Brauzer barmoq izi va rozilik: Regulyatorlar kuzatayotgan kuzatuv texnikasi bo'yicha nashriyot qo'llanmasi
Cookie davrining onlayn kuzatuv muhokamalarining ko'p qismida ahamiyatli bo'lgan texnik sirt saqlash qatlami edi: brauzerdagi cookielar, localStorage yozuvlari, IndexedDB ma'lumotlar bazalari — dasturchi ko'ra oladigan va regulyator ko'rsata oladigan narsalar. Barmoq izi boshqacha ishlaydi. U brauzerdan hech narsa saqlashni so'ramaydi. Buning o'rniga, u brauzerga savollar beradi — qanday shriftlar o'rnatilgan, ushbu canvas renderi qanday ko'rinadi, AudioContext bu signalni qanday qayta ishlaydi — va javoblarni seanslar, qurilmalar va hatto xususiy ko'rish oynalari bo'yicha saqlanadigan identifikatorga birlashtiradi. Nashriyotchilar va ad-tech sotuvchilari uchun barmoq izi uchinchi tomon cookie-larni bekor qilishdan o'tishning jozibali usuli bo'lgan. Regulyatorlar uchun esa u eng faol ta'qib qilinadigan kuzatuv texnikalaridan biriga aylandi, chunki u dizayn jihatdan foydalanuvchilarning hamkorligi olmay ularni aniqlay oladi. CNIL, EDPB, UK ICO va italyan Garante barchasi so'nggi 24 oy ichida barmoq izini maxsus nishonga olgan ijro qarorlari yoki ko'rsatmalar chiqardi. Ushbu qo'llanma barmoq izi aslida nima ekanligini, qonun bo'yicha nima barmoq izi hisoblanishini va nashriyotchi buni rozilik boshqaruv tizimi doirasida qanday hal qilishi kerakligini tushuntiradi.
Brauzer barmoq izi nima
Brauzer barmoq izi — bu istalgan ishlaydigan JavaScript-ga brauzer ochib beradigan xususiyatlardan qurilgan yuqori entropiyali identifikator. Asosiy texnikalar bir necha oilaga bo'linadi, ularning har biri birlashtirilgan barmoq iziga entropiya qo'shadi.
Canvas barmoq izi
HTML5 canvas elementi asosiy GPU, drayveri, operatsion tizim va shrift kichik tizimiga qarab grafiklarni biroz boshqacha tarzda renderlashtiradi. Belgilangan shrift bilan qattiq satrni chizish, so'ng natijadagi piksel ma'lumotlarini xeshlash qurilmalar o'rtasida farq qiluvchi, lekin bir xil qurilmadagi seanslar bo'yicha barqaror identifikatorni yaratadi. Canvas barmoq izi kanonik misol va ijro choralarida eng ko'p keltirilgan texnikadir.
Audio barmoq izi
AudioContext API audio signallarni grafikalar kabi bir xil apparat va dasturiy ta'minot quvuri orqali qayta ishlaydi va natijadagi chiqish entropiya yaratuvchi tarzda farq qiladi. Ma'lum ossillyatorni kompressor orqali ishga tushirish va natijani xeshlash qurilma uchun barqaror identifikatorni yaratadi.
Shrift ro'yxati
Turli operatsion tizimlar va foydalanuvchi profillari turli o'rnatilgan shrift to'plamlariga ega. Shriftlar mavjudligini yoki yo'qligini tekshirish — nomzod shriftlar ro'yxati uchun matn o'lchov ko'rsatkichlarini o'lchash orqali — shrift to'plamini moslashtirganlari uchun ayniqsa ajralib turadigan identifikator yaratadi.
WebGL barmoq izi
WebGL GPU imkoniyatlari va renderlash xatti-harakatlarini ochib beradi. Sotuvchi qatori, renderer qatori va qattiq sahnani renderlash kombinatsiyasi yana bir yuqori entropiyali identifikatorni yaratadi.
Tarmoq va qurilma metama'lumotlari
Faol zondlash texnikalaridan tashqari, barmoq izlari odatda passiv metama'lumotlarni o'z ichiga oladi: User-Agent qatori, til parametrlari, vaqt mintaqasi, ekran o'lchami, rang chuqurligi, mavjud xotira, mavjud protsessorlar, batareya holati va ulanish qatlamidagi TLS barmoq izi. Har bir element o'z-o'zidan entropiya qo'shadi va boshqalar bilan ko'paytirilib birlashadi.
