Решихме, че много малко се знае за подготвяната промяна  за въвеждане на т.нар “пръстови отпечатъци”  за вашите устройства, които са свързани с Интернет. Затова преведохме материал[0] написан от Лукаш Олейник, който има докторска степен по компютърни науки (защита на личните данни) и магистърска степен по право на информационните технологии. Бил е член на групата за техническа архитектура на W3C, работил е и към Европейския надзорен орган по защита на данните. 

Четете и споделяйте!

Най-голямото нарушаване на неприкосновеността на личния живот от 10 години насам? Относно промяната в политиката на Google по отношение на пръстовите отпечатъци за устройства.

Макар да се надявах, че 2017 г. ще бъде годината на неприкосновеността на личния живот, 2024 г. приключва с тревожна нотка – вероятно намаляване на стандартите за неприкосновеност на личния живот в мрежата. 

Бях изненадан от неотдавнашната публикация на Службата на комисаря по информацията (ICO), в която се критикува решението на Google да въведе пръстови отпечатъци за устройствата за целите на рекламата от февруари 2025 г.  Според службата тази промяна рискува да подкопае потребителския контрол и прозрачността на начина, по който се събират и използват личните данни. 

Възможно ли е това да бележи края на близо десетилетие напредък в областта на защитата на личните данни в интернет и мрежата? Би било жалко, ако новоразвиващата се икономика на изкуствения интелект започне от намаляване на стандартите за неприкосновеност на личния живот и защита на данните. Тогава някои анализатори или наблюдатели биха могли да бъдат склонни да се запитат дали този подход към неприкосновеността на личния живот онлайн може да сигнализира за подобно отношение в други бъдещи продукти на Google, като например изкуствения интелект.

Мога с увереност да поставя този въпрос, тъй като наблюдавам и анализирам тази област от различни гледни точки повече от 15 години. Моят опит включва опит в областта на сигурността и поверителността на уеб браузърите, включително в стандартизацията. Работил съм в групата за техническа архитектура на W3C и съм автор на научни статии за поверителността, проследяването и пръстовите отпечатъци, както и на оценки на технологии като уеб приложни програмни интерфейси (API). Това включва API за защитена аудитория на Privacy Sandbox. Очаквах с нетърпение архитектурните подобрения на поверителността в уеб. С други думи, познавам добре този контекст.

Медиите досега свършиха чудесна работа по привличане на вниманието към проблема, но те представят това развитие като противоречие между промяната на политиката на Google и опасенията на британската ICO. Смятам, че както за широката общественост, така и за експертите ще бъде от полза да се запознаем с по-широка перспектива.

Какво представляват пръстовите отпечатъци за устройствата

То включва събиране на информация за потребителските устройства, като например смартфони или компютри, с цел създаване на уникален идентификатор, често с цел проследяване на хора или техните дейности при сърфиране в интернет. 

Тези данни могат да включват IP адреси, низове на потребителските агенти на браузъра, разделителна способност на екрана или дори подробности като степента на разреждане на батерията. Вземането на “пръстови отпечатъци” е особено опасно, тъй като може да бъде пасивно – не изисква взаимодействие с потребителя. Данните се събират без знанието на потребителя и се свързват с неговото устройство. При последващо сърфиране системите могат да разпознаят същия посетител, което позволява проследяване на реклами или разкриване на лична информация, като например навици на сърфиране.

Тази форма на идентификация не е нито прозрачна, нито удобна за ползване. Потребителите често не са наясно, че това се случва, а когато се прави без тяхното съгласие, информираност или други правни основания, това нарушава законите. 

За разлика от „бисквитките“ или други механизми, тези идентификатори не могат да бъдат лесно „изчистени“, което ги прави особено инвазивни. Въпреки това уебсайтовете, рекламните технологии и други продължават да ги използват. Забележително е, че големите технологични компании като Apple и Google някога се зарекоха да не участват в такива практики. 

