Pārlūkprogrammas pirkstu nospiedums un piekrišana: izdevēja ceļvedis izsekošanas metodei, ko uzrauga regulatori
Lielākajā daļā diskusiju par tiešsaistes izsekošanu sīkfailu laikmetā nozīmīgā tehniskā virsma bija glabāšanas slānis: sīkfaili pārlūkprogrammā, localStorage ieraksti, IndexedDB datu bāzes — lietas, ko izstrādātājs varēja redzēt un regulators — norādīt. Pirkstu nospiedums darbojas savādāk. Tas nelūdz pārlūkprogrammai neko glabāt. Tā vietā tas uzdod pārlūkprogrammai jautājumus — kādi fonti jums ir instalēti, kā izskatās šis canvas atveidojums, kā audio konteksts apstrādā šo signālu — un apvieno atbildes identifikatorā, kas saglabājas starp sesijām, ierīcēm un pat privātajiem pārlūkošanas logiem. Izdevējiem un reklāmtehnoloģiju pārdevējiem pirkstu nospiedums ir bijis pievilcīgs veids, kā apiet trešo pušu sīkfailu izslēgšanu. Regulatoriem tas ir kļuvis par vienu no visagresīvāk vajātajām izsekošanas metodēm, jo pēc savas būtības tas identificē lietotājus bez viņu sadarbības. CNIL, EDPB, UK ICO un itāļu Garante pēdējo 24 mēnešu laikā ir pieņēmuši izpildes lēmumus vai norādījumus, kas īpaši vērsti pret pirkstu nospiedumiem. Šis ceļvedis izklāsta, kas patiesībā ir pirkstu nospiedums, kas tiek skaitīts par pirkstu nospiedumu likuma izpratnē un kā izdevējam to apstrādāt piekrišanas pārvaldības ietvarā.
Kas ir pārlūkprogrammas pirkstu nospiedums
Pārlūkprogrammas pirkstu nospiedums ir augstas entropijas identifikators, kas veidots no īpašībām, kuras pārlūkprogramma atklāj jebkurai darbojošajai JavaScript programmai. Pamattehnikas sadalās vairākās ģimenēs, no kurām katra pievieno entropiju kombinētajam pirkstu nospiedumam.
Canvas pirkstu nospiedums
HTML5 canvas elements atveido grafiku nedaudz atšķirīgos veidos atkarībā no pamata GPU, draivera, operētājsistēmas un fontu apakšsistēmas. Fiksētas virknes zīmēšana ar noteiktu fontu, pēc tam iegūto pikseļu datu hešošana, rada identifikatoru, kas atšķiras starp ierīcēm, bet ir stabils starp sesijām vienā ierīcē. Canvas pirkstu nospiedums ir kanonisks piemērs un visbiežāk citētā tehnika izpildes darbībās.
Audio pirkstu nospiedums
AudioContext API apstrādā audio signālus caur tāda paša veida aparatūras un programmatūras cauruļvadu kā grafika, un iegūtā izvade mainās veidā, kas rada entropiju. Pazīstama oscilatora vadīšana caur kompresoru un rezultāta hešošana rada stabilu katrai ierīcei unikālu identifikatoru.
Fontu uzskaitīšana
Dažādām operētājsistēmām un lietotāju profiliem ir instalētas dažādas fontu kopas. Fontu klātbūtnes vai neesamības izmeklēšana — mērot teksta metrikas kandidātfontu sarakstam — rada identifikatoru, kas ir īpaši atšķirošs lietotājiem, kuri ir pielāgojuši savu fontu kopu.
WebGL pirkstu nospiedums
WebGL atklāj GPU iespējas un atveidošanas uzvedību. Pārdevēja virknes, renderera virknes un fiksētas ainas atveidošanas kombinācija rada vēl vienu augstas entropijas identifikatoru.
Tīkla un ierīces metadati
Papildus aktīvajām zondēšanas tehnikām pirkstu nospiedumi parasti ietver pasīvos metadatus: User-Agent virkni, valodas preferences, laika joslu, ekrāna izšķirtspēju, krāsu dziļumu, pieejamo atmiņu, pieejamos procesorus, akumulatora stāvokli un TLS pirkstu nospiedumu savienojuma slānī. Katrs elements pats par sevi pievieno entropiju un multiplicatīvi apvienojas ar citiem.
