikningsyfirtöku og greiðslusvikagreining reiða sig öll á tækjafingrafar sem kjarnamerki. Eftirlitsaðilar hafa viðurkennt að sumt af þessari vinnslu geti réttlæst á grundvelli lögmætra hagsmuna frekar en samþykkis — en þröskuldurinn er hár og umfangið þröngt. Afstaða CNIL, sem önnur persónuverndarstofnanir taka undir, er sú að:
- Algjörlega nauðsynleg svikavörn á eigin eignum fyrsta aðila getur haldið áfram á grundvelli lögmætra hagsmuna, með viðeigandi skjalfestingu í lögmætra hagsmuna mati (LIA).
- Hegðunar- eða auglýsinganot á sama fingrafari krefst samþykkis og getur ekki reitt sig á grundvöll svikavarna.
- Deiling fingrafarsins með þriðju aðilum í hvaða tilgangi sem er fellur venjulega utan umfangs lögmætra hagsmuna og krefst samþykkis.
- Varanleg geymsla fingrafarsins umfram strax-svikaskoðun krefst almennt annaðhvort samþykkis eða mjög vel undirbyggðrar stöðu um lögmæta hagsmuni.
Raunhæf afleiðingin er sú að útgefandi sem keyrir bæði svikavarnir með fingrafari og auglýsingatæknifingrafar getur ekki reitt sig á svikavarnirnar til að ná yfir hvort tveggja. Ferlarnir tveir verða að vera byggingarfræðilega aðskildir, þar sem auglýsingatækniflæðið er girt af samþykki og svikavörnarflæðið takmarkað við skjalfestan tilgang sinn.
Hvernig á að meðhöndla fingrafar í CMP
Samþættingarmynstrið fyrir fingrafar er svipað öðrum rekjunartæknum en með aukinni varúð vegna þess að fjarvera augljósrar geymslu gerir samþykkismörkin auðveldari að missa af.
1. Skráðu fingrafarayfirborðið
Endurskoðaðu vefinn fyrir hvers kyns skriptu sem kallar á canvas toDataURL(), AudioContext-byggða vinnslu, leturgerðarrannsókn í gegnum textamælieiningar, eða WebGL-teiknisfyrirspurnir. Þessi köll eru oft falin í þriðja aðila bókasöfnum — auglýsingatækni SDK-um, svikavörnum, A/B prófunartólum — og ekki strax sýnileg.
2. Flokkaðu hverja notkun fingrafars
Fyrir hvert bókasafn sem tekur fingrafar, skráðu hvort það er (a) algjörlega nauðsynlegt til að vefurinn virki, (b) svikavörn á grundvelli lögmætra hagsmuna, eða (c) fyrir rekjun, greiningar eða auglýsingar. Flokkar (a) og (b) mega halda áfram án sérstaks samþykkis á skjalfestum grundvelli; flokkur (c) krefst samþykkis.
3. Girðið rekjunartilgangs-fingrafarið
Fyrir bókasöfn sem falla undir flokk (c) ætti CMP að meðhöndla þau eins og markaðsvafrakökur: skriptan er í DOM en óvirk þar til gesturinn samþykkir markaðsflokkinn. Flest nútíma CMP styðja þetta nú þegar í gegnum venjulegt type="text/plain" + flokkaeiginleikamynstur.
4. Skráðu grundvöll lögmætra hagsmuna fyrir svikavarnir með fingrafari
Þar sem fingrafar heldur áfram á grundvelli lögmætra hagsmuna verður LIA að vera sértækt, núverandi og endurspegla raunverulegt vinnsluumfang. Almennt „svikavörn" er ekki nóg — LIA þarf að tilgreina hvaða gögn eru unnin, hversu lengi þau eru geymd, hvaða vernd á við og hverjar raunhæfar væntingar notandans eru.
5. Bjóddu upp á raunhæfa afþökkun fyrir lögmætra hagsmuna flæði
Jafnvel þar sem svikavarnir með fingrafari halda áfram án samþykkis, veitir Article 21 í GDPR notandanum rétt til að andmæla vinnslu á grundvelli lögmætra hagsmuna. CMP verður að birta þennan rétt og tæknilega útfærslan verður í raun að stöðva fingrafarið þegar rétturinn er nýttur — ekki bara skrá andmælið á meðan fingrafar heldur áfram.
Úttektarskrá
Sex áþreifanlegar spurningar til að svara fyrir hvaða vef sem er sem gæti birt fingrafarayfirborð.
1. Skráningin fullkomin
Hefur öryggisteymir framleitt núverandi lista yfir hvert einasta bókasafn sem framkvæmir canvas, hljóð, leturgerðar, WebGL eða tækjalýsigagna-rannsókn? Ef svarið er „við erum ekki viss" getur úttektin ekki haldið áfram.
2. Grundvallarflokkun
Fyrir hvert bókasafn, er skjalfestur lögmætur grundvöllur (samþykki, lögmætir hagsmunir með LIA, samningsnauðsyn)? Óskráðir grundvellir eru í raun fjarverandi undir ábyrgðarskyldu.
3. Samþykkishlið
Eru rekjunartilgangs-fingrafarsbókasöfn girt af markaðssamþykkisflokknum, þar sem skriptan getur ekki keyrt fyrir samþykki?
4. LIA-nýjung
Eru mat á lögmætum hagsmunum dagsett innan síðustu 12 mánaða og endurspegla þau raunverulegt núverandi vinnsluumfang frekar en gamlar lýsingar?
5. Framfylgd afþökkunar
Þegar notandi beitir Article 21, stöðvar kerfið í raun lögmætra hagsmuna fingrafarið, eða skráir það bara andmælið?
6. Hreinsun milli söluaðila
Ef fingrafari er deilt með þriðja aðila (auglýsinganeti, tilvísunarveitu, auðkennisveitu), er sú deiling tryggð með sérstöku samþykki og birt í persónuverndarstefnu?
Hvar fingrafar stendur í framtíð rekjunar
Vafraframleiðendur vinna virkan að því að draga úr entrópíunni sem fingrafarsbókasöfn hafa aðgang að. ITP frá Apple, innbyggð vörn Firefox og Google Privacy Sandbox tillögur rífa allar í undirliggjandi yfirborðið. Engin þessara aðgerða fjarlægir hins vegar eftirlitsvandamálið — jafnvel fingrafar með minni entrópíu er enn persónuupplýsingar þegar því tekst að auðkenna notanda, og að minnka árangurshlutfallið breytir ekki lagagreiningunni þegar það virkar. Fyrir útgefendur er öruggari forsendan sú að fingrafar muni áfram vera raunveruleg, endurskoðunarviðeigandi tækni næstu 24 mánuði, að eftirlitsaðilar munu áfram líta á hana sem jafngilda vafrakökum hvað samþykki varðar, og að rétta rekstrarsvarið er að meðhöndla fingrafar eins og hvert annað rekjunaryfirborð: skráð, flokkað eftir tilgangi, girt af samþykki þar sem þess er krafist og rækilega skjalfest þar sem hún heldur áfram á öðrum grundvelli.