Webbläsarfingeravtryck och samtycke: En utgivares guide till en spårningsteknik som tillsynsmyndigheter bevakar
Under större delen av cookie-erans diskussion om onlinespårning handlade den tekniska ytan som spelade roll om lagringslagret: cookies i webbläsaren, localStorage-poster, IndexedDB-databaser – de saker som en utvecklare kunde se och en tillsynsmyndighet kunde peka på. Fingeravtryck fungerar annorlunda. Det ber inte webbläsaren att lagra något. Istället ställer det frågor till webbläsaren – vilka typsnitt har du installerade, hur ser denna canvas-rendering ut, hur bearbetar ljudkontexten denna signal – och kombinerar svaren till en identifierare som kvarstår mellan sessioner, enheter och till och med privata webbläsarfönster. För utgivare och annonsteknikleverantörer har fingeravtryck varit ett attraktivt sätt att kringgå utfasningen av tredjepartscookies. För tillsynsmyndigheter har det blivit en av de mest aggressivt förföljda spårningsteknikerna eftersom det, genom sin konstruktion, identifierar användare utan deras medverkan. CNIL, EDPB, UK ICO och den italienska Garante har alla utfärdat tillsynsbeslut eller vägledning som specifikt riktar sig mot fingeravtryck under de senaste 24 månaderna. Denna guide går igenom vad fingeravtryck faktiskt är, vad som räknas som fingeravtryck enligt lagen och hur en utgivare bör hantera det inom ett ramverk för samtyckeshantering.
Vad webbläsarfingeravtryck är
Ett webbläsarfingeravtryck är en identifierare med hög entropi som byggs från egenskaper som webbläsaren exponerar för all körande JavaScript. Basteknikerna delas in i flera familjer, var och en bidrar med entropi till det kombinerade fingeravtrycket.
Canvas-fingeravtryck
HTML5 canvas-elementet renderar grafik på något olika sätt beroende på underliggande GPU, drivrutin, operativsystem och typsnittsundersystem. Att rita en fast sträng med ett specifikt typsnitt och sedan hasha den resulterande pixeldatan producerar en identifierare som varierar mellan enheter men är stabil mellan sessioner på samma enhet. Canvas-fingeravtryck är det kanoniska exemplet och den mest citerade tekniken i tillsynsbeslut.
Ljudfingeravtryck
AudioContext API bearbetar ljudsignaler genom samma typ av hårdvaru- och mjukvarupipeline som grafik, och det resulterande utdatat varierar på ett sätt som skapar entropi. Att köra en känd oscillator genom en kompressor och hasha resultatet producerar en stabil identifierare per enhet.
Typsnittsuppräkning
Olika operativsystem och användarprofiler har olika uppsättningar installerade typsnitt. Att undersöka närvaron eller frånvaron av typsnitt – genom att mäta textmått för en lista med kandidattypsnitt – producerar en identifierare som är särskilt särskiljande för användare som har anpassat sin typsnittsuppsättning.
WebGL-fingeravtryck
WebGL exponerar GPU-kapacitet och renderingsbeteende. Kombinationen av leverantörssträng, renderarsträng och rendering av en fast scen producerar ytterligare en identifierare med hög entropi.
Nätverks- och enhetsmetadata
Utöver de aktiva undersökningsteknikerna inkorporerar fingeravtryck vanligtvis passiv metadata: User-Agent-sträng, språkpreferenser, tidszon, skärmupplösning, färgdjup, tillgängligt minne, tillgängliga processorer, batteristatus och TLS-fingeravtryck på anslutningslagret. Varje punkt lägger till entropi på egen hand och kombineras multiplikativt med de andra.
