การพิมพ์ลายนิ้วมือเบราว์เซอร์และความยินยอม: คู่มือของผู้เผยแพร่สำหรับเทคนิคการติดตามที่หน่วยงานกำกับดูแลกำลังจับตามอง
ในการอภิปรายส่วนใหญ่ของยุคคุกกี้เกี่ยวกับการติดตามออนไลน์ พื้นผิวทางเทคนิคที่สำคัญคือชั้นพื้นที่เก็บข้อมูล ได้แก่ คุกกี้ในเบราว์เซอร์ รายการ localStorage ฐานข้อมูล IndexedDB สิ่งที่นักพัฒนามองเห็นได้และหน่วยงานกำกับดูแลสามารถชี้ได้ การพิมพ์ลายนิ้วมือทำงานแตกต่างออกไป ไม่ได้ขอให้เบราว์เซอร์จัดเก็บสิ่งใด แต่ถามคำถามกับเบราว์เซอร์ — คุณติดตั้งฟอนต์อะไรไว้บ้าง canvas นี้เรนเดอร์ออกมาหน้าตาเป็นอย่างไร AudioContext ประมวลผลสัญญาณนี้อย่างไร — และรวมคำตอบเหล่านั้นเป็นตัวระบุที่คงอยู่ข้ามเซสชัน อุปกรณ์ และแม้แต่หน้าต่างการท่องเว็บแบบส่วนตัว สำหรับผู้เผยแพร่และผู้จำหน่าย ad-tech การพิมพ์ลายนิ้วมือเป็นวิธีที่น่าสนใจในการหลีกเลี่ยงการยกเลิกคุกกี้ของบุคคลที่สาม สำหรับหน่วยงานกำกับดูแล มันกลายเป็นหนึ่งในเทคนิคการติดตามที่ถูกบังคับใช้กฎหมายอย่างเข้มงวดที่สุด เพราะโดยออกแบบมาเพื่อระบุผู้ใช้โดยไม่ต้องได้รับความร่วมมือ CNIL, EDPB, ICO ของ UK และ Garante ของอิตาลีต่างออกคำตัดสินในการบังคับใช้หรือแนวทางที่กำหนดเป้าหมายการพิมพ์ลายนิ้วมือโดยเฉพาะในช่วง 24 เดือนที่ผ่านมา คู่มือนี้จะอธิบายว่าการพิมพ์ลายนิ้วมือคืออะไรกันแน่ อะไรนับว่าเป็นการพิมพ์ลายนิ้วมือภายใต้กฎหมาย และผู้เผยแพร่ควรจัดการอย่างไรภายในกรอบการจัดการความยินยอม
การพิมพ์ลายนิ้วมือเบราว์เซอร์คืออะไร
ลายนิ้วมือเบราว์เซอร์คือตัวระบุที่มี entropy สูง สร้างขึ้นจากคุณสมบัติที่เบราว์เซอร์เปิดเผยต่อ JavaScript ที่กำลังทำงานอยู่ เทคนิคพื้นฐานแบ่งออกเป็นหลายกลุ่ม แต่ละกลุ่มมีส่วนร่วมต่อ entropy ของลายนิ้วมือรวม
การพิมพ์ลายนิ้วมือด้วย canvas
องค์ประกอบ canvas ของ HTML5 เรนเดอร์กราฟิกในลักษณะที่แตกต่างกันเล็กน้อยขึ้นอยู่กับ GPU พื้นฐาน ไดรเวอร์ ระบบปฏิบัติการ และระบบฟอนต์ การวาดสตริงที่กำหนดด้วยฟอนต์เฉพาะแล้วทำแฮชของข้อมูลพิกเซลที่ได้ จะสร้างตัวระบุที่แตกต่างกันระหว่างอุปกรณ์แต่เสถียรข้ามเซสชันบนอุปกรณ์เดียวกัน การพิมพ์ลายนิ้วมือด้วย canvas เป็นตัวอย่างมาตรฐานและเทคนิคที่อ้างถึงมากที่สุดในการบังคับใช้กฎหมาย
