LR 单向镜的背后:监视资本家和政府的联手一直在如何折腾你?
这里是一份手册,关于生活在目前这个世界中您需要知道的自己的处境 —— 从在线到现实。它是对这个反乌托邦世界的一个汇总,人们应该首先清楚地知道自己正在面对什么,下一步才是思考如何防御(3万字,有点长)
介绍
跟踪器隐藏在当今互联网的几乎每个角落,准确说是,现代生活中的几乎每个角落。
平均每个网页都与数十个第三方共享数据;
普通的移动应用程序也会这样做,并且许多应用程序即使您不使用它们时也会收集您的高度敏感的信息,例如位置和通话记录。
跟踪也可以进入物理世界。购物中心使用自动车牌读取器来跟踪其停车场的交通,然后与警察部门共享这些数据。
针对音乐会组织者和任何政治活动的监视使用蓝牙和WiFi信标对所在区域内的任何人进行定位。
零售商店使用面部识别来识别客户,并投放有针对性的广告….
📌 简单说,无时无刻地,您一直在被窥探、被收集、被出售,当然也同时被出卖 —— 这些数据会在任何状况下交给警察和间谍,您随时可能蹲冤狱。并且这些被收集的数据随时可能被骇客泄漏,任何恶意者都可以用它们来迫害您。
普通用户看不到这种监视背后的技术公司、数据经纪人和广告商,以及推动该监视的技术究竟是什么样。这些公司建立了一个单向镜大厅:您只能看到社交媒体反映的应用程序,网页,广告和您自己。但是在玻璃后面的阴影中,跟踪器会悄悄地记录您所做的几乎所有事。
这些跟踪器不是无所不知的,但是它们是广泛且不加区分的。他们收集和导出的数据并不完美,但是非常敏感。
本文将重点关注公司的 “第三方” 跟踪,即:用户不希望与之交互的公司收集个人信息的行为。将阐明第三方跟踪背后的技术方法和商业惯例。希望本文能够揭开第三方跟踪的基本面,说明问题的范围,并帮助人们提出反击现状的方法。
第一方与第三方跟踪
当人们使用服务时,互联网上所有科技巨头公司都会收集大量的数据,他们就是这样发财的。Facebook 知道您的朋友是谁、您 “喜欢” 什么,以及您在新闻源上阅读的内容种类;Google 知道您的想法、您想知道什么、以及任何时候的去向;亚马逊知道您购买的商品、偏好、以及您住在哪 ……
这些公司通过自己的产品和服务收集的数据称为 “第一方数据”。
这些信息可能非常敏感,并且这些公司在隐私丑闻方面有着悠久的记录。
第一方数据有时是作为隐性或显式合同的一部分收集的:“选择使用我们的服务,并且您同意让我们使用在执行操作时收集的数据”。越来越多的用户开始理解,所有免费的服务都是把你当作商品出售的。
📌 但是,即便您没有使用他们的服务,也同样会被这些寡头公司收集。
例如,Facebook 通过其无形的 “转换像素” 收集任何其他网站和应用程序上的用户信息;同样,谷歌使用位置数据来跟踪用户对实体店的访问 ……
而千千万万的其他数据中介、广告商和其他跟踪器则潜伏在您的日常网页浏览和设备使用的背景中。这就是所谓的 “第三方追踪”。如果没有经过训练的眼睛,第三方跟踪更难识别,而且几乎不可能完全避免。
他们都了解了关于您的什么
很多消费者都熟悉自己的电子设备最明目张胆的侵犯隐私的潜力。每部智能手机都是一个袖珍的GPS追踪器,通过互联网不断向未知的各方广播其位置。任何带有摄像头和麦克风的互联网连接设备都有转化为秘密窃听装置的内在风险。而风险是真实存在的:位置数据在过去曾被严重滥用。亚马逊和谷歌都曾允许员工收听他们的家庭监听设备 Alexa 和 Home 所录制的音频。而笔记本摄像头也曾被学校用来监视在家的学生。
但这些比较知名的监控渠道并不是最常见的,甚至不一定是威胁最大的。尽管我们每个人醒着的许多时间都是在电子设备的互联网连接摄像头的视野中度过的,但它们在没有用户明确意图的情况下记录任何东西的情况依旧罕见。而正如本文其余部分将显示的那样,追踪者从成千上万个不那么引人注目的数据来源中了解到的信息已经足够多了。
📌 请注意:虽然 Facebook 没有通过手机监听你,但这只是因为它已经不需要这么做。
📌 请记住:对您的隐私人权最普遍的威胁是缓慢、稳定、无情地积累有关您生活方式点点滴滴的相对平凡的数据点。这包括浏览历史、应用使用、购买和地理位置数据等等一切。
这些看似不起眼的部分可以组合成一个特别有启示性的完整图谱。追踪器将您的每一步操作的数据整合成庞大的行为档案,可以揭示政治派别、宗教信仰、性取向和性生活、种族和民族、教育水平、收入阶层、购买习惯、以及身体和心理的健康状况。
行为定位广告是利用用户的行为数据来预测他们喜欢什么,他们如何思考,以及他们可能购买什么的做法,它推动了大部分第三方跟踪行业的发展 —— 这就是监视资本主义的工作方式。虽然行为广告商有时可以获得精确的信息,但他们经常处理的是一概而论和 “聊胜于无” 的统计性猜测。
这样的结果只会让你看到完全不需要的广告。
但是,您需要知道,无论追踪者的推断是否正确,他们收集的数据都是过度侵犯性的和非常危险的,他们基于这些数据做出的任何决定都会造成具体的伤害。
第1部分:跟踪者如何将数据与具体的人联系起来?
