Prstni odtis brskalnika in privolitev: Vodnik za založnike o tehniki sledenja, ki jo regulatorji pozorno spremljajo
Skozi večino razprave o spletnem sledenju v dobi piškotkov je bila tehnična površina, ki je štela, shrambena plast: piškotki v brskalniku, vnosi v localStorage, baze podatkov IndexedDB — stvari, ki jih je razvijalec lahko videl in na katere je regulator lahko pokazal. Prstni odtis brskalnika deluje drugače. Ne zahteva od brskalnika, da kar koli shrani. Namesto tega brskalniku zastavlja vprašanja — katere pisave imate nameščene, kako izgleda ta izris canvas, kako zvočni kontekst obdela ta signal — in odgovore združi v identifikator, ki vztraja med sejami, napravami in celo zasebnimi okni brskanja. Za založnike in ponudnike oglaševalske tehnologije je bil prstni odtis privlačen način za izogibanje opuščanju piškotkov tretjih oseb. Za regulatorje pa je postal ena izmed najagresivneje preganjanih tehnik sledenja, ker po zasnovi identificira uporabnike brez njihovega sodelovanja. CNIL, EDPB, UK ICO in italijanski Garante so vsi v zadnjih 24 mesecih izdali izvršilne odločbe ali smernice, ki posebej ciljajo na prstne odtise brskalnika. Ta vodnik pojasnjuje, kaj prstni odtis brskalnika dejansko je, kaj po zakonu šteje kot prstni odtis in kako naj ga založnik obravnava znotraj okvira za upravljanje privolitev.
Kaj je prstni odtis brskalnika
Prstni odtis brskalnika je identifikator z visoko entropijo, zgrajen iz lastnosti, ki jih brskalnik razkrije vsakemu JavaScript-u v izvajanju. Osnovne tehnike se delijo v več družin, od katerih vsaka prispeva entropijo k združenemu prstnemu odtisu.
Prstni odtis canvas
Element HTML5 canvas upodablja grafiko na rahlo drugačne načine, odvisno od osnovnega GPU-ja, gonilnika, operacijskega sistema in podsistema pisav. Izris fiksnega niza z določeno pisavo in nato zgoščevanje nastalih slikovnih točk ustvari identifikator, ki se razlikuje med napravami, a je stabilen med sejami na isti napravi. Prstni odtis canvas je kanonični primer in najpogosteje navedena tehnika v izvršilnih ukrepih.
Prstni odtis zvoka
API AudioContext obdeluje zvočne signale skozi enako vrsto strojne in programske verige kot grafika, nastali izhod pa variira na način, ki ustvarja entropijo. Poganjanje znanega oscilatorja skozi kompresor in zgoščevanje rezultata ustvari stabilen identifikator za vsako napravo.
Naštevanje pisav
Različni operacijski sistemi in uporabniški profili imajo nameščene različne nabore pisav. Preverjanje prisotnosti ali odsotnosti pisav — z merjenjem metrik besedila za seznam kandidatnih pisav — ustvari identifikator, ki je posebej razločevalen za uporabnike, ki so prilagodili svoj nabor pisav.
Prstni odtis WebGL
WebGL razkriva zmogljivosti GPU-ja in obnašanje pri upodabljanju. Kombinacija niza prodajalca, niza upodobljevalnika in upodobitve fiksne scene ustvari še en identifikator z visoko entropijo.
Omrežni in napravni metapodatki
Poleg tehnik aktivnega preverjanja prstni odtisi običajno vključujejo pasivne metapodatke: niz User-Agent, jezikovne nastavitve, časovni pas, ločljivost zaslona, barvno globino, razpoložljiv pomnilnik, razpoložljive procesorje, stanje baterije in prstni odtis TLS na povezavni plasti. Vsak element sam po sebi dodaja entropijo in se z drugimi kombinira multiplikativno.
