由欧洲各国数据保护监管机构组成的团体Article 29 Working Party就网站和广告商应该如何对用户进行追踪以及需要如何获得用户的许可发表了新的意见。新的意见指出，采用“设备指纹识别”——一种被用来悄无声息 地收集用户信息的手段——同样需要取得用户的同意，如同目前在网络上被广泛用来追踪用户的cookie一样。

“希望从用户的终端设备采集设备指纹的一方需要获得用户的明确同意（除非存在豁免的情形），”Article 29 Working Party表示。

这意味着某些网站，包括谷歌、Facebook和微软在内，需要向用户显示某种通知提醒，而不是像目前这样试图绕开“向用户提示使用cookie”的政策。

“Article 29 Working Party明确表示，公司不得在没有取得用户明确同意的情况下，采用隐蔽手法通过用户的设备对他们进行追踪，”开放权利组织执行董事吉姆·克罗克（Jim Killock）说道。“为用户建立档案并据此提供个人化内容和广告信息的行为明确被归于电子隐私和数据保护法的监管和约束之下。”

隐秘的追踪

此前，欧洲法律只涵盖了对cookie进行收集的行为，并没有给予设备指纹识别收集方面以同样的监管。现行法律要求公司在取得了用户明确的同意之后才能在用户的计算机上保存自定义设置数据以及标识数据片段。

这就是为什么用户在访问来自英国的网站时，总会在网站上方或下方看到“要求用户同意使用cookie”的信息提示，或者告诉用户目前所访问的网站将会用到cookie，继续使用表示用户已经知晓该行为。

自从对cookie进行监管的法律于2012年生效之后，网络公司就一直在寻找不依赖cookie就能够对用户进行追踪的方法。每个联网设备都会以不同形式描述自己，进而帮助网站和服务以适当方式提供所请求的信息，例如适合在智能手机屏幕上观看的网页或者适合在智能电视上播放的视频流。

小片段信息不能作为特定设备的唯一标示符，但是如果将上述信息与设备指纹相结合，虽然在大多数情形下也不是完全独一无二，但是可以连同其他数据（如网络连接）来对用户进行识别。

广告

用户在网络上播放、浏览、购买以及观看时会留下各种信息，像谷歌、微软和Facebook这类公司通过收集几乎一切此类信息来对用户进行追踪，这些信息主要被用作广告目的。

对于科技公司来说，设备指纹相对于cookie的优势之一就是用户很难阻止此类信息的传播。而用户却能够很容易通过浏览器设置来阻止cookie被保存在他们的系统中。

而为了避免设备指纹被收集，用户所需采取的步骤相当繁琐，包括使用Tor一类的匿名工具。

现在，Article 29明确表示，他们的工作就是围绕设备指纹来制订法律，新的法律将会对此加强监管并且保护用户隐私。

“许多公司在如何使用它们消费者的数据方面几乎完全不透明，”克罗克说道。“这些偷偷摸摸的行为正在激增，因此，Article 29的工作至关重要，他们将会划出一条明确的界线。”

最终，对设备指纹的监管职责将会归于每个国家的个人数据监管部门。

“信息专员办公室（LCO）对此一向有着明确的态度，那些适用于cookie的法律也同样适用于类似技术。本周，Article 29的观点获得接纳，LCO在起草工作中扮演了关键角色，证实数字指纹也是类似技术之一，”英国数据监管部门LCO的一位发言人表示。“采集存储于用户设备上的数字指纹与采集cookie所使用的方法类似，同时也提供给采集数据的一方类似的利益。从这个角度而言，很明显适用于两者的法律应该是一样的。”

“同时值得强调的是，通过对数字指纹的收集，公司可以据此对个人进行识别，由此带来了潜在的数据保护方面的问题，”他说道。

微软、谷歌和Facebook没有立即对上述消息置评。