大多数第三方跟踪是为了建立真实个人的详细档案。这意味着每次追踪者收集信息时,都需要一个标识 —— 它可以用这个身份标识将信息与特定的人联系起来。
有时,追踪者会间接地这样做:将收集到的数据与特定的设备或浏览器相关联,而这些设备或浏览器随后又可能与一个具体的人或一小部分人(如一个家庭)相关联。
为了找到具体的真实的个人,追踪者需要独特的、持久和可用的身份标识。换句话说,追踪者正在寻找:
(1) 仅指向你或你的设备的信息,
(2) 不会改变的信息,
(3) 易于访问的信息。
一些潜在的身份标识符合所有这三个要求,但追踪者仍然可以只选中这三个框中两个即可满足需求。追踪者可以将多个较弱的识别线索组合起来,创建一个强大的身份识别依据。
符合上述所有3个条件的身份标识是,比如一个名字、一个电子邮件或一个电话号码。
也可能是追踪器本身分配给你的 “名字”,比如 “af64a09c2” 或 “921972136.1561665654”。
对追踪器来说,最重要的是标识指向你,而且只指向你。
随着时间的推移,它可以建立一个足够丰富的关于被称为比如 “af64a09c2” 的人的档案 —— 此人住在哪里,他读了什么,他买了什么 —— 传统的名字是不必要的。
追踪者可以使用人工标识,比如 cookie 和移动广告ID,向用户发送有针对性的信息。而不与真实姓名挂钩的数据也同样敏感:个人信息的 “匿名” 档案几乎总是可以被链接到真实的人身上。
有些类型的标识符,如 cookie,是您使用的技术中内置的功能。其他类型的标识符(如浏览器指纹)则是由这些技术的工作方式产生的。本节将分析网络和移动应用程序中的跟踪器如何能够识别和归属数据点。
本节将描述第三方跟踪器可以使用的标识的代表性样本。本节并不意味着详尽无遗;追踪器识别用户的方法比我们希望涵盖的更多,而且随着技术的发展,新的标识方式会不断出现。下面的表格简要介绍了每一种身份标识的独特性、持久性和可用程度。
网络上的身份标识
浏览器是大多数人与网络互动的主要方式。每次您访问一个网站时,该网站上的代码就会使您的浏览器向隐藏的第三方发出几十甚至几百个请求。每个请求都包含多条信息,可以用来跟踪你。
1、请求的背后
浏览器与您所交互的网站服务器之间传输的几乎每一条数据都是以 HTTP 请求的形式进行的。基本上,您的浏览器通过向网络服务器发送一个特定的URL来请求它提供内容。
网络服务器可以用内容(如文本或图像)或简单的确认收到您的请求来回应。它也可以用 cookie 来回应,cookie 可以包含一个用于跟踪目的的唯一标识符。
您访问的每个网站都会启动几十个或几百个不同的请求。您在浏览器地址栏中看到的URL是第一个请求的地址,但在后台还会有数百个其他请求。这些请求可以用于加载图像、代码和样式,或者仅仅是为了共享数据。
URL本身包含几个不同的信息。首先是域名,比如 “nytimes.com”。这告诉您的浏览器要连接到哪个服务器。其次是路径,域名末尾的一个字符串,如 “/section/world.html”。nytimes.com 的服务器会选择如何解释该路径,但它通常会指定一个要提供的内容 —— 本例中是世界新闻部分。
最后,一些URL的结尾有 “?key1=value1&key2=value2” 形式的参数。这些参数通常带有关于请求的额外信息,包括用户进行的查询、关于页面的上下文和跟踪标识符。
URL并不是被发送到服务器的全部。还有一些HTTP头字段,其中包含有关请求的额外信息,如您的设备的语言和安全设置,“referring”、URL 和 cookies。
例如,User-Agent 头可以识别您的浏览器类型、版本和操作系统。还有关于连接的低级信息,包括IP地址和共享加密状态。
有些请求以POST数据的形式包含更多可配置的信息。POST请求是网站共享数据的一种方式,这些数据块太大或太笨重,无法容纳在URL中。它们可以包含任何内容。
