Цифровий відбиток браузера та згода: Посібник видавця з техніки відстеження, за якою стежать регулятори
Протягом більшої частини дискусій епохи cookie щодо онлайн-відстеження технічною поверхнею, яка мала значення, був рівень зберігання: файли cookie в браузері, записи localStorage, бази даних IndexedDB — те, що розробник міг бачити, а регулятор міг вказати. Цифровий відбиток працює інакше. Він не просить браузер нічого зберігати. Натомість він ставить браузеру запитання — які шрифти у вас встановлені, як виглядає результат рендерингу цього canvas, як AudioContext обробляє цей сигнал — і поєднує відповіді в ідентифікатор, який зберігається між сесіями, пристроями і навіть вікнами приватного перегляду. Для видавців і постачальників ad-tech відбиток пальця став привабливим способом обійти відмову від сторонніх файлів cookie. Для регуляторів він став однією з найбільш активно переслідуваних технік відстеження, оскільки за своєю суттю ідентифікує користувачів без їхньої співпраці. CNIL, EDPB, ICO Великобританії та італійський Garante — всі вони видали рішення про правозастосування або рекомендації, спеціально спрямовані проти цифрових відбитків за останні 24 місяці. Цей посібник розповідає про те, що таке відбиток пальця насправді, що вважається відбитком пальця за законом і як видавець повинен з цим справлятися в рамках системи управління згодою.
Що таке цифровий відбиток браузера
Цифровий відбиток браузера — це ідентифікатор з високою ентропією, побудований з властивостей, які браузер надає будь-якому запущеному JavaScript. Базові техніки поділяються на кілька родин, кожна з яких вносить ентропію до об'єднаного відбитка.
Відбиток canvas
Елемент canvas HTML5 рендерить графіку дещо по-різному залежно від базового GPU, драйвера, операційної системи та підсистеми шрифтів. Малювання фіксованого рядка певним шрифтом, а потім хешування отриманих піксельних даних дає ідентифікатор, який відрізняється між пристроями, але стабільний між сесіями на одному пристрої. Відбиток canvas є канонічним прикладом і найчастіше згадуваною технікою в рішеннях про правозастосування.
Аудіовідбиток
API AudioContext обробляє аудіосигнали через той самий вид апаратно-програмного конвеєра, що й графіка, і отримані результати варіюються таким чином, що створює ентропію. Запуск відомого осцилятора через компресор і хешування результату дає стабільний ідентифікатор для кожного пристрою.
Перелік шрифтів
Різні операційні системи та профілі користувачів мають різні набори встановлених шрифтів. Перевірка наявності або відсутності шрифтів — шляхом вимірювання метрик тексту для списку шрифтів-кандидатів — дає ідентифікатор, який особливо добре відрізняє користувачів, що налаштували свій набір шрифтів.
Відбиток WebGL
WebGL відкриває можливості GPU та поведінку рендерингу. Поєднання рядка постачальника, рядка рендерера та рендерингу фіксованої сцени дає ще один ідентифікатор з високою ентропією.
Метадані мережі та пристрою
Крім активних технік зондування, відбитки зазвичай включають пасивні метадані: рядок User-Agent, мовні вподобання, часовий пояс, роздільну здатність екрана, глибину кольору, доступну пам'ять, доступні процесори, стан акумулятора та відбиток TLS на рівні з'єднання. Кожен елемент додає ентропію самостійно і поєднується мультиплікативно з іншими.
Як регулятори ставляться до цифрових відбитків
Правовий аналіз є прямолінійним в загальних рисах, але складнішим на практиці. Цифровий відбиток, що ідентифікує користувача, створює персональні дані за визначенням GDPR, а читання або доступ до інформації, що вже зберігається на пристрої, підпадає під дію Article 5(3) Директиви ePrivacy — те саме положення, що регулює файли cookie. Обидва — Article 5(3) і GDPR — вимагають попередньої згоди для несуттєвого відстеження. Там, де закон виходить за межі файлів cookie, ePrivacy Article 5(3) охоплює «зберігання інформації або отримання доступу до інформації, що вже зберігається на кінцевому обладнанні абонента або користувача» — мова достатньо широка, щоб охопити зондування стану пристрою, на яке спирається дактилоскопія.
EDPB підтвердив це тлумачення у своїх рекомендаціях 2023 року щодо застосування Article 5(3) до відстеження без файлів cookie, а CNIL виявився найактивнішим правозастосовцем: ряд штрафів 2024 року посилається на бібліотеки цифрових відбитків, що працювали до отримання згоди, як на основне порушення. Заява ICO Великобританії 2024 року про відстеження є ще більш прямолінійною у визначенні canvas, аудіо та подібних відбитків як таких, що вимагають згоди opt-in на рівні з файлами cookie.
Сіра зона: запобігання шахрайству проти відстеження
Найбільш суперечливим випадком використання цифрового відбитка є запобігання шахрайству. Виявлення ботів, захист від захоплення облікових записів і перевірка шахрайства з платежами — всі вони покладаються на цифровий відбиток пристрою як на основний сигнал. Регулятори визнали, що частину цієї обробки можна обґрунтувати законним інтересом, а не згодою — але поріг є високим, а обсяг вузьким. Позиція CNIL, яку підтримують інші DPA, полягає в тому, що:
- Строго необхідне запобігання шахрайству на власних ресурсах може здійснюватися на основі законного інтересу з відповідною документацією в оцінці законного інтересу (LIA).
- Поведінкове або рекламне використання того самого відбитка вимагає згоди і не може спиратися на підставу запобігання шахрайству.
