别傻了,谷歌永远不会给你隐私

  • 当兔子被抵制到玩不下去的时候,他们从同一顶帽子里拉出一只鸭子

第三方 cookie 正在死亡,然而,谷歌正试图创建的只是其替代品。

没有人应该为我们所知道的 cookie 的死亡而哀悼。二十多年来,第三方cookie一直是网络上一个阴暗、肮脏、价值数十亿美元的监控行业的支柱;逐步淘汰跟踪 cookie 和其他持久性的第三方身份标识是早就应该的。然而,随着广告行业基础设施的转变,其最大的参与者决心 “峰回路转”。

谷歌正带头用一套新的技术来取代第三方 cookie,以便继续在网络上进行定位追踪。而谷歌的一些建议表明,它并没有从监视资本主义商业模式被持续反击的战斗中吸取任何正确的教训。本文将聚焦于其中一项提案,即:联合学习(FLoC),这可能是最雄心勃勃的,也可能是最有害的。

FLoC 旨在成为一种新的方式,让您的浏览器去做第三方跟踪器过去自己做的剖析:在这种情况下,将您最近的浏览活动归纳成一个行为标签,然后与网站和广告商分享。该技术将避免第三方cookie的隐私风险,但是,它会在这个过程中创造新的风险。它还可能会加剧行为定位广告的许多最严重的问题,包括歧视和掠夺性的定位。

谷歌对隐私倡导者的宣传是,一个拥有FLoC(和其他所谓的 “隐私沙盒” 元素)的世界将比我们今天的世界 “更好”,“不会有数据经纪人和广告技术巨头可以肆无忌惮地跟踪和描述”。但是,这种框架是基于一个错误的前提,即:我们必须在 “旧的追踪” 和 “新的追踪” 之间做出选择。我们不应该做这样的选择。与其重新发明追踪轮子,我们应该想象一个没有定向广告引发的无数问题的更好的世界。

我们正站在一个岔路口。身后是第三方cookie的时代,也许是网络最大的错误;在我们前面的是两种可能的未来。

其一,用户可以完全自己决定与他们选择互动的每个网站分享什么信息;没有人需要担心当您下一次打开一个标签页时,过去的浏览记录会对您不利,或者被用来操纵您。

另一种情况是,每个用户的行为作为一个标签从一个网站到另一个网站,一目了然,但对知情者来说,却有着丰富的意义。他们最近的历史记录,被提炼成多个片段,并与参与每个网页服务的几十个神秘角色分享。用户在每一次互动时,都会以告白开始:“这是我本周的全部行为,请相应地对待我”。

用户和倡导者必须拒绝 FLoC 和其他重塑行为定位的错误尝试。呼吁谷歌放弃FLoC,并将其努力转向建立一个真正方便用户的网络

什么是FLoC?

2019年,谷歌提出了所谓的隐私沙盒概念,声称是对未来网络隐私的 “愿景”。该项目的中心是一套无cookie的协议,尤其是旨在满足目前第三方cookie为广告商提供的无数用例。谷歌将其建议提交给了网络标准制定机构W3C,在那里,这些建议主要在网络广告业务组中进行了讨论,该机构主要由广告技术供应商组成。

在这几个月的时间里,谷歌和其他广告商已经提出了几十项以鸟类为主题的技术标准: PIGIN, TURTLEDOVE, SPARROW, SWAN, SPURFOWL, PELICAN, PARROT… 认真地说,每一个 “鸟” 的提案都是为了实现定向广告生态系统中的一个功能,而这个功能目前是由Cookie来完成的。

FLoC 旨在帮助广告商在没有第三方cookies的情况下继续进行行为跟踪定位。启用FLoC的浏览器会收集用户的浏览习惯信息,然后使用这些信息将用户分配到一个 “群组”或 “队列” 里。具有类似浏览习惯的用户将被归入同一群组。每个用户的浏览器将与网站和广告商共享一个群组/队列ID,表明他们属于哪个群体。根据该提案,至少有几千名用户应该属于某个群组/队列(尽管这不是确定的)。

如果这听起来很密集,可以这样想:您的 FLoC ID 就像您最近在网络上的所有活动的简明摘要。

谷歌的概念证明了使用每个用户访问的网站的域名作为将人们分组的基础;然后,它使用一种名为 SimHash 的算法来创建分组。SimHash 可以在每个用户的机器上本地计算,所以不需要中央服务器来收集行为数据。但是,中央管理员可以在执行隐私保证方面发挥作用。为了防止任何一个群组太小(即 太具有可识别性),谷歌建议中央管理员可以统计分配给每个群组的用户数量。如果任何一个群组太小,它们可以与其他类似的群组合并,直到每个群组有足够的用户。

根据该提案,大部分的具体内容还没有定论。规范草案指出,用户的群组ID将通过 Javascript 提供,但目前还不清楚是否会对谁能访问它有任何限制,或者是否会以任何其他方式共享ID。

