Браузерный отпечаток и согласие: руководство издателя по технике отслеживания, за которой следят регуляторы
Большую часть обсуждения онлайн-отслеживания эпохи cookie технической поверхностью, которая имела значение, был уровень хранилища: cookie в браузере, записи localStorage, базы IndexedDB — вещи, которые разработчик мог видеть, а регулятор мог указать. Снятие отпечатков работает иначе. Оно не просит браузер ничего хранить. Вместо этого оно задаёт браузеру вопросы — какие шрифты у тебя установлены, как выглядит этот рендеринг canvas, как аудиоконтекст обрабатывает этот сигнал — и объединяет ответы в идентификатор, который сохраняется между сессиями, устройствами и даже окнами приватного просмотра. Для издателей и ad-tech-вендоров снятие отпечатков было привлекательным способом обойти отказ от сторонних cookie. Для регуляторов оно стало одной из наиболее агрессивно преследуемых техник отслеживания, потому что по своей конструкции идентифицирует пользователей без их сотрудничества. CNIL, EDPB, британский ICO и итальянский Garante — все выпустили решения о правоприменении или руководства, специально нацеленные на снятие отпечатков за последние 24 месяца. Это руководство разбирает, что такое снятие отпечатков на самом деле, что считается снятием отпечатков по закону и как издатель должен обращаться с ним внутри системы управления согласием.
Что такое браузерный отпечаток
Браузерный отпечаток — это высокоэнтропийный идентификатор, построенный из свойств, которые браузер раскрывает любому работающему JavaScript. Базовые техники делятся на несколько семейств, каждое из которых вносит энтропию в объединённый отпечаток.
Отпечаток canvas
Элемент canvas HTML5 отрисовывает графику немного по-разному в зависимости от лежащего в основе GPU, драйвера, операционной системы и шрифтовой подсистемы. Рисование фиксированной строки определённым шрифтом, затем хеширование результирующих пиксельных данных, производит идентификатор, который варьируется между устройствами, но стабилен между сессиями на одном устройстве. Отпечаток canvas — каноничный пример и наиболее цитируемая техника в действиях по правоприменению.
Аудиоотпечаток
API AudioContext обрабатывает аудиосигналы через тот же тип аппаратно-программного конвейера, что и графику, и результирующий вывод варьируется так, что создаёт энтропию. Прогон известного осциллятора через компрессор и хеширование результата производит стабильный идентификатор на устройство.
Перечисление шрифтов
Разные операционные системы и пользовательские профили имеют разные наборы установленных шрифтов. Проверка наличия или отсутствия шрифтов — путём измерения метрик текста для списка кандидатов — производит идентификатор, особенно отличающий для пользователей, настроивших свой набор шрифтов.
Отпечаток WebGL
WebGL раскрывает возможности GPU и поведение рендеринга. Комбинация строки вендора, строки рендерера и рендеринга фиксированной сцены производит ещё один высокоэнтропийный идентификатор.
Метаданные сети и устройства
Помимо техник активного зондирования, отпечатки обычно включают пассивные метаданные: строку User-Agent, языковые предпочтения, часовой пояс, разрешение экрана, глубину цвета, доступную память, доступные процессоры, состояние батареи и TLS-отпечаток на уровне соединения. Каждый элемент добавляет энтропию сам по себе и комбинируется мультипликативно с остальными.
Как регуляторы относятся к снятию отпечатков
Юридический анализ прост в общих чертах, но сложнее на практике. Снятие отпечатков, идентифицирующее пользователя, производит персональные данные согласно определению GDPR, а чтение или доступ к информации, уже хранящейся на устройстве, подпадает под статью 5(3) Директивы об электронной приватности — то же положение, что управляет cookie. И статья 5(3), и GDPR требуют предварительного согласия для неосновного отслеживания. Где закон выходит за рамки cookie, так это то, что ePrivacy 5(3) охватывает «хранение информации или получение доступа к информации, уже хранящейся в терминальном оборудовании абонента или пользователя» — формулировка достаточно широкая, чтобы охватить зондирование состояния устройства, на которое опирается снятие отпечатков.
EDPB подтвердил это толкование в своих руководящих принципах 2023 года о применении статьи 5(3) к не-cookie-отслеживанию, а CNIL был наиболее агрессивным правоприменителем: ряд штрафов в 2024 году ссылался на библиотеки снятия отпечатков, работающие до согласия, как на основное нарушение. Заявление британского ICO 2024 года об отслеживании ещё более прямо в формулировании отпечатков canvas, аудио и подобных как требующих opt-in-согласия наравне с cookie.
Серая зона: предотвращение мошенничества против отслеживания
Самый спорный сценарий снятия отпечатков — предотвращение мошенничества. Обнаружение ботов, защита от захвата аккаунтов и проверка платёжного мошенничества — все опираются на снятие отпечатков устройства как основной сигнал. Регуляторы признали, что часть этой обработки может быть оправдана законным интересом, а не согласием — но планка высока, а охват узок. Позиция CNIL, повторённая другими органами, заключается в том, что:
- Строго необходимое предотвращение мошенничества на собственных ресурсах может осуществляться по законному интересу, с надлежащей документацией в оценке законного интереса (LIA).
- Поведенческое или рекламное использование того же отпечатка требует согласия и не может ехать на основании предотвращения мошенничества.
