Fingerprinting przeglądarki a zgoda użytkownika: przewodnik wydawcy po technice śledzenia, którą obserwują regulatorzy
Przez większość dyskusji ery plików cookie dotyczących śledzenia online, powierzchnią techniczną, która miała znaczenie, była warstwa przechowywania: pliki cookie w przeglądarce, wpisy localStorage, bazy IndexedDB — rzeczy, które deweloper mógł zobaczyć, a regulator mógł wskazać. Fingerprinting działa inaczej. Nie prosi przeglądarki o przechowywanie czegokolwiek. Zamiast tego zadaje przeglądarce pytania — jakie czcionki masz zainstalowane, jak wygląda ten render canvas, jak kontekst audio przetwarza ten sygnał — i łączy odpowiedzi w identyfikator, który utrzymuje się między sesjami, urządzeniami, a nawet oknami przeglądania prywatnego. Dla wydawców i dostawców ad-tech fingerprinting był atrakcyjnym sposobem na obejście wycofywania plików cookie stron trzecich. Dla regulatorów stał się jedną z najbardziej agresywnie ściganych technik śledzenia, ponieważ z założenia identyfikuje użytkowników bez ich współpracy. CNIL, EDPB, UK ICO i włoski Garante wydały decyzje egzekucyjne lub wytyczne dotyczące konkretnie fingerprintingu w ciągu ostatnich 24 miesięcy. Ten przewodnik omawia, czym fingerprinting faktycznie jest, co kwalifikuje się jako fingerprinting w świetle prawa i jak wydawca powinien go obsługiwać w ramach platformy zarządzania zgodami.
Czym jest fingerprinting przeglądarki
Fingerprint przeglądarki to identyfikator o wysokiej entropii zbudowany z właściwości, które przeglądarka udostępnia każdemu uruchomionemu skryptowi JavaScript. Podstawowe techniki dzielą się na kilka rodzin, z których każda wnosi entropię do połączonego fingerprintu.
Fingerprinting canvas
Element HTML5 canvas renderuje grafikę w nieco inny sposób w zależności od GPU, sterownika, systemu operacyjnego i podsystemu czcionek. Narysowanie ustalonego ciągu znaków określoną czcionką, a następnie zahashowanie wynikowych danych pikselowych, tworzy identyfikator, który różni się między urządzeniami, ale jest stabilny między sesjami na tym samym urządzeniu. Fingerprinting canvas jest kanonicznym przykładem i najczęściej cytowaną techniką w decyzjach egzekucyjnych.
Fingerprinting audio
API AudioContext przetwarza sygnały audio przez ten sam rodzaj potoku sprzętowo-programowego co grafikę, a wynikowy output różni się w sposób tworzący entropię. Przepuszczenie znanego oscylatora przez kompresor i zahashowanie wyniku tworzy stabilny identyfikator per urządzenie.
Enumeracja czcionek
Różne systemy operacyjne i profile użytkowników mają różne zestawy zainstalowanych czcionek. Sprawdzanie obecności lub braku czcionek — poprzez mierzenie metryk tekstu dla listy kandydujących czcionek — tworzy identyfikator, który jest szczególnie rozróżniający dla użytkowników, którzy dostosowali swój zestaw czcionek.
Fingerprinting WebGL
WebGL ujawnia możliwości GPU i zachowanie renderowania. Kombinacja ciągu vendora, ciągu renderera i renderowania ustalonej sceny tworzy kolejny identyfikator o wysokiej entropii.
Metadane sieciowe i urządzenia
Poza aktywnymi technikami sondowania, fingerprinty zazwyczaj obejmują pasywne metadane: ciąg User-Agent, preferencje językowe, strefę czasową, rozdzielczość ekranu, głębię kolorów, dostępną pamięć, dostępne procesory, stan baterii i fingerprint TLS na warstwie połączenia. Każdy element dodaje entropię samodzielnie i łączy się multiplikatywnie z pozostałymi.
