本文轉(zhuǎn)載自公眾號(hào)“讀芯術(shù)”(ID：AI_Discovery)。

2020年6月的某一天，筆者花了13.87美元，通過流行的送餐服務(wù)Doordash點(diǎn)了杯珍珠奶茶，喜滋滋地等它到家。下單時(shí)，筆者期待著和Doordash之間小小的放縱會(huì)持續(xù)下去。

筆者并沒有明確地將這種服務(wù)與自己其他在線賬戶綁定。也許外賣騎手因此會(huì)翻白眼，也許Doordash的推薦系統(tǒng)會(huì)各種“利誘”，建議筆者在幾天內(nèi)重復(fù)訂單。但筆者認(rèn)為只是購(gòu)買不會(huì)產(chǎn)生太大的影響。

[[337908]]

但我錯(cuò)了。Doordash(以及數(shù)百家類似的公司)并不只是記錄你的每一次購(gòu)買，他們還與其他公司分享購(gòu)買數(shù)據(jù)，這些公司利用這些數(shù)據(jù)來定向投放廣告，F(xiàn)acebook就是其中一家公司。

當(dāng)具有里程碑意義的加州消費(fèi)者隱私法 (CCPA)于1月1日生效時(shí)，它為加州居民提供了一個(gè)前所未有的法律工具，能以此詢問大公司收集的有關(guān)他們的信息。這包括那些特別希望自己的活動(dòng)不被發(fā)現(xiàn)的公司，比如Clearview AI.。

但是CCPA也創(chuàng)造了一個(gè)新而有趣的公司隱私策略——讓消費(fèi)者沉浸在信息中。根據(jù)這部 從7月1日開始實(shí)施的法律，CCPA會(huì)是一筆可怕的罰款，很容易就會(huì)給大公司帶來數(shù)百萬甚至數(shù)十億美元的損失。面對(duì)這種風(fēng)險(xiǎn)，一些公司似乎在想：“如果我們讓消費(fèi)者接觸到幾乎所有的信息，我們就不可能被指控違反CCPA，對(duì)吧?”

結(jié)果就是，消費(fèi)者現(xiàn)在可以訪問包括Facebook在內(nèi)的幾家大公司的海量數(shù)據(jù)轉(zhuǎn)儲(chǔ)。要獲得你自己的信息只需登錄Facebook.com/your_information，點(diǎn)擊下載信息，然后按照說明操作。通常在幾分鐘內(nèi)，你就會(huì)被邀請(qǐng)下載一個(gè)巨大的壓縮文件，里面有Facebook知道的關(guān)于你的所有信息。

[[337909]]

圖源：unsplash

沒錯(cuò)，就是全部信息。筆者的數(shù)據(jù)轉(zhuǎn)儲(chǔ)是461兆字節(jié)，它包含了筆者在Facebook上發(fā)的每一個(gè)帖子，上傳到這個(gè)平臺(tái)上的每一張照片，評(píng)論的每一件事，喜歡的每一件事，筆者的所有視頻，和朋友的對(duì)話等等。

Facebook收集了所有這些數(shù)據(jù)并不是什么新鮮新聞了，我們都知道Facebook對(duì)我們所做的一切都了如指掌。在對(duì)美國(guó)參議院的訪問中，馬克·扎克伯格甚至明確表示，公司了解你一切的原因是：“我們運(yùn)營(yíng)廣告。”

但親眼看到自己的整個(gè)線上生活在充滿HTML文檔的小文件夾中排列在面前，仍然是令人震驚的。還有一個(gè)有趣的=小文件夾，藏在Facebook的海量數(shù)據(jù)存檔中，標(biāo)記著your_off-facebook_activity(一個(gè)只有程序員才會(huì)喜歡的目錄名)。這個(gè)文件夾包含了所有在其他地方提供過你活動(dòng)數(shù)據(jù)給Facebook的公司列表。

