#码力全开·技术π对#谷歌的 PrivacySandbox 在限制应用跨域跟踪时

谷歌的 Privacy Sandbox 提出了一系列隐私保护机制，旨在在减少用户跨域跟踪的同时，维持广告生态系统的有效性。其中，FLoC（Federated Learning of Cohorts）和 Trust Tokens 是两种关键技术，它们通过不同的方式来实现这一目标。

FLoC 的核心思想是将具有相似浏览行为的用户群体聚类为“群组”，而非追踪单个用户。每个用户的浏览器在本地计算其所属的群组标识，该标识会周期性更新并仅保留有限时间，且不会暴露

具体个体行为数据：

// 获取当前用户的 Interest Cohort
const cohort = await document.interestCohort();
console.log(`User cohort: ${cohort.id}`);

这样广告系统可以基于群组特征投放广告，而无法识别或追踪特定用户身份，从而降低了跨域 Cookie 和指纹追踪的必要性。

Trust Tokens 则用于验证用户请求是否来自“合法上下文”，防止滥用行为但不泄露身份信息。例如，在防止机器人时，网站可向客户端发放加密的信任令牌，该令牌可在后续请求中使用，而无需依赖第三方 Cookie：

fetch('https://publisher.com/issue-token', {
  method: 'POST',
  trustToken: { type: 'token-request' }
});

这些技术共同构成了 Privacy Sandbox 的隐私保护基础：通过去中心化、匿名聚合和安全验证机制，在限制跨域追踪的同时支持合理的广告与安全需求。

谷歌的 Privacy Sandbox 通过Federated Learning of Cohorts（FLoC）和Trust Tokens实现跨域跟踪限制下的隐私保护：

• FLoC（联邦学习 cohorts）：基于用户浏览器本地的浏览行为数据，通过联邦学习技术将具有相似兴趣的用户划分为匿名 “群组”（如 “健身爱好者”“科技产品关注者”），广告商仅能针对群组投放广告，而非追踪个体。用户数据全程存储于设备本地，且群组每周动态更新，同时系统会自动规避敏感类别（如种族、健康）的分组，避免长期固定标签对隐私的威胁。
• Trust Tokens（信任令牌）：通过加密令牌实现跨站点身份验证，替代传统 Cookie。用户访问网站时，浏览器生成匿名令牌用于验证 “真人身份” 以对抗欺诈，但令牌不包含个人信息。广告主仅能通过令牌确认用户所属的 “潜在兴趣群体”（由用户主动行为生成，如点击过某类商品），而非追踪具体浏览轨迹，从而在保障广告有效性的同时，切断跨域数据关联路径。

两者均以 “匿名群组” 和 “最小化数据暴露” 为核心，通过技术设计避免用户个体被唯一标识，平衡隐私保护与数字广告生态的可持续性。

谷歌的 ​Privacy Sandbox​ 旨在平衡广告效果与用户隐私保护，通过替代传统跨域跟踪技术（如第三方Cookie）的方案来限制用户数据的滥用。其中，​Federated Learning of Cohorts (FLoC)​ 和 ​Trust Tokens​ 是两项关键技术，以下是它们如何保护用户隐私的机制：

​1. Federated Learning of Cohorts (FLoC)​

​目标​：将用户分组到具有相似兴趣的“群组”（Cohorts）中，而非单独跟踪个人。

​隐私保护机制​：

• ​群组代替个体​​：

• FLoC 通过分析用户本地浏览行为（如访问的网站内容），将用户分配到数千个群组之一（例如“体育爱好者”或“旅行爱好者”）。
• 广告商只能看到群组ID，而非个人身份或具体浏览历史。

• ​本地计算​​：

• 群组分类在用户设备本地完成，行为数据不会上传到谷歌服务器，避免集中式数据收集。

• ​动态更新与模糊性​​：

• 群组定期更新（如每周），且群组规模足够大（至少几千人），降低个体被识别的风险。

• ​敏感类别排除​​：

• 排除健康、性别等敏感兴趣的群组分类，防止歧视性广告投放。

​争议与改进​​：
FLoC 因潜在指纹风险（群组ID可能与其他数据结合识别用户）被批评，谷歌后续推出了 ​​Topics API​ 作为替代，进一步限制数据粒度。

​2. Trust Tokens​

​目标​：区分真实用户与机器人，同时避免跨站跟踪。

​隐私保护机制​：

• ​匿名身份验证​​：

• 网站A（如新闻网站）可向谷歌认证的用户发放加密的“Trust Token”，但令牌不包含用户身份信息。
• 用户访问网站B（如电商）时，B可通过验证令牌确认用户真实性（非机器人），但无法关联到A站的行为。

• ​无跨域关联​​：

• 令牌设计上无法用于跨站点跟踪，仅证明用户可信度（如“人类用户”或“非垃圾邮件发送者”）。

• ​短期有效性​​：

• 令牌有生命周期限制，减少长期跟踪的可能性。

​共同隐私优势​

1. ​数据最小化​​：

• 两者均限制数据暴露，FLoC 提供群体数据而非个体，Trust Tokens 仅传递二进制信任状态。

2. ​去中心化处理​​：

• 关键计算在设备端完成，减少数据集中存储的风险。

3. ​对抗指纹识别​​：

• 通过群组（FLoC）或令牌（Trust Tokens）降低个体唯一标识符的生成可能性。

​与第三方Cookie的对比​

​潜在挑战​

• ​​FLoC​​：群组可能通过组合其他数据（如IP地址）被逆向识别。
• ​​Trust Tokens​​：依赖发行者（如谷歌）的信任模型，需防止滥用。

​总结​

Privacy Sandbox 通过 ​FLoC​（群组化兴趣）和 ​Trust Tokens​（匿名身份验证）将隐私保护嵌入技术设计，核心思想是：

• ​​减少个体数据暴露​​（用群组代替个人）。
• ​​本地化数据处理​​（避免集中式追踪）。
• ​​限制跨域关联​​（防止构建用户画像）。

尽管仍需实践验证，这些方案代表了从“跟踪个人”向“隐私保护设计”的范式转变。

Google 的 Privacy Sandbox 是一组旨在保护用户隐私的提案和技术，其中 Federated Learning of Cohorts (FLoC) 和 Trust Tokens 是用于替代第三方 Cookie、限制跨域跟踪的重要技术。它们如何保护用户隐私如下：

• Federated Learning of Cohorts (FLoC)：

• FLoC 通过浏览器在本地计算用户的兴趣群体（cohort），将用户归类到一个具有相似兴趣的大群体中。
• 网站只能获取该群体 ID 而无法识别个体用户，从而实现去个性化广告定向。
• 用户身份和浏览行为不会被上传到服务器，计算过程在本地完成，降低了跨站追踪风险。

• Trust Tokens：

• Trust Tokens 允许网站验证用户是否为“可信”用户（如非机器人、高价值用户），而无需透露用户身份。
• 浏览器可以在不泄露用户标识的前提下，向服务器出示由其他可信方签发的 token。
• 它可用于防止滥用行为（如刷量、垃圾评论），同时避免使用持久化标识符进行跨域追踪。

这两种机制都强调在不暴露用户个体信息的前提下实现广告与安全功能，是 Privacy Sandbox 中保护隐私的核心技术之一。