Jak regulatorzy traktują fingerprinting
Analiza prawna jest prosta w zarysie, ale trudniejsza w praktyce. Fingerprinting identyfikujący użytkownika generuje dane osobowe zgodnie z definicją GDPR, a odczytywanie lub uzyskiwanie dostępu do informacji już przechowywanych na urządzeniu podlega Article 5(3) dyrektywy ePrivacy — temu samemu przepisowi, który reguluje pliki cookie. Zarówno Article 5(3), jak i GDPR wymagają uprzedniej zgody na nieistotne śledzenie. Tam, gdzie prawo wykracza poza pliki cookie, ePrivacy 5(3) obejmuje „przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika" — język wystarczająco szeroki, aby objąć sondowanie stanu urządzenia, na którym opiera się fingerprinting.
EDPB potwierdziła tę interpretację w swoich wytycznych z 2023 roku dotyczących stosowania Article 5(3) do śledzenia innego niż pliki cookie, a CNIL była najagresywniejszym organem egzekucyjnym: szereg kar w 2024 roku wskazywał biblioteki fingerprintingowe działające przed uzyskaniem zgody jako główne naruszenie. Oświadczenie UK ICO z 2024 roku dotyczące śledzenia jest jeszcze bardziej bezpośrednie w traktowaniu fingerprintów canvas, audio i podobnych jako wymagających zgody opt-in na równi z plikami cookie.
Szara strefa: zapobieganie oszustwom a śledzenie
Najbardziej spornym przypadkiem użycia fingerprintingu jest zapobieganie oszustwom. Wykrywanie botów, obrona przed przejęciem konta i screening oszustw płatniczych opierają się na fingerprintingu urządzeń jako kluczowym sygnale. Regulatorzy uznali, że część tego przetwarzania może być uzasadniona na podstawie uzasadnionego interesu zamiast zgody — ale poprzeczka jest wysoka, a zakres wąski. Stanowisko CNIL, powtórzone przez inne organy ochrony danych, jest następujące:
- Ściśle niezbędne zapobieganie oszustwom na własnościach pierwszej strony może odbywać się na podstawie uzasadnionego interesu, z odpowiednią dokumentacją w ocenie uzasadnionego interesu (LIA).
- Wykorzystanie behawioralne lub reklamowe tego samego fingerprintu wymaga zgody i nie może opierać się na podstawie zapobiegania oszustwom.
- Udostępnianie fingerprintu stronom trzecim w jakimkolwiek celu zazwyczaj wykracza poza zakres uzasadnionego interesu i wymaga zgody.
- Trwałe przechowywanie fingerprintu poza natychmiastową kontrolą oszustwa generalnie wymaga albo zgody, albo bardzo ściśle sformułowanego stanowiska dotyczącego uzasadnionego interesu.
Praktyczna implikacja jest taka, że wydawca prowadzący zarówno fingerprinting zapobiegający oszustwom, jak i fingerprinting ad-tech, nie może polegać na podstawie zapobiegania oszustwom, aby pokryć oba. Oba przepływy muszą być architektonicznie rozdzielone, przy czym przepływ ad-tech jest bramkowany zgodą, a przepływ zapobiegania oszustwom ograniczony do udokumentowanego celu.
Jak obsługiwać fingerprinting w CMP
Wzorzec integracji dla fingerprintingu jest podobny do innych technik śledzenia, ale wymaga dodatkowej uwagi, ponieważ brak widocznego przechowywania sprawia, że granicę zgody łatwiej przeoczyć.
1. Zinwentaryzuj powierzchnię fingerprintingu
Przeprowadź audyt strony pod kątem każdego skryptu wywołującego canvas toDataURL(), przetwarzanie oparte na AudioContext, sondowanie czcionek poprzez pomiar metryk tekstu lub zapytania o renderer WebGL. Te wywołania są często ukryte w bibliotekach stron trzecich — SDK ad-tech, dostawcach antyfrodowych, narzędziach A/B testów — i nie są natychmiast widoczne.
2. Skategoryzuj każde użycie fingerprintingu
Dla każdej biblioteki wykonującej fingerprinting udokumentuj, czy jest (a) ściśle niezbędna do funkcjonowania strony, (b) środkiem zapobiegania oszustwom w ramach uzasadnionego interesu, czy (c) służy śledzeniu, analityce lub reklamie. Kategorie (a) i (b) mogą działać bez wyraźnej zgody na udokumentowanych podstawach; kategoria (c) wymaga opt-in.
