Digitalni otisak pregledaca i pristanak: Vodic za izdavace o tehnici pracenja koju regulatori nadgledaju
Tokom vecine diskusija iz ere kolacica o pracenju na internetu, tehnicka povrsina koja je bila vazna bio je sloj skladistenja: kolacici u pretrazivacu, unosi localStorage, baze podataka IndexedDB — stvari koje programer moze da vidi i na koje regulator moze da ukaze. Digitalni otisak funkcionise drugacije. On ne trazi od pregledaca da nista uskladisti. Umesto toga, postavlja pregledacu pitanja — koje fontove imate instalirane, kako izgleda ovaj canvas prikaz, kako audio kontekst obradjuje ovaj signal — i kombinuje odgovore u identifikator koji persisira tokom sesija, uredjaja i cak prozora privatnog pregledanja. Za izdavace i prodavce ad-tech tehnologije, otisak pregledaca bio je privlacan nacin zaobilazenja deprecijacije kolacica trecih strana. Za regulatore, postao je jedna od tehnika pracenja koje se najagresivnije gone jer po dizajnu identifikuje korisnike bez njihove saradnje. CNIL, EDPB, UK ICO i italijanski Garante su svi doneli odluke o sprovodjenju ili smernice koje specificno ciljaju otisak pregledaca u poslednjih 24 meseca. Ovaj vodic prolazi kroz ono sto otisak pregledaca zapravo jeste, sta se racuna kao otisak pod zakonom i kako izdavac treba da ga tretira unutar okvira upravljanja pristankom.
Sta je digitalni otisak pregledaca
Digitalni otisak pregledaca je identifikator visoke entropije izgradjen od svojstava koja pregledac izlaze svakom pokrenutom JavaScript-u. Osnovne tehnike dele se u nekoliko porodica, od kojih svaka doprinosi entropiji kombinovanog otiska.
Otisak canvas
HTML5 canvas element prikazuje grafiku na neznatno razlicite nacine u zavisnosti od osnovnog GPU-a, drajvera, operativnog sistema i podsistema fontova. Crtanje fiksnog niza sa odredjenim fontom, a zatim hesiranje dobijenih podataka piksela, proizvodi identifikator koji varira izmedju uredjaja ali je stabilan tokom sesija na istom uredjaaju. Otisak canvas je kanonski primer i najcitiranija tehnika u akcijama sprovodjenja.
Audio otisak
API AudioContext obradjuje audio signale kroz isti tip hardversko-softverskog cevovoda kao grafika, a dobijeni izlaz varira na nacin koji stvara entropiju. Pokretanje poznatog oscilatora kroz kompresor i hesiranje rezultata proizvodi stabilan identifikator po uredjaaju.
Nabrajanje fontova
Razliciti operativni sistemi i korisnicki profili imaju razlicite skupove instaliranih fontova. Sondiranje prisutnosti ili odsustva fontova — merenjem metrike teksta za listu kandidatnih fontova — proizvodi identifikator koji je posebno distinktivan za korisnike koji su prilagodili skup fontova.
WebGL otisak
WebGL izlaze GPU mogucnosti i ponasanje prikazivanja. Kombinacija stringa dobavljaca, stringa prikazivaca i prikaza fiksne scene proizvodi jos jedan identifikator visoke entropije.
Metapodaci mreze i uredjaja
Pored aktivnih tehnika sondiranja, otisci obicno ukljucuju pasivne metapodatke: string User-Agent, jezicke preferencije, vremensku zonu, rezoluciju ekrana, dubinu boja, dostupnu memoriju, dostupne procesore, stanje baterije i TLS otisak na sloju veze. Svaka stavka sama po sebi dodaje entropiju i mnozece se kombinuje sa ostalima.
