Tarayıcı Parmak İzi ve Onay: Düzenleyicilerin Yakından Takip Ettiği Bir İzleme Tekniği Hakkında Yayıncı Rehberi
Çevrimiçi izlemeye ilişkin çerez dönemi tartışmalarının büyük bölümünde önemli olan teknik yüzey, depolama katmanıydı: tarayıcıdaki çerezler, localStorage girişleri, IndexedDB veritabanları — geliştiricinin görebildiği ve düzenleyicinin işaret edebildiği şeyler. Parmak izi farklı çalışır. Tarayıcıdan herhangi bir şey depolamasını istemez. Bunun yerine tarayıcıya sorular sorar — hangi yazı tipleri yüklü, bu canvas öğesi nasıl görünüyor, ses bağlamı bu sinyali nasıl işliyor — ve yanıtları oturumlar, cihazlar ve hatta gizli tarama pencereleri arasında kalıcı olan bir tanımlayıcıya dönüştürür. Yayıncılar ve reklam teknolojisi satıcıları için parmak izi, üçüncü taraf çerezlerinin kaldırılmasına karşı cazip bir yol olmuştur. Düzenleyiciler için ise tasarım gereği kullanıcıları işbirliği olmaksızın tanımladığından, en agresif şekilde takip edilen izleme tekniklerinden biri haline gelmiştir. CNIL, EDPB, UK ICO ve İtalyan Garante kurumlarının tümü son 24 ay içinde özellikle parmak izini hedefleyen yaptırım kararları veya rehberler yayımlamıştır. Bu rehber, parmak izinin gerçekte ne olduğunu, hukuki açıdan neyin parmak izi sayıldığını ve bir yayıncının bunu onay yönetimi çerçevesinde nasıl ele alması gerektiğini anlatmaktadır.
Tarayıcı Parmak İzi Nedir
Tarayıcı parmak izi, tarayıcının çalışan herhangi bir JavaScript'e sunduğu yüksek entropili özelliklerden oluşturulan bir tanımlayıcıdır. Temel teknikler birkaç aileye ayrılır ve her biri birleşik parmak izine entropi katar.
Canvas parmak izi
HTML5 canvas öğesi, temel GPU'ya, sürücüye, işletim sistemine ve yazı tipi alt sistemine bağlı olarak grafikleri biraz farklı şekillerde işler. Belirli bir yazı tipiyle sabit bir metin çizip ortaya çıkan piksel verilerini hash'lemek, cihazlar arasında farklılık gösteren ancak aynı cihazda oturumlar arasında kararlı kalan bir tanımlayıcı üretir. Canvas parmak izi, kanonik örnek ve yaptırım kararlarında en çok atıfta bulunulan tekniktir.
Ses parmak izi
AudioContext API, ses sinyallerini grafiklerle aynı türde bir donanım-yazılım hattından geçirir ve ortaya çıkan çıktı, entropi yaratan bir şekilde farklılık gösterir. Bilinen bir osilatörü bir kompresörden geçirip sonucu hash'lemek, cihaza özgü kararlı bir tanımlayıcı üretir.
Yazı tipi sayımı
Farklı işletim sistemleri ve kullanıcı profilleri farklı yazı tipi setlerine sahiptir. Bir aday yazı tipi listesi için metin metriklerini ölçerek yazı tiplerinin varlığını veya yokluğunu araştırmak, özellikle yazı tipi setini özelleştirmiş kullanıcılar için ayırt edici bir tanımlayıcı üretir.
WebGL parmak izi
WebGL, GPU yeteneklerini ve işleme davranışını ortaya çıkarır. Satıcı dizesi, işleyici dizesi ve sabit bir sahnenin işlenmesinin kombinasyonu, yüksek entropili başka bir tanımlayıcı üretir.
Ağ ve cihaz meta verileri
Aktif yoklama tekniklerinin ötesinde, parmak izleri genellikle pasif meta verileri içerir: User-Agent dizesi, dil tercihleri, saat dilimi, ekran çözünürlüğü, renk derinliği, kullanılabilir bellek, kullanılabilir işlemciler, pil durumu ve bağlantı katmanındaki TLS parmak izi. Her öğe kendi başına entropi ekler ve diğerleriyle çarpımsal olarak birleşir.
