ბრაუზერის თითის ანაბეჭდი და თანხმობა: გამომცემლის სახელმძღვანელო სამეთვალყურეო ტექნიკის შესახებ, რომელსაც რეგულატორები ადევნებენ თვალს
ქუქი-ფაილების ეპოქის ონლაინ თვალთვალის შესახებ დისკუსიის დიდი ნაწილისთვის, მნიშვნელოვანი ტექნიკური ზედაპირი შენახვის ფენა იყო: ქუქი-ფაილები ბრაუზერში, localStorage ჩანაწერები, IndexedDB მონაცემთა ბაზები, ნივთები, რომელსაც დეველოპერი ხედავდა და რეგულატორი მიუთითებდა. თითის ანაბეჭდი სხვაგვარად მუშაობს. ის ბრაუზერს არ სთხოვს რაიმეს შენახვას. ამის ნაცვლად, ბრაუზერს სვამს კითხვებს — რა შრიფტები გაქვთ დაყენებული, როგორ გამოიყურება ეს canvas-ის გამოსახულება, როგორ ამუშავებს აუდიო კონტექსტი ამ სიგნალს — და პასუხებს აერთიანებს იდენტიფიკატორად, რომელიც სესიებს, მოწყობილობებს და კერძო დათვალიერების ფანჯრებსაც კი გაჰყვება. გამომცემლებისა და სარეკლამო ტექნოლოგიების გამყიდველებისთვის, თითის ანაბეჭდი მესამე მხარის ქუქი-ფაილების მოხსნის გარშემოვლის მიმზიდველი გზა ყოფილა. რეგულატორებისთვის, ის ყველაზე აგრესიულად დევნილ თვალთვალის ტექნიკებს შორის გახდა, რადგან დიზაინის მიხედვით, მომხმარებლებს მათი თანამშრომლობის გარეშე ამოიცნობს. CNIL-მა, EDPB-მ, დიდი ბრიტანეთის ICO-მ და იტალიის Garante-მ ყველამ გამოსცეს სამართალდამცავი გადაწყვეტილებები ან სახელმძღვანელო მითითებები, რომლებიც კონკრეტულად თითის ანაბეჭდს მიმართულია ბოლო 24 თვეში. ეს სახელმძღვანელო განმარტავს, თითის ანაბეჭდი რა არის სინამდვილეში, კანონის თვალსაზრისით თითის ანაბეჭდად რა ითვლება და გამომცემელმა ის თანხმობის მართვის ჩარჩოში როგორ უნდა გაუმკლავდეს.
ბრაუზერის თითის ანაბეჭდი რა არის
ბრაუზერის თითის ანაბეჭდი მაღალი ენტროპიის მქონე იდენტიფიკატორია, რომელიც შენდება ნებისმიერი გაშვებული JavaScript-ისთვის ბრაუზერის მიერ გამოვლენილი თვისებებისგან. ძირითადი ტექნიკები რამდენიმე ოჯახად იყოფა, რომელთაგან თითოეული ერთობლივი თითის ანაბეჭდის ენტროპიას ამატებს.
Canvas-ის თითის ანაბეჭდი
HTML5 canvas ელემენტი გრაფიკას ოდნავ განსხვავებული გზებით ასახავს, ძირითადი GPU-ს, დრაივერის, ოპერაციული სისტემის და შრიფტების ქვესისტემის მიხედვით. კონკრეტული შრიფტით ფიქსირებული სტრიქონის დახატვა, შემდეგ კი მიღებული პიქსელის მონაცემების ჰეშირება, ქმნის იდენტიფიკატორს, რომელიც მოწყობილობებს შორის იცვლება, მაგრამ ერთ მოწყობილობაზე სესიებს შორის სტაბილურია. Canvas-ის თითის ანაბეჭდი კანონიკური მაგალითია და სამართალდამცავ ქმედებებში ყველაზე ხშირად ციტირებული ტექნიკა.
აუდიო თითის ანაბეჭდი
AudioContext API-ი აუდიო სიგნალებს ამუშავებს გრაფიკის მსგავსი ტიპის ტექნიკა-პროგრამული მილსადენის გავლით, და გამომავალი შედეგი ენტროპიის შემქმნელი გზით იცვლება. ცნობილი ოსცილატორის კომპრესორზე გაშვება და შედეგის ჰეშირება ქმნის სტაბილურ მოწყობილობაზე-დამყარებულ იდენტიფიკატორს.
შრიფტების ჩამოთვლა
სხვადასხვა ოპერაციული სისტემები და მომხმარებლის პროფილები სხვადასხვა შრიფტების ნაკრებებს დაყენებული აქვს. შრიფტების არსებობის ან არარსებობის შემოწმება — კანდიდატი შრიფტების სიისთვის ტექსტის მეტრიკების გაზომვით — ქმნის იდენტიფიკატორს, რომელიც განსაკუთრებით გამარჩევი ხდება შრიფტების ნაკრები პერსონალიზებული მომხმარებლებისთვის.
