Odtlačok prehliadača a súhlas: Sprievodca pre vydavateľov o technike sledovania, ktorú regulátori pozorne sledujú
Počas väčšiny diskusie o online sledovaní v ére cookies bola kľúčovou technickou vrstvou úložná vrstva: cookies v prehliadači, záznamy v localStorage, databázy IndexedDB – veci, ktoré vývojár videl a na ktoré mohol regulátor poukázať. Fingerprinting funguje inak. Nepožaduje od prehliadača, aby čokoľvek ukladal. Namiesto toho kladie prehliadaču otázky – aké fonty máte nainštalované, ako vyzerá tento canvas render, ako audio kontext spracováva tento signál – a kombinuje odpovede do identifikátora, ktorý pretrváva naprieč reláciami, zariadeniami a dokonca aj oknami súkromného prehliadania. Pre vydavateľov a dodávateľov reklamných technológií bol fingerprinting atraktívnou cestou okolo zániku cookies tretích strán. Pre regulátorov sa stal jednou z najagresívnejšie stíhaných techník sledovania, pretože zo svojej podstaty identifikuje používateľov bez ich spolupráce. CNIL, EDPB, UK ICO a taliansky Garante – všetci vydali rozhodnutia o vymáhaní alebo usmernenia špecificky zamerané na fingerprinting za posledných 24 mesiacov. Tento sprievodca prechádza tým, čo fingerprinting skutočne je, čo sa podľa zákona považuje za fingerprinting a ako by ho mal vydavateľ riešiť v rámci platformy na správu súhlasov.
Čo je odtlačok prehliadača
Odtlačok prehliadača je vysoko-entropický identifikátor vytvorený z vlastností, ktoré prehliadač sprístupňuje akémukoľvek bežiacemu JavaScriptu. Základné techniky sa delia do niekoľkých rodín, z ktorých každá prispieva entropiou ku kombinovanému odtlačku.
Canvas fingerprinting
Element HTML5 canvas vykresľuje grafiku mierne odlišným spôsobom v závislosti od podkladového GPU, ovládača, operačného systému a fontového subsystému. Vykreslenie pevne daného reťazca so špecifickým fontom a následné hashovanie výsledných pixelových dát vytvára identifikátor, ktorý sa líši medzi zariadeniami, ale je stabilný naprieč reláciami na tom istom zariadení. Canvas fingerprinting je kanonický príklad a najcitovanejšia technika v rozhodnutiach o vymáhaní.
Audio fingerprinting
API AudioContext spracováva audio signály cez rovnaký typ hardvérovo-softvérového pipeline ako grafika a výsledný výstup sa líši spôsobom, ktorý vytvára entropiu. Spustenie známeho oscilátora cez kompresor a hashovanie výsledku produkuje stabilný identifikátor pre každé zariadenie.
Enumerácia fontov
Rôzne operačné systémy a používateľské profily majú nainštalované rôzne sady fontov. Zisťovanie prítomnosti alebo neprítomnosti fontov – meraním textových metrík pre zoznam kandidátnych fontov – vytvára identifikátor, ktorý je obzvlášť rozlišujúci pre používateľov, ktorí si prispôsobili svoju sadu fontov.
WebGL fingerprinting
WebGL odhaľuje schopnosti GPU a správanie pri vykresľovaní. Kombinácia reťazca výrobcu, reťazca renderera a vykreslenia fixnej scény produkuje ďalší vysoko-entropický identifikátor.
Sieťové a zariadeniové metadáta
Okrem aktívnych techník sondovania odtlačky zvyčajne zahŕňajú pasívne metadáta: reťazec User-Agent, jazykové preferencie, časové pásmo, rozlíšenie obrazovky, farebnú hĺbku, dostupnú pamäť, dostupné procesory, stav batérie a TLS odtlačok na úrovni pripojenia. Každá položka pridáva entropiu sama o sebe a kombinuje sa multiplikatívne s ostatnými.