Kako regulatori tretiraju digitalni otisak
Pravna analiza je jednostavna u obrisu ali teza u praksi. Otisak koji identifikuje korisnika proizvodi licne podatke prema definiciji GDPR-a, a citanje ili pristup informacijama vec uskladistenim na uredjaaju potpada pod Article 5(3) ePrivacy Direktive — ista odredba koja regulise kolacice. I Article 5(3) i GDPR zahtevaju prethodni pristanak za neessencijalno pracenje. Gde zakon prevazilazi kolacice jeste da ePrivacy 5(3) pokriva "skladistenje informacija ili dobijanje pristupa informacijama vec uskladistenim u terminalnoj opremi pretplatnika ili korisnika" — jezik dovoljno sirok da pokrije sondiranje stanja uredjaja o kome otisak zavisi.
EDPB je potvrdio ovo citanje u svojim smernicama iz 2023. o primeni Article 5(3) na pracenje koje nije kolacic, a CNIL je bio najagresivniji sprovodilac: broj novcanih kazni u 2024. citirao je biblioteke otisaka koje rade pre pristanka kao primarno krsenje. Izjava UK ICO iz 2024. o pracenju je jos direktnija u okviriranju canvas, audio i slicnih otisaka kao onih koji zahtevaju opt-in pristanak na ravnopravnoj osnovi sa kolacicima.
Siva zona: prevencija prevare nasuprot pracenju
Najsporniji slucaj upotrebe otisaka je prevencija prevare. Otkrivanje botova, odbrana od preuzimanja naloga i provjera prevara pri placanju sve se oslanjaju na otisak uredjaja kao kljucni signal. Regulatori su priznali da neka od ovih obrada moze biti opravdana na osnovu legitimnog interesa, a ne pristanka — ali lestvica je visoka a opseg uzak. Stav CNIL-a, koji odzvanja od strane ostalih DPA, jeste da:
- Strogo neophodna prevencija prevare na nekretninama prve strane moze da se nastavi na osnovu legitimnog interesa, uz odgovarajucu dokumentaciju u proceni legitimnog interesa (LIA).
- Bihejvioralna ili reklamna upotreba istog otisaka zahteva pristanak i ne moze se osloniti na osnovu prevencije prevare.
- Deljenje otisaka sa trecim stranama za bilo koju svrhu obicno izlazi izvan okvira legitimnog interesa i zahteva pristanak.
- Trajno cuvanje otisaka izvan neposredne provere prevare generalno zahteva ili pristanak ili veoma precizno izradjenu poziciju legitimnog interesa.
Prakticna implikacija je da izdavac koji izvrsava i prevenciju prevare i ad-tech otisak ne moze da se osloni na osnovu prevare da pokrije oba. Dva toka moraju biti arhitekturalno odvojena, sa ad-tech tokom zakljucanim iza pristanka i tokom prevencije prevare ogranicenim na dokumentovanu svrhu.
Kako upravljati otiskom u CMP-u
Obrazac integracije za otisak slican je ostalim tehnikama pracenja, ali sa dodatnom paznjom jer odsustvo ociglednog skladistenja cini granicu pristanka laksim za propustanje.
1. Inventarisanje povrsine otisaka
Revidirajte sajt za svaku skriptu koja poziva canvas toDataURL(), obradu zasnovanu na AudioContext, sondiranje fontova kroz merenje metrike teksta ili upite prikazivaca WebGL. Ovi pozivi su cesto zakopani u bibliotekama trecih strana — ad-tech SDK-ovi, prodavci anti-prevare, A/B testing alati — i nisu odmah vidljivi.
2. Kategorizacija svake upotrebe otisaka
Za svaku biblioteku koja pravi otisak, dokumentujte da li je (a) strogo neophodna za funkcionisanje sajta, (b) mera prevencije prevare na osnovu legitimnog interesa ili (c) za pracenje, analitiku ili oglasavanje. Kategorije (a) i (b) mogu da nastave bez eksplicitnog pristanka na dokumentovanim osnovama; kategorija (c) zahteva opt-in.