Düzenleyiciler Parmak İzini Nasıl Değerlendiriyor
Hukuki analiz genel hatlarıyla basit ancak pratikte daha zordur. Kullanıcıyı tanımlayan parmak izi, GDPR'ın tanımına göre kişisel veri üretir ve bir cihazda zaten depolanmış bilgiye erişim, ePrivacy Direktifi'nin Article 5(3) maddesi kapsamına girer — çerezleri düzenleyen aynı hüküm. Hem Article 5(3) hem de GDPR, zorunlu olmayan izleme için önceden onay gerektirir. Hukukun çerezlerin ötesine geçtiği nokta, ePrivacy 5(3)'ün "bir abone veya kullanıcının terminal ekipmanında bilgi depolanması veya zaten depolanmış bilgiye erişim sağlanması"nı kapsamasıdır — parmak izinin dayandığı cihaz durumu yoklamasını kapsayacak kadar geniş bir ifade.
EDPB, Article 5(3)'ün çerez dışı izlemeye uygulanmasına ilişkin 2023 rehberinde bu yorumu doğrulamıştır ve CNIL en agresif uygulayıcı olmuştur: 2024'teki bir dizi para cezası, onay öncesinde çalışan parmak izi kütüphanelerini birincil ihlal olarak göstermiştir. UK ICO'nun 2024 izleme beyanı, canvas, ses ve benzeri parmak izlerini çerezlerle eşit düzeyde tercihli onay gerektiren bir çerçeveye oturtma konusunda daha da doğrudandır.
Gri Alan: Dolandırıcılık Önleme ve İzleme
En tartışmalı parmak izi kullanım alanı dolandırıcılık önlemedir. Bot tespiti, hesap ele geçirme savunması ve ödeme dolandırıcılığı taramasının tümü, temel bir sinyal olarak cihaz parmak izine dayanır. Düzenleyiciler, bu işlemenin bir kısmının onay yerine meşru menfaat kapsamında gerekçelendirilebileceğini kabul etmiştir — ancak eşik yüksek ve kapsam dardır. CNIL'in diğer veri koruma otoriteleri tarafından da benimsenen tutumu şudur:
- Birinci taraf özelliklerinde kesinlikle gerekli dolandırıcılık önleme, bir meşru menfaat değerlendirmesinde (LIA) uygun belgelendirme ile meşru menfaat kapsamında devam edebilir.
- Aynı parmak izinin davranışsal veya reklam amaçlı kullanımı onay gerektirir ve dolandırıcılık önleme gerekçesine dayanamaz.
- Parmak izinin herhangi bir amaçla üçüncü taraflarla paylaşılması genellikle meşru menfaat kapsamının dışına düşer ve onay gerektirir.
- Parmak izinin anlık dolandırıcılık kontrolünün ötesinde kalıcı olarak saklanması genellikle onay veya çok sıkı bir şekilde hazırlanmış meşru menfaat pozisyonu gerektirir.
Bunun pratik anlamı şudur: hem dolandırıcılık önleme parmak izi hem de reklam teknolojisi parmak izi çalıştıran bir yayıncı, her ikisini de kapsamak için dolandırıcılık gerekçesine dayanamaz. İki akış mimari olarak ayrı olmalı; reklam teknolojisi akışı onayın arkasında konumlandırılmalı ve dolandırıcılık önleme akışı belgelenmiş amacıyla sınırlandırılmalıdır.
Parmak İzini CMP İçinde Nasıl Yönetmeli
Parmak izi için entegrasyon modeli diğer izleme teknikleriyle benzerdir, ancak belirgin bir depolama olmaması onay sınırını gözden kaçırmayı kolaylaştırdığından ek dikkat gerektirir.
1. Parmak izi yüzeyini envantere alın
Siteyi, canvas toDataURL() çağrısı yapan, AudioContext tabanlı işlem gerçekleştiren, metin metriği ölçümü yoluyla yazı tipi yoklayan veya WebGL işleyici sorguları çalıştıran herhangi bir betik açısından denetleyin. Bu çağrılar genellikle üçüncü taraf kütüphanelerinin — reklam teknolojisi SDK'ları, dolandırıcılık önleme satıcıları, A/B test araçları — içinde gömülüdür ve hemen görünmez.
2. Her parmak izi kullanımını kategorize edin
Parmak izi alan her kütüphane için, bunun (a) sitenin çalışması için kesinlikle gerekli mi, (b) meşru menfaat kapsamında bir dolandırıcılık önleme tedbiri mi, yoksa (c) izleme, analitik veya reklam amaçlı mı olduğunu belgeleyin. (a) ve (b) kategorileri belgelenmiş gerekçeler altında açık onay olmaksızın devam edebilir; (c) kategorisi tercihli onay gerektirir.