其中一些信息,如URL和POST数据,是专门为每个单独的请求定制的;其他部分,如您的IP地址和任何 cookies,由您的机器自动发送。几乎所有的信息都可以用于跟踪。
上面的动图显示了直接从正常版本的 Firefox 中收集的数据。
如果您想自己检查一下也可以。所有主流的浏览器都有一个 “检查器” 或 “开发者” 模式,它允许用户查看幕后发生的事,包括所有来自特定标签页的请求。
在 Chrome 和 Firefox 中,你可以通过 Crtl+Shift+I(或Mac上的⌘+Shift+I)进入这个界面。在 “网络” 选项卡中,有一个特定页面发出的所有请求的日志,您可以点击每一个请求,查看它的去向和包含的信息。
2、身份标识自动共享
在每次请求时,一些可识别的信息都会自动共享。这是必要的,比如IP地址,这是互联网的基础协议所要求的,或者说它就是这么设计的,比如 cookies。追踪者并不需要做更多的事,只需要触发一个请求,任何请求,就可以收集这里描述的信息。
3、Cookies
第三方跟踪最常用的工具是 HTTP Cookie。Cookie 是存储在浏览器中的一小段文字,与特定的域相关联。Cookie 的发明是为了帮助网站所有者确定用户是否曾经访问过他们的网站,这使得它们成为行为跟踪的理想选择。
下面是它们的工作原理。
当您的浏览器第一次向一个域名(比如 www.facebook.com)发出请求时,服务器可以在其回复中附加一个 Set-Cookie 消息头。这将告诉您的浏览器存储网站想要的任何值 —— 例如,c_user: “100026095248544”(从作者的浏览器中提取的实际 Facebook cookie)。
以后每次您的浏览器向 www.facebook.com 提出请求时,就会把之前设置的 cookie 一起发过来。这样一来,每次 Facebook 收到请求时,它就会知道请求来自哪个个人用户或设备。
不是每一个 cookie 都是追踪器。Cookie 也是您不必每次访问网站时都要登录的原因,也是您在购物过程中离开网站时购物车不会清空的原因。Cookies 只是一种从您的浏览器到您正在访问的网站共享信息的手段。然而,它们被设计成能够携带跟踪信息,第三方跟踪是它们最臭名昭著的用途。
幸运的是,用户可以对浏览器处理 cookies 的方式进行大量控制。此外,Safari 和 Firefox 最近也开始限制他们认为是追踪器的域对第三方 cookies 的访问。
由于追踪器与阻止它们的方法之间的这种 “猫鼠游戏”,第三方追踪开始从单纯依靠 cookies 来识别用户身份转变为依靠其他标识信息。
Cookie 始终是唯一的,它们通常会持续存在,直到用户手动清除它们。在未经修改的 Chrome 浏览器版本中,跟踪器始终可以使用 Cookies,但在 Safari 和 Firefox 中,许多跟踪器不再使用第三方 Cookies。用户可以随时使用浏览器扩展程序自行阻止 Cookie。
4、IP地址
您在互联网上发出的每个请求都包含您的 IP 地址,这是一个对您的设备来说独一无二的临时标识符。
虽然它是唯一的,但它不一定是持久的:每当您移动到一个新的网络时(例如,从家里到公司再到咖啡店),您的IP地址就会改变。由于IP地址的工作方式,即使您一直连接到同一个网络,它也可能会改变。
目前广泛使用的IP地址有两种,即 IPv4 和 IPv6。世界上只有大约40亿个IPV4地址。它很老了,是曾经为只有几百家机构使用的互联网而设计的。即使如此,目前超过70%的互联网流量仍然使用 IPv4。
因此,消费者设备使用的 IPv4 地址不断被重新分配。当设备连接到互联网时,其互联网服务提供商(ISP)会给它 “租” 一个 IPv4 地址,这样,设备就可以在几个小时或几天内使用一个地址。当租约到期时,ISP可以决定延长租约或授予它一个新的IP。如果一个设备长期在同一个网络上,它的IP可能每隔几个小时就会改变一次,也可能几个月都不改变。