Kā regulatori izturas pret pirkstu nospiedumiem
Juridiskā analīze ir vienkārša pēc būtības, bet grūtāka praksē. Pirkstu nospiedums, kas identificē lietotāju, rada personas datus saskaņā ar GDPR definīciju, un informācijas lasīšana vai piekļuve ierīcē jau glabātajai informācijai ietilpst ePrivacy direktīvas Article 5(3) — tas pats noteikums, kas regulē sīkfailus. Gan Article 5(3), gan GDPR prasa iepriekšēju piekrišanu nebūtiskai izsekošanai. Kur likums iet tālāk par sīkfailiem, ir tas, ka ePrivacy 5(3) aptver "informācijas glabāšanu vai piekļuvi jau abonenta vai lietotāja galaierīcē glabātajai informācijai" — valoda, kas ir pietiekami plaša, lai aptvertu ierīces stāvokļa zondēšanu, no kuras ir atkarīgs pirkstu nospiedums.
EDPB apstiprināja šo lasījumu savās 2023. gada vadlīnijās par Article 5(3) piemērošanu sīkfailu nesaturošai izsekošanai, un CNIL ir bijis visvairāk agresīvais izpildītājs: vairāki naudas sodi 2024. gadā citēja pirkstu nospiedumu bibliotēkas, kas darbojas pirms piekrišanas, kā galveno pārkāpumu. UK ICO 2024. gada paziņojums par izsekošanu ir vēl tiešāks, uzskatot canvas, audio un līdzīgus pirkstu nospiedumus par tādiem, kuriem nepieciešama piekrišanas sniegšana vienādi ar sīkfailiem.
Pelēkā zona: krāpšanas novēršana pret izsekošanu
Visvairāk apstrīdētais pirkstu nospieduma lietošanas gadījums ir krāpšanas novēršana. Robotu noteikšana, konta pārņemšanas aizsardzība un maksājumu krāpšanas pārbaude — visi ir atkarīgi no ierīces pirkstu nospieduma kā pamatā esošā signāla. Regulatori ir atzinuši, ka daļu šīs apstrādes var pamatot ar leģitīmām interesēm, nevis piekrišanu — bet prasības ir augstas un apjoms šaurs. CNIL nostāja, ko atbalso citas DPA, ir šāda:
- Stingri nepieciešamā krāpšanas novēršana pirmās puses īpašumos var notikt leģitīmo interešu pamatos, ar atbilstošu dokumentāciju leģitīmo interešu novērtējumā (LIA).
- Uzvedības vai reklāmas izmantošana no tā paša pirkstu nospieduma prasa piekrišanu un nevar balstīties uz krāpšanas novēršanas pamatu.
- Pirkstu nospieduma kopīgošana ar trešajām pusēm jebkādā nolūkā parasti ietilpst ārpus leģitīmo interešu apjoma un prasa piekrišanu.
- Pirkstu nospieduma pastāvīga glabāšana ārpus tūlītējās krāpšanas pārbaudes parasti prasa vai nu piekrišanu, vai ļoti precīzi izstrādātu leģitīmo interešu nostāju.
Praktiskās sekas ir tādas, ka izdevējs, kas izmanto gan krāpšanas novēršanas pirkstu nospiedumu, gan reklāmtehnoloģiju pirkstu nospiedumu, nevar paļauties uz krāpšanas pamatu, lai aptvertu abus. Abām plūsmām jābūt arhitektoniski atsevišķām, ar reklāmtehnoloģiju plūsmu, kas ir bloķēta aiz piekrišanas, un krāpšanas novēršanas plūsmu, kas ierobežota ar tās dokumentēto mērķi.
Kā apstrādāt pirkstu nospiedumu CMP
Pirkstu nospieduma integrācijas modelis ir līdzīgs citām izsekošanas tehnikām, bet ar papildu uzmanību, jo acīmredzamas glabāšanas trūkums padara piekrišanas robežu vieglāk palaidamu garām.
1. Inventarizējiet pirkstu nospieduma virsmu
Auditējiet vietni pēc jebkura skripta, kas izsauc canvas toDataURL(), AudioContext bāzētu apstrādi, fontu zondēšanu caur teksta metriku mērīšanu vai WebGL renderera vaicājumus. Šīs izsaukumus bieži aprok trešās puses bibliotēkas — reklāmtehnoloģiju SDK, pretfraudes pārdevēji, A/B testēšanas rīki — un tās nav uzreiz redzamas.
2. Kategorizējiet katru pirkstu nospieduma izmantošanu
Katrai bibliotēkai, kas veido pirkstu nospiedumu, dokumentējiet, vai tā ir (a) stingri nepieciešama vietnes darbībai, (b) krāpšanas novēršanas pasākums leģitīmo interešu ietvaros vai (c) izsekošanai, analītikai vai reklāmai. Kategorijas (a) un (b) var turpināties bez skaidras piekrišanas dokumentētajos pamatos; kategorijai (c) nepieciešama piekrišana.