การพิมพ์ลายนิ้วมือด้วยเสียง
API AudioContext ประมวลผลสัญญาณเสียงผ่านไปป์ไลน์ฮาร์ดแวร์และซอฟต์แวร์แบบเดียวกับกราฟิก และผลลัพธ์ที่ได้จะแตกต่างกันในลักษณะที่สร้าง entropy การรันออสซิลเลเตอร์ที่รู้จักผ่านคอมเพรสเซอร์และทำแฮชผลลัพธ์จะสร้างตัวระบุที่เสถียรต่ออุปกรณ์
การระบุฟอนต์
ระบบปฏิบัติการและโปรไฟล์ผู้ใช้ที่แตกต่างกันจะมีชุดฟอนต์ที่ติดตั้งต่างกัน การตรวจสอบการมีหรือไม่มีฟอนต์ โดยวัดเมตริกข้อความสำหรับรายการฟอนต์ที่เป็นตัวเลือก จะสร้างตัวระบุที่มีความโดดเด่นเป็นพิเศษสำหรับผู้ใช้ที่ปรับแต่งชุดฟอนต์ของตน
การพิมพ์ลายนิ้วมือด้วย WebGL
WebGL เปิดเผยความสามารถของ GPU และพฤติกรรมการเรนเดอร์ การรวมกันของสตริงผู้จำหน่าย สตริง renderer และการเรนเดอร์ฉากที่กำหนดจะสร้างตัวระบุที่มี entropy สูงอีกอัน
เมทาดาต้าของเครือข่ายและอุปกรณ์
นอกเหนือจากเทคนิคการตรวจสอบเชิงรุก ลายนิ้วมือมักรวมเมทาดาต้าแบบพาสซีฟ ได้แก่ สตริง User-Agent การตั้งค่าภาษา เขตเวลา ความละเอียดหน้าจอ ความลึกของสี หน่วยความจำที่ใช้ได้ โปรเซสเซอร์ที่ใช้ได้ สถานะแบตเตอรี่ และลายนิ้วมือ TLS ที่ชั้นการเชื่อมต่อ แต่ละรายการเพิ่ม entropy ด้วยตัวเองและรวมกันแบบทวีคูณกับรายการอื่น
วิธีที่หน่วยงานกำกับดูแลปฏิบัติต่อการพิมพ์ลายนิ้วมือ
การวิเคราะห์ทางกฎหมายนั้นตรงไปตรงมาในโครงร่างแต่ยากขึ้นในทางปฏิบัติ การพิมพ์ลายนิ้วมือที่ระบุตัวตนผู้ใช้ผลิตข้อมูลส่วนบุคคลภายใต้คำนิยามของ GDPR และการอ่านหรือเข้าถึงข้อมูลที่จัดเก็บอยู่แล้วในอุปกรณ์จะอยู่ภายใต้ Article 5(3) ของคำสั่ง ePrivacy — บทบัญญัติเดียวกันที่ควบคุมคุกกี้ ทั้ง Article 5(3) และ GDPR ต้องการความยินยอมล่วงหน้าสำหรับการติดตามที่ไม่จำเป็น จุดที่กฎหมายก้าวไปไกลกว่าคุกกี้คือ ePrivacy Article 5(3) ครอบคลุม "การจัดเก็บข้อมูล หรือการเข้าถึงข้อมูลที่จัดเก็บไว้แล้วในอุปกรณ์ปลายทางของผู้สมัครสมาชิกหรือผู้ใช้" — ภาษาที่กว้างพอที่จะครอบคลุมการตรวจสอบสถานะอุปกรณ์ที่การพิมพ์ลายนิ้วมือพึ่งพา