用Facebook自己的話說，這些數(shù)據(jù)捕捉了“企業(yè)和組織與我們分享的活動(dòng)的概要，關(guān)于你與他們的互動(dòng)，比如訪問他們的應(yīng)用程序或網(wǎng)站。”這包括“打開一個(gè)應(yīng)用程序，通過Facebook登錄一個(gè)應(yīng)用程序，查看內(nèi)容，搜索商品，將商品添加到購(gòu)物車購(gòu)買商品和捐款。”

如果你在無數(shù)的電子商務(wù)網(wǎng)站上買了一件東西，為政治競(jìng)選捐款，使用了幾百個(gè)參與應(yīng)用程序中的任意一個(gè)，或者，像我這樣，買了非常昂貴的珍珠奶茶，F(xiàn)acebook很有可能知道這些。他們用這些信息做什么?這很清楚，它的存在就是為了“向你展示更多相關(guān)的廣告”，“幫助你發(fā)現(xiàn)新的交易和品牌”等等。

對(duì)筆者來說，F(xiàn)acebook收集它所能得到的所有數(shù)據(jù)并不奇怪。但令人驚訝的是，有多少筆者認(rèn)識(shí)以及信任的公司愿意把這些數(shù)據(jù)交給他們。

通過閱讀自己的“非Facebook數(shù)據(jù)頁面”，筆者發(fā)現(xiàn)自己的清單中包含了從交手過的大公司(如Sprint和Airbnb)，到新聞網(wǎng)站(如紐約時(shí)報(bào)和彭博社)，醫(yī)療供應(yīng)商(LabCorp)，慈善機(jī)構(gòu)(碳基金)。

筆者記得在谷歌上搜索的時(shí)候找到了一個(gè)管道工，其網(wǎng)站是Mr. Rooter，他也在名單上;還有Fitbit和Welltory等健康應(yīng)用，以及當(dāng)?shù)氐纳虡I(yè)網(wǎng)站，比如筆者經(jīng)常光顧的兩個(gè)城鎮(zhèn)外的一家披薩店?？偣灿?000多家外部公司向Facebook提供了筆者的活動(dòng)信息。

[[337910]]

圖源：unsplash

點(diǎn)擊每個(gè)公司，筆者都能看到他們提供的數(shù)據(jù)摘要。這些交易的許多細(xì)節(jié)都因籠統(tǒng)而模糊不清。Facebook為每個(gè)數(shù)據(jù)點(diǎn)列出了一個(gè)“事件類型”字段，大多數(shù)都有其通用的名稱自定義“CUSTOM”。

根據(jù)事件類型很容易確定Facebook記錄了什么。例如，在查看Doordash條目時(shí)，筆者發(fā)現(xiàn)有幾件事被記錄為購(gòu)買“PURCHASE”，每一個(gè)都有時(shí)間標(biāo)記。筆者把這些和送貨單進(jìn)行了對(duì)比，這就是筆者如何發(fā)現(xiàn)珍珠奶茶訂單從Doordash進(jìn)入了Facebook上關(guān)于筆者生活的巨大數(shù)據(jù)庫(kù)。

這些訂單確實(shí)是作為一個(gè)購(gòu)買事件記錄在筆者的Facebook數(shù)據(jù)中，由Doordash分享的。它的時(shí)間顯示是6月9日下午2:13，這正是筆者下“Doordash”訂單的時(shí)間，而且與在Doordash應(yīng)用程序中訪問到的訂單歷史記錄完全吻合。

Facebook再次展示了它收集的數(shù)據(jù)，但所顯示的問題比它所回答的問題更多。Facebook關(guān)閉活動(dòng)頁面表示，“出于技術(shù)和準(zhǔn)確性方面的原因，我們不會(huì)顯示收到的所有活動(dòng)信息，也不會(huì)顯示您添加到購(gòu)物車中的商品等細(xì)節(jié)。”

[[337911]]

圖源：unsplash

不顯示出來，但是他們會(huì)收集嗎?我們不得而知，所以筆者決定找出答案。筆者用Doordash提交了一份CCPA申請(qǐng)，但沒有得到批準(zhǔn)。于是筆者啟動(dòng)Chrome瀏覽器，開始使用瀏覽器開發(fā)工具進(jìn)行網(wǎng)絡(luò)監(jiān)控(它會(huì)記錄瀏覽器發(fā)送和接收的所有原始數(shù)據(jù))，為發(fā)送到Facebook的數(shù)據(jù)設(shè)置了一個(gè)過濾器，進(jìn)入Doordash的網(wǎng)站，并創(chuàng)建了一個(gè)全新的帳戶。