Regulyatorlar barmoq izini qanday ko'rib chiqadi
Huquqiy tahlil umumiy ko'rinishda oddiy, lekin amalda murakkabroq. Foydalanuvchini aniqlash uchun barmoq izi GDPR ta'rifi bo'yicha shaxsiy ma'lumot yaratadi va qurilmada allaqachon saqlangan ma'lumotni o'qish yoki unga kirish ePrivacy direktivi Article 5(3) ostiga kiradi — cookielarni tartibga soladigan xuddi shu bandlar. Article 5(3) ham, GDPR ham muhim bo'lmagan kuzatuv uchun oldindan rozilik talab qiladi. Qonun cookielardan tashqariga chiqqan joyi shundaki, ePrivacy Article 5(3) «obunachi yoki foydalanuvchining terminal uskunasida ma'lumot saqlash yoki allaqachon saqlangan ma'lumotga kirish» ni qamrab oladi — qurilma holatini zondlashni qamrab olish uchun etarlicha keng til, barmoq izi shunga tayanadi.
EDPB bu talqinni cookie bo'lmagan kuzatuvga Article 5(3) qo'llash bo'yicha 2023 yilgi ko'rsatmalarida tasdiqladi va CNIL eng faol ijrochilar bo'ldi: 2024 yilgi bir qator jarimalarda asosiy buzilish sifatida rozilikdan oldin ishlaydigan barmoq izi kutubxonalari ko'rsatildi. UK ICO ning 2024 yilgi kuzatuv bo'yicha bayonoti canvas, audio va shunga o'xshash barmoq izlarini cookieler bilan teng ravishda opt-in rozilik talab qiluvchi deb belgilashda yanada to'g'ridanTo'g'ridir.
Kulrang zona: firibgarlikning oldini olish va kuzatuv
Barmoq izining eng munozarali ishlatilishi firibgarlikning oldini olishdir. Botlarni aniqlash, hisobni egallashdan himoya va to'lov firibgarligini tekshirish barchasi asosiy signal sifatida qurilma barmoq iziga tayanadi. Regulyatorlar bu ishlovning bir qismi rozilik o'rniga qonuniy manfaat asosida asoslanishi mumkinligini tan olishdi — lekin satr baland va ko'lam tordir. CNIL pozitsiyasi, boshqa DPAlar tomonidan takrorlanadigan, shundan iborat:
- Birinchi tomon mulklarida qat'iy zarur firibgarlikning oldini olish qonuniy manfaat bo'yicha rivojlanishi mumkin, qonuniy manfaat baholashida (LIA) tegishli hujjatlar bilan.
- Xuddi shu barmoq izining xulq-atvor yoki reklama maqsadida ishlatilishi rozilikni talab qiladi va firibgarlikning oldini olish asosiga tayanib bo'lmaydi.
- Barmoq izini uchinchi tomonlar bilan har qanday maqsadda ulashish odatda qonuniy manfaat doirasidan tashqariga chiqadi va rozilikni talab qiladi.
- Barmoq izini darhol firibgarlikni tekshirishdan tashqari doimiy saqlash odatda rozilik yoki juda ehtiyotkorlik bilan tuzilgan qonuniy manfaat pozitsiyasini talab qiladi.
Amaliy xulosa shundan iboratki, ham firibgarlikning oldini olish barmoq izi, ham ad-tech barmoq izini boshqarayotgan nashriyot ikkalasini qoplash uchun firibgarlik asosiga tayana olmaydi. Ikki oqim arxitektura jihatdan alohida bo'lishi kerak, ad-tech oqimi rozilik ortida to'sib qo'yilgan va firibgarlikning oldini olish oqimi hujjatlashtirilgan maqsadi bilan cheklangan.
CMP da barmoq izini qanday boshqarish kerak
Barmoq izi uchun integratsiya namunasi boshqa kuzatuv texnikalariga o'xshash, lekin qo'shimcha ehtiyotkorlik bilan, chunki aniq saqlashning yo'qligi rozilik chegarasini o'tkazib yuborishni osonlashtiradi.
1. Barmoq izi sirtini inventarizatsiya qiling
Canvas toDataURL(), AudioContext-asosidagi qayta ishlash, matn o'lchov ko'rsatkichlari orqali shrift zondlash yoki WebGL renderer so'rovlarini chaqiradigan har qanday skript uchun saytni tekshiring. Bu chaqiruvlar ko'pincha uchinchi tomon kutubxonalarida ko'milgan — ad-tech SDK lari, firibgarlikka qarshi sotuvchilar, A/B sinov vositalari — va darhol ko'rinmaydi.
2. Har bir barmoq izi ishlatilishini tasniflang
Barmoq izi oluvchi har bir kutubxona uchun bu (a) sayt ishlashi uchun qat'iy zarur, (b) qonuniy manfaat ostidagi firibgarlikning oldini olish chorasi yoki (c) kuzatuv, tahlil yoki reklama uchunmi hujjatlang. (a) va (b) toifalar hujjatlashtirilgan asoslar ostida aniq rozilik olmay davom etishi mumkin; (c) toifasi opt-in talab qiladi.