WebGL-ის თითის ანაბეჭდი
WebGL GPU შესაძლებლობებს და გამოსახვის ქცევას ამჟღავნებს. მომწოდებლის სტრიქონის, გამომსახველის სტრიქონის და ფიქსირებული სცენის გამოსახვის კომბინაცია კიდევ ერთ მაღალი ენტროპიის მქონე იდენტიფიკატორს ქმნის.
ქსელისა და მოწყობილობის მეტამონაცემები
აქტიური შემოწმების ტექნიკებს გარდა, თითის ანაბეჭდები ჩვეულებრივ პასიურ მეტამონაცემებს მოიცავს: User-Agent სტრიქონი, ენის პარამეტრები, დროის სარტყელი, ეკრანის გარჩევადობა, ფერის სიღრმე, ხელმისაწვდომი მეხსიერება, ხელმისაწვდომი პროცესორები, ბატარეის მდგომარეობა და TLS-ის თითის ანაბეჭდი კავშირის ფენაზე. თითოეული პუნქტი ენტროპიას ცალკე ამატებს და სხვებთან მამრავლებლურად ერთდება.
როგორ ეპყრობიან რეგულატორები თითის ანაბეჭდს
სამართლებრივი ანალიზი მოკლედ მარტივია, მაგრამ პრაქტიკაში უფრო რთული. თითის ანაბეჭდი, რომელიც მომხმარებელს ამოიცნობს, GDPR-ის განმარტების თანახმად პერსონალურ მონაცემებს ქმნის, ხოლო მოწყობილობაზე უკვე შენახული ინფორმაციის კითხვა ან მასზე წვდომა ePrivacy დირექტივის Article 5(3)-ის ქვეშ ხვდება — ის დებულება, რომელიც ქუქი-ფაილებს არეგულირებს. როგორც Article 5(3), ასევე GDPR არაარსებითი თვალთვალისთვის წინასწარ თანხმობას ითხოვს. კანონი სადაც ქუქი-ფაილებს გასცდება, ePrivacy 5(3) მოიცავს "ინფორმაციის შენახვას ან უკვე შენახული ინფორმაციაზე წვდომის მიღებას აბონენტის ან მომხმარებლის ტერმინალ აღჭურვილობაში" — ენა საკმარისად ფართო, რომ დაფაროს მოწყობილობის-მდგომარეობის შემოწმება, რომელზეც თითის ანაბეჭდი ეფუძნება.
EDPB-მ ეს კითხვა 2023 წლის სახელმძღვანელო მითითებებში ქუქი-ფაილებზე არასაქუქი ფაილების თვალთვალზე Article 5(3)-ის გამოყენების შესახებ დაადასტურა, ხოლო CNIL-ი ყველაზე აგრესიული სამართალდამცავი ორგანო ყოფილა: 2024 წლის რამდენიმე ჯარიმა ციტირებდა, რომ თანხმობამდე მოქმედი თითის ანაბეჭდის ბიბლიოთეკები ძირითად დარღვევად ითვლება. დიდი ბრიტანეთის ICO-ის 2024 წლის განცხადება თვალთვალის შესახებ კიდევ უფრო პირდაპირია canvas-ის, აუდიოს და მსგავსი თითის ანაბეჭდების ქუქი-ფაილებთან თანაბარ საფუძველზე opt-in თანხმობის მოთხოვნის ჩამოყალიბებაში.
ნაცრისფერი ზონა: თაღლითობის პრევენცია და თვალთვალი
თითის ანაბეჭდის ყველაზე სადავო გამოყენების შემთხვევა თაღლითობის პრევენციაა. ბოტების გამოვლენა, ანგარიშის გადაბარება-სათვალეყურეო, და გადახდის-თაღლითობის სკრინინგი ყველა მოწყობილობის თითის ანაბეჭდს ძირითად სიგნალად ეყრდნობა. რეგულატორებმა აღიარეს, რომ ამ დამუშავების ნაწილი შეიძლება გამართლდეს კანონიერი ინტერესით, ვიდრე თანხმობით — მაგრამ ბარი მაღალია და ფარგლები ვიწრო. CNIL-ის პოზიცია, სხვა DPA-ების მიერ გამეორებული:
- მკაცრად აუცილებელი თაღლითობის პრევენცია პირველი მხარის ქონებაზე შეიძლება კანონიერი ინტერესის ქვეშ გაგრძელდეს, კანონიერი ინტერესის შეფასებაში (LIA) შესაბამისი დოკუმენტაციით.
