Naršyklės pirštų atspaudai ir sutikimas: leidėjo vadovas apie stebėjimo techniką, kurią stebi reguliuotojai
Didžiojoje dalyje slapukų eros diskusijų apie internetinį stebėjimą svarbus techninis paviršius buvo saugyklos sluoksnis: naršyklės slapukai, localStorage įrašai, IndexedDB duomenų bazės, dalykai, kuriuos kūrėjas galėjo matyti ir į kuriuos reguliuotojas galėjo rodyti. Pirštų atspaudų kūrimas veikia kitaip. Jis nereikalauja naršyklės nieko saugoti. Vietoj to jis užduoda naršyklei klausimus – kokie šriftai įdiegti, kaip atrodo šis canvas atvaizdas, kaip garso kontekstas apdoroja šį signalą – ir sujungia atsakymus į identifikatorių, kuris išlieka per seansus, įrenginius ir net privačios naršymo langus. Leidėjams ir reklamos technologijų tiekėjams pirštų atspaudų kūrimas buvo patrauklus būdas apeiti trečiųjų šalių slapukų atsisakymą. Reguliuotojams jis tapo viena agresyviausiai naikinamu stebėjimo technika, nes pagal dizainą identifikuoja naudotojus be jų bendradarbiavimo. CNIL, EDPB, JK ICO ir Italijos Garante visi per pastaruosius 24 mėnesius paskelbė vykdymo sprendimus ar gaires, konkrečiai nukreiptas prieš pirštų atspaudų kūrimą. Šis vadovas apžvelgia, kas iš tikrųjų yra pirštų atspaudų kūrimas, kas pagal įstatymą laikoma pirštų atspaudu ir kaip leidėjas turėtų su tuo elgtis sutikimo valdymo sistemoje.
Kas yra naršyklės pirštų atspaudas
Naršyklės pirštų atspaudas – tai didelės entropijos identifikatorius, sukurtas iš savybių, kurias naršyklė atskleidžia bet kuriam veikiančiam JavaScript. Pagrindinės technikos skirstomos į keletą šeimų, kurių kiekviena prisideda prie kombinuoto pirštų atspaudų entropijos.
Canvas pirštų atspaudai
HTML5 canvas elementas šiek tiek skirtingai atvaizduoja grafiką priklausomai nuo pagrindinės GPU, tvarkyklės, operacinės sistemos ir šriftų posistemio. Nubrėžus fiksuotą eilutę konkrečiu šriftu ir sugeneruojant gautų pikselių duomenis, gaunamas identifikatorius, kuris skiriasi skirtinguose įrenginiuose, bet yra stabilus to paties įrenginio seansų metu. Canvas pirštų atspaudai yra kanoninis pavyzdys ir dažniausiai vykdymo veiksmuose cituojama technika.
Garso pirštų atspaudai
AudioContext API apdoroja garso signalus per tokio pat tipo aparatūros ir programinės įrangos konvejerį kaip ir grafika, o gautas išvestis kinta entropija kuriančiu būdu. Paleidus žinomą osciliatorių per kompresorių ir sugeneruojant rezultatą, gaunamas stabilus kiekvieno įrenginio identifikatorius.
Šriftų surašymas
Skirtingose operacinėse sistemose ir naudotojų profiliuose įdiegti skirtingi šriftų rinkiniai. Šriftų buvimo ar nebuvimo tikrinimas – matuojant teksto metrikas kandidatinių šriftų sąrašui – gamina identifikatorių, kuris ypač išskiria naudotojus, savo nuožiūra pritaikiusius šriftų rinkinį.
WebGL pirštų atspaudai
WebGL atskleidžia GPU galimybes ir atvaizdavimo elgseną. Tiekėjo eilutės, atvaizdavimo eilutės ir fiksuotos scenos atvaizdavimo derinys gamina dar vieną didelės entropijos identifikatorių.
Tinklo ir įrenginio metaduomenys
Be aktyvaus zondavimo technikų pirštų atspauduose paprastai yra pasyvių metaduomenų: User-Agent eilutė, kalbos nuostatos, laiko juosta, ekrano raiška, spalvų gylis, galima atmintis, galimi procesoriai, akumuliatoriaus būsena ir TLS pirštų atspaudas ryšio sluoksnyje. Kiekvienas elementas pats savaime prideda entropijos ir daugiklio principu derinasi su kitais.
