Когда браузеры взялись за cookie, некоторые предположили, что отпечаток — хитрый способ обойти правила. Регуляторы приватности ясно дали понять, что нет. Отпечаток трактуется как технология отслеживания, как любая другая.
Почему это считали лазейкой
Правила о cookie хорошо известны: во многих регионах сайт должен спросить согласие, прежде чем использовать cookie для отслеживания. Cookie хранятся на вашем устройстве, поэтому правило часто описывают в терминах «хранения или доступа к информации». Отпечаток не хранит ничего — он читает признаки, которые ваш браузер и так раскрывает — поэтому он выглядел, для некоторых, как находящийся вне правила.
Что закон на самом деле говорит
Регуляторы прямо закрыли это рассуждение. Соответствующий принцип на самом деле не о cookie как объектах; он об отслеживании людей. Руководства европейских органов по защите данных прямо заявили, что отпечаток, используемый для идентификации или отслеживания пользователя, подпадает под те же требования согласия, что и cookie. Критерий — цель, отслеживание человека, а не конкретный технический метод.
Отпечаток может быть персональными данными
Есть второй слой. По широким законам о приватности вроде GDPR информация, которая может выделить отдельного человека, является персональными данными, и отпечаток, достаточно характерный, чтобы узнавать кого-то между визитами, может квалифицироваться. Это влечёт обязательства: законное основание для обработки, прозрачность об этом и уважение прав людей на их данные.
Почему это важно
Практический эффект в том, что «перейти от cookie к отпечатку» — не стратегия соответствия. Сайту, отслеживающему пользователей по отпечатку, обычно нужно то же согласие и та же прозрачность, что нужны были бы для cookie. Правоприменение и руководства продолжают развиваться, но направление установлено: метод не меняет обязательства.
Вывод
Отпечаток устройства — не юридическое слепое пятно. Регуляторы приватности трактуют его как отслеживание, оцениваемое по цели, а не технике, и характерный отпечаток сам может быть персональными данными. Правила следуют за тем, что делается с людьми — а не за тем, какая технология это делает.