Hur tillsynsmyndigheter behandlar fingeravtryck
Den rättsliga analysen är enkel i sina huvuddrag men svårare i praktiken. Fingeravtryck som identifierar en användare producerar personuppgifter enligt GDPR:s definition, och att läsa eller komma åt information som redan lagras på en enhet faller under Article 5(3) i ePrivacy-direktivet – samma bestämmelse som reglerar cookies. Både Article 5(3) och GDPR kräver förhandssamtycke för icke-nödvändig spårning. Där lagen går bortom cookies är att ePrivacy 5(3) täcker "lagring av information eller åtkomst till information som redan är lagrad i en abonnents eller användares terminalutrustning" – ett språk som är tillräckligt brett för att täcka den enhetstillståndsundersökning som fingeravtryck bygger på.
EDPB bekräftade denna tolkning i sina riktlinjer från 2023 om tillämpningen av Article 5(3) på spårning utan cookies, och CNIL har varit den mest aggressiva tillsynsmyndigheten: ett antal böter under 2024 citerade fingeravtrycksbibliotek som körde före samtycke som en primär överträdelse. UK ICO:s uttalande från 2024 om spårning är ännu mer direkt i att formulera canvas-, ljud- och liknande fingeravtryck som kräver opt-in-samtycke på samma nivå som cookies.
Gråzonen: Bedrägeriförebyggande vs spårning
Det mest omtvistade användningsområdet för fingeravtryck är bedrägeriförebyggande. Botdetektering, skydd mot kontoövertagande och betalningsbedrägerifiltrering förlitar sig alla på enhetsfingeravtryck som en kärnsignal. Tillsynsmyndigheter har erkänt att viss del av denna behandling kan motiveras under berättigat intresse snarare än samtycke – men ribban är hög och omfattningen snäv. CNIL:s position, som bekräftats av andra dataskyddsmyndigheter, är att:
- Strikt nödvändigt bedrägeriförebyggande på förstapartsegendomar kan ske under berättigat intresse, med lämplig dokumentation i en bedömning av berättigat intresse (LIA).
- Beteendemässig eller reklamanvändning av samma fingeravtryck kräver samtycke och kan inte åka med på den bedrägeriförebyggande grunden.
- Delning av fingeravtrycket med tredje parter för något syfte faller vanligtvis utanför det berättigade intressets omfattning och kräver samtycke.
- Varaktig lagring av fingeravtrycket utöver den omedelbara bedrägerikontroll kräver generellt antingen samtycke eller en mycket strikt formulerad position för berättigat intresse.
Den praktiska konsekvensen är att en utgivare som kör både bedrägeriförebyggande fingeravtryck och annonsteknisk fingeravtryck inte kan förlita sig på bedrägerigrunden för att täcka båda. De två flödena måste vara arkitektoniskt separata, med det annonstekniska flödet styrt bakom samtycke och det bedrägeriförebyggande flödet begränsat till sitt dokumenterade syfte.
Hur man hanterar fingeravtryck i en CMP
Integrationsmönstret för fingeravtryck liknar andra spårningstekniker men kräver ytterligare omsorg eftersom avsaknaden av uppenbar lagring gör att samtyckesgränsen är lättare att missa.
1. Inventera fingeravtrycksytan
Granska webbplatsen efter alla skript som anropar canvas toDataURL(), AudioContext-baserad bearbetning, typsnittsundersökning genom textmåttmätning eller WebGL-renderarfrågor. Dessa anrop är ofta dolda i tredjepartsbibliotek – annonsteknik-SDK:er, bedrägeriskyddsleverantörer, A/B-testverktyg – och inte omedelbart synliga.
2. Kategorisera varje fingeravtrycksanvändning
För varje bibliotek som använder fingeravtryck, dokumentera om det är (a) strikt nödvändigt för att webbplatsen ska fungera, (b) en bedrägeriförebyggande åtgärd under berättigat intresse, eller (c) för spårning, analys eller reklam. Kategorierna (a) och (b) kan fortgå utan uttryckligt samtycke under dokumenterade grunder; kategori (c) kräver opt-in.
