2020年6月的某一天,笔者花了13.87美元,通过流行的送餐服务Doordash点了杯珍珠奶茶,喜滋滋地等它到家。下单时,笔者期待着和Doordash之间小小的放纵会持续下去。
笔者并没有明确地将这种服务与自己其他在线账户绑定。也许外卖骑手因此会翻白眼,也许Doordash的推荐系统会各种“利诱”,建议笔者在几天内重复订单。但笔者认为只是购买不会产生太大的影响。
但我错了。Doordash(以及数百家类似的公司)并不只是记录你的每一次购买,他们还与其他公司分享购买数据,这些公司利用这些数据来定向投放广告,Facebook就是其中一家公司。
当具有里程碑意义的加州消费者隐私法 (CCPA)于1月1日生效时,它为加州居民提供了一个前所未有的法律工具,能以此询问大公司收集的有关他们的信息。这包括那些特别希望自己的活动不被发现的公司,比如Clearview AI.。
但是CCPA也创造了一个新而有趣的公司隐私策略——让消费者沉浸在信息中。根据这部 从7月1日开始实施的法律,CCPA会是一笔可怕的罚款,很容易就会给大公司带来数百万甚至数十亿美元的损失。面对这种风险,一些公司似乎在想:“如果我们让消费者接触到几乎所有的信息,我们就不可能被指控违反CCPA,对吧?”
结果就是,消费者现在可以访问包括Facebook在内的几家大公司的海量数据转储。要获得你自己的信息只需登录Facebook.com/your_information,点击下载信息,然后按照说明操作。通常在几分钟内,你就会被邀请下载一个巨大的压缩文件,里面有Facebook知道的关于你的所有信息。
图源:unsplash
没错,就是全部信息。笔者的数据转储是461兆字节,它包含了笔者在Facebook上发的每一个帖子,上传到这个平台上的每一张照片,评论的每一件事,喜欢的每一件事,笔者的所有视频,和朋友的对话等等。
Facebook收集了所有这些数据并不是什么新鲜新闻了,我们都知道Facebook对我们所做的一切都了如指掌。在对美国参议院的访问中,马克·扎克伯格甚至明确表示,公司了解你一切的原因是:“我们运营广告。”
但亲眼看到自己的整个线上生活在充满HTML文档的小文件夹中排列在面前,仍然是令人震惊的。还有一个有趣的=小文件夹,藏在Facebook的海量数据存档中,标记着your_off-facebook_activity(一个只有程序员才会喜欢的目录名)。这个文件夹包含了所有在其他地方提供过你活动数据给Facebook的公司列表。
用Facebook自己的话说,这些数据捕捉了“企业和组织与我们分享的活动的概要,关于你与他们的互动,比如访问他们的应用程序或网站。”这包括“打开一个应用程序,通过Facebook登录一个应用程序,查看内容,搜索商品,将商品添加到购物车购买商品和捐款。”
如果你在无数的电子商务网站上买了一件东西,为政治竞选捐款,使用了几百个参与应用程序中的任意一个,或者,像我这样,买了非常昂贵的珍珠奶茶,Facebook很有可能知道这些。他们用这些信息做什么?这很清楚,它的存在就是为了“向你展示更多相关的广告”,“帮助你发现新的交易和品牌”等等。
对笔者来说,Facebook收集它所能得到的所有数据并不奇怪。但令人惊讶的是,有多少笔者认识以及信任的公司愿意把这些数据交给他们。
通过阅读自己的“非Facebook数据页面”,笔者发现自己的清单中包含了从交手过的大公司(如Sprint和Airbnb),到新闻网站(如纽约时报和彭博社),医疗供应商(LabCorp),慈善机构(碳基金)。
笔者记得在谷歌上搜索的时候找到了一个管道工,其网站是Mr. Rooter,他也在名单上;还有Fitbit和Welltory等健康应用,以及当地的商业网站,比如笔者经常光顾的两个城镇外的一家披萨店。总共有1000多家外部公司向Facebook提供了笔者的活动信息。
图源:unsplash
点击每个公司,笔者都能看到他们提供的数据摘要。这些交易的许多细节都因笼统而模糊不清。Facebook为每个数据点列出了一个“事件类型”字段,大多数都有其通用的名称自定义“CUSTOM”。