Kaip reguliuotojai traktuoja pirštų atspaudų kūrimą
Teisinė analizė glausta ir aiški, tačiau praktikoje sudėtingesnė. Naudotoją identifikuojantis pirštų atspaudų kūrimas pagal GDPR apibrėžimą gamina asmens duomenis, o informacijos, jau saugomos įrenginyje, skaitymas ar prieiga prie jos patenka į ePrivacy direktyvos Article 5(3) – tą patį straipsnį, kuris reglamentuoja slapukus. Tiek Article 5(3), tiek GDPR reikalauja išankstinio sutikimo neesminiams stebėjimams. Vieta, kur įstatymas peržengia slapukus, yra tai, kad ePrivacy 5(3) apima "informacijos saugojimą arba prieigos gavimą prie informacijos, jau saugomos abonento ar naudotojo galinės įrangos" – pakankamai plati kalba, apimanti įrenginio būsenos zondavimą, kuriuo remiasi pirštų atspaudų kūrimas.
EDPB patvirtino šį aiškinimą 2023 m. gairėse dėl Article 5(3) taikymo ne slapukų stebėjimui, o CNIL buvo agresyviausias vykdytojas: 2024 m. daugelis baudų nurodė pirštų atspaudų bibliotekas, veikiančias prieš sutikimą, kaip pagrindinį pažeidimą. JK ICO 2024 m. pareiškimas dėl stebėjimo dar tiesiau įvardija canvas, garso ir panašius pirštų atspaudus kaip reikalaujančius sutikimo "opt-in" tokiu pat pagrindu kaip slapukai.
Pilkoji zona: sukčiavimo prevencija ir stebėjimas
Labiausiai ginčijamas pirštų atspaudų kūrimo naudojimo atvejis yra sukčiavimo prevencija. Botų aptikimas, apsauga nuo paskyros perėmimo ir mokėjimų sukčiavimo tikrinimas visi remiasi įrenginio pirštų atspaudo kūrimu kaip pagrindiniu signalu. Reguliuotojai pripažino, kad dalis šio apdorojimo gali būti pateisinama teisėtu interesu, o ne sutikimu – tačiau kartelė aukšta, o apimtis siaura. CNIL pozicija, kurią kartoja kitos DPA:
- Griežtai būtina sukčiavimo prevencija pirmojo šalies nuosavybėje gali vykdyti remiantis teisėtu interesu, su tinkama dokumentacija teisėtų interesų vertinime (LIA).
- Elgesinis ar reklamos naudojimas to paties pirštų atspaudo reikalauja sutikimo ir negali remtis sukčiavimo prevencijos pagrindu.
- Pirštų atspaudo dalijimasis su trečiosiomis šalimis bet kokiu tikslu paprastai nepatenka į teisėtų interesų apimtį ir reikalauja sutikimo.
- Nuolatinis pirštų atspaudo saugojimas po tiesioginės sukčiavimo patikros paprastai reikalauja sutikimo arba labai griežtai suformuluotos teisėtų interesų pozicijos.
Praktinė pasekmė yra ta, kad leidėjas, vykdantis tiek sukčiavimo prevencijos, tiek reklamos technologijų pirštų atspaudų kūrimą, negali remtis sukčiavimo pagrindu abiem apimti. Abu srautai turi būti architektūriškai atskirti, su reklamos technologijų srautu, užblokuotu po sutikimu, ir sukčiavimo prevencijos srautu, apribotutu dokumentuotu tikslu.
Kaip tvarkytis su pirštų atspaudų kūrimu CMP
Pirštų atspaudų kūrimo integravimo modelis yra panašus į kitas stebėjimo technikas, tačiau reikia papildomo atsargumo, nes akivaizdaus saugojimo nebuvimas palengvina sutikimo ribos praleidimą.
1. Pirštų atspaudų paviršiaus inventorizacija
Patikrinkite svetainę dėl bet kurio skriptas, kuris iškviečia canvas toDataURL(), AudioContext pagrįstą apdorojimą, šriftų zondavimą naudojant teksto metrikos matavimą arba WebGL atvaizdavimo užklausas. Šie kvietimai dažnai yra paslėpti trečiųjų šalių bibliotekose – reklamos technologijų SDK, sukčiavimo prevencijos tiekėjai, A/B testavimo įrankiai – ir nėra iš karto matomi.
2. Kiekvieno pirštų atspaudo naudojimo kategorijų nustatymas
Kiekvienai bibliotekai, kuri kuria pirštų atspaudus, dokumentuokite, ar ji (a) yra griežtai būtina svetainei veikti, (b) sukčiavimo prevencijos priemonė pagal teisėtus interesus, ar (c) skirta stebėjimui, analitikai ar reklamai. Kategorijos (a) ir (b) gali vykti be aiškaus sutikimo pagal dokumentuotus pagrindus; kategorija (c) reikalauja pasirinkimo.