Kako regulatorji obravnavajo prstne odtise brskalnika
Pravna analiza je v obrisu preprosta, v praksi pa zahtevnejša. Prstni odtis, ki identificira uporabnika, proizvede osebne podatke po definiciji GDPR, branje ali dostop do informacij, že shranjenih na napravi, pa spada pod Article 5(3) direktive ePrivacy — isto določbo, ki ureja piškotke. Tako Article 5(3) kot GDPR zahtevata predhodno privolitev za nebistveno sledenje. Kjer zakon presega piškotke, je to, da ePrivacy 5(3) pokriva »shranjevanje informacij ali pridobivanje dostopa do informacij, že shranjenih v terminalski opremi naročnika ali uporabnika« — besedilo, ki je dovolj široko, da zajame preverjanje stanja naprave, na katerem temelji prstni odtis.
EDPB je to razumevanje potrdil v svojih smernicah iz leta 2023 o uporabi Article 5(3) za sledenje brez piškotkov, CNIL pa je bil najagresivnejši izvrševalec: številne globe v letu 2024 so navajale knjižnice za prstne odtise, ki delujejo pred privolitvijo, kot primarno kršitev. Izjava UK ICO iz leta 2024 o sledenju je še bolj neposredna pri opredelitvi prstnih odtisov canvas, zvoka in podobnih kot zahtevajočih privolitev z možnostjo izbire, enakovredno piškotkom.
Siva cona: Preprečevanje goljufij proti sledenju
Najbolj sporen primer uporabe prstnih odtisov je preprečevanje goljufij. Zaznavanje botov, obramba pred prevzemom računov in preverjanje plačilnih goljufij se vse zanašajo na prstni odtis naprave kot temeljni signal. Regulatorji so priznali, da je mogoče del te obdelave utemeljiti z zakonitim interesom namesto s privolitvijo — vendar je letvica visoka in obseg ozek. Stališče CNIL, ki ga odmevajo drugi nadzorni organi, je:
- Nujno potrebno preprečevanje goljufij na lastnih spletnih mestih lahko poteka pod zakonitim interesom z ustrezno dokumentacijo v oceni zakonitega interesa (LIA).
- Vedenjska ali oglaševalska uporaba istega prstnega odtisa zahteva privolitev in se ne more opirati na podlago za preprečevanje goljufij.
- Deljenje prstnega odtisa s tretjimi osebami za kakršen koli namen običajno presega obseg zakonitega interesa in zahteva privolitev.
- Trajno shranjevanje prstnega odtisa po takojšnjem preverjanju goljufij na splošno zahteva bodisi privolitev bodisi zelo ozko oblikovano stališče zakonitega interesa.
Praktična posledica je, da se založnik, ki izvaja tako prstni odtis za preprečevanje goljufij kot prstni odtis za oglaševalsko tehnologijo, ne more zanesti na podlago za goljufije, da bi pokril oboje. Oba toka morata biti arhitekturno ločena, pri čemer je tok oglaševalske tehnologije zaklenjen za privolitvijo, tok za preprečevanje goljufij pa omejen na svoj dokumentiran namen.
Kako obravnavati prstne odtise v CMP
Vzorec integracije za prstne odtise je podoben drugim tehnikam sledenja, a z dodatno previdnostjo, ker odsotnost očitne shrambe olajša spregledanje meje privolitve.
1. Popisovanje površine prstnih odtisov
Preglejte spletno mesto za vsako skripto, ki kliče canvas toDataURL(), obdelavo na osnovi AudioContext, preverjanje pisav z merjenjem metrik besedila ali poizvedbe po upodobljevalniku WebGL. Ti klici so pogosto skriti v knjižnicah tretjih oseb — SDK-jih oglaševalske tehnologije, ponudnikih za preprečevanje goljufij, orodjih za A/B testiranje — in niso takoj vidni.
2. Kategorizacija vsake uporabe prstnih odtisov
Za vsako knjižnico, ki izvaja prstne odtise, dokumentirajte, ali je (a) nujno potrebna za delovanje spletnega mesta, (b) ukrep za preprečevanje goljufij pod zakonitim interesom ali (c) za sledenje, analitiko ali oglaševanje. Kategoriji (a) in (b) lahko nadaljujeta brez izrecne privolitve pod dokumentiranimi podlagami; kategorija (c) zahteva privolitev.