FLoC 还可以基于URL或页面内容而不是域来执行聚类;它也可以使用基于联合学习的系统(正如FLoC的名字所暗示的那样)来代替 SimHash 生成组。目前也不清楚到底会有多少个可能的组。谷歌的实验中使用了8位的组群标识符,这意味着只有256个可能的群组。但是在实践中,这个数字可能会更高;文档中建议使用由4个十六进制字符组成的16位 cohort ID。群组越多,就越具体;更长的 cohort ID意味着广告商可以了解更多关于每个用户的具体兴趣,并更容易对每个人进行指纹识别。

有一件事是指定的,那就是持续时间。FLoC 群组将每周重新计算一次,每次都使用前一周的浏览数据。这使得FLoC群组作为长期身份标识的作用不大,但是,也使其成为衡量用户在一段时间内行为方式的更有力的措施。

新的隐私问题

FLoC 是想要将监视资本主义的基础设施 即 行为监控定位广告,包装成 “隐私保护未来” 的一部分,完全可想而知,其核心设计继续涉及与广告商分享监视用户的数据。它只是在制造新的隐私风险。

1、指纹跟踪

第一个问题是指纹跟踪。浏览器指纹是指从用户的浏览器中收集许多离散的信息,为该浏览器创建一个独特的、稳定的身份标识。EFF的 Cover Your Tracks 项目展示了这一过程是如何运作的:简而言之,您的浏览器与他人的浏览器在外观或行为上的不同之处越多,就越容易留下独特的可识别性指纹。

谷歌已经承诺,绝大多数FLoC群组将由数千名用户组成,因此仅凭一个群组ID不应该将你与其他几千名像你一样的人区分开。但是,这仍然给了指纹识别者一个巨大的先机。如果追踪者从您的FLoC群组开始,它只需要将您的浏览器与其他几千人(而不是几亿人)区分开。从信息理论的角度来看,FLoC群组将包含几个比特的熵,在谷歌的概念验证试验中,高达8比特。考虑到这些信息不太可能与浏览器暴露的其他信息相关联,这些信息的效力就更大了  — — 这将使追踪者更容易为FLoC用户组合出一个独特的指纹

谷歌已经承认这是一个挑战,但承诺将解决这个问题作为其长期处理指纹问题的更广泛的 “隐私预算” 计划的一部分。听起来挺好听的,但根据其 “常见问题” 栏目,该计划是 “早期阶段的建议,还没有浏览器实践” 。与此同时,谷歌已经开始测试FLoC。

指纹追踪是出了名的难以阻止。像Safari和Tor这样的浏览器已经对追踪者进行了长达数年的消耗战,只为了减少指纹追踪的攻击面,牺牲了自己的大片功能集。缓解指纹追踪一般必需涉及修剪掉或限制不必要的熵源 — — 也就是FLoC。在想好如何处理现有的指纹追踪风险之前,谷歌不应该制造新的指纹追踪风险。

2、跨语境接触

第二个问题不太容易解释,大致可以描述为:该技术将与已经可以识别用户的追踪者分享新的个人数据。为了让FLoC对广告商有用,用户的群组必然会透露他们的行为信息。

该项目的Github页面在前面提到了这个问题:

这个API将个人的一般浏览历史记录(以及一般兴趣)的一些信息民主化,让任何选择加入的网站都能获得。…… 知道一个人的个人身份信息的网站(例如,当人们使用自己的电子邮件地址登录时)可以记录和揭示目标用户的群组同伴。这意味着有关个人兴趣的信息最终可能会被公开。

如上所述,FLoC 群组本身不应作为身份标识使用。然而,任何能够以其他方式识别用户的公司 — — 例如,通过向互联网上的网站提供 “用谷歌账户登录” 服务 — — 都能够把从FLoC中了解到的信息与用户的个人资料联系起来。

有两类信息可能以这种方式暴露出来:

A 关于浏览历史的具体信息。追踪者可以逆向设计群组分配算法,以确定属于特定群组的用户可能或肯定访问过特定的网站。

B 关于人口学或兴趣的一般信息。观察者可能会了解到,一般来说,特定群组的成员实质上很可能是某一特定类型的人。例如,一个特定的群组可能会有过多的年轻人、女性和黑人用户;另一个群组是中年共和党选民;第三个群组是LGBTQ+青年。

这意味着您所访问的每个网站在第一次接触时都能很好地了解您是什么样的人,而不需要在整个网络上跟踪您。此外,由于您的FLoC群组会随着时间的推移而更新,能够以其他方式识别您的网站也将能够跟踪您的浏览变化。请记住,FLoC群组不过是您近期浏览活动的总结。

📌 您应该有权在不同的情况下展示您身份的不同方面。如果您访问一个网站获取医疗信息,可能会信任它了解关于您的健康信息,但是,没有理由让它知道您的政治立场;同样,如果您访问一个零售网站,它不应该需要知道您最近是否阅读了抑郁症的治疗方法。FLoC 则侵蚀了这种背景分离,而是向每一个与您互动的人呈现关于您的相同的全部行为总结。

超越 “隐私”