3. Villkora spårningsändamålets fingeravtryck
För bibliotek som faller under kategori (c) bör CMP:n behandla dem identiskt med marknadsföringscookies: skriptet finns i DOM men är inaktivt tills besökaren accepterar marknadsföringskategorin. De flesta moderna CMP:er stöder redan detta via standardmönstret type="text/plain" + kategoriattribut.
4. Dokumentera grunden för berättigat intresse för bedrägeriförebyggande fingeravtryck
Där fingeravtryck fortgår under berättigat intresse måste LIA:n vara specifik, aktuell och återspegla det faktiska behandlingsomfånget. Generellt "bedrägeriförebyggande" räcker inte – LIA:n behöver identifiera vilka data som behandlas, hur länge de lagras, vilka skyddsåtgärder som gäller och vad användarens realistiska förväntningar är.
5. Tillhandahåll en meningsfull invändningsrätt för flöden under berättigat intresse
Även där bedrägeriförebyggande fingeravtryck fortgår utan samtycke ger GDPR:s Article 21 användaren rätt att invända mot behandling under berättigat intresse. CMP:n måste synliggöra denna rätt, och den tekniska implementeringen måste faktiskt stoppa fingeravtrycket när rätten utövas – inte bara registrera invändningen medan fingeravtrycket fortsätter.
Granskningschecklista
Sex konkreta frågor att besvara för alla webbplatser som potentiellt exponerar fingeravtrycksytor.
1. Inventeringens fullständighet
Har säkerhetsteamet tagit fram en aktuell lista över alla bibliotek som utför canvas-, ljud-, typsnitt-, WebGL- eller enhetsmetadataundersökning? Om svaret är "vi är inte säkra" kan granskningen inte fortsätta.
2. Grundklassificering
Finns det för varje bibliotek en dokumenterad rättslig grund (samtycke, berättigat intresse med LIA, avtalsmässig nödvändighet)? Odokumenterade grunder är de facto frånvarande under ansvarsskyldigheten.
3. Samtyckesvillkorad åtkomst
Är spårningsändamålets fingeravtrycksbibliotek villkorade bakom marknadsföringssamtyckeskategorin, med skriptet oförmöget att köras före godkännande?
4. LIA-aktualitet
Är bedömningarna av berättigat intresse daterade inom de senaste 12 månaderna, och återspeglar de det faktiska nuvarande behandlingsomfånget snarare än äldre beskrivningar?
5. Verkställande av invändningsrätt
När en användare utövar Article 21, stoppar systemet faktiskt fingeravtrycket under berättigat intresse, eller registreras bara invändningen?
6. Tvärleverantörsrensning
Om ett fingeravtryck delas med en tredje part (ett annonsnätverk, en attribueringsleverantör, en identitetsleverantör), täcks den delningen av ett separat samtycke och anges i integritetsmeddelandet?
Var fingeravtryck befinner sig i spårningens framtid
Webbläsarleverantörer arbetar aktivt med att minska den entropi som är tillgänglig för fingeravtrycksbibliotek. Apple ITP, Firefox inbyggda skydd och Google Privacy Sandbox-förslag naggar alla på den underliggande ytan. Ingen av dessa åtgärder eliminerar dock den regulatoriska frågan – även ett fingeravtryck med reducerad entropi är fortfarande personuppgifter när det lyckas identifiera en användare, och att minska framgångsgraden förändrar inte den rättsliga analysen när det fungerar. För utgivare är det säkrare antagandet att fingeravtryck kommer att fortsätta vara en verklig, granskningsrelevant teknik under de kommande 24 månaderna, att tillsynsmyndigheter kommer att fortsätta se det som likvärdigt med cookies för samtyckesändamål, och att det rätta operativa svaret är att behandla fingeravtryck som alla andra spårningsytor: inventerade, kategoriserade efter syfte, villkorade av samtycke där det krävs och noggrant dokumenterade där de fortgår under en annan grund.