Lusket sporingsteknologi kan styre uden om EU's cookiekaos

Device fingerprinting er sværere for brugerne at beskytte sig mod end cookies – og måske er teknikken slet ikke omfattet af EU’s regler.

Mens der er bred enighed om, at den nuværende såkaldte cookiebekendtgørelse ikke virker efter hensigten, så er en anden og langt mere diskret sporingsteknologi måske slet ikke omfattet af den lovgivning, der i dag bevirker, at hjemmesider skal gøre tydeligt opmærksom på brugen af cookies.

Læs også: Bred afvisning: Cookieregler et flop

Device fingerprinting kaldes den, og det er en metode, som kan identificere brugernes computere helt uden at skrive de små tekstfiler, kaldet cookies, ned på maskinen. Teknologien fungerer ved at registrere oplysninger om fonte, browsertype, plug-ins i browsere, skærmopløsning og så fremdeles. Oplysningerne kan kombineres og bruges til at skabe et unikt ‘fingeraftryk’ af brugerens udstyr. Fingeraftrykket kan så lagres i en database og bruges til at genkende en maskine (pc, tablet, smartphone) ved en anden lejlighed.

Reelt altså det samme, som ­cookies bliver brugt til. Dog med den forskel, at der ikke bliver skrevet oplysninger til brugerens udstyr.

Selve cookiebekendtgørelsen er trods navnet teknologineutral og omfatter som udgangspunkt forskellige teknologier til identificering af brugere på nettet. Men for at lovgivningen finder anvendelse, skal der i udgangspunktet være tale om, at der enten bliver lagret oplysninger i brugerens udstyr, eller at allerede lagrede oplysninger bliver tilgået.

På vej mod fælles forståelse

Den danske myndighed på området, Erhvervsstyrelsen, kan på nuværende tidspunkt ikke oplyse, hvorvidt teknologier som device fingerprinting er omfattet af bekendtgørelsen.

»Vi taler med myndighederne i de øvrige EU-lande for at få en fælles forståelse for, hvordan vi tolker det her,« siger kontorchef i Erhvervsstyrelsen Brian Wessel, som forventer at kunne komme med en nærmere udmelding til foråret.

Professor i it-ret ved Københavns Universitet Henrik Udsen kalder det en gråzone i forhold til, hvorvidt skærmopløsning, fonte og lignende kan betragtes som lagrede oplysninger i denne sammenhæng.

»Det er det springende punkt. Man kan ikke læse ud af direktivet, hvad man har tænkt på. Da man skrev det, har man nok ikke haft det i tankerne,« siger Henrik Udsen.

»Men ud fra en formålsbetragtning synes jeg, det peger i retning af, at det også kan være omfattet af bekendtgørelsen,« siger han.

Mens de europæiske myndigheder finder ud af, hvordan de skal forholde sig til device fingerprinting, så er teknologien allerede i brug flere steder. Det fortæller post.doc. ved KU Leuven-universitetet i Belgien Nick Nikiforakis, som har forsket i området.

Han forklarer, at det kan være svært for brugerne at vide, om det bliver sporet via denne teknologi, netop fordi der ikke bliver sat tydelige spor på deres maskine:

»På sin vis er det mere invaderende end med cookies. En bruger kan klikke på et par dialoger og se, hvilke cookies et website bruger.«

På mobile enheder er det dog sværere at identificere brugere med device fingerprinting, fordi de mobile browsere er mindre unikke, påpeger Nick Nikiforakis.

Device fingerprinting er generelt ikke helt så præcist som cookies til at identificere klienter unikt. En undersøgelse fra 2010 foretaget af Elec­tronic Frontier Foundation baseret på én type implementering af device fingerprinting viste en genkendelse på op til 94,2 procent af 470.161 browsere, såfremt klienten havde Flash eller Java aktiveret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Adam Tulinius

Der har været links til https://panopticlick.eff.org/ en fantasillion gange i debatterne på V2.

.. men mere fokus er vel ok. Nyheden burde så bare være, at en eller anden kontorchef har hørt om problemstillingen.

Ud over det synes jeg det er fjollet at snakket om lovgivning på området. Selvfølgelig burde det være ulovligt at tracke brugere på denne måde, men det er jo fuldstændig håbløst at finde ud af om en webside gør det, eller ej, og eftersom der i forvejen er ganske mange helt banale love som vi i Danmark ikke kan sørge for bliver overholdt, er det ganske håbløst at gøre noget som helst ved det her.

  • 5
  • 1
Jesper Lund

Her er et spørgsmål til EU Kommissionen om tracking baseret på MAC adresse, som bruges en del steder, f.eks. Københavns Lufthavn eller i dette tilfælde (spørgsmålet) skraldespande i London
http://www.europarl.europa.eu/sides/getDoc.do?type=WQ&reference=E-2013-0...

Kommissionen svarer at det er omfattet af cookie (e-privacy) direktivet og persondatadirektivet
http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=E-2013-00...

(Links breaker på V2 så copy-paste til browseren).

If this technology involves the collection of personal data or impinges upon individual's privacy, it must comply with the national provisions implementing the data protection directive and ePrivacy Directives respectively (95/46/EC and 2002/58/EC). The article 29 Working Party has confirmed that the combination of the unique MAC address and the calculated location of a WiFi access point should be treated as personal data(1). Article 9 of the ePrivacy Directive requires user consent to collect his/her location data. The Commission is not in a position to infer whether users may find benefits from customised adverts.

The Commission does not have information about the number of companies that use Presence Orb's or equivalent technology.

Article 5.3 of the ePrivacy Directive requires users' informed consent to track users by either storing information (such as an identifier) or accessing information stored in their terminal equipment, including mobile phones. This provision, updated in 2009, provides a high level of privacy protection.

I forhold til e-privacy direktivet er der tale om adgang til oplysninger i brugerens terminaludstyr (MAC eller anden fingerprinting), og der behandles personoplysninger.

Ud fra svaret fra EU Kommissionen lyder det altså ikke som om at man kan styre uden om borgernes privatlivsbeskyttelse på denne måde.

P.S. 95/46/EC er persondatadirektivet, mens 2002/58/EC er e-privacy direktivet der indeholder "cookie" bestemmelserne.

  • 0
  • 0
Martin Wolsing

Det er præcis en sådan oprustning man kan forvente. EU blokerer cookies, branchen finder på noget andet. EU blokerer dette, og branchen finder på noget tredje. Og sådan kører den.

Resultatet er, at vi til sidst SLET IKKE har nogen mulighed for selv at styre det. Det kunne vi trods alt med cookies, som vi bare kunne slå fra i browseren.

  • 0
  • 0
Log ind eller Opret konto for at kommentere