EDPB ยืนยันการตีความนี้ในแนวทางปี 2023 เกี่ยวกับการประยุกต์ใช้ Article 5(3) กับการติดตามแบบไม่ใช้คุกกี้ และ CNIL เป็นผู้บังคับใช้ที่เข้มงวดที่สุด ค่าปรับจำนวนหนึ่งในปี 2024 อ้างถึงไลบรารีการพิมพ์ลายนิ้วมือที่ทำงานก่อนการยินยอมว่าเป็นการละเมิดหลัก คำชี้แจงของ ICO ของ UK ปี 2024 เกี่ยวกับการติดตามยิ่งตรงไปตรงมามากขึ้นในการกำหนดกรอบ canvas เสียง และลายนิ้วมือที่คล้ายกันว่าต้องการความยินยอมแบบ opt-in เทียบเท่ากับคุกกี้
พื้นที่สีเทา: การป้องกันการฉ้อโกงเทียบกับการติดตาม
กรณีการใช้งานการพิมพ์ลายนิ้วมือที่มีการโต้แย้งมากที่สุดคือการป้องกันการฉ้อโกง การตรวจจับบอต การป้องกันการยึดบัญชี และการตรวจสอบการฉ้อโกงในการชำระเงิน ล้วนพึ่งพาการพิมพ์ลายนิ้วมืออุปกรณ์เป็นสัญญาณหลัก หน่วยงานกำกับดูแลยอมรับว่าการประมวลผลบางส่วนนี้สามารถพิสูจน์ได้ภายใต้ผลประโยชน์ที่ชอบด้วยกฎหมายมากกว่าความยินยอม แต่เกณฑ์นั้นสูงและขอบเขตนั้นแคบ จุดยืนของ CNIL ที่ DPA อื่นสะท้อนตาม คือ:
- การป้องกันการฉ้อโกงที่จำเป็นอย่างเคร่งครัด บนทรัพย์สินของบุคคลแรกอาจดำเนินการได้ภายใต้ผลประโยชน์ที่ชอบด้วยกฎหมาย พร้อมเอกสารที่เหมาะสมในการประเมินผลประโยชน์ที่ชอบด้วยกฎหมาย (LIA)
- การใช้งานด้านพฤติกรรมหรือโฆษณา ของลายนิ้วมือเดียวกันต้องได้รับความยินยอมและไม่สามารถอาศัยเหตุผลการป้องกันการฉ้อโกงได้
- การแบ่งปันลายนิ้วมือกับบุคคลที่สาม ไม่ว่าจะด้วยวัตถุประสงค์ใดมักอยู่นอกขอบเขตของผลประโยชน์ที่ชอบด้วยกฎหมายและต้องได้รับความยินยอม
- การจัดเก็บลายนิ้วมือถาวรเกินกว่าการตรวจสอบการฉ้อโกงทันที โดยทั่วไปต้องการทั้งความยินยอมหรือจุดยืนผลประโยชน์ที่ชอบด้วยกฎหมายที่ร่างไว้อย่างรัดกุม
ผลในทางปฏิบัติคือผู้เผยแพร่ที่รันทั้งการพิมพ์ลายนิ้วมือเพื่อป้องกันการฉ้อโกงและการพิมพ์ลายนิ้วมือของ ad-tech ไม่สามารถพึ่งพาเหตุผลการฉ้อโกงเพื่อครอบคลุมทั้งสองอย่าง กระบวนการทั้งสองต้องแยกกันทางสถาปัตยกรรม โดยกระบวนการ ad-tech ถูกกั้นไว้หลังความยินยอมและกระบวนการป้องกันการฉ้อโกงถูกจำกัดไว้ตามวัตถุประสงค์ที่บันทึกไว้
วิธีจัดการการพิมพ์ลายนิ้วมือใน CMP
รูปแบบการรวมสำหรับการพิมพ์ลายนิ้วมือนั้นคล้ายกับเทคนิคการติดตามอื่นๆ แต่ต้องระมัดระวังเพิ่มเติมเพราะการไม่มีพื้นที่เก็บข้อมูลที่ชัดเจนทำให้ขอบเขตความยินยอมพลาดได้ง่าย
1. ระบุพื้นผิวการพิมพ์ลายนิ้วมือ
