Браузердің саусақ ізі және келісім: Реттеушілер бақылап жатқан бақылау әдістемесі бойынша баспагерге арналған нұсқаулық
Cookie файлдары дәуіріндегі онлайн бақылауды талқылаудың басым бөлігінде маңызды болған техникалық бет сақтау қабаты болды: браузердегі cookie файлдары, localStorage жазбалары, IndexedDB дерекқорлары, әзірлеуші көре алатын және реттеуші көрсете алатын нәрселер. Саусақ ізі алу мүлде басқаша жұмыс жасайды. Ол браузерден ештеңе сақтауды сұрамайды. Оның орнына, браузерге сұрақтар қояды — қандай қаріптер орнатылған, бұл canvas рендері қалай көрінеді, аудио контекст бұл сигналды қалай өңдейді — және жауаптарды сеанстарда, құрылғыларда, тіпті жеке шолу терезелерінде де тұрақты болатын идентификаторға біріктіреді. Баспагерлер мен жарнама технологиясы сатушылары үшін саусақ ізі алу үшінші тараптың cookie файлдарының жойылуын айналып өтудің тартымды жолы болды. Реттеушілер үшін, дизайн бойынша пайдаланушыларды олардың ынтымақтастығынсыз анықтайтындықтан, ол ең агрессивті түрде қудалынатын бақылау әдістемелерінің біріне айналды. CNIL, EDPB, Ұлыбританияның ICO және Италияның Garante органдары барлығы соңғы 24 айда саусақ ізіне арнайы бағытталған орындату шешімдерін немесе нұсқауларды шығарды. Бұл нұсқаулық саусақ ізі шын мәнінде не екенін, заң тұрғысынан не саусақ із деп есептелетінін және баспагер оны келісімді басқару шеңберінде қалай пайдалану керектігін қарастырады.
Браузердің саусақ ізі дегеніміз не
Браузердің саусақ ізі — кез келген жұмыс жасап тұрған JavaScript-ке браузер ашатын қасиеттерден жасалған жоғары энтропиялы идентификатор. Негізгі әдістемелер бірнеше отбасыға бөлінеді, олардың әрқайсысы біріктірілген саусақ ізіне энтропия қосады.
Canvas саусақ ізі
HTML5 canvas элементі негізгі GPU, драйвер, операциялық жүйе және қаріп ішкі жүйесіне байланысты графиканы біршама түрлі жолдармен рендер жасайды. Белгілі бір қаріппен тіркелген жолды салу, содан кейін нәтижелі пиксель деректерін хэштеу, құрылғылар арасында өзгеретін, бірақ бір құрылғыдағы сеанстар арасында тұрақты идентификатор шығарады. Canvas саусақ ізі — канондық мысал және орындату іс-шараларында ең жиі келтірілген әдістеме.
Аудио саусақ ізі
AudioContext API аудио сигналдарды графика сияқты аппараттық-бағдарламалық конвейер арқылы өңдейді, және нәтижелі шығыс энтропия жасайтын тәсілмен өзгереді. Белгілі осциллятор арқылы компрессор жіберу және нәтижені хэштеу құрылғы бойынша тұрақты идентификатор шығарады.
Қаріп санақ
Әртүрлі операциялық жүйелер мен пайдаланушы профилдерінің орнатылған қаріп жиынтықтары әртүрлі болады. Қаріптің бар немесе жоқ екенін тексеру — кандидат қаріптер тізімі үшін мәтін метрикаларын өлшеу арқылы — қаріп жиынтықтарын реттеген пайдаланушылар үшін айрықша болатын идентификатор шығарады.
WebGL саусақ ізі
WebGL GPU мүмкіндіктерін және рендерлеу мінез-құлқын ашады. Жеткізуші жолы, рендерер жолы және бекітілген сахнаны рендерлеудің тіркесімі тағы бір жоғары энтропиялы идентификатор шығарады.
Желі және құрылғы метадеректері
Белсенді зондтау әдістемелерінен тыс, саусақ іздері әдетте пассивті метадеректерді қосады: User-Agent жолы, тіл параметрлері, уақыт белдеуі, экран ажыратымдылығы, түс тереңдігі, қолжетімді жады, қолжетімді процессорлар, батарея күйі және байланыс қабатындағы TLS саусақ ізі. Әрбір элемент өз бетінше энтропия қосады және басқалармен көбейткіш түрде біріктіреді.