3. Kuzatuv maqsadidagi barmoq izini to'sing
(c) toifasiga kiruvchi kutubxonalar uchun CMP ularni marketing cookielari bilan bir xil ko'rishi kerak: skript DOMda bor, lekin tashrif buyuruvchi marketing toifasini qabul qilmaguncha harakatsiz. Ko'pgina zamonaviy CMP lar allaqachon standart type="text/plain" + toifa-atribut namunasi orqali buni qo'llab-quvvatlaydi.
4. Firibgarlikning oldini olish barmoq izi uchun qonuniy manfaat asosini hujjatlashtiring
Barmoq izi qonuniy manfaat ostida davom etgan joyda, LIA aniq, dolzarb bo'lishi va haqiqiy qayta ishlash ko'lamini aks ettirishi kerak. Umumiy «firibgarlikning oldini olish» etarli emas — LIA qanday ma'lumotlar qayta ishlanishi, qancha vaqt saqlanishi, qanday himoya choralar qo'llanilishi va foydalanuvchining realistik kutishlari nimaligini aniqlashi kerak.
5. Qonuniy manfaat oqimlari uchun ma'noli opt-out taqdim eting
Hatto firibgarlikning oldini olish barmoq izi rozilik olmay davom etgan joyda ham, GDPR ning Article 21 foydalanuvchiga qonuniy manfaat ishloviga e'tiroz bildirish huquqini beradi. CMP bu huquqni ko'rsatishi kerak va texnik amalga oshirish huquq qo'llanilganda barmoq izini haqiqatan ham to'xtatishi kerak — shunchaki e'tirozni qayd etish va barmoq izlash davom etib turmasligi kerak.
Audit nazorat ro'yxati
Barmoq izi sirtlarini ochib qo'yishi mumkin bo'lgan har qanday sayt uchun javob berish kerak bo'lgan oltita aniq savol.
1. Inventarizatsiya to'liqligi
Xavfsizlik guruhi canvas, audio, shrift, WebGL yoki qurilma metama'lumotlari zondlashni bajaradigan har bir kutubxonaning joriy ro'yxatini tuzganmi? Javob «biz bilmaymiz» bo'lsa, audit davom eta olmaydi.
2. Asos tasnifi
Har bir kutubxona uchun hujjatlashtirilgan qonuniy asos bormi (rozilik, LIA bilan qonuniy manfaat, shartnoma zarurati)? Hujjatlashtirilmagan asoslar hisobdorlik ostida amalda mavjud emas.
3. Rozilik to'sig'i
Kuzatuv maqsadidagi barmoq izi kutubxonalari marketing rozilik toifasi ortida to'silganmi, skript qabul qilishdan oldin ishga tushira olmaydigan holatda?
4. LIA yangiligi
Qonuniy manfaat baholashlari so'nggi 12 oy ichida sanadlangan va eski tavsiflar o'rniga haqiqiy joriy qayta ishlash ko'lamini aks ettiradimi?
5. Opt-out bajarilishi
Foydalanuvchi Article 21 ni qo'llaganda tizim haqiqatan ham qonuniy manfaat barmoq izini to'xtatadimi, yoki faqat e'tirozni qayd etadimi?
6. Sotuvchilar o'rtasida tozalash
Barmoq izi uchinchi tomon bilan ulashilsa (reklama tarmog'i, atribut provayderi, identifikator sotuvchisi), bu ulashish alohida rozilik bilan qoplangan va maxfiylik bildirishnomalarida oshkor qilinganmi?
Barmoq izi kuzatuvning kelajagida qayerda turadi
Brauzer sotuvchilari barmoq izi kutubxonalariga mavjud entropiyani kamaytirish ustida faol ishlashmoqda. Apple ning ITP, Firefox ning o'rnatilgan himoyasi va Google Privacy Sandbox takliflari barchasi asosiy sirtga zid ishlaydi. Biroq, bu aralashuvlarning hech biri tartibga solish muammosini bartaraf etmaydi — hatto kamaytirilgan entropiyali barmoq izi ham foydalanuvchini aniqlashda muvaffaqiyatli bo'lganda shaxsiy ma'lumot hisoblanadi va muvaffaqiyat darajasini kamaytirish ishlayotganda huquqiy tahlilni o'zgartirmaydi. Nashriyotchilar uchun xavfsizroq taxmin shuki, barmoq izi keyingi 24 oy davomida haqiqiy, auditga tegishli texnika bo'lib qoladi, regulyatorlar uni rozilik maqsadida cookielarga teng ko'rishda davom etadi va to'g'ri operativ javob barmoq iziga har qanday boshqa kuzatuv sirti kabi munosabatda bo'lishdir: inventarizatsiya qilingan, maqsad bo'yicha tasniflangan, zarur bo'lganda rozilik bilan to'silgan va boshqa asosda davom etayotgan joyda to'liq hujjatlashtirilgan.