- Передача отпечатка третьим лицам для любой цели обычно выходит за рамки охвата законного интереса и требует согласия.
- Постоянное хранение отпечатка за пределами немедленной проверки мошенничества обычно требует либо согласия, либо очень тщательно составленной позиции законного интереса.
Практическое следствие в том, что издатель, проводящий как снятие отпечатков для предотвращения мошенничества, так и ad-tech-снятие отпечатков, не может полагаться на основание мошенничества, чтобы покрыть оба. Два потока должны быть архитектурно раздельными, с ad-tech-потоком за согласием и потоком предотвращения мошенничества, ограниченным его документированной целью.
Как обращаться со снятием отпечатков в CMP
Паттерн интеграции для снятия отпечатков похож на другие техники отслеживания, но с дополнительной осторожностью, потому что отсутствие явного хранилища делает границу согласия легче пропустить.
1. Инвентаризируйте поверхность снятия отпечатков
Проверьте сайт на любой скрипт, вызывающий canvas toDataURL(), обработку на основе AudioContext, проверку шрифтов через измерение метрик текста или запросы рендерера WebGL. Эти вызовы часто скрыты в сторонних библиотеках — ad-tech-SDK, антифрод-вендорах, инструментах A/B-тестирования — и не сразу видны.
2. Категоризируйте каждое использование снятия отпечатков
Для каждой библиотеки, снимающей отпечатки, задокументируйте, является ли она (a) строго необходимой для функционирования сайта, (b) мерой предотвращения мошенничества по законному интересу или (c) для отслеживания, аналитики или рекламы. Категории (a) и (b) могут осуществляться без явного согласия по документированным основаниям; категория (c) требует opt-in.
3. Закройте снятие отпечатков с целью отслеживания за согласием
Для библиотек, подпадающих под категорию (c), CMP должна обращаться с ними идентично маркетинговым cookie: скрипт находится в DOM, но инертен до того, как посетитель примет маркетинговую категорию. Большинство современных CMP уже поддерживают это через стандартный паттерн type="text/plain" + атрибут категории.
4. Задокументируйте основание законного интереса для снятия отпечатков ради предотвращения мошенничества
Где снятие отпечатков осуществляется по законному интересу, LIA должна быть конкретной, актуальной и отражать фактический охват обработки. Общего «предотвращения мошенничества» недостаточно — LIA должна идентифицировать, какие данные обрабатываются, как долго хранятся, какие защиты применяются и каковы реалистичные ожидания пользователя.
5. Предоставьте значимый opt-out для потоков по законному интересу
Даже там, где снятие отпечатков ради предотвращения мошенничества осуществляется без согласия, статья 21 GDPR предоставляет пользователю право возразить против обработки на основе законного интереса. CMP должна раскрывать это право, и техническая реализация должна фактически остановить снятие отпечатков при осуществлении права — а не просто записать возражение, продолжая снимать отпечатки.
Контрольный список аудита
Шесть конкретных вопросов для любого сайта, потенциально раскрывающего поверхности снятия отпечатков.
1. Полнота инвентаризации
Произвела ли команда безопасности актуальный список каждой библиотеки, выполняющей зондирование canvas, аудио, шрифтов, WebGL или метаданных устройства? Если ответ «мы не уверены», аудит не может продолжаться.
2. Классификация основания
Для каждой библиотеки есть ли документированное законное основание (согласие, законный интерес с LIA, договорная необходимость)? Недокументированные основания фактически отсутствуют при подотчётности.
3. Гейтинг согласия
Закрыты ли библиотеки снятия отпечатков с целью отслеживания за маркетинговой категорией согласия, со скриптом, неспособным работать до принятия?
4. Свежесть LIA
Датированы ли оценки законного интереса в пределах последних 12 месяцев и отражают ли они фактический текущий охват обработки, а не устаревшие описания?
5. Применение opt-out
Когда пользователь осуществляет статью 21, действительно ли система останавливает снятие отпечатков по законному интересу или только записывает возражение?
6. Очистка между вендорами
Если отпечаток передаётся третьему лицу (рекламной сети, провайдеру атрибуции, вендору идентичности), покрыта ли эта передача отдельным согласием и раскрыта ли в уведомлении о конфиденциальности?
Где снятие отпечатков находится в будущем отслеживания
Производители браузеров активно работают над сокращением энтропии, доступной библиотекам снятия отпечатков. ITP от Apple, встроенная защита Firefox и предложения Privacy Sandbox от Google — все откалывают от лежащей в основе поверхности. Однако ни одно из этих вмешательств не устраняет регуляторную проблему — даже отпечаток с уменьшенной энтропией всё равно является персональными данными, когда он успешно идентифицирует пользователя, и снижение успешности не меняет юридический анализ, когда он срабатывает. Для издателей более безопасное предположение в том, что снятие отпечатков продолжит быть реальной, релевантной для аудита техникой в течение следующих 24 месяцев, что регуляторы продолжат рассматривать его как эквивалент cookie для целей согласия, и что правильный операционный ответ — относиться к снятию отпечатков как к любой другой поверхности отслеживания: инвентаризированной, категоризированной по цели, закрытой согласием там, где требуется, и тщательно задокументированной там, где она осуществляется по другому основанию.