IPv6 地址不存在同样的稀缺性问题,它们不需要改变,但由于技术标准的隐私保护扩展,大多数设备每隔几小时或几天就会产生新的随机IPv6地址。
这意味着 IPv6 地址可用于短期跟踪或链接其他标识符,但不能作为独立的长期身份标识使用。
IP地址本身并不是完美的标识符,但如果有足够的数据,追踪者依旧可以利用它们来创建用户的长期档案,包括映射设备之间的关系。
您可以通过使用可信的 VPN 或 Tor 浏览器来隐藏您的IP地址,以防止第三方追踪者的追踪。
5、TLS状态
今天,网络上的大部分流量都是使用传输层安全性协议(TLS)加密的。任何时候你连接到一个以 “https://” 开头的URL,都是在使用TLS连接。这是一件好事。TLS和HTTPS提供的加密连接可以防止ISP、黑客和政府监视网络流量,并确保数据在到达目的地的途中不会被拦截或修改。
然而,它也为追踪者开辟了识别用户的新途径。TLS会话ID和会话记录单是有助于加快加密连接的加密标识符。当您通过HTTPS连接到服务器时,您的浏览器会与服务器启动一个新的TLS会话。
服务器可以向浏览器发送一个会话记录单,对一些共享的加密状态进行编码,而不是每次重新连接时在服务器和浏览器之间执行一个完整的加密 “握手”。下次您连接到同一台服务器时,您的浏览器就会发送会话记录单,让双方跳过握手。唯一的问题是,会话记录单可以被追踪者利用,作为唯一的身份标识。
TLS 会话跟踪是最近才在一篇学术论文中引起公众注意的,目前还不清楚它在实际中的应用有多广泛。
像IP地址一样,会话记录单总是唯一的。它们是可用的,除非用户的浏览器被配置为拒绝它们,就像Tor那样。服务器运营商通常可以配置会话记录单,以持续一个星期,但浏览器会在一段时间后重置它们。
跟踪器创建的标识符
有时,基于网络的跟踪器希望使用的标识不仅仅是IP地址(不可靠且不持久)、cookies(用户可以清除或阻止)或TLS状态(数小时或数天内失效)。为此,追踪者需要付出更多的努力。他们可以使用 JavaScript 在本地存储中保存和加载数据,或者执行浏览器指纹追踪。
1、本地存储 “Cookie” 和 IFrame
本地存储是网站在浏览器中长期存储数据的一种方式。本地存储可以帮助基于网络的文本编辑器保存您的设置,或允许在线游戏保存您的进度。与 Cookie 一样,本地存储允许第三方跟踪器在您的浏览器中创建和保存唯一标识符。
同样和 cookies 一样,本地存储中的数据也与特定的域相关联。这意味着如果 example.com 在您的浏览器中设置了一个值,只有 example.com 的网页和 example.com 的 IFrame 可以访问它。
一个 IFrame 就像网页中的一个小网页。在 IFrame 内,第三方域可以做几乎所有第一方域可以做的事。
例如,嵌入的 YouTube 视频是使用 IFrame 构建的;每次您在 YouTube 以外的网站上看到一个 YouTube 视频时,它都是在一个小页面内运行。在大多数情况下,您的浏览器把 YouTube IFrame 当作一个成熟的网页,允许它读写 YouTube 的本地存储。
当然,YouTube 使用该存储空间来保存一个唯一的 “设备标识符”,并跟踪任何嵌入视频的页面上的用户。
本地存储 “cookie” 是独一无二的,它们会一直存在,直到用户手动清除其浏览器存储。它们只适用于能够在第三方 IFrame 内运行 JavaScript 代码的追踪器。并非所有的 cookie 阻止措施都会考虑到本地存储 cookie,因此本地存储 cookie 有时可能会提供给那些正常 cookie 访问被阻止的跟踪器。
2、指纹识别
浏览器指纹是最复杂、最隐蔽的网络跟踪形式之一。浏览器指纹由一个或多个属性组成,这些属性单独或组合在一起时,可以唯一地识别单个设备上的单个浏览器。
通常情况下,进入指纹的数据是浏览器不得不暴露的东西,因为这是它与网络交互方式的一部分。这些数据包括每次浏览器访问网站时随请求发送的信息,以及通过在页面上运行 JavaScript 可以发现的属性。