Ako regulátori pristupujú k fingerprintingu
Právna analýza je v základe jednoduchá, ale v praxi zložitejšia. Fingerprinting, ktorý identifikuje používateľa, vytvára osobné údaje podľa definície GDPR a čítanie alebo prístup k informáciám už uloženým na zariadení spadá pod Article 5(3) smernice ePrivacy – to isté ustanovenie, ktoré upravuje cookies. Article 5(3) aj GDPR vyžadujú predchádzajúci súhlas pre neesenciálne sledovanie. Tam, kde zákon presahuje cookies, je to tým, že ePrivacy 5(3) pokrýva „ukladanie informácií alebo získavanie prístupu k informáciám už uloženým v koncovom zariadení predplatiteľa alebo používateľa" – formuláciu dostatočne širokú na to, aby pokryla sondovanie stavu zariadenia, na ktorom fingerprinting závisí.
EDPB potvrdil tento výklad vo svojich usmerneniach z roku 2023 o aplikácii Article 5(3) na sledovanie bez cookies a CNIL bol najagresívnejším vymáhateľom: viaceré pokuty v roku 2024 uvádzali knižnice fingerprintingu fungujúce pred súhlasom ako primárne porušenie. Vyhlásenie UK ICO z roku 2024 o sledovaní je ešte priamejšie v zaradení canvas, audio a podobných odtlačkov ako vyžadujúcich opt-in súhlas na rovnakej úrovni ako cookies.
Šedá zóna: Prevencia podvodov vs. sledovanie
Najspornejším prípadom použitia fingerprintingu je prevencia podvodov. Detekcia botov, ochrana pred prevzatím účtu a screening platobných podvodov – všetky sa spoliehajú na fingerprinting zariadenia ako kľúčový signál. Regulátori uznali, že niektoré z týchto spracovaní môžu byť odôvodnené oprávneným záujmom namiesto súhlasu – ale latka je vysoká a rozsah úzky. Pozícia CNIL, ktorú odrážajú aj ostatné dozorné orgány, je:
- Striktne nevyhnutná prevencia podvodov na vlastných stránkach môže prebiehať na základe oprávneného záujmu s príslušnou dokumentáciou v hodnotení oprávneného záujmu (LIA).
- Behaviorálne alebo reklamné použitie toho istého odtlačku vyžaduje súhlas a nemôže sa opierať o základ prevencie podvodov.
- Zdieľanie odtlačku s tretími stranami na akýkoľvek účel zvyčajne spadá mimo rozsah oprávneného záujmu a vyžaduje súhlas.
- Trvalé uchovávanie odtlačku nad rámec okamžitej kontroly podvodu vo všeobecnosti vyžaduje buď súhlas, alebo veľmi presne formulovanú pozíciu oprávneného záujmu.
Praktický dôsledok je, že vydavateľ prevádzkujúci fingerprinting na prevenciu podvodov aj fingerprinting pre reklamné technológie sa nemôže spoliehať na základ prevencie podvodov pre oba účely. Tieto dva toky musia byť architektonicky oddelené, pričom tok reklamných technológií je podmienený súhlasom a tok prevencie podvodov je obmedzený na svoj zdokumentovaný účel.
Ako riešiť fingerprinting v CMP
Vzor integrácie pre fingerprinting je podobný iným technikám sledovania, ale s dodatočnou starostlivosťou, pretože absencia zjavného úložiska uľahčuje prehliadnutie hranice súhlasu.
1. Inventarizácia plochy fingerprintingu
Vykonajte audit stránky pre akýkoľvek skript, ktorý volá canvas toDataURL(), spracovanie založené na AudioContext, sondovanie fontov cez meranie textových metrík alebo WebGL renderer dotazy. Tieto volania sú často zabudované v knižniciach tretích strán – SDK reklamných technológií, dodávatelia anti-fraud riešení, nástroje A/B testovania – a nie sú okamžite viditeľné.
2. Kategorizácia každého použitia fingerprintingu
Pre každú knižnicu, ktorá vytvára odtlačky, zdokumentujte, či je (a) striktne nevyhnutná pre fungovanie stránky, (b) opatrenie na prevenciu podvodov pod oprávneným záujmom, alebo (c) na účely sledovania, analytiky alebo reklamy. Kategórie (a) a (b) môžu pokračovať bez explicitného súhlasu na základe zdokumentovaných právnych základov; kategória (c) vyžaduje opt-in.