Този ангажимент представляваше голямо постижение за неприкосновеността на личния живот, което се дължеше на напредъка в областта на изследванията на неприкосновеността на личния живот и инженерните науки. Големите платформи дори започнаха да се конкурират за подобряване на неприкосновеността на личния живот на потребителите, което е от полза за тяхното благосъстояние и намалява риска от злоупотреба с данни или изтичане на информация. Този въпрос не може да се сведе просто до „Google прави това, а ICO го критикува“.

Каква е промяната?

Настоящата политика на Google Ads относно пръстовите отпечатъци гласи:

„Не трябва да използвате пръстови отпечатъци на устройства или локално споделени обекти (напр. Flash бисквитки, Browser Helper Objects, HTML5 local storage), различни от HTTP бисквитки, или идентификатори на устройства, които могат да се изтриват от потребителя и са предназначени за използване при измерване или реклама.“

Тази политика се повтаря на много други места, като например:

„Не трябва да използвате пръстови отпечатъци на устройства или локално споделени обекти (например Flash бисквитки, Browser Helper Objects, HTML5 local storage), различни от HTTP бисквитки, или пренастройваеми от потребителя идентификатори на мобилни устройства, предназначени за използване в рекламата, във връзка с продуктите на платформата на Google.“

Досега пръстовите отпечатъци бяха широко ограничени, както се вижда тук: „Google не разрешава снемането на пръстови отпечатъци.“ Или тук: „Напомняме ви, че нашите политики забраняват вземането на пръстови отпечатъци за идентификация“.

Промяната е доста драстична. Там, където преди са съществували ясни ограничения, новата политика премахва забраната (така че позволява такива употреби) и сега изисква само оповестяване.

„Трябва ясно да оповестявате всяко събиране, споделяне и използване на данни … като например използването на бисквитки, уеб маяци, IP адреси или други идентификатори. Това важи за събирането, споделянето и използването на данни на всяка платформа, напр. уеб, приложение, свързан телевизор, игрова конзола или публикация по електронна поща.“

Privacy Sandbox* и пръстови отпечатъци

По-ранните насоки на Google за защита на личните данни отразяваха силното убеждение, че мрежата трябва да дава приоритет на защитата на личните данни. Подчертавам обаче, че ако твърденията на ICO за споделяне на IP адреси от Google в рамките на екосистемата за рекламни технологии са точни, това представлява значителна промяна в политиката с критични последици за неприкосновеността на личния живот, доверието и целостта на предложените по-рано инициативи Privacy Sandbox.

Един от първоначалните елементи на тази инициатива за защита на личните данни беше предложението Gnatcatcher, сега известно като „Защита на интелектуалната собственост“. Тази инициатива имаше за цел да маскира истинските IP адреси на потребителите, като по този начин се бори и с вземането на пръстови отпечатъци – нещо, което Google сега изглежда позволява. Privacy Sandbox беше изградена върху намаляването на повърхността на пръстовите отпечатъци като основна гаранция, както е описано подробно тук:

„да помогне да се гарантира, че е трудно да се идентифицират отново значителен брой потребители в сайтове и приложения“.

Компонентите на Privacy Sandbox изрично се стремяха да ограничат пръстовите отпечатъци. Някои предложения за пясъчници за поверителност разглеждаха снемането на пръстови отпечатъци като риск, на който трябва да се обърне внимание по време на проектирането, внедряването и използването.

Собствената PR позиция на Google подчертава този фокус:

„Технологиите на пясъчника за поверителност имат за цел да направят настоящите механизми за проследяване остарели и да блокират скрити техники за проследяване, като например снемането на пръстови отпечатъци.“


Признавайки също и че:

„потребителите имат още по-малък контрол, когато доставчиците на рекламни технологии използват постоянни и неизменни идентификатори, като тези, получени въз основа на пръстови отпечатъци на устройствата, тъй като няма централно място, където потребителите да ги управляват“.