3. Bloķējiet izsekošanas nolūka pirkstu nospiedumu
Bibliotēkām, kas ietilpst kategorijā (c), CMP ir jāizturas pret tām identiskā veidā kā ar mārketinga sīkfailiem: skripts ir DOM, bet neaktīvs, līdz apmeklētājs pieņem mārketinga kategoriju. Lielākā daļa mūsdienu CMP jau atbalsta to caur standarta type="text/plain" + kategorijas-atribūta modeli.
4. Dokumentējiet leģitīmo interešu pamatu krāpšanas novēršanas pirkstu nospiedumam
Kur pirkstu nospiedums turpinās leģitīmo interešu ietvaros, LIA jābūt specifiskai, aktuālai un atspoguļot faktisko apstrādes apjomu. Vispārīga "krāpšanas novēršana" nav pietiekama — LIA ir jāidentificē, kādi dati tiek apstrādāti, cik ilgi tie tiek saglabāti, kādi aizsardzības pasākumi tiek piemēroti un kādas ir lietotāja reālistiskās cerības.
5. Nodrošiniet jēgpilnu atteikšanās iespēju leģitīmo interešu plūsmām
Pat kur krāpšanas novēršanas pirkstu nospiedums turpinās bez piekrišanas, GDPR Article 21 piešķir lietotājam tiesības iebilst pret leģitīmo interešu apstrādi. CMP ir jāatklāj šīs tiesības, un tehniskajai ieviešanai faktiski jāaptur pirkstu nospiedums, kad tiesības tiek izmantotas — ne tikai jāreģistrē iebildums, turpinot veidot pirkstu nospiedumu.
Audita kontrolsaraksts
Seši konkrēti jautājumi, uz kuriem jāatbild jebkurai vietnei, kas potenciāli pakļauj pirkstu nospieduma virsmas.
1. Inventarizācijas pilnīgums
Vai drošības komanda ir sagatavojusi aktuālu sarakstu ar katru bibliotēku, kas veic canvas, audio, fontu, WebGL vai ierīces metadatu zondēšanu? Ja atbilde ir "mēs neesam pārliecināti", audits nevar turpināties.
2. Pamatu klasifikācija
Vai katrai bibliotēkai ir dokumentēts likumīgs pamats (piekrišana, leģitīmās intereses ar LIA, līgumiska nepieciešamība)? Nedokumentēti pamati pēc faktiskās atbildības ir neesošie.
3. Piekrišanas bloķēšana
Vai izsekošanas nolūka pirkstu nospiedumu bibliotēkas ir bloķētas aiz mārketinga piekrišanas kategorijas, un skripts nespēj darboties pirms piekrišanas?
4. LIA svaigums
Vai leģitīmo interešu novērtējumi ir datēti pēdējo 12 mēnešu laikā un vai tie atspoguļo faktisko pašreizējo apstrādes apjomu, nevis mantojuma aprakstus?
5. Atteikuma izpilde
Kad lietotājs izmanto Article 21, vai sistēma faktiski aptur leģitīmo interešu pirkstu nospiedumu vai tikai reģistrē iebildumu?
6. Starpuzņēmumu tīrīšana
Ja pirkstu nospiedums tiek kopīgots ar trešo pusi (reklāmas tīkls, atribūcijas nodrošinātājs, identitātes pārdevējs), vai šī kopīgošana ir aptvertas ar atsevišķu piekrišanu un atklāta privātuma paziņojumā?
Kur pirkstu nospiedums atrodas izsekošanas nākotnē
Pārlūkprogrammu pārdevēji aktīvi strādā, lai samazinātu pirkstu nospiedumu bibliotēkām pieejamo entropiju. Apple ITP, Firefox iebūvētā aizsardzība un Google Privacy Sandbox priekšlikumi visi pakāpeniski samazina pamata virsmu. Tomēr neviena no šīm intervencēm nenovērš regulatīvo jautājumu — pat pirkstu nospiedums ar samazinātu entropiju joprojām ir personas dati, kad tas veiksmīgi identificē lietotāju, un veiksmes likmes samazināšana nemaina juridisko analīzi, kad tas darbojas. Izdevējiem drošākais pieņēmums ir tāds, ka pirkstu nospiedums turpinās būt reāla, auditu nozīmīga tehnika nākamos 24 mēnešus, ka regulatori turpinās to uzskatīt par līdzvērtīgu sīkfailiem piekrišanas nolūkos un ka pareizā operatīvā atbilde ir izturēties pret pirkstu nospiedumu kā pret jebkuru citu izsekošanas virsmu: inventarizēts, kategorizēts pēc mērķa, bloķēts ar piekrišanu, kur nepieciešams, un rūpīgi dokumentēts, kur tas turpinās uz cita pamata.