例如,您的屏幕分辨率、您安装的软件的具体版本以及您的时区。浏览器向您访问的网站暴露的任何信息都可以被用来建立浏览器指纹。
📌 指纹的可靠性是一个积极研究的课题,必须在不断发展的网络技术的背景下加以衡量。然而,新技术显然增加了独特识别的可能性,使用指纹的网站数量也在增加。最近的一份报告发现,在美国人访问的前500名网站中,至少有三分之一采用了某种形式的浏览器指纹。指纹在网站上的普及率也因网站的类别不同而有很大差异。
研究人员发现画布指纹技术对浏览器识别特别有效。HTML画布是HTML5的一个功能,它允许网站在网页内部渲染复杂的图形。它被用于游戏、艺术项目以及一些最漂亮的网站。因为它是如此复杂和性能密集,所以它在每个不同的设备上的工作方式有点不同。画布指纹就是利用了这一点。
跟踪器可以创建一个用户不可见的 “画布” 元素,使用 JavaScript 渲染一个复杂的形状或一串文本,然后提取数据,了解画布上每个像素到底是如何渲染的。电脑上安装的操作系统、浏览器版本、显卡、固件版本、图形驱动程序版本和字体都会影响最终的结果。
当追踪器将多个特征结合在一起拼接成一个整体时,就能最有效地识别一个浏览器。其他特征 —— 比如您的语言、时区或浏览器设置 —— 结合起来就可以识别您的身份。这些简单的信息组合比您猜想的要有效得多。
指纹往往是独一无二的,但并不总是独一无二。一些浏览器,如 Tor,是专门设计的,因此它们的用户更有可能看起来一样,这就消除或限制了浏览器指纹的有效性。你无法通过设置来 “重置” 你的指纹。而且指纹通常可以被任何能在您的浏览器中运行 JavaScript 的第三方获得。
移动设备上的身份标识
智能手机、平板电脑和电子书阅读器的网络浏览器通常与桌面浏览器的工作方式相同。这意味着,这些类型的连接设备很容易受到上节所述的所有类型的跟踪。
📌 然而,移动设备在两个大方面有所不同。首先,用户通常需要用苹果、谷歌或亚马逊账户登录,才能充分利用设备的功能。这就将设备标识符与账户身份联系起来,使那些强大的企业行为者更容易对用户行为进行描述。
例如,为了在谷歌地图中保存您住所和工作单位的地址,您需要开启谷歌的 “网络和应用活动”,于是它就可以利用你的位置、搜索历史和应用活动来定位广告。
其次,同样重要的是,大多数人在移动设备上的大部分时间是在浏览器之外的应用程序中度过的。应用程序中的追踪器不能像基于网络的追踪器那样访问 cookies。但是,通过利用移动操作系统的工作方式,应用程序跟踪器仍然可以访问独特的标识符,让他们将具体活动与你的设备联系起来。
此外,手机 —— 特别是那些运行Android和iOS操作系统的手机 —— 可以访问一组独特的标识符,用于追踪。
在移动生态系统中,大多数跟踪都是通过第三方软件开发包SDK的方式进行的。SDK是一个代码库,应用程序开发人员可以选择将其包含在他们的应用程序中。
在大多数情况下,SDK的工作原理就像上文讨论的第三方利用的网络资源一样:它们允许第三方了解你的行为、设备和其他特征。一个想要使用第三方分析服务或为第三方广告提供服务的应用开发者从谷歌或 Facebook 等公司下载一段代码,然后将该代码包含在其应用的发布版本中。因此,第三方代码可以访问应用程序的所有数据 —— 包括在授予该应用程序的任何权限(例如位置或摄像头访问权限)之后受保护的数据。
在web上,浏览器对 “第一方” 和 “第三方” 资源进行了区分。这使得他们可以对第三方内容进行额外的限制,比如阻止他们访问浏览器的存储空间。但在移动应用中,这种区分并不存在。你不能在授予一个应用程序特权的同时,不授予其内部运行的所有第三方代码获得相同的特权。
1、电话号码
电话号码是最古老的独特数字标识符之一,也是最容易理解的标识符之一。每个号码对特定的设备来说都是独一无二的,而且号码不会经常变化。用户被鼓励分享他们的电话号码,原因多种多样(例如,账户验证、电子收据和实体店的忠诚度计划等等)。