- ქცევითი ან სარეკლამო გამოყენება ამავე თითის ანაბეჭდის თანხმობას საჭიროებს და ვერ ეყრდნობა თაღლითობის-პრევენციის საფუძველს.
- თითის ანაბეჭდის მესამე მხარეებთან გაზიარება ნებისმიერი მიზნით ჩვეულებრივ კანონიერი ინტერესის ფარგლებს გარეთ ხვდება და თანხმობას საჭიროებს.
- თითის ანაბეჭდის მდგრადი შენახვა სასწრაფო თაღლითობის შემოწმებისგან მიღმა ზოგადად ან თანხმობას ან ძალიან მჭიდროდ შედგენილ კანონიერი ინტერესის პოზიციას საჭიროებს.
პრაქტიკული შედეგი ის არის, რომ გამომცემელი, რომელიც ორივე — თაღლითობა-პრევენციულ და სარეკლამო-ტექნოლოგიურ — თითის ანაბეჭდს ახდენს, ვერ ეყრდნობა თაღლითობის საფუძველს ორივეს დასაფარად. ორი ნაკადი არქიტექტურულად გამიჯნული უნდა იყოს, სარეკლამო-ტექნოლოგიური ნაკადი თანხმობის კარს მიღმა, ხოლო თაღლითობა-პრევენციული ნაკადი მის დოკუმენტირებულ მიზნამდე შეზღუდული.
თითის ანაბეჭდის CMP-ში გამოყენება
თითის ანაბეჭდის ინტეგრაციის ნიმუში სხვა თვალთვალის ტექნიკებს ჰგავს, მაგრამ დამატებითი სიფრთხილით, რადგან明らかな შენახვის არარსებობა თანხმობის საზღვრის გამოტოვების გამარტივებას ახდენს.
1. თითის ანაბეჭდის ზედაპირის ინვენტარიზაცია
გამოიკვლიეთ საიტი ნებისმიერი სკრიპტისთვის, რომელიც canvas toDataURL()-ს, AudioContext-ზე დაფუძნებულ დამუშავებას, შრიფტების შემოწმებას ტექსტ-მეტრიკის გაზომვის გავლით ან WebGL-ის გამომსახველის მოთხოვნებს იძახებს. ეს გამოძახებები ხშირად მესამე მხარის ბიბლიოთეკებში არის ჩაფლული — სარეკლამო ტექნოლოგიური SDK-ები, თაღლითობის-საწინააღმდეგო გამყიდველები, A/B ტესტირების ხელსაწყოები — და დაუყოვნებლივ ხილული არ არის.
2. თითის ანაბეჭდის თითოეული გამოყენების კატეგორიზაცია
თითოეული ბიბლიოთეკისთვის, რომელიც თითის ანაბეჭდს იღებს, დაადოკუმენტირეთ, ეს (ა) საიტის ფუნქციონირებისთვის მკაცრად აუცილებელია, (ბ) კანონიერი ინტერესის ქვეშ თაღლითობის-პრევენციული ღონისძიებაა, თუ (გ) თვალთვალის, ანალიტიკის ან სარეკლამო მიზნებისთვის. კატეგორიები (ა) და (ბ) შეიძლება დოკუმენტირებული საფუძვლების ქვეშ ექსპლიციტური თანხმობის გარეშე გაგრძელდეს; კატეგორია (გ) opt-in-ს საჭიროებს.
3. თვალთვალის-მიზნის თითის ანაბეჭდის კარის დაყენება
კატეგორია (გ)-ში მოხვედრილი ბიბლიოთეკებისთვის, CMP-ი მათ მარკეტინგის ქუქი-ფაილების მსგავსად უნდა მოეპყრობოდეს: სკრიპტი DOM-შია, მაგრამ ინერტულია სანამ ვიზიტორი მარკეტინგის კატეგორიას არ მიიღებს. თანამედროვე CMP-ების უმეტესობა ამას სტანდარტული type="text/plain" + კატეგორიის-ატრიბუტის ნიმუშის გავლით უკვე მხარს უჭერს.
4. თაღლითობა-პრევენციული თითის ანაბეჭდის კანონიერი ინტერესის საფუძვლის დოკუმენტირება
სადაც თითის ანაბეჭდი კანონიერი ინტერესის ქვეშ გრძელდება, LIA უნდა იყოს კონკრეტული, მიმდინარე და ასახავდეს დამუშავების რეალურ ფარგლებს. ზოგადი "თაღლითობის პრევენცია" საკმარისი არ არის — LIA-ი უნდა ასახავდეს, რომელი მონაცემები მუშავდება, რამდენ ხანს ინახება, რა დაცვა გამოიყენება და მომხმარებლის რეალური მოლოდინები რა არის.