從第一次點(diǎn)擊開始，筆者就被Facebook正在收集的東西震撼了。當(dāng)從一個(gè)頁面瀏覽到另一個(gè)頁面，完成創(chuàng)建賬戶的過程時(shí)，Doordash會(huì)不斷向Facebook發(fā)送活動(dòng)的詳細(xì)更新。其中包括注冊(cè)了一個(gè)賬戶，第一次登錄的時(shí)刻，以及在Doordash網(wǎng)站上瀏覽的每一個(gè)頁面。

同樣，這是一個(gè)全新的Doordash賬戶。筆者沒有使用Facebook賬戶登錄Doordash，也沒有做過任何將兩項(xiàng)服務(wù)鏈接起來的事情。Doordash完全是在筆者不知情的情況下自愿將數(shù)據(jù)分享給Facebook。

為了更深入地了解，筆者決定重現(xiàn)那次珍珠奶茶購(gòu)買，這一次筆者將監(jiān)視全過程。這是早餐時(shí)間，所以筆者決定找一杯奶昔而不是茶。筆者瀏覽網(wǎng)頁找到了當(dāng)?shù)匾患颐麨閂italityBowls的餐館。在筆者這么做的同時(shí)，Doordash殷勤地將筆者每次行動(dòng)的數(shù)據(jù)發(fā)送到Facebook。

筆者看到了一款喜歡的奶昔(the TropicalParadise™售價(jià)7.49美元)，于是點(diǎn)擊來了解更多。Doordash將這個(gè)點(diǎn)擊發(fā)送到Facebook。它甚至包括了點(diǎn)擊的商品的名稱，以及它鏈接到的商店(VitalityBowls Dublin)。

這一次筆者能清楚地看到他們發(fā)送了什么。它包括商店的標(biāo)識(shí)符、奶昔本身的ID、購(gòu)買價(jià)格、Doordash購(gòu)物車和訂單的ID、購(gòu)買數(shù)量、使用的貨幣，以及筆者是新顧客這一事實(shí)。發(fā)送到Facebook的大量數(shù)據(jù)令人震驚—筆者購(gòu)物經(jīng)歷的每一步，包括個(gè)人點(diǎn)擊和確切花費(fèi)，這些數(shù)據(jù)都被記錄下來并實(shí)時(shí)分享。

Doordash將筆者購(gòu)買奶昔的數(shù)據(jù)片段發(fā)送到Facebook。用紅色標(biāo)注的潛在識(shí)別信息是筆者的隱私 | 圖源:Thomas S

再次強(qiáng)調(diào)，Doordash并不是唯一一家將數(shù)據(jù)發(fā)送到Facebook的公司。許多其他公司也分享了購(gòu)買數(shù)據(jù)。例如，Sprint公司在筆者購(gòu)買新手機(jī)前后就在Facebook上記錄了購(gòu)買記錄。

其他公司也以某種可以理解的形式提供了購(gòu)買之外的數(shù)據(jù)。例如，當(dāng)在Facebook網(wǎng)站上瀏覽內(nèi)容(VIEWED CONTENT)時(shí)，有幾個(gè)消息來源告訴Facebook。Welltory，一款健康應(yīng)用，在我升級(jí)(LEVELED UP)的時(shí)候被分享。

然后是所有這些用戶(CUSTOM)記錄。使用相同的瀏覽器數(shù)據(jù)監(jiān)控技術(shù)，筆者也許可以確定其中許多數(shù)據(jù)意味著什么。然而，CCPA可能有一個(gè)更簡(jiǎn)單的方法。筆者可以簡(jiǎn)單地向筆者感興趣的每家公司提交請(qǐng)求，并可能準(zhǔn)確確定他們向Facebook發(fā)送了哪些“客戶”數(shù)據(jù)。