因此,数据经纪人经常收集和出售电话号码。但是,电话号码并不容易从应用内部获取。在安卓系统上,电话号码只有被授予一定权限的应用程序中的第三方追踪者才能获得。iOS系统则完全阻止应用程序访问用户的电话号码。
电话号码是唯一且持久的身份标识,但在大多数应用中,第三方追踪者通常无法获取。
2、硬件标识符:IMSI和IMEI
每一台能够连接到移动网络的设备都会被分配一个唯一的标识符,称为国际移动用户识别码(IMSI)。IMSI号码由移动运营商分配给用户,并存储在SIM卡上,普通用户如果不更换SIM卡,就无法更改IMSI。这使得它们成为追踪的理想选择。
同样,每个移动设备的硬件中都有一个 “内置” 的国际移动设备识别号(IMEI)。您可以更换您的SIM卡和电话号码,但如果不购买新的设备,你就无法更换IMEI。
IMSI号码在你每次连接到手机信号塔时都会与手机供应商共享;当你在世界范围内移动时,你的手机会向附近的信号塔发送寻呼,以获取有关网络状态的信息。你的手机运营商可以使用这些信息来跟踪你的位置(不同程度的准确性)。这不完全是第三方跟踪,因为它是由与您有关系的手机公司实施的,但无论如何,许多用户可能没有意识到它的发生。
在手机上运行的软件和应用程序也可以访问IMSI和IMEI号码,但不那么容易。移动操作系统在权限背后锁定了对硬件标识符的访问,用户必须批准这些权限,并且以后可以撤销。例如,从 Android Q 开始,应用程序需要请求 “READ_PRIVILEGED_PHONE_STATE” 权限才能读取不可重置的ID。
在iOS上,应用程序根本不可能访问这些标识符。这使得其他标识符对于大多数基于应用的第三方追踪器来说,成为更有吸引力的选择。
与电话号码一样,IMSI和IMEI号码也是唯一且持久的,但并不容易获得,因为大多数追踪器很难访问它们。
3、广告ID
广告ID是一个长长的、随机的字母和数字组成的字符串,可以唯一地识别移动设备。广告ID不是任何技术协议的一部分,而是内置在 iOS 和 Android 操作系统中的。
手机上的广告ID类似于网络上的 cookies。广告ID不像 cookies 那样由浏览器存储并与不同网站上的追踪器共享,而是由手机存储并与不同应用中的追踪器共享。广告ID存在的唯一目的是帮助行为广告商在设备上的不同应用中链接用户活动。
与 IMSI 或 IMEI 号码不同,广告 ID 可以更改,在 iOS 上,可以完全关闭。在iOS和Android上,广告ID都是默认启用的,所有应用都可以使用,无需任何特殊权限。广告ID不会重置,除非用户手动重置。
谷歌和苹果都鼓励开发者使用广告ID进行行为特征分析,以代替IMEI或电话号码等其他标识符。
表面上看,这让用户对自己的追踪方式有了更多的控制权,因为如果用户选择,他们可以手动重置自己的标识符。然而,在实际操作中,即使用户费尽心思去重置他们的广告ID,追踪者也很容易通过使用其他标识符,如IP地址或应用内存储来识别他们的身份。
安卓的开发者政策指示追踪者不要从事这种行为,但平台没有技术保障措施来阻止这种行为。2019年2月,一项研究发现,Play商店中超过1.8万个应用违反了谷歌的政策。
广告 ID 是唯一的,默认情况下所有应用程序都可以使用。它们会一直存在,直到用户手动重置它们。这使得它们成为对诡异的追踪者来说非常有吸引力的标识符。
4、MAC地址
每个可以连接到互联网的设备都有一个硬件标识符,称为媒体访问控制(MAC)地址。MAC地址用于设置两个无线设备之间通过WiFi或蓝牙的初始连接。
各种设备都会使用MAC地址,但在移动设备上,与之相关的隐私风险更高。你通过互联网与之交互的网站和其他服务器实际上无法看到你的MAC地址,但你所在区域的任何网络设备都可以。事实上,您甚至不需要连接到网络,它就能看到你的MAC地址,在附近就足够了。