根据事件类型很容易确定Facebook记录了什么。例如,在查看Doordash条目时,笔者发现有几件事被记录为购买“PURCHASE”,每一个都有时间标记。笔者把这些和送货单进行了对比,这就是笔者如何发现珍珠奶茶订单从Doordash进入了Facebook上关于笔者生活的巨大数据库。
这些订单确实是作为一个购买事件记录在笔者的Facebook数据中,由Doordash分享的。它的时间显示是6月9日下午2:13,这正是笔者下“Doordash”订单的时间,而且与在Doordash应用程序中访问到的订单历史记录完全吻合。
Facebook再次展示了它收集的数据,但所显示的问题比它所回答的问题更多。Facebook关闭活动页面表示,“出于技术和准确性方面的原因,我们不会显示收到的所有活动信息,也不会显示您添加到购物车中的商品等细节。”
图源:unsplash
不显示出来,但是他们会收集吗?我们不得而知,所以笔者决定找出答案。笔者用Doordash提交了一份CCPA申请,但没有得到批准。于是笔者启动Chrome浏览器,开始使用浏览器开发工具进行网络监控(它会记录浏览器发送和接收的所有原始数据),为发送到Facebook的数据设置了一个过滤器,进入Doordash的网站,并创建了一个全新的帐户。
从第一次点击开始,笔者就被Facebook正在收集的东西震撼了。当从一个页面浏览到另一个页面,完成创建账户的过程时,Doordash会不断向Facebook发送活动的详细更新。其中包括注册了一个账户,第一次登录的时刻,以及在Doordash网站上浏览的每一个页面。
同样,这是一个全新的Doordash账户。笔者没有使用Facebook账户登录Doordash,也没有做过任何将两项服务链接起来的事情。Doordash完全是在笔者不知情的情况下自愿将数据分享给Facebook。
为了更深入地了解,笔者决定重现那次珍珠奶茶购买,这一次笔者将监视全过程。这是早餐时间,所以笔者决定找一杯奶昔而不是茶。笔者浏览网页找到了当地一家名为VitalityBowls的餐馆。在笔者这么做的同时,Doordash殷勤地将笔者每次行动的数据发送到Facebook。
笔者看到了一款喜欢的奶昔(the TropicalParadise™售价7.49美元),于是点击来了解更多。Doordash将这个点击发送到Facebook。它甚至包括了点击的商品的名称,以及它链接到的商店(VitalityBowls Dublin)。
这一次笔者能清楚地看到他们发送了什么。它包括商店的标识符、奶昔本身的ID、购买价格、Doordash购物车和订单的ID、购买数量、使用的货币,以及笔者是新顾客这一事实。发送到Facebook的大量数据令人震惊—笔者购物经历的每一步,包括个人点击和确切花费,这些数据都被记录下来并实时分享。
再次强调,Doordash并不是唯一一家将数据发送到Facebook的公司。许多其他公司也分享了购买数据。例如,Sprint公司在笔者购买新手机前后就在Facebook上记录了购买记录。
其他公司也以某种可以理解的形式提供了购买之外的数据。例如,当在Facebook网站上浏览内容(VIEWED CONTENT)时,有几个消息来源告诉Facebook。Welltory,一款健康应用,在我升级(LEVELED UP)的时候被分享。
然后是所有这些用户(CUSTOM)记录。使用相同的浏览器数据监控技术,笔者也许可以确定其中许多数据意味着什么。然而,CCPA可能有一个更简单的方法。笔者可以简单地向笔者感兴趣的每家公司提交请求,并可能准确确定他们向Facebook发送了哪些“客户”数据。
它们应该包括更多(比如被记录的确切数据),但它确实提供了一个开端,而且它们的许多数据收集工作都是公开的。
其他与公司分享信息的组织可能会对信息泄露感到不满,有些人甚至没有意识到他们在Facebook上发送了什么。今年早些时候,当因违反其隐私政策被指控共享数据时,Zoom做出了这一声明(Doordash的隐私政策承认它与第三方共享数据,但没有特别提到Facebook)。
