本文转载自公众号“读芯术”(ID:AI_Discovery)。
2020年6月的某一天,笔者花了13.87美元,通过流行的送餐服务Doordash点了杯珍珠奶茶,喜滋滋地等它到家。下单时,笔者期待着和Doordash之间小小的放纵会持续下去。
笔者并没有明确地将这种服务与自己其他在线账户绑定。也许外卖骑手因此会翻白眼,也许Doordash的推荐系统会各种“利诱”,建议笔者在几天内重复订单。但笔者认为只是购买不会产生太大的影响。
但我错了。Doordash(以及数百家类似的公司)并不只是记录你的每一次购买,他们还与其他公司分享购买数据,这些公司利用这些数据来定向投放广告,Facebook就是其中一家公司。
当具有里程碑意义的加州消费者隐私法 (CCPA)于1月1日生效时,它为加州居民提供了一个前所未有的法律工具,能以此询问大公司收集的有关他们的信息。这包括那些特别希望自己的活动不被发现的公司,比如Clearview AI.。
但是CCPA也创造了一个新而有趣的公司隐私策略——让消费者沉浸在信息中。根据这部 从7月1日开始实施的法律,CCPA会是一笔可怕的罚款,很容易就会给大公司带来数百万甚至数十亿美元的损失。面对这种风险,一些公司似乎在想:“如果我们让消费者接触到几乎所有的信息,我们就不可能被指控违反CCPA,对吧?”
结果就是,消费者现在可以访问包括Facebook在内的几家大公司的海量数据转储。要获得你自己的信息只需登录Facebook.com/your_information,点击下载信息,然后按照说明操作。通常在几分钟内,你就会被邀请下载一个巨大的压缩文件,里面有Facebook知道的关于你的所有信息。
图源:unsplash
没错,就是全部信息。笔者的数据转储是461兆字节,它包含了笔者在Facebook上发的每一个帖子,上传到这个平台上的每一张照片,评论的每一件事,喜欢的每一件事,笔者的所有视频,和朋友的对话等等。
Facebook收集了所有这些数据并不是什么新鲜新闻了,我们都知道Facebook对我们所做的一切都了如指掌。在对美国参议院的访问中,马克·扎克伯格甚至明确表示,公司了解你一切的原因是:“我们运营广告。”
但亲眼看到自己的整个线上生活在充满HTML文档的小文件夹中排列在面前,仍然是令人震惊的。还有一个有趣的=小文件夹,藏在Facebook的海量数据存档中,标记着your_off-facebook_activity(一个只有程序员才会喜欢的目录名)。这个文件夹包含了所有在其他地方提供过你活动数据给Facebook的公司列表。
用Facebook自己的话说,这些数据捕捉了“企业和组织与我们分享的活动的概要,关于你与他们的互动,比如访问他们的应用程序或网站。”这包括“打开一个应用程序,通过Facebook登录一个应用程序,查看内容,搜索商品,将商品添加到购物车购买商品和捐款。”
如果你在无数的电子商务网站上买了一件东西,为政治竞选捐款,使用了几百个参与应用程序中的任意一个,或者,像我这样,买了非常昂贵的珍珠奶茶,Facebook很有可能知道这些。他们用这些信息做什么?这很清楚,它的存在就是为了“向你展示更多相关的广告”,“帮助你发现新的交易和品牌”等等。
对笔者来说,Facebook收集它所能得到的所有数据并不奇怪。但令人惊讶的是,有多少笔者认识以及信任的公司愿意把这些数据交给他们。
通过阅读自己的“非Facebook数据页面”,笔者发现自己的清单中包含了从交手过的大公司(如Sprint和Airbnb),到新闻网站(如纽约时报和彭博社),医疗供应商(LabCorp),慈善机构(碳基金)。
笔者记得在谷歌上搜索的时候找到了一个管道工,其网站是Mr. Rooter,他也在名单上;还有Fitbit和Welltory等健康应用,以及当地的商业网站,比如笔者经常光顾的两个城镇外的一家披萨店。总共有1000多家外部公司向Facebook提供了笔者的活动信息。
图源:unsplash
点击每个公司,笔者都能看到他们提供的数据摘要。这些交易的许多细节都因笼统而模糊不清。Facebook为每个数据点列出了一个“事件类型”字段,大多数都有其通用的名称自定义“CUSTOM”。
根据事件类型很容易确定Facebook记录了什么。例如,在查看Doordash条目时,笔者发现有几件事被记录为购买“PURCHASE”,每一个都有时间标记。笔者把这些和送货单进行了对比,这就是笔者如何发现珍珠奶茶订单从Doordash进入了Facebook上关于笔者生活的巨大数据库。
这些订单确实是作为一个购买事件记录在笔者的Facebook数据中,由Doordash分享的。它的时间显示是6月9日下午2:13,这正是笔者下“Doordash”订单的时间,而且与在Doordash应用程序中访问到的订单历史记录完全吻合。
Facebook再次展示了它收集的数据,但所显示的问题比它所回答的问题更多。Facebook关闭活动页面表示,“出于技术和准确性方面的原因,我们不会显示收到的所有活动信息,也不会显示您添加到购物车中的商品等细节。”
图源:unsplash
不显示出来,但是他们会收集吗?我们不得而知,所以笔者决定找出答案。笔者用Doordash提交了一份CCPA申请,但没有得到批准。于是笔者启动Chrome浏览器,开始使用浏览器开发工具进行网络监控(它会记录浏览器发送和接收的所有原始数据),为发送到Facebook的数据设置了一个过滤器,进入Doordash的网站,并创建了一个全新的帐户。