下面是它的工作原理。为了找到附近的蓝牙设备和WiFi网络,您的设备会不断地发送被称为探测请求的无线电信号。每个探测请求都包含您的设备的唯一MAC地址。如果该地区有WiFi热点,它将听到探针,并发送回自己的 “探针响应”,通过设备的MAC地址进行寻址,并提供有关如何连接的信息。
但该区域内的其他设备也能看到并拦截到探测请求。这意味着,企业可以设置无线 “信标”,静静地监听附近的MAC地址,然后利用这些数据来追踪特定设备在一段时间内的移动情况。
只要在足够多的地方设置足够多的信标,公司就可以追踪用户在商店周围或在一个城市里的移动。他们还可以识别两个人何时在同一地点,并利用这些信息建立一个社交图谱。
详细解释《在商店里,秘密监视如何跟踪你的每一步行动?》
这种跟踪方式可以通过MAC地址随机化来挫败。在探测请求中,您的设备可以编造一个新的、随机的、“欺骗性的” MAC地址,而不是共享其真实的、全球唯一的MAC地址,以便每次进行广播。这使得被动跟踪器无法将一个探测请求链接到另一个探测请求,或将它们链接到特定设备。幸运的是,最新版本的iOS和Android都默认包含MAC地址随机化功能。
MAC地址追踪对于笔记本电脑、老式手机和其他设备来说,仍然是一个风险,但行业正趋向于更多的隐私保护规范。
硬件MAC地址是全球唯一的。它们也是持久的,在设备的生命周期内不会改变。它们不容易被应用程序中的追踪器使用,但被动追踪器可以使用无线信标。由于现在许多设备默认情况下会混淆MAC地址,因此它们正在成为被动跟踪的一个不太可靠的标识符。
真实世界中的身份标识
许多电子设备的标识符可以被用户重置、混淆或关闭。但现实世界中的身份标识就不同了:开车时(包括停车时)遮住车牌是违法的,而改变脸部和指纹等生物标识符则几乎不可能。
1、车牌
每一辆车都被法律要求有一个与其现实世界身份相联系的车牌。就追踪识别而言,车牌号是最好的东西。它们很容易被发现,而且遮盖是非法的。它们不容易被改变,而且无论人们走到哪里都可以被跟踪。
自动车牌阅读器 ALPRs,是一种特殊用途的摄像头,可以自动识别和记录过往车辆的车牌号码。ALPR可以安装在固定的地点,比如繁忙的十字路口或商场停车场,也可以安装在其他车辆上,比如警车。私营公司经营ALPR,利用它们积累大量的旅客位置数据,并将这些数据卖给其他企业 —— 包括警察。
不幸的是,对于开车的人来说,ALPRs的追踪基本上是不可避免的。由于大多数ALPRs都是在公共场所运行,所以要避开这些设备本身是非常困难的。
车牌是独一无二的,任何人都可以看到车辆,而且非常持久。它们是警察和第三方追踪者收集车辆及其驾驶员数据的理想标识符。
2、面部生物识别
面孔是另一类对第三方追踪者极具吸引力的独特标识符。面孔是独一无二的,而且极不方便更改。如今遮住脸也是违法的。
具体解释见 “生物识别和如何对抗”
每个人的脸都是独一无二的,可用的,也是持久的。然而,目前的人脸识别软件有时会把不同的人混为一谈。此外,研究表明,算法在识别有色人种、女性和老年人时,更容易犯这类错误。
面部识别已经得到了广泛的部署,但我们可能才刚刚开始感受到它的影响程度。面部识别摄像头已经出现在商店、街角,以及在所谓的智能眼镜上。如果没有强有力的隐私法规,普通人几乎没有办法反击通过面部识别进行的无孔不入的追踪和剖析。
3、信用卡/借记卡
信用卡号是另一个极好的长期标识符。虽然它们可以被循环使用,但大多数人更换信用卡号码的频率并不像清除 cookie 那样频繁。此外,信用卡号与真实姓名直接挂钩,任何在交易中收到您的信用卡号的人也会收到您的法定姓名。
大多数人可能不明白的是,每一笔信用卡交易都有大量的隐藏第三方参与。如果你在当地的商店买了一个小部件,商店可能会与提供办卡服务的支付处理商签约。该交易还必须经过您的银行以及信用卡供应商的银行的验证。
支付处理商又可能雇用其他公司来验证其交易,而所有这些公司都可能收到有关购买的信息。银行和其他金融机构受到法律监管,要求他们披露用户数据的共享方式,并给予用户选择不共享的权利。然而,其他金融科技公司,如支付处理商和数据聚合商,受到的监管要少得多。