值得稱贊的是，F(xiàn)acebook非常清楚他們?yōu)槭裁匆占愕乃袛?shù)據(jù)。而且它們讓訪問所有與Facebook相關(guān)的活動(dòng)的大量存檔變得相對(duì)便易，這至少可以讓你知道哪些公司正在發(fā)送哪些類別的數(shù)據(jù)，即使具體細(xì)節(jié)是模糊的。

它們應(yīng)該包括更多(比如被記錄的確切數(shù)據(jù))，但它確實(shí)提供了一個(gè)開端，而且它們的許多數(shù)據(jù)收集工作都是公開的。

其他與公司分享信息的組織可能會(huì)對(duì)信息泄露感到不滿，有些人甚至沒有意識(shí)到他們?cè)贔acebook上發(fā)送了什么。今年早些時(shí)候，當(dāng)因違反其隱私政策被指控共享數(shù)據(jù)時(shí)，Zoom做出了這一聲明(Doordash的隱私政策承認(rèn)它與第三方共享數(shù)據(jù)，但沒有特別提到Facebook)。

一些公司可能正在發(fā)送他們不應(yīng)該發(fā)送的數(shù)據(jù)。Facebook有禁止發(fā)送敏感數(shù)據(jù)的政策，比如醫(yī)療或財(cái)務(wù)記錄。但當(dāng)一切都被貼上“CUSTOM”標(biāo)簽時(shí)，就不可能知道其是否遵守了這些政策。

這就是CCPA該發(fā)揮作用的地方。如果你想知道是誰向Facebook發(fā)送了你的數(shù)據(jù)，確切地說，他們給你發(fā)送了什么，現(xiàn)在你可以找到答案了。首先，使用我上面描述的過程，從Facebook獲取你自己的海量數(shù)據(jù)。然后，梳理一下Facebook以外的活動(dòng)區(qū)域，看看是誰向他們發(fā)送了你的信息。

最后，向每個(gè)公司提交一個(gè)CCPA申請(qǐng)，要求詳細(xì)說明他們是如何共享你的數(shù)據(jù)的，以及共享的目的是什么。如果你住在加州，你的要求將得到法律的支持。但許多大公司也在將CCPA擴(kuò)展到該州以外的客戶，所以即使你不是加州人也有可能得到回復(fù)。

如果你對(duì)公司的反饋不滿意，或者覺得他們?cè)陔[瞞數(shù)據(jù)，那就去找律師。自從該法律于7月1日生效以來，一些公司正在受理CCPA的案件。根據(jù)消費(fèi)者保護(hù)律師Mike Cardoza的說法，他的公司已經(jīng)開始受理CCPA的案件，律師們“經(jīng)常以集體訴訟的形式起訴這些案件，這是阻止公司不當(dāng)行為的一個(gè)好方法。”

作為消費(fèi)者，CCPA和其他隱私法給了我們一個(gè)前所未有的權(quán)限來訪問我們自己的數(shù)據(jù)。但只有當(dāng)我們積極保護(hù)自己的隱私，了解誰在收集關(guān)于我們的數(shù)據(jù)，以及為什么收集數(shù)據(jù)時(shí)，這些法律才會(huì)起作用。

[[337912]]

圖源：unsplash

這需要大量的工作，誰會(huì)愿意花幾個(gè)小時(shí)在一個(gè)巨大的壓縮文件模糊角落里梳理，或者在原始的HTTP請(qǐng)求中搜索，以找到寥寥無幾的個(gè)人信息呢?但如果我們想確保我們的網(wǎng)絡(luò)生活受到保護(hù)，我們就需要投入工作。

所以，卷起你的袖子，抓起你自己的Facebook數(shù)據(jù)檔案，開始挖掘吧。如果發(fā)現(xiàn)了一些令人驚訝或擔(dān)憂的事情，請(qǐng)使用CCPA或你權(quán)力范圍內(nèi)的其他法律來跟進(jìn)。只有通過采取這些步驟來提高透明度并獲取信息，我們才能讓自己知道大公司對(duì)我們了解多少，以及他們?cè)诟嬖V誰。