Mens der er bred enighed om, at den nuværende såkaldte cookiebekendtgørelse ikke virker efter hensigten, så er en anden og langt mere diskret sporingsteknologi måske slet ikke omfattet af den lovgivning, der i dag bevirker, at hjemmesider skal gøre tydeligt opmærksom på brugen af cookies.
Læs også: Bred afvisning: Cookieregler et flop
Device fingerprinting kaldes den, og det er en metode, som kan identificere brugernes computere helt uden at skrive de små tekstfiler, kaldet cookies, ned på maskinen. Teknologien fungerer ved at registrere oplysninger om fonte, browsertype, plug-ins i browsere, skærmopløsning og så fremdeles. Oplysningerne kan kombineres og bruges til at skabe et unikt ‘fingeraftryk’ af brugerens udstyr. Fingeraftrykket kan så lagres i en database og bruges til at genkende en maskine (pc, tablet, smartphone) ved en anden lejlighed.
Reelt altså det samme, som cookies bliver brugt til. Dog med den forskel, at der ikke bliver skrevet oplysninger til brugerens udstyr.
Selve cookiebekendtgørelsen er trods navnet teknologineutral og omfatter som udgangspunkt forskellige teknologier til identificering af brugere på nettet. Men for at lovgivningen finder anvendelse, skal der i udgangspunktet være tale om, at der enten bliver lagret oplysninger i brugerens udstyr, eller at allerede lagrede oplysninger bliver tilgået.
På vej mod fælles forståelse
Den danske myndighed på området, Erhvervsstyrelsen, kan på nuværende tidspunkt ikke oplyse, hvorvidt teknologier som device fingerprinting er omfattet af bekendtgørelsen.
»Vi taler med myndighederne i de øvrige EU-lande for at få en fælles forståelse for, hvordan vi tolker det her,« siger kontorchef i Erhvervsstyrelsen Brian Wessel, som forventer at kunne komme med en nærmere udmelding til foråret.
Professor i it-ret ved Københavns Universitet Henrik Udsen kalder det en gråzone i forhold til, hvorvidt skærmopløsning, fonte og lignende kan betragtes som lagrede oplysninger i denne sammenhæng.
»Det er det springende punkt. Man kan ikke læse ud af direktivet, hvad man har tænkt på. Da man skrev det, har man nok ikke haft det i tankerne,« siger Henrik Udsen.
»Men ud fra en formålsbetragtning synes jeg, det peger i retning af, at det også kan være omfattet af bekendtgørelsen,« siger han.
Mens de europæiske myndigheder finder ud af, hvordan de skal forholde sig til device fingerprinting, så er teknologien allerede i brug flere steder. Det fortæller post.doc. ved KU Leuven-universitetet i Belgien Nick Nikiforakis, som har forsket i området.
Han forklarer, at det kan være svært for brugerne at vide, om det bliver sporet via denne teknologi, netop fordi der ikke bliver sat tydelige spor på deres maskine:
»På sin vis er det mere invaderende end med cookies. En bruger kan klikke på et par dialoger og se, hvilke cookies et website bruger.«
På mobile enheder er det dog sværere at identificere brugere med device fingerprinting, fordi de mobile browsere er mindre unikke, påpeger Nick Nikiforakis.
Device fingerprinting er generelt ikke helt så præcist som cookies til at identificere klienter unikt. En undersøgelse fra 2010 foretaget af Electronic Frontier Foundation baseret på én type implementering af device fingerprinting viste en genkendelse på op til 94,2 procent af 470.161 browsere, såfremt klienten havde Flash eller Java aktiveret.
Leave a Reply