3. Podmienenie fingerprintingu na účely sledovania súhlasom
Pre knižnice spadajúce do kategórie (c) by ich CMP malo považovať za identické s marketingovými cookies: skript je v DOM, ale neaktívny, kým návštevník neprijme marketingovú kategóriu. Väčšina moderných CMP to už podporuje cez štandardný vzor type=“text/plain” + atribút kategórie.
4. Zdokumentovanie základu oprávneného záujmu pre fingerprinting na prevenciu podvodov
Tam, kde fingerprinting pokračuje na základe oprávneného záujmu, musí byť LIA špecifický, aktuálny a odrážať skutočný rozsah spracovávania. Všeobecná „prevencia podvodov" nestačí – LIA musí identifikovať, aké údaje sa spracovávajú, ako dlho sa uchovávajú, aké ochrany sa uplatňujú a aké sú realistické očakávania používateľa.
5. Poskytnutie zmysluplného opt-outu pre toky oprávneného záujmu
Aj tam, kde fingerprinting na prevenciu podvodov pokračuje bez súhlasu, Article 21 GDPR udeľuje používateľovi právo namietať proti spracovávaniu na základe oprávneného záujmu. CMP musí toto právo zobraziť a technická implementácia musí fingerprinting skutočne zastaviť, keď je toto právo uplatnené – nie len zaznamenať námietku a pokračovať vo fingerprintingu.
Kontrolný zoznam auditu
Šesť konkrétnych otázok, na ktoré treba odpovedať pre akúkoľvek stránku potenciálne vystavujúcu plochy fingerprintingu.
1. Úplnosť inventára
Vypracoval bezpečnostný tím aktuálny zoznam každej knižnice, ktorá vykonáva canvas, audio, fontové, WebGL alebo sondovanie metadát zariadenia? Ak je odpoveď „nie sme si istí", audit nemôže pokračovať.
2. Klasifikácia právneho základu
Pre každú knižnicu existuje zdokumentovaný zákonný základ (súhlas, oprávnený záujem s LIA, zmluvná nevyhnutnosť)? Nezdokumentované základy sú de facto neexistujúce z hľadiska zodpovednosti.
3. Podmienenie súhlasom
Sú knižnice fingerprintingu na účely sledovania podmienené marketingovou kategóriou súhlasu, pričom skript nemôže bežať pred prijatím?
4. Aktuálnosť LIA
Sú hodnotenia oprávneného záujmu datované v rámci posledných 12 mesiacov a odrážajú skutočný aktuálny rozsah spracovávania namiesto historických popisov?
5. Vynucovanie opt-outu
Keď používateľ uplatní Article 21, systém skutočne zastaví fingerprinting na základe oprávneného záujmu, alebo len zaznamená námietku?
6. Vyčistenie medzi dodávateľmi
Ak sa odtlačok zdieľa s treťou stranou (reklamná sieť, poskytovateľ atribúcie, dodávateľ identity), je toto zdieľanie pokryté osobitným súhlasom a zverejnené v oznámení o ochrane súkromia?
Kde sa fingerprinting nachádza v budúcnosti sledovania
Výrobcovia prehliadačov aktívne pracujú na znížení entropie dostupnej knižniciam fingerprintingu. Apple ITP, vstavaná ochrana Firefox a návrhy Google Privacy Sandbox – všetky postupne znižujú podkladovú plochu. Žiaden z týchto zásahov však neodstraňuje regulačný problém – dokonca aj odtlačok so zníženou entropiou je stále osobným údajom, keď úspešne identifikuje používateľa, a zníženie miery úspešnosti nemení právnu analýzu, keď funguje. Pre vydavateľov je bezpečnejším predpokladom, že fingerprinting bude naďalej reálnou, auditovo relevantnou technikou počas nasledujúcich 24 mesiacov, že regulátori ho budú naďalej považovať za ekvivalent cookies na účely súhlasu a že správnou prevádzkovou odpoveďou je pristupovať k fingerprintingu ako ku každej inej ploche sledovania: inventarizovanej, kategorizovanej podľa účelu, podmienenej súhlasom tam, kde je to vyžadované, a dôkladne zdokumentovanej tam, kde pokračuje na inom právnom základe.