从第一次点击开始,笔者就被Facebook正在收集的东西震撼了。当从一个页面浏览到另一个页面,完成创建账户的过程时,Doordash会不断向Facebook发送活动的详细更新。其中包括注册了一个账户,第一次登录的时刻,以及在Doordash网站上浏览的每一个页面。
同样,这是一个全新的Doordash账户。笔者没有使用Facebook账户登录Doordash,也没有做过任何将两项服务链接起来的事情。Doordash完全是在笔者不知情的情况下自愿将数据分享给Facebook。
为了更深入地了解,笔者决定重现那次珍珠奶茶购买,这一次笔者将监视全过程。这是早餐时间,所以笔者决定找一杯奶昔而不是茶。笔者浏览网页找到了当地一家名为VitalityBowls的餐馆。在笔者这么做的同时,Doordash殷勤地将笔者每次行动的数据发送到Facebook。
笔者看到了一款喜欢的奶昔(the TropicalParadise™售价7.49美元),于是点击来了解更多。Doordash将这个点击发送到Facebook。它甚至包括了点击的商品的名称,以及它链接到的商店(VitalityBowls Dublin)。
这一次笔者能清楚地看到他们发送了什么。它包括商店的标识符、奶昔本身的ID、购买价格、Doordash购物车和订单的ID、购买数量、使用的货币,以及笔者是新顾客这一事实。发送到Facebook的大量数据令人震惊—笔者购物经历的每一步,包括个人点击和确切花费,这些数据都被记录下来并实时分享。
Doordash将笔者购买奶昔的数据片段发送到Facebook。用红色标注的潜在识别信息是笔者的隐私 | 图源:Thomas S
再次强调,Doordash并不是唯一一家将数据发送到Facebook的公司。许多其他公司也分享了购买数据。例如,Sprint公司在笔者购买新手机前后就在Facebook上记录了购买记录。
其他公司也以某种可以理解的形式提供了购买之外的数据。例如,当在Facebook网站上浏览内容(VIEWED CONTENT)时,有几个消息来源告诉Facebook。Welltory,一款健康应用,在我升级(LEVELED UP)的时候被分享。
然后是所有这些用户(CUSTOM)记录。使用相同的浏览器数据监控技术,笔者也许可以确定其中许多数据意味着什么。然而,CCPA可能有一个更简单的方法。笔者可以简单地向笔者感兴趣的每家公司提交请求,并可能准确确定他们向Facebook发送了哪些“客户”数据。
值得称赞的是,Facebook非常清楚他们为什么要收集你的所有数据。而且它们让访问所有与Facebook相关的活动的大量存档变得相对便易,这至少可以让你知道哪些公司正在发送哪些类别的数据,即使具体细节是模糊的。
它们应该包括更多(比如被记录的确切数据),但它确实提供了一个开端,而且它们的许多数据收集工作都是公开的。
其他与公司分享信息的组织可能会对信息泄露感到不满,有些人甚至没有意识到他们在Facebook上发送了什么。今年早些时候,当因违反其隐私政策被指控共享数据时,Zoom做出了这一声明(Doordash的隐私政策承认它与第三方共享数据,但没有特别提到Facebook)。
一些公司可能正在发送他们不应该发送的数据。Facebook有禁止发送敏感数据的政策,比如医疗或财务记录。但当一切都被贴上“CUSTOM”标签时,就不可能知道其是否遵守了这些政策。
这就是CCPA该发挥作用的地方。如果你想知道是谁向Facebook发送了你的数据,确切地说,他们给你发送了什么,现在你可以找到答案了。首先,使用我上面描述的过程,从Facebook获取你自己的海量数据。然后,梳理一下Facebook以外的活动区域,看看是谁向他们发送了你的信息。
最后,向每个公司提交一个CCPA申请,要求详细说明他们是如何共享你的数据的,以及共享的目的是什么。如果你住在加州,你的要求将得到法律的支持。但许多大公司也在将CCPA扩展到该州以外的客户,所以即使你不是加州人也有可能得到回复。
如果你对公司的反馈不满意,或者觉得他们在隐瞒数据,那就去找律师。自从该法律于7月1日生效以来,一些公司正在受理CCPA的案件。根据消费者保护律师Mike Cardoza的说法,他的公司已经开始受理CCPA的案件,律师们“经常以集体诉讼的形式起诉这些案件,这是阻止公司不当行为的一个好方法。”
作为消费者,CCPA和其他隐私法给了我们一个前所未有的权限来访问我们自己的数据。但只有当我们积极保护自己的隐私,了解谁在收集关于我们的数据,以及为什么收集数据时,这些法律才会起作用。
图源:unsplash
这需要大量的工作,谁会愿意花几个小时在一个巨大的压缩文件模糊角落里梳理,或者在原始的HTTP请求中搜索,以找到寥寥无几的个人信息呢?但如果我们想确保我们的网络生活受到保护,我们就需要投入工作。
所以,卷起你的袖子,抓起你自己的Facebook数据档案,开始挖掘吧。如果发现了一些令人惊讶或担忧的事情,请使用CCPA或你权力范围内的其他法律来跟进。只有通过采取这些步骤来提高透明度并获取信息,我们才能让自己知道大公司对我们了解多少,以及他们在告诉谁。