3. Stebėjimo tikslų pirštų atspaudų užblokavimas
Bibliotekoms, patenkančioms į kategoriją (c), CMP turėtų jas vertinti taip pat kaip rinkodaros slapukus: skriptas yra DOM, bet inertiškas, kol lankytojas priima rinkodaros kategoriją. Dauguma šiuolaikinių CMP jau palaiko tai per standartinį type="text/plain" + kategorijos-atributo modelį.
4. Teisėtų interesų pagrindo dokumentavimas sukčiavimo prevencijos pirštų atspaudų kūrimui
Kur pirštų atspaudų kūrimas vyksta pagal teisėtą interesą, LIA turi būti konkretus, aktualus ir atspindėti faktinę apdorojimo apimtį. Generinio "sukčiavimo prevencijos" nepakanka – LIA turi nustatyti, kokie duomenys apdorojami, kiek laiko jie saugomi, kokios apsaugos taikomos ir kokie yra realūs naudotojų lūkesčiai.
5. Prasmingo atsisakymo teisės suteikimas teisėtų interesų srautams
Net jei sukčiavimo prevencijos pirštų atspaudų kūrimas vyksta be sutikimo, GDPR Article 21 suteikia naudotojui teisę prieštarauti teisėto intereso apdorojimui. CMP turi atskleisti šią teisę, o techninė įgyvendinimas turi iš tikrųjų sustabdyti pirštų atspaudų kūrimą, kai teisė pasinaudojama – ne tik užregistruoti prieštaravimą, toliau kuriant pirštų atspaudus.
Audito kontrolinis sąrašas
Šeši konkretūs klausimai, į kuriuos reikia atsakyti bet kuriai svetainei, kuri gali atskleisti pirštų atspaudų paviršius.
1. Inventoriaus išsamumas
Ar saugos komanda parengė dabartinį kiekvienos bibliotekos, atliekančios canvas, garso, šriftų, WebGL ar įrenginio metaduomenų zondavimą, sąrašą? Jei atsakymas yra "nežinome", auditas negali vykti.
2. Pagrindo klasifikacija
Kiekvienai bibliotekai, ar yra dokumentuotas teisėtas pagrindas (sutikimas, teisėtas interesas su LIA, sutartinis būtinumas)? Nedokumentuoti pagrindai yra de facto nebuvimas pagal atskaitomybę.
3. Sutikimo blokavimas
Ar stebėjimo tikslo pirštų atspaudų bibliotekos yra užblokuotos po rinkodaros sutikimo kategorija, o skriptas negali veikti prieš priėmimą?
4. LIA aktualumas
Ar teisėtų interesų vertinimai yra pažymėti data per pastaruosius 12 mėnesių ir ar jie atspindi faktinę dabartinę apdorojimo apimtį, o ne senas aprašymus?
5. Atsisakymo vykdymas
Kai naudotojas naudojasi Article 21, ar sistema iš tikrųjų sustabdo teisėto intereso pirštų atspaudų kūrimą, ar tik užregistruoja prieštaravimą?
6. Tiekėjų kryžminis valymas
Jei pirštų atspaudas yra dalijamasis su trečiąja šalimi (reklamos tinklas, priskyrimo tiekėjas, tapatybės tiekėjas), ar tas dalijimasis yra padengtas atskiru sutikimu ir atskleistas privatumo pranešime?
Kur pirštų atspaudų kūrimas bus stebėjimo ateityje
Naršyklių tiekėjai aktyviai dirba siekdami sumažinti entropiją, prieinamą pirštų atspaudų bibliotekoms. Apple ITP, Firefox integruota apsauga ir Google Privacy Sandbox pasiūlymai visi griaunasi pagrindinio paviršiaus. Tačiau nė vienas iš tų įsikišimų nepašalina reguliavimo klausimo – net pirštų atspaudas su sumažinta entropija vis tiek yra asmens duomenys, kai jis sėkmingai identifikuoja naudotoją, o sėkmės rodiklio sumažinimas nekeičia teisinės analizės, kai jis veikia. Leidėjams saugiau yra daryti prielaidą, kad pirštų atspaudų kūrimas toliau bus tikra, audito požiūriu svarbi technika ateinančius 24 mėnesius, kad reguliuotojai toliau ją vertins lygiai su slapukais sutikimo tikslais ir kad teisingas veiklos atsakymas yra traktuoti pirštų atspaudų kūrimą kaip bet kokį kitą stebėjimo paviršių: inventorizuotą, klasifikuotą pagal tikslą, užblokuotą sutikimu, kur reikia, ir išsamiai dokumentuotą, kur jis vyksta kitu pagrindu.