Противоречието

Корекциите в политиката на Google създават тревожно противоречие. Въпреки че IP адресите са изрично споменати, начинът, по който са формулирани изискванията за оповестяване, поражда опасения. Това ли е краят? Съобщенията на Google предполагат, че снемането на пръстови отпечатъци вече е приемливо, тъй като е обичайно в индустрията.

Google обаче не е просто участник на пазара – той е доминиращ играч. Органът за защита на конкуренцията и пазарите в Обединеното кралство вече разследва рекламните практики на Google, като се позовава на значителното ѝ влияние. Продължава ли Privacy Sandbox напред? Много от участниците в уеб сектора са предполагали, че индустрията напредва в областта на защитата на личните данни. Бяха направени инвестиции в тази посока. Сега този обрат поставя под съмнение, създавайки значителна промяна за онлайн екосистемата.

Все пак придружаващата формулировка предполага, че трябва да се използват технологии за защита на личните данни.

Технологии за запазване на неприкосновеността на личния живот или преструвка[2]?

Google твърди, че използването на технологии за запазване на неприкосновеността на личния живот (PETs) ще намали рисковете. Въпреки това, поне в момента, тази увереност не звучи убедително. PETs са значими само ако прилагането им е ясно и надеждно. Дори хеширането на IP адрес с MD5 теоретично би могло да бъде обозначено като ПЕТ, въпреки че би било крайно недостатъчно.

Въпреки че Google твърди, че ще си сътрудничи с по-широката рекламна индустрия, проблемът се крие в несигурността. След като новата политика влезе в сила, може да се предположи, че ще бъдат използвани широк набор от сигнали – не само такива, базирани на устройства, като IP адреси и конфигурации на браузъри, но и поведенчески отпечатъци. Тогава изведнъж, да речем през 2030 г., ще се събудим в един много различен свят от този през 2018 г.

Резюме

Тези промени противоречат на целите на Privacy Sandbox. Google трябва да обясни как този обрат съответства на предишната ѝ комуникация за ангажираност с поверителността на потребителите.

Ако приемем, че твърденията на ICO са точни, обявените промени бележат отклонение от целите на Google за защита на личните данни, като потенциално обръщат дългата и последователна тенденция за подобряване на защитата на личните данни на потребителите. Макар че е възможно да се използват пръстови отпечатъци в съответствие със закони като GDPR на ЕС и ePrivacy, големите технологични платформи бяха поставили по-високи стандарти. Тази промяна настъпва в момент, когато изискванията за данни – подхранвани от развитието на изкуствения интелект – се засилват. 

Становището от 2024 г. на Европейския комитет по защита на данните, което потенциално позволява да се използват първоначално не толкова законно придобити данни за обучение и използване на модели на ИИ по-късно, е само едно от последните развития.

Обръщането на позицията по отношение на пръстовите отпечатъци може да отвори вратата за по-нататъшно събиране на данни, включително за изработване на динамични, генеративни реклами, задвижвани от ИИ, които са адаптирани с огромна прецизност. Всъщност за такива приложения ще са необходими нови данни.

Изследванията в областта на неприкосновеността на личния живот и защитата на данните, както и инженерната дейност, трябва да продължат да се развиват – не само като бъдеща отговорност на служителите по защита на данните, но и като приоритет за стратезите, инженерите, регулаторните органи и като интерес за репортерите и журналистите. 

Здравей 2025 г.?

[1] The Privacy Sandbox е инициатива, ръководена от Google, за създаване на уеб стандарти за уебсайтове, които да имат достъп до информация за потребителите, без да се нарушава неприкосновеността на личния живот.

[2] В оригинала се използва Handwaiving,

[0] Оригиналът е тук.

Запишете се за новини

Сферата на цифровите права има нужда от помощ всеки ден. Трудно е да пробием медийната завеса доминирана от шоу, политика и прасета. Помогнете ни като се абонирате за бюлетина ни без спам.

Понякога личните средства, които заделяме за кампании за достигане до повече хора не стигат. Ако желаете да ни подкрепите прозрачно, можете да го направите от тук.