3. Bramkuj fingerprinting służący śledzeniu
Dla bibliotek należących do kategorii (c), CMP powinien traktować je identycznie jak marketingowe pliki cookie: skrypt jest w DOM, ale nieaktywny, dopóki odwiedzający nie zaakceptuje kategorii marketingowej. Większość nowoczesnych CMP już to obsługuje poprzez standardowy wzorzec type="text/plain" + atrybut kategorii.
4. Udokumentuj podstawę uzasadnionego interesu dla fingerprintingu zapobiegającego oszustwom
Tam, gdzie fingerprinting odbywa się na podstawie uzasadnionego interesu, LIA musi być konkretna, aktualna i odzwierciedlać rzeczywisty zakres przetwarzania. Ogólne „zapobieganie oszustwom" nie wystarczy — LIA musi identyfikować, jakie dane są przetwarzane, jak długo są przechowywane, jakie zabezpieczenia obowiązują i jakie są realistyczne oczekiwania użytkownika.
5. Zapewnij skuteczną możliwość sprzeciwu dla przepływów opartych na uzasadnionym interesie
Nawet gdy fingerprinting zapobiegający oszustwom odbywa się bez zgody, Article 21 GDPR przyznaje użytkownikowi prawo do sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu. CMP musi ujawnić to prawo, a implementacja techniczna musi faktycznie zatrzymać fingerprinting po skorzystaniu z tego prawa — nie tylko zarejestrować sprzeciw, kontynuując fingerprinting.
Lista kontrolna audytu
Sześć konkretnych pytań do odpowiedzi dla każdej strony potencjalnie eksponującej powierzchnie fingerprintingu.
1. Kompletność inwentaryzacji
Czy zespół bezpieczeństwa sporządził aktualną listę każdej biblioteki wykonującej sondowanie canvas, audio, czcionek, WebGL lub metadanych urządzenia? Jeśli odpowiedź brzmi „nie jesteśmy pewni", audyt nie może być kontynuowany.
2. Klasyfikacja podstaw
Dla każdej biblioteki, czy istnieje udokumentowana podstawa prawna (zgoda, uzasadniony interes z LIA, niezbędność umowna)? Nieudokumentowane podstawy są de facto nieobecne w kontekście zasady rozliczalności.
3. Bramkowanie zgody
Czy biblioteki fingerprintingowe służące śledzeniu są bramkowane za kategorią zgody marketingowej, z niemożliwością uruchomienia skryptu przed akceptacją?
4. Aktualność LIA
Czy oceny uzasadnionego interesu są datowane w ciągu ostatnich 12 miesięcy i czy odzwierciedlają rzeczywisty aktualny zakres przetwarzania, a nie opisy historyczne?
5. Egzekwowanie sprzeciwu
Gdy użytkownik korzysta z Article 21, czy system faktycznie zatrzymuje fingerprinting oparty na uzasadnionym interesie, czy tylko rejestruje sprzeciw?
6. Porządkowanie współpracy z dostawcami
Jeśli fingerprint jest udostępniany stronie trzeciej (sieci reklamowej, dostawcy atrybucji, dostawcy tożsamości), czy to udostępnianie jest objęte odrębną zgodą i ujawnione w informacji o prywatności?
Miejsce fingerprintingu w przyszłości śledzenia
Producenci przeglądarek aktywnie pracują nad zmniejszeniem entropii dostępnej dla bibliotek fingerprintingowych. ITP Apple, wbudowana ochrona Firefox i propozycje Google Privacy Sandbox — wszystkie uszczuplają podstawową powierzchnię. Żadna z tych interwencji nie usuwa jednak problemu regulacyjnego — nawet fingerprint ze zmniejszoną entropią nadal stanowi dane osobowe, gdy skutecznie identyfikuje użytkownika, a zmniejszenie wskaźnika powodzenia nie zmienia analizy prawnej, gdy technika działa. Dla wydawców bezpieczniejszym założeniem jest, że fingerprinting będzie nadal realną, istotną z punktu widzenia audytu techniką przez najbliższe 24 miesiące, że regulatorzy będą nadal traktować go jako równoważny plikom cookie dla celów zgody i że właściwą odpowiedzią operacyjną jest traktowanie fingerprintingu jak każdej innej powierzchni śledzenia: zinwentaryzowanej, skategoryzowanej według celu, bramkowanej zgodą tam, gdzie jest wymagana, i dokładnie udokumentowanej tam, gdzie odbywa się na innej podstawie.