3. Zaklepanje prstnih odtisov za namene sledenja
Za knjižnice, ki spadajo v kategorijo (c), jih mora CMP obravnavati enako kot trženjske piškotke: skripta je v DOM-u, a neaktivna, dokler obiskovalec ne sprejme trženjske kategorije. Večina sodobnih CMP-jev to že podpira prek standardnega vzorca type="text/plain" + atribut kategorije.
4. Dokumentiranje podlage zakonitega interesa za prstne odtise pri preprečevanju goljufij
Kjer prstni odtis poteka pod zakonitim interesom, mora biti LIA specifična, aktualna in odražati dejanski obseg obdelave. Generično »preprečevanje goljufij« ne zadošča — LIA mora opredeliti, kateri podatki se obdelujejo, kako dolgo se hranijo, kakšne zaščite veljajo in kakšna so realna pričakovanja uporabnika.
5. Zagotovitev smiselne možnosti ugovora za tokove zakonitega interesa
Tudi kjer prstni odtis za preprečevanje goljufij poteka brez privolitve, Article 21 GDPR uporabniku podeljuje pravico do ugovora obdelavi na podlagi zakonitega interesa. CMP mora to pravico izpostaviti, tehnična izvedba pa mora dejansko ustaviti prstni odtis, ko se pravica uveljavi — ne le zabeležiti ugovora in nadaljevati s prstnim odtisom.
Kontrolni seznam za revizijo
Šest konkretnih vprašanj za odgovor za vsako spletno mesto, ki morda razkriva površine za prstne odtise.
1. Popolnost popisa
Ali je varnostna ekipa pripravila aktualen seznam vsake knjižnice, ki izvaja preverjanje canvas, zvoka, pisav, WebGL ali metapodatkov naprave? Če je odgovor »nismo prepričani«, revizija ne more nadaljevati.
2. Klasifikacija podlage
Ali je za vsako knjižnico dokumentirana zakonita podlaga (privolitev, zakoniti interes z LIA, pogodbena nujnost)? Nedokumentirane podlage so de facto odsotne v smislu odgovornosti.
3. Zaklepanje s privolitvijo
Ali so knjižnice za prstne odtise v namene sledenja zaklenjene za trženjsko kategorijo privolitve, pri čemer se skripta ne more izvajati pred sprejetjem?
4. Svežina LIA
Ali so ocene zakonitega interesa datirane v zadnjih 12 mesecih in ali odražajo dejanski trenutni obseg obdelave namesto zastarelih opisov?
5. Uveljavljanje ugovora
Ko uporabnik uveljavi Article 21, ali sistem dejansko ustavi prstni odtis na podlagi zakonitega interesa ali le zabeleži ugovor?
6. Čiščenje med ponudniki
Če se prstni odtis deli s tretjo osebo (oglaševalsko omrežje, ponudnik pripisovanja, ponudnik identitete), ali je to deljenje pokrito z ločeno privolitvijo in razkrito v obvestilu o zasebnosti?
Kje se prstni odtis brskalnika nahaja v prihodnosti sledenja
Proizvajalci brskalnikov aktivno delajo na zmanjšanju entropije, ki je na voljo knjižnicam za prstne odtise. Apple ITP, vgrajena zaščita v Firefox in predlogi Google Privacy Sandbox vsi zmanjšujejo osnovno površino. Nobena od teh intervencij pa ne odpravlja regulatorne problematike — tudi prstni odtis z zmanjšano entropijo je še vedno osebni podatek, ko mu uspe identificirati uporabnika, in zmanjšanje stopnje uspešnosti ne spremeni pravne analize, ko deluje. Za založnike je varnejša predpostavka, da bo prstni odtis brskalnika v naslednjih 24 mesecih ostal resnična, revizijsko relevantna tehnika, da ga bodo regulatorji še naprej obravnavali kot enakovrednega piškotkom za namene privolitve in da je pravi operativni odgovor obravnavati prstni odtis kot katero koli drugo površino sledenja: popisan, kategoriziran po namenu, zaklenjen s privolitvijo, kjer je to zahtevano, in temeljito dokumentiran, kjer poteka pod drugo podlago.