ตรวจสอบไซต์สำหรับ script ใดๆ ที่เรียกใช้ canvas toDataURL() การประมวลผลแบบ AudioContext การตรวจสอบฟอนต์ผ่านการวัดเมตริกข้อความ หรือคำถาม renderer ของ WebGL การเรียกใช้เหล่านี้มักถูกฝังอยู่ในไลบรารีบุคคลที่สาม ได้แก่ SDK ของ ad-tech ผู้จำหน่ายต่อต้านการฉ้อโกง เครื่องมือทดสอบ A/B และไม่ได้มองเห็นได้ทันที
2. จัดหมวดหมู่การใช้งานการพิมพ์ลายนิ้วมือแต่ละอัน
สำหรับแต่ละไลบรารีที่พิมพ์ลายนิ้วมือ ให้บันทึกว่าเป็น (a) จำเป็นอย่างเคร่งครัดสำหรับการทำงานของไซต์ (b) มาตรการป้องกันการฉ้อโกงภายใต้ผลประโยชน์ที่ชอบด้วยกฎหมาย หรือ (c) สำหรับการติดตาม การวิเคราะห์ หรือการโฆษณา หมวดหมู่ (a) และ (b) อาจดำเนินการได้โดยไม่ต้องได้รับความยินยอมชัดเจนภายใต้เหตุผลที่บันทึกไว้ หมวดหมู่ (c) ต้องการ opt-in
3. กั้นการพิมพ์ลายนิ้วมือตามวัตถุประสงค์การติดตาม
สำหรับไลบรารีที่อยู่ในหมวดหมู่ (c) CMP ควรปฏิบัติต่อพวกมันเหมือนกับคุกกี้การตลาด script อยู่ใน DOM แต่ไม่ทำงานจนกว่าผู้เยี่ยมชมจะยอมรับหมวดหมู่การตลาด CMP สมัยใหม่ส่วนใหญ่รองรับสิ่งนี้อยู่แล้วผ่านรูปแบบมาตรฐาน type="text/plain" + แอตทริบิวต์หมวดหมู่
4. บันทึกเหตุผลผลประโยชน์ที่ชอบด้วยกฎหมายสำหรับการพิมพ์ลายนิ้วมือเพื่อป้องกันการฉ้อโกง
เมื่อการพิมพ์ลายนิ้วมือดำเนินการภายใต้ผลประโยชน์ที่ชอบด้วยกฎหมาย LIA ต้องเฉพาะเจาะจง เป็นปัจจุบัน และสะท้อนขอบเขตการประมวลผลจริง การบอกว่า "ป้องกันการฉ้อโกง" ทั่วไปไม่เพียงพอ LIA ต้องระบุว่าข้อมูลใดถูกประมวลผล เก็บไว้นานแค่ไหน มีการป้องกันอะไรบ้าง และความคาดหวังของผู้ใช้ที่สมเหตุสมผลคืออะไร
5. ให้ opt-out ที่มีความหมายสำหรับกระบวนการผลประโยชน์ที่ชอบด้วยกฎหมาย
แม้แต่ในกรณีที่การพิมพ์ลายนิ้วมือเพื่อป้องกันการฉ้อโกงดำเนินการโดยไม่ต้องได้รับความยินยอม Article 21 ของ GDPR ให้สิทธิ์ผู้ใช้ในการคัดค้านการประมวลผลผลประโยชน์ที่ชอบด้วยกฎหมาย CMP ต้องแสดงสิทธิ์นี้และการใช้งานทางเทคนิคต้องหยุดการพิมพ์ลายนิ้วมือจริงๆ เมื่อมีการใช้สิทธิ์นั้น ไม่ใช่แค่บันทึกการคัดค้านในขณะที่ยังคงพิมพ์ลายนิ้วมือต่อไป
รายการตรวจสอบการตรวจสอบ
คำถามที่เป็นรูปธรรมหกข้อเพื่อตอบสำหรับไซต์ใดๆ ที่อาจเปิดเผยพื้นผิวการพิมพ์ลายนิ้วมือ
1. ความสมบูรณ์ของรายการ