Реттеушілер саусақ ізіне қалай қарайды
Құқықтық талдау жалпы нобайда анық, бірақ практикада қиынырақ. Пайдаланушыны анықтайтын саусақ ізі GDPR анықтамасы бойынша жеке деректер шығарады, ал құрылғыда сақталған ақпаратты оқу немесе оған қол жеткізу ePrivacy директивасының Article 5(3) аясына кіреді — cookie файлдарын реттейтін дәл сол ереже. Article 5(3) де, GDPR де маңызды емес бақылауға алдын ала келісім талап етеді. Заң cookie файлдарынан асатын жер, ePrivacy 5(3) «жазылушының немесе пайдаланушының терминалдық жабдығында сақталған ақпаратты сақтауды немесе қол жеткізуді» қамтиды — саусақ ізі сүйенетін құрылғы-күйін зондтауды жабуға жеткілікті кең тіл.
EDPB бұл оқуды cookie файлдары емес бақылауға Article 5(3) қолдану бойынша 2023 жылғы нұсқауларда растады, ал CNIL ең агрессивті орындатушы болды: 2024 жылдағы бірнеше айыппұл саусақ ізі кітапханаларының келісімге дейін жұмыс жасауын негізгі бұзушылық ретінде атап өтті. Ұлыбританияның ICO-ның бақылау бойынша 2024 жылғы мәлімдемесі canvas, аудио және ұқсас саусақ іздерін cookie файлдарымен тең дәрежеде opt-in келісімін талап ететін ретінде сипаттауда тіпті тікелей.
Сұр аймақ: Алаяқтықтың алдын алу және бақылау
Саусақ ізінің ең даулы пайдалану жағдайы алаяқтықтың алдын алу. Бот анықтау, аккаунтты иелену қорғанысы және төлем алаяқтығын тексеру барлығы құрылғының саусақ ізіне негізгі сигнал ретінде сүйенеді. Реттеушілер бұл өңдеудің бір бөлігі келісім орнына заңды мүдде негізінде негізделуі мүмкін екенін мойындады — бірақ таяқша жоғары және ауқым тар. CNIL-дің позициясы, басқа DPA-лар жаңғыртқан:
- Бірінші тарап мүліктерінде қатаң қажетті алаяқтықтың алдын алу заңды мүдде мүдде бағалауда (LIA) тиісті құжаттамамен заңды мүдде аясында жалғасуы мүмкін.
- Сол саусақ ізін мінез-құлықтық немесе жарнамалық пайдалану келісімді талап етеді және алаяқтықты алдын алу негізінде сенуге болмайды.
- Саусақ ізін кез келген мақсатта үшінші тараппен бөлісу әдетте заңды мүдде ауқымынан тыс болады және келісімді талап етеді.
- Саусақ ізін жедел алаяқтық тексеруден тыс тұрақты сақтау жалпы не келісімді, не өте нақты жасалған заңды мүдде позициясын талап етеді.
Практикалық салдар — алаяқтықтың алдын алу да, жарнама технологиясының саусақ ізін де жасайтын баспагер алаяқтық негізінде екеуін де жабуға сүйене алмайды. Екі ағын архитектуралық тұрғыдан бөлек болуы тиіс, жарнама технологиясының ағыны келісімнің артындағы қақпаны, ал алаяқтықтың алдын алу ағыны оның құжатталған мақсатымен шектелген болуы тиіс.
CMP-де саусақ ізін қалай пайдалану керек
Саусақ ізінің интеграциялық үлгісі басқа бақылау әдістемелеріне ұқсас, бірақ айқын сақтаудың болмауы келісім шекарасын жіберіп алуды оңайлататындықтан, қосымша мұқияттылықпен.
1. Саусақ ізі бетін түгендеу
Canvas toDataURL(), AudioContext негізіндегі өңдеу, мәтін-метрикасын өлшеу арқылы қаріп зондтау немесе WebGL рендерер сұрауларын шақыратын кез келген скриптке арналған сайтты тексеріңіз. Бұл шақырулар жиі үшінші тарап кітапханаларында жасырылған — жарнамалық технология SDK-лары, алаяқтыққа қарсы сатушылар, A/B тестілеу құралдары — және бірден көрінбейді.
2. Саусақ ізінің әр пайдаланылуын санаттау
Саусақ ізі алатын әрбір кітапхана үшін, оның (а) сайттың жұмыс жасауы үшін қатаң қажетті екенін, (б) заңды мүдде аясында алаяқтықтың алдын алу шарасы екенін немесе (в) бақылау, аналитика немесе жарнама үшін екенін құжаттаңыз. (а) және (б) санаттары құжатталған негіздерде ашық келісімсіз жалғасуы мүмкін; (в) санаты opt-in талап етеді.
