شناسه آنلاین در GDPR چیست؟

تحلیل ماده ۴(۱) و موخره ۳۰ از GDPR نشان می‌دهد که شناساگرهای آنلاین زمانی که امکان شناسایی یک شخص حقیقی را فراهم کنند، شکل صریحی از داده‌های شخصی هستند. متن این مقررات اشاره می‌کند: «یک شناساگر می‌تواند شامل "نام، شماره شناسایی، داده‌های مکانی، یا یک شناساگر آنلاین" باشد» (GDPR، ماده ۴(۱)). موخره ۳۰ بیشتر توضیح می‌دهد که این موارد شامل داده‌هایی است که «توسط دستگاه‌ها، برنامه‌ها، ابزارها و پروتکل‌ها، مانند آدرس‌های پروتکل اینترنت، شناساگرهای کوکی یا سایر شناساگرها مانند تگ‌های شناسایی فرکانس رادیویی» ارائه می‌شوند (GDPR، موخره ۳۰).

نتایج نشان می‌دهد که به دلیل گسترش فناوری‌های دیجیتال، اهمیت شناساگرهای آنلاین به طور فزاینده‌ای افزایش یافته است. یافته‌های کلیدی از متون تجربی و راهنمایی‌های قانونی عبارتند از:

• آدرس پروتکل اینترنت (IP): آدرس‌های IP اختصاص‌یافته به دستگاه‌ها تحت GDPR به طور گسترده به عنوان داده‌های شخصی شناخته می‌شوند، زیرا می‌توانند افراد را به طور مستقیم یا غیرمستقیم شناسایی کنند.
• کوکی‌های اینترنتی: کوکی‌های پایدار می‌توانند مقادیر منحصربه‌فردی را که به فعالیت کاربر مرتبط است، ذخیره کرده و امکان پروفایل‌سازی و ردیابی را فراهم کنند. گروه کاری حفاظت از داده‌های ماده ۲۹ (WP29) کوکی‌ها را به عنوان شناساگرهای آنلاین تأیید می‌کند (نظر WP29 02/2013).
• بیکن‌ها و تگ‌های پیکسل: این سازوکارها داده‌هایی را درباره بازدید از وب‌سایت و تعاملات کاربر، اغلب در ترکیب با کوکی‌ها یا اطلاعات دستگاه، جمع‌آوری می‌کنند.
• شناساگرهای تبلیغاتی موبایل: شناسه‌های تبلیغاتی منحصربه‌فرد در گوشی‌های هوشمند، ردیابی کاربر در اپلیکیشن‌ها و وب‌سایت‌های مختلف را امکان‌پذیر می‌سازند.
• اثر انگشت دستگاه: روش‌هایی برای جمع‌آوری ویژگی‌های مرورگر و دستگاه به منظور شناسایی منحصربه‌فرد پیکربندی‌های سخت‌افزاری/نرم‌افزاری.
• تگ‌های RFID: دستگاه‌های الکترونیکی کوچکی که داده‌ها را ذخیره می‌کنند و در صورت ترکیب با سایر اطلاعات، ممکن است شناسایی را امکان‌پذیر سازند.

تجمیع این شناساگرها در طول زمان، به ویژه هنگامی که با سایر نقاط داده (مانند اطلاعات حساب کاربری، فراداده دستگاه) ترکیب می‌شود، خطر قابل توجهی برای شناسایی مجدد ایجاد می‌کند—حتی زمانی که شناساگرهای فردی به تنهایی هویت یک شخص را آشکار نمی‌کنند. این موضوع با معیار «جداسازی» که در پرونده Breyer دیوان دادگستری اروپا (CJEU) (C-582/14) مورد بحث قرار گرفت، همخوانی دارد، که مشخص کرد آدرس‌های IP پویا تحت شرایط خاصی ممکن است داده‌های شخصی محسوب شوند.

به طور خلاصه:

• شناساگرهای آنلاین تحت GDPR طیف گسترده‌ای از نشانگرهای فنی را شامل می‌شوند، از جمله اما نه محدود به آدرس‌های IP، کوکی‌ها، اثر انگشت دستگاه و تگ‌های RFID.
• این شناساگرها زمانی به عنوان داده‌های شخصی طبقه‌بندی می‌شوند که بتوانند به طور مستقیم یا غیرمستقیم منجر به تشخیص یا جداسازی یک فرد شوند.
• ترکیب شناساگرهای آنلاین با سایر نشانگرهای منحصربه‌فرد، احتمال و خطر شناسایی را افزایش می‌دهد و استراتژی‌های قوی برای انطباق و حفاظت از حریم خصوصی را ضروری می‌سازد.