一些公司可能正在发送他们不应该发送的数据。Facebook有禁止发送敏感数据的政策,比如医疗或财务记录。但当一切都被贴上“CUSTOM”标签时,就不可能知道其是否遵守了这些政策。
这就是CCPA该发挥作用的地方。如果你想知道是谁向Facebook发送了你的数据,确切地说,他们给你发送了什么,现在你可以找到答案了。首先,使用我上面描述的过程,从Facebook获取你自己的海量数据。然后,梳理一下Facebook以外的活动区域,看看是谁向他们发送了你的信息。
最后,向每个公司提交一个CCPA申请,要求详细说明他们是如何共享你的数据的,以及共享的目的是什么。如果你住在加州,你的要求将得到法律的支持。但许多大公司也在将CCPA扩展到该州以外的客户,所以即使你不是加州人也有可能得到回复。
如果你对公司的反馈不满意,或者觉得他们在隐瞒数据,那就去找律师。自从该法律于7月1日生效以来,一些公司正在受理CCPA的案件。根据消费者保护律师Mike Cardoza的说法,他的公司已经开始受理CCPA的案件,律师们“经常以集体诉讼的形式起诉这些案件,这是阻止公司不当行为的一个好方法。”
作为消费者,CCPA和其他隐私法给了我们一个前所未有的权限来访问我们自己的数据。但只有当我们积极保护自己的隐私,了解谁在收集关于我们的数据,以及为什么收集数据时,这些法律才会起作用。
这需要大量的工作,谁会愿意花几个小时在一个巨大的压缩文件模糊角落里梳理,或者在原始的HTTP请求中搜索,以找到寥寥无几的个人信息呢?但如果我们想确保我们的网络生活受到保护,我们就需要投入工作。
所以,卷起你的袖子,抓起你自己的Facebook数据档案,开始挖掘吧。如果发现了一些令人惊讶或担忧的事情,请使用CCPA或你权力范围内的其他法律来跟进。只有通过采取这些步骤来提高透明度并获取信息,我们才能让自己知道大公司对我们了解多少,以及他们在告诉谁。[本文转载自公众号“读芯术”(ID:AI_Discovery)]
守护网络边界,精选上网行为审计软件推荐
随着互联网的高速发展,企业正面临着越来越复杂的网络安全挑战。上网行为审计软件是一种重要的网络安全管理工具,能够实时监控并记录网络活动,助力企业快速识别和应对潜在的安全威胁。本文将推荐一些优秀的上网行为审计软件,以帮助您维护公司的网络安全。一、上网行为审计软件的重要性依据网络行为数据的记录与分析,上网行为审计软件能够实现...
网络安全准入系统作用!安企神网络准入系统为您保驾护航
在数字化转型浪潮的推动下,企业的网络环境愈发复杂,网络安全威胁也随之增加。为了确保企业网络的安全和稳定,建立一套高效可靠的网络安全准入系统显得十分重要。今天,我们向大家推荐一款备受信赖的网络安全解决方案——安企神软件网络安全准入系统。一、安企神软件网络准入系统概述安企神软件网络安全准入系统是一种先进的网络安全方案,其目...
远程监控电脑桌面怎么设置?
随着远程办公与团队协作的日益普及,对远程监控电脑桌面的需求也在不断增加。通过远程监控,管理者能够实时掌握员工的工作状态,从而保障团队协作的顺畅进行。那么,如何进行远程监控电脑桌面的设置呢?以下是一份详细的指南,帮助您轻松实现远程监控功能。一、使用Windows自带的远程桌面连接(RDP)1.在被监控的电脑上启用远程桌面...
局域网管理软件,打造高效安全的企业网络环境
在数字办公逐渐普及的年代,如何高效安全地管理企业的局域网早已成为每个企业的关键话题。安企神局域网管理软件因其强大的功能和出色的安全性能,已成为很多企业的首选工具。一、全面提高局域网管理效率安企神软件是一款面对企业的局域网管理软件,具备网络监控、设备维护、流量管理、安全防护等多种功能。它不仅能全面监控网络情况,同步更新设...
网络安全准入系统有哪些?
在如今的数字时代,企业的网络安全面临前所未有的挑战。随着内部员工、外界合作伙伴和客户使用的设备数量的增加,企业网络的安全风险也随之增加。一、什么叫网络安全准入系统?网络安全准入系统是一种通过身份验证、设备检测与对策开展的技术,以确保只有符合测试标准的设备与用户才能访问企业网络。不论是内部员工使用的设备,或是外界合作伙伴...