- Передача відбитка третім особам з будь-якою метою зазвичай виходить за межі законного інтересу і вимагає згоди.
- Постійне зберігання відбитка понад термін безпосередньої перевірки на шахрайство зазвичай вимагає або згоди, або дуже ретельно складеної позиції законного інтересу.
Практичний наслідок полягає в тому, що видавець, який здійснює як дактилоскопію для запобігання шахрайству, так і дактилоскопію ad-tech, не може спиратися на підставу шахрайства для покриття обох. Два потоки повинні бути архітектурно відокремлені, причому потік ad-tech обмежений згодою, а потік запобігання шахрайству обмежений задокументованою метою.
Як обробляти цифрові відбитки в CMP
Шаблон інтеграції для цифрових відбитків схожий на інші техніки відстеження, але з додатковою обережністю, оскільки відсутність очевидного зберігання полегшує пропустити межу згоди.
1. Інвентаризація поверхні цифрових відбитків
Перевірте сайт на наявність будь-якого скрипту, який викликає canvas toDataURL(), обробку на основі AudioContext, зондування шрифтів через вимірювання метрик тексту або запити рендерера WebGL. Ці виклики часто ховаються в сторонніх бібліотеках — SDK ad-tech, постачальники захисту від шахрайства, інструменти A/B-тестування — і не є одразу видимими.
2. Категоризуйте кожне використання цифрового відбитка
Для кожної бібліотеки, що знімає відбитки, задокументуйте, чи є це (a) суворо необхідним для функціонування сайту, (b) заходом запобігання шахрайству на основі законного інтересу, або (c) для відстеження, аналітики або реклами. Категорії (a) і (b) можуть продовжуватися без явної згоди на задокументованих підставах; категорія (c) вимагає opt-in.
3. Обмежте дактилоскопію з метою відстеження
Для бібліотек, що підпадають під категорію (c), CMP повинна обробляти їх ідентично маркетинговим файлам cookie: скрипт присутній у DOM, але неактивний, поки відвідувач не прийме маркетингову категорію. Більшість сучасних CMP вже підтримують це через стандартний шаблон type="text/plain" + атрибут категорії.
4. Задокументуйте підставу законного інтересу для дактилоскопії з метою запобігання шахрайству
Якщо дактилоскопія здійснюється на основі законного інтересу, LIA має бути конкретною, актуальною і відображати фактичний обсяг обробки. Загального «запобігання шахрайству» недостатньо — LIA повинна визначати, які дані обробляються, як довго вони зберігаються, які засоби захисту застосовуються і якими є реалістичні очікування користувача.
5. Надайте значущий opt-out для потоків законного інтересу
Навіть якщо дактилоскопія для запобігання шахрайству здійснюється без згоди, Article 21 GDPR надає користувачеві право заперечувати проти обробки законного інтересу. CMP повинна відображати це право, а технічна реалізація повинна дійсно зупинити дактилоскопію, коли право реалізується — а не просто фіксувати заперечення, продовжуючи дактилоскопію.
Контрольний список аудиту
Шість конкретних запитань, на які потрібно відповісти для будь-якого сайту, що потенційно відкриває поверхні цифрових відбитків.
1. Повнота інвентаризації
Чи склала команда безпеки актуальний список кожної бібліотеки, яка виконує зондування canvas, аудіо, шрифтів, WebGL або метаданих пристрою? Якщо відповідь: «ми не впевнені», аудит не може продовжуватися.
2. Класифікація підстав
Для кожної бібліотеки чи є задокументована правова підстава (згода, законний інтерес з LIA, договірна необхідність)? Незадокументовані підстави де-факто відсутні відповідно до принципу підзвітності.
3. Обмеження згодою
Чи обмежені бібліотеки цифрових відбитків з метою відстеження маркетинговою категорією згоди, причому скрипт не може запускатися до прийняття?
4. Актуальність LIA
Чи датовані оцінки законного інтересу в межах останніх 12 місяців і чи відображають вони фактичний поточний обсяг обробки, а не застарілі описи?
5. Забезпечення opt-out
Коли користувач реалізує Article 21, чи система дійсно зупиняє дактилоскопію законного інтересу, чи лише фіксує заперечення?
6. Очищення між постачальниками
Якщо відбиток передається третій стороні (рекламна мережа, постачальник атрибуції, постачальник ідентифікаторів), чи покривається ця передача окремою згодою і чи розкривається вона в повідомленні про конфіденційність?
Де цифрові відбитки знаходяться в майбутньому відстеження
Постачальники браузерів активно працюють над зменшенням ентропії, доступної для бібліотек цифрових відбитків. ITP від Apple, вбудований захист Firefox і пропозиції Google Privacy Sandbox — всі вони підривають базову поверхню. Однак жодне з цих втручань не усуває регуляторну проблему — навіть відбиток зі зниженою ентропією все ще є персональними даними, коли він успішно ідентифікує користувача, і зниження рівня успіху не змінює правовий аналіз, коли це спрацьовує. Для видавців більш безпечним припущенням є те, що дактилоскопія продовжуватиме бути реальною, актуальною для аудиту технікою протягом наступних 24 місяців, що регулятори продовжуватимуть розглядати її як еквівалент файлів cookie для цілей згоди і що правильна операційна відповідь — це ставитися до дактилоскопії як до будь-якої іншої поверхні відстеження: інвентаризованої, категоризованої за метою, обмеженої згодою там, де це потрібно, і ретельно задокументованої там, де вона здійснюється на іншій підставі.