FLoC 声称旨在防止一种非常具体的威胁,即 今天由跨语境身份标识促成的那种个性化特征分析。FLoC和其他提案的目标是避免让追踪者获取他们可以与特定人联系起来的特定信息。但是,正如我们所展示的那样,FLoC实际上只会在许多情况下*帮助追踪者*,而不是阻止追踪。即使谷歌能够对其设计进行更新并防止这些风险,定位广告的危害也并不仅仅限于侵犯隐私。FLoC的核心目标与其他公民自由声称完全矛盾。

定位广告的权力就是歧视的权力。根据定义,定位广告允许广告商接触到某些种类的人,而排除其他种类的人。定位系统可以用来决定谁可以看到哪个招聘信息或什么样的贷款报价。

多年来,定位广告的机制一直在被用于剥削、歧视和伤害。基于种族、宗教、性别、年龄、或能力的目标人群被分配歧视性广告在工作、住房和信贷等各个方面。基于信用评分历史记录或与之相关的系统性特征的定位,使得高息贷款的掠夺性广告成为可能。基于人口学、地理位置和政治派别的目标定位,有助于出于政治动机的虚假信息和压制选民的政治操纵者。所有类型的行为定位都会增加明确的诈骗风险。

谷歌、Facebook 和许多其他监视资本家看起来似乎在试图控制其目标平台的某些用途;例如,谷歌限制广告商针对 “敏感兴趣类别” 的人的能力。然而,实际效果并非如其宣称的那样;坚定的跟踪者通常可以找到变通的办法来绕避这些限制。

即使对哪些信息可以被用来针对谁拥有绝对的权力,平台也往往没兴趣防止其技术的滥用。FLoC 将使用一种无监督的算法来创建其集群。这意味着,没有人会直接控制人们如何被分组。理想情况下(仅仅对广告商而言),FLoC将创建具有有意义的行为和共同兴趣的群体。但在线行为与各种敏感特征相关  — — 性别、种族、年龄和收入等人口学数据;“五大” 人格特征;甚至心理健康数据。FLoC 很有可能也会根据这些轴线对用户进行分组。FLoC的分组也将直接反映出用户访问了与药物滥用、经济困难、或创伤幸存者有关的网站的访问情况。

谷歌提出,它可以监督系统的输出,检查是否与敏感类别有任何关联。如果发现某个群组分类与某个受保护群体的关系过于密切,管理服务器可以为算法选择新的参数,并告诉用户的浏览器重新分组。

这个解决方案听起来既是奥威尔式的,又是西西弗斯式的 — — 假设谷歌没撒谎,那将意味着为了监控FLoC群组与敏感类别的相关性,谷歌需要使用用户身份的种族、性别、宗教、年龄、健康和财务状况等数据进行大规模审计;每当它发现一个群体与这些轴线中的任何一个轴线相关性太强时,它将不得不重新配置整个算法并再次尝试,希望新版本中没有其他群组受到 “敏感类别” 的牵连。这是它需要解决的问题的一个更困难的版本,而且经常失败

在一个有FLoC的世界里,根据年龄、性别或收入水平直接锁定用户可能会更加困难。但这并不是不可能的。掌握用户辅助信息的追踪者将能够通过观察和实验了解FLoC分组的 ”含义” — — 即 它们包含什么样的人。那些有决心这样做的人仍将能够进行具体的辨别。此外,这种行为对于平台来说将比现在更难监管。任何有不良意图的广告商都将有合理的否认能力 — — 毕竟,他们 “并没有” 直接针对受保护的类别,他们只是根据行为来监视人们。而整个系统对于用户和监管者来说,将更加不透明

要阻止谷歌这样做

在FLoC和其他最初的一批提案刚推出时,EFF已经指出FLoC是 “保护隐私技术的反面教材” 。希望这些解释能够揭示FLoC的基本缺陷,使谷歌重新考虑推动它的发展。然而,谷歌仍在继续开发该系统,基本面几乎没有变化。它已经开始向广告商推销FLoC,吹嘘FLoC可以 “95%有效” 地替代基于cookie的目标定位。而从3月2日发布的 Chrome 89 开始,它正在部署这项技术进行试运行。一小部分 Chrome 用户 — — 很可能是数百万人 — — 将被分配(或已经被分配)测试该新技术。

毫无疑问,如果谷歌真的在Chrome浏览器中实施FLoC的计划,它有可能会让从中受益的广告商选择加入,而让受到伤害的用户选择退出。谷歌肯定会宣传这是 “透明度和用户控制” 的一步,这是谎言,因为它清楚地知道,绝大多数用户不会理解FLoC的工作原理,也很少有人会去关闭它。不知情的人还以为自己摆脱了邪恶的第三方cookie — — 他们不知道,事实上谷歌是帮助延长了监视资本主义的保质期,并在此过程中赚取了数十亿美元

EFF说:我们强调拒绝FLoC。这不是我们想要的世界,也不是用户应得的世界。谷歌需要从第三方追踪时代吸取正确的教训,并设计其浏览器为用户而不是为广告商工作。⚪️

Google’s FLoC Is a Terrible Idea

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据