ทีมรักษาความปลอดภัยได้จัดทำรายการปัจจุบันของทุกไลบรารีที่ทำการตรวจสอบ canvas เสียง ฟอนต์ WebGL หรือเมทาดาต้าอุปกรณ์หรือไม่ ถ้าคำตอบคือ "เราไม่แน่ใจ" การตรวจสอบดำเนินการต่อไม่ได้
2. การจำแนกประเภทเหตุผล
สำหรับแต่ละไลบรารี มีเหตุผลทางกฎหมายที่บันทึกไว้หรือไม่ (ความยินยอม ผลประโยชน์ที่ชอบด้วยกฎหมายพร้อม LIA ความจำเป็นตามสัญญา) เหตุผลที่ไม่ได้บันทึกถือว่าไม่มีอยู่จริงโดยพฤตินัยภายใต้ความรับผิดชอบ
3. การกั้นความยินยอม
ไลบรารีการพิมพ์ลายนิ้วมือตามวัตถุประสงค์การติดตามถูกกั้นไว้หลังหมวดหมู่ความยินยอมการตลาดหรือไม่ โดย script ไม่สามารถทำงานก่อนการยอมรับ
4. ความสดใหม่ของ LIA
การประเมินผลประโยชน์ที่ชอบด้วยกฎหมายมีวันที่ภายใน 12 เดือนที่ผ่านมาหรือไม่ และสะท้อนขอบเขตการประมวลผลปัจจุบันจริงๆ ไม่ใช่คำอธิบายเก่า
5. การบังคับใช้ opt-out
เมื่อผู้ใช้ใช้ Article 21 ระบบหยุดการพิมพ์ลายนิ้วมือผลประโยชน์ที่ชอบด้วยกฎหมายจริงๆ หรือเพียงแค่บันทึกการคัดค้าน
6. การทำความสะอาดข้ามผู้จำหน่าย
หากลายนิ้วมือถูกแบ่งปันกับบุคคลที่สาม (เครือข่ายโฆษณา ผู้ให้บริการแอตทริบิวชัน ผู้จำหน่ายข้อมูลประจำตัว) การแบ่งปันนั้นได้รับความยินยอมแยกต่างหากและเปิดเผยในประกาศความเป็นส่วนตัวหรือไม่
ที่ที่การพิมพ์ลายนิ้วมืออยู่ในอนาคตของการติดตาม
ผู้จำหน่ายเบราว์เซอร์กำลังทำงานอย่างแข็งขันเพื่อลด entropy ที่มีให้กับไลบรารีการพิมพ์ลายนิ้วมือ ITP ของ Apple การป้องกันในตัวของ Firefox และข้อเสนอ Google Privacy Sandbox ล้วนบั่นทอนพื้นผิวพื้นฐาน อย่างไรก็ตาม การแทรกแซงเหล่านั้นไม่ได้ลบปัญหาด้านกฎระเบียบ แม้แต่ลายนิ้วมือที่มี entropy ลดลงก็ยังเป็นข้อมูลส่วนบุคคลเมื่อสำเร็จในการระบุตัวตนผู้ใช้ และการลดอัตราความสำเร็จไม่ได้เปลี่ยนการวิเคราะห์ทางกฎหมายเมื่อมันทำงาน สำหรับผู้เผยแพร่ สมมติฐานที่ปลอดภัยกว่าคือการพิมพ์ลายนิ้วมือจะยังคงเป็นเทคนิคที่แท้จริงและเกี่ยวข้องกับการตรวจสอบในอีก 24 เดือนข้างหน้า หน่วยงานกำกับดูแลจะยังคงมองว่าเทียบเท่ากับคุกกี้เพื่อวัตถุประสงค์ความยินยอม และคำตอบการดำเนินงานที่ถูกต้องคือปฏิบัติต่อการพิมพ์ลายนิ้วมือเหมือนกับพื้นผิวการติดตามอื่นๆ ได้รับการระบุ จัดหมวดหมู่ตามวัตถุประสงค์ กั้นด้วยความยินยอมเมื่อจำเป็น และบันทึกอย่างละเอียดในกรณีที่ดำเนินการภายใต้เหตุผลอื่น