3. Zakljucavanje otisaka u svrhu pracenja
Za biblioteke koje spadaju u kategoriju (c), CMP bi trebalo da ih tretira identicno marketinskim kolacicima: skripta je u DOM-u ali neaktivna dok posetilac ne prihvati kategoriju marketinga. Vecina modernih CMP-ova vec podrzava ovo putem standardnog obrasca type="text/plain" + atribut kategorije.
4. Dokumentovanje osnove legitimnog interesa za otisak prevencije prevare
Gde otisak nastavlja na osnovu legitimnog interesa, LIA mora biti specificna, aktuelna i odrazavati stvarni opseg obrade. Genericka "prevencija prevare" nije dovoljna — LIA mora identifikovati koji podaci se obradjuju, koliko dugo se cuvaju, koje zastite se primenjuju i kakva su realna ocekivanja korisnika.
5. Pruzanje smislene mogucnosti opt-out za tokove legitimnog interesa
Cak i kada otisak prevencije prevare nastavlja bez pristanka, Article 21 GDPR-a daje korisniku pravo da prigovori obradi legitimnog interesa. CMP mora da prikaze ovo pravo, a tehnicka implementacija mora zapravo da zaustavi otisak kada se pravo iskoristi — ne samo da zabiljezi prigovor dok nastavlja sa otiskom.
Revizorska kontrolna lista
Sest konkretnih pitanja na koja treba odgovoriti za svaki sajt koji potencijalno izlaze povrsine otisaka.
1. Potpunost inventara
Da li je bezbednosni tim proizveo azurnu listu svake biblioteke koja vrsi sondiranje canvas, audio, fonta, WebGL ili metapodataka uredjaja? Ako je odgovor "nismo sigurni", revizija ne moze da nastavi.
2. Klasifikacija osnova
Za svaku biblioteku, postoji li dokumentovana zakonska osnova (pristanak, legitimni interes sa LIA, ugovorna nuznost)? Nedokumentovane osnove su de facto odsutne u smislu odgovornosti.
3. Zakljucavanje pristanka
Da li su biblioteke otisaka u svrhu pracenja zakljucane iza kategorije marketinskog pristanka, pri cemu skripta ne moze da se pokrene pre prihvatanja?
4. Svezina LIA
Da li su procene legitimnog interesa datirane u poslednjih 12 meseci i odrazavaju li stvarni trenutni opseg obrade, a ne zastarele opise?
5. Sprovodjenje opt-out
Kada korisnik koristi Article 21, da li sistem zapravo zaustavlja otisak legitimnog interesa ili samo belezi prigovor?
6. Ciscenje kros-prodavaca
Ako se otisak deli sa trecim licem (reklamna mreza, provajder atribucije, prodavac identiteta), da li to deljenje pokriva poseban pristanak i da li je otkriveno u obavjestenju o privatnosti?
Gde se otisak nalazi u buducnosti pracenja
Prodavci pregledaca aktivno rade na smanjenju entropije dostupne bibliotekama otisaka. Apple ITP, ugradjene zastite Firefox-a i predlozi Google Privacy Sandbox svi delimicno ogranicavaju osnovnu povrsinu. Nijedna od tih intervencija ne uklanja regulatorni problem, medutim — cak i otisak sa smanjenom entropijom je i dalje licni podatak kada uspesno identifikuje korisnika, a smanjenje stope uspeha ne menja pravnu analizu kada radi. Za izdavace, sigurnija pretpostavka je da ce otisak i dalje biti stvarna, relevantna tehnika za reviziju u narednih 24 meseca, da ce ga regulatori i dalje smatrati ekvivalentom kolacica u svrhe pristanka, i da je pravi operativni odgovor tretirati otisak kao svaku drugu povrsinu pracenja: inventarisan, kategorizovan prema svrsi, zakljucan pristankom gde je potrebno i temeljno dokumentovan gde nastavlja na drugoj osnovi.