3. Бақылау мақсатты саусақ ізін қақпалау
(в) санатына кіретін кітапханалар үшін, CMP маркетингтік cookie файлдарымен бірдей қарауы тиіс: скрипт DOM-да, бірақ келушіге маркетинг санатын қабылдағанша инертті. Қазіргі заманғы CMP-лардың көпшілігі стандартты type="text/plain" + санат-атрибут үлгісі арқылы мұны қолдайды.
4. Алаяқтықтың алдын алу саусақ ізіне арналған заңды мүдде негізін құжаттау
Саусақ ізі заңды мүдде аясында жалғасатын жерде, LIA нақты, ағымдағы болуы және нақты өңдеу ауқымын көрсетуі тиіс. Жалпы «алаяқтықтың алдын алу» жеткіліксіз — LIA қандай деректер өңделетінін, олардың қанша уақыт сақталатынын, қандай қорғаулар қолданылатынын және пайдаланушының нақты күтімдері қандай екенін анықтауы тиіс.
5. Заңды мүдде ағындары үшін мағыналы opt-out ұсыну
Алаяқтықтың алдын алу саусақ ізі келісімсіз жалғасатын жерде де, GDPR-дің Article 21 пайдаланушыға заңды-мүдде өңдеуіне қарсылық білдіру құқығын береді. CMP бұл құқықты жоғарылатуы тиіс, ал техникалық іске асыру құқық орындалған кезде саусақ ізін шынымен тоқтатуы тиіс — тек қарсылықты тіркемей, саусақ ізін жалғастыра бермей.
Тексеру тізімі аудиті
Саусақ ізі беттерін ашуы мүмкін кез келген сайт үшін жауап беретін алты нақты сұрақ.
1. Түгендеу толықтығы
Қауіпсіздік тобы canvas, аудио, қаріп, WebGL немесе құрылғы метадеректерін зондтауды орындайтын әрбір кітапхананың ағымдағы тізімін жасады ма? Жауап «бізде нақты жоқ» болса, аудит жалғаса алмайды.
2. Негіз жіктемесі
Әрбір кітапхана үшін, құжатталған заңды негіз бар ма (келісім, LIA бар заңды мүдде, шарттық қажеттілік)? Құжатталмаған негіздер есептілік аясында де-факто жоқ.
3. Келісім қақпалары
Бақылау мақсатты саусақ ізі кітапханалары маркетинг келісімі санатының артындағы қақпада тұр ма, скрипт қабылдамай тұрып жұмыс жасай алмайды ма?
4. LIA жаңалығы
Заңды мүдде бағалаулары соңғы 12 айда күні белгіленген бе, және олар ескі сипаттамалардан гөрі нақты ағымдағы өңдеу ауқымын көрсете ме?
5. Opt-out орындалуы
Пайдаланушы Article 21-ді пайдаланғанда, жүйе заңды-мүдде саусақ ізін шынымен тоқтата ма, жоқ тек қарсылықты тіркей ме?
6. Сатушылар арасын тазалау
Егер саусақ ізі үшінші тараппен (жарнамалық желі, атрибуция провайдері, жеке куәлік сатушысы) бөлісілсе, бұл бөлісу бөлек келісіммен жабылған және құпиялылық хабарламасында ашылған ба?
Бақылаудың болашағында саусақ ізі қай жерде тұр
Браузер жеткізушілері саусақ ізі кітапханаларына қолжетімді энтропияны азайту үшін белсенді жұмыс жасауда. Apple-дің ITP, Firefox-тің кірістірілген қорғауы және Google Privacy Sandbox ұсыныстарының барлығы негізгі бетті кеміреді. Алайда, бұл интервенциялардың ешқайсысы реттеуші мәселені жоймайды — тіпті азайтылған энтропиялы саусақ ізі пайдаланушыны сәтті анықтаған кезде жеке деректер болып қала береді, және сәттілік жылдамдығын азайту ол жұмыс жасаған кезде құқықтық талдауды өзгертпейді. Баспагерлер үшін, қауіпсізірек болжам — саусақ ізі келесі 24 айда нақты, аудитке маңызды әдістеме болып жалғасады, реттеушілер оны келісім мақсаттары үшін cookie файлдарымен тең дәрежеде қарауды жалғастырады, және дұрыс операциялық жауап саусақ ізіне кез келген басқа бақылау бетіндей қарау: түгендеу, мақсат бойынша жіктелген, қажет болса келісіммен қақпаланған, және басқа негіз аясында жалғасатын жерде мұқият құжатталған.