5. კანონიერი ინტერესის ნაკადებისთვის მნიშვნელოვანი opt-out-ის უზრუნველყოფა
თაღლითობა-პრევენციული თითის ანაბეჭდი თანხმობის გარეშე სადაც გრძელდება, GDPR-ის Article 21 მომხმარებელს კანონიერი-ინტერესის დამუშავებაზე წინააღმდეგობის გაწევის უფლებას ანიჭებს. CMP-ი ამ უფლებას უნდა ზედაპირზე ამოიტანდეს, და ტექნიკური განხორციელება სინამდვილეში უნდა გააჩეროს თითის ანაბეჭდი, როდესაც უფლება გამოიყენება — მხოლოდ წინააღმდეგობა ჩაწეროს კი არა, ხოლო თითის ანაბეჭდი გაგრძელდეს.
აუდიტის საკონტროლო ჩამონათვალი
ექვსი კონკრეტული კითხვა, რომელზეც პასუხი უნდა გაეცეს ნებისმიერ საიტზე, რომელიც შესაძლოა თითის ანაბეჭდის ზედაპირებს ავლენდეს.
1. ინვენტარის სისრულე
უსაფრთხოების გუნდმა შეადგინა თუ არა canvas-ის, აუდიოს, შრიფტების, WebGL-ის ან მოწყობილობის მეტამონაცემების შემოწმებას ახდენი ყველა ბიბლიოთეკის მიმდინარე სია? თუ პასუხი "დარწმუნებულები არ ვართ" არის, აუდიტი ვერ გაგრძელდება.
2. საფუძვლის კლასიფიკაცია
თითოეული ბიბლიოთეკისთვის, არსებობს თუ არა დოკუმენტირებული კანონიერი საფუძველი (თანხმობა, LIA-ით კანონიერი ინტერესი, სახელშეკრულებო აუცილებლობა)? დოკუმენტირებული საფუძვლები ანგარიშვალდებულების ქვეშ de facto არ არსებობს.
3. თანხმობის კარი
თვალთვალის-მიზნის თითის ანაბეჭდის ბიბლიოთეკები მარკეტინგის თანხმობის კატეგორიის კარს მიღმა არის, სკრიპტი კი მიღებამდე ვერ მოქმედებს?
4. LIA-ს სიახლე
კანონიერი ინტერესის შეფასებები ბოლო 12 თვის განმავლობაში არის დათარიღებული, და ისინი ასახავს დამუშავების რეალურ მიმდინარე ფარგლებს, ვიდრე მოძველებულ აღწერილობებს?
5. Opt-out-ის განხორციელება
მომხმარებელი Article 21-ს გამოიყენებს სისტემა სინამდვილეში აჩერებს თუ არა კანონიერი-ინტერესის თითის ანაბეჭდს, ან მხოლოდ წინააღმდეგობა ჩაწერს?
6. გამყიდველთაშორისი გასუფთავება
თუ თითის ანაბეჭდი მესამე მხარესთან (სარეკლამო ქსელი, ატრიბუციის გამყიდველი, იდენტობის გამყიდველი) გაიზიარება, ეს გაზიარება ცალკეული თანხმობით დაფარულია და კონფიდენციალობის შეტყობინებაში გამჟღავნებულია?
თვალთვალის მომავალში თითის ანაბეჭდი სად ზის
ბრაუზერის გამყიდველები აქტიურად მუშაობენ თითის ანაბეჭდის ბიბლიოთეკებისთვის ხელმისაწვდომი ენტროპიის შესამცირებლად. Apple-ის ITP-ი, Firefox-ის ჩაშენებული დაცვა და Google Privacy Sandbox-ის წინადადებები ყველა ძირითად ზედაპირს ჩამოჭამს. ეს ჩარევები მაინც არ აღმოფხვრის მარეგულირებელ პრობლემას — შემცირებული ენტროპიის მქონე თითის ანაბეჭდი კვლავ პერსონალური მონაცემია, როდესაც მომხმარებლის იდენტიფიცირებას ახდენს, და წარმატების მაჩვენებლის შემცირება სამართლებრივ ანალიზს არ ცვლის, როდესაც ის მუშაობს. გამომცემლებისთვის, უფრო უსაფრთხო ვარაუდია, რომ თითის ანაბეჭდი ბოლო 24 თვეში ნამდვილ, აუდიტ-შესაბამის ტექნიკად დარჩება, რეგულატორები კვლავ გაათანაბრებენ მას ქუქი-ფაილებთან თანხმობის მიზნებისთვის, და სწორი ოპერაციული პასუხია თითის ანაბეჭდი ნებისმიერი სხვა თვალთვალის ზედაპირის მსგავსად მოპყრობა: ინვენტარიზებული, მიზნის მიხედვით კატეგორიზებული, სადაც საჭიროა თანხმობის კარის ქვეშ, და სხვა საფუძვლის ქვეშ სადაც გრძელდება, ყოვლისმომცველად დოკუმენტირებული.