3. İzleme amaçlı parmak izini onay kapısının arkasına alın
(c) kategorisine giren kütüphaneler için CMP, bunları pazarlama çerezleriyle aynı şekilde ele almalıdır: betik DOM'da bulunur ancak ziyaretçi pazarlama kategorisini kabul edene kadar etkisizdir. Modern CMP'lerin çoğu bunu standart type="text/plain" + kategori özniteliği modeliyle zaten desteklemektedir.
4. Dolandırıcılık önleme parmak izi için meşru menfaat gerekçesini belgeleyin
Parmak izinin meşru menfaat kapsamında devam ettiği durumlarda, LIA spesifik, güncel ve gerçek işleme kapsamını yansıtıcı olmalıdır. Genel bir "dolandırıcılık önleme" ifadesi yeterli değildir — LIA'nın hangi verilerin işlendiğini, ne kadar süre saklandığını, hangi korumaların uygulandığını ve kullanıcının gerçekçi beklentilerinin ne olduğunu belirtmesi gerekir.
5. Meşru menfaat akışları için anlamlı bir vazgeçme seçeneği sunun
Dolandırıcılık önleme parmak izi onay olmaksızın devam etse bile, GDPR'ın Article 21 maddesi kullanıcıya meşru menfaat işlemesine itiraz etme hakkı tanır. CMP bu hakkı görünür kılmalı ve teknik uygulama, bu hak kullanıldığında parmak izini gerçekten durdurmalıdır — sadece itirazı kaydetmekle yetinip parmak izi almaya devam etmemelidir.
Denetim Kontrol Listesi
Parmak izi yüzeyleri potansiyel olarak barındıran herhangi bir site için yanıtlanması gereken altı somut soru.
1. Envanter bütünlüğü
Güvenlik ekibi, canvas, ses, yazı tipi, WebGL veya cihaz meta verisi yoklaması yapan her kütüphanenin güncel bir listesini oluşturmuş mudur? Yanıt "emin değiliz" ise denetim ilerleyemez.
2. Gerekçe sınıflandırması
Her kütüphane için belgelenmiş bir hukuki gerekçe (onay, LIA ile meşru menfaat, sözleşmesel zorunluluk) var mıdır? Belgelenmemiş gerekçeler, hesap verebilirlik ilkesi gereği fiilen yok hükmündedir.
3. Onay kapısı
İzleme amaçlı parmak izi kütüphaneleri, betiğin kabul öncesinde çalışamamasıyla pazarlama onay kategorisinin arkasına alınmış mıdır?
4. LIA güncelliği
Meşru menfaat değerlendirmeleri son 12 ay içinde tarihlenmiş midir ve eski açıklamalar yerine gerçek mevcut işleme kapsamını yansıtmakta mıdır?
5. Vazgeçme uygulaması
Kullanıcı Article 21 hakkını kullandığında, sistem meşru menfaat parmak izini gerçekten durduruyor mu, yoksa sadece itirazı mı kaydetmektedir?
6. Satıcılar arası temizlik
Parmak izi üçüncü bir tarafla (reklam ağı, atıf sağlayıcı, kimlik satıcısı) paylaşılıyorsa, bu paylaşım ayrı bir onayla mı kapsanmaktadır ve gizlilik bildiriminde açıklanmış mıdır?
Parmak İzinin İzlemenin Geleceğindeki Yeri
Tarayıcı üreticileri, parmak izi kütüphanelerine sunulan entropiyi azaltmak için aktif olarak çalışmaktadır. Apple'ın ITP'si, Firefox'un yerleşik koruması ve Google Privacy Sandbox önerileri, altta yatan yüzeyi aşındırmaktadır. Ancak bu müdahalelerin hiçbiri düzenleyici sorunu ortadan kaldırmaz — azaltılmış entropiye sahip bir parmak izi bile, kullanıcıyı tanımlamayı başardığında kişisel veridir ve başarı oranını düşürmek, çalıştığı durumlarda hukuki analizi değiştirmez. Yayıncılar için daha güvenli varsayım şudur: parmak izi önümüzdeki 24 ay boyunca gerçek ve denetim açısından önemli bir teknik olmaya devam edecek, düzenleyiciler onu onay açısından çerezlerle eşdeğer olarak değerlendirmeye devam edecek ve doğru operasyonel yanıt, parmak izini diğer tüm izleme yüzeyleri gibi ele almaktır: envanterlenmiş, amaca göre kategorize edilmiş, gerektiğinde onay kapısının arkasına alınmış ve başka bir gerekçeyle devam ettiğinde kapsamlı şekilde belgelenmiş.