随时间的推移被关联的标识符
通常情况下,跟踪器不能依靠单一的标识符来作为与用户的稳定链接。IP地址会发生变化,人们会清除 cookie,广告ID可能会被重置,更精明的用户可能会使用一次性电话和电子邮件地址。
即便如此,跟踪者也不会放弃。他们通常会将多个身份标识组合起来,创建一个统一的档案。这样一来,当一个标识或另一个标识发生变化时,他们也不太可能失去对用户的追踪,而且随着时间的推移,他们可以将旧的标识符与新的标识符联系起来。
追踪者在这里有一个优势,因为有很多不同的方法来识别用户。如果用户清除了 Cookie,但他们的IP地址没有改变,那么将旧的 Cookie 与新的 Cookie 联系起来是轻而易举的。
如果他们从一个网络转移到另一个网络,但使用相同的浏览器,浏览器指纹可以将他们的旧会话链接到新会话。
如果他们阻止第三方 cookie,并使用难以指纹追踪的浏览器,跟踪者可以使用第一方cookie共享与TLS会话数据相结合,以建立用户行为的长期档案。
在这场猫鼠游戏中,追踪者比个人用户具有技术优势。
第二部分:跟踪网络是什么样的?
为了跟踪你,大多数跟踪公司需要说服网站或应用程序开发人员在其产品中加入自定义跟踪代码。这可不是一件小事:追踪代码可能会减慢软件的速度,惹恼用户,并引发GDPR等法律的监管。
然而,最大的追踪网络覆盖了网络和应用商店的大片区域,一直从数百万个不同的来源收集数据。在物理世界中,跟踪器可以在广告牌、零售店和商场停车场中找到。那么,追踪器是如何以及为什么如此广泛地存在呢?
软件中的跟踪:网站和应用程序
1、广告网络
第三方追踪背后的主导市场力量是广告行业,下文第三部分将讨论。因此,在线广告是数据收集的主要载体之一也就不足为奇了。
在最简单的模型中,一个单一的第三方广告网络在一些网站上提供广告。每个与广告网络合作的出版商必须在其网站上包含一小段代码,该代码将从广告服务器加载广告。
每次用户访问合作网站时,都会触发对广告服务器的请求,从而让广告服务器在用户的浏览器中设置第三方 cookies,并跟踪用户在整个网络中的活动。
同样,广告服务器可能会提供一个广告托管软件开发工具包(SDK),供移动应用开发者使用。每当用户打开使用SDK的应用时,该应用就会向广告服务器发出请求。这个请求可以包含用户设备的广告ID,从而使广告服务器能够对用户在不同应用中的活动进行描述。
实际上,在线广告生态系统更加复杂。广告交易市场为网页上的单个广告展示举办 “实时拍卖”。在这个过程中,他们可能会从其他多个第三方广告供应商那里加载代码,并可能与许多参与拍卖的潜在广告商共享每个展示的数据。您看到的每个广告可能正在与几十个跟踪器共享数据。后面将做详细介绍。
2、分析和跟踪像素
跟踪代码通常不与用户可见的任何东西相关联,比如第三方广告。在网络上,很大一部分跟踪是看不见的。这些 “跟踪像素” 被许多网络上最多产的数据收集器使用,包括谷歌分析、Facebook、亚马逊和 DoubleVerify。
当网站所有者安装第三方的跟踪像素时,他们通常会以访问第三方收集的一些数据为交换条件。例如,谷歌分析和 Chartbeat 使用像素收集信息,并为网站所有者和出版商提供关于什么样的人正在访问他们的网站的分析。
再深入一个层次,像 Facebook 这样的广告平台还提供 “转换像素”,让发布者可以跟踪自己的第三方广告获得了多少点击量。
基于网络的分析领域的最大玩家也为移动应用提供类似的服务。Google Analytics 和 Facebook 是 Android 和 iOS 上最受欢迎的两个SDK。这些服务默默地收集移动应用的用户信息,然后与应用开发者分享部分信息。
移动第三方跟踪器通过提供分析或单点登录等有用的功能来说服应用开发者安装其SDK。SDK只是应用程序开发人员添加到其项目中的大块代码。当他们编译和发布一个应用时,第三方代码就会随应用一起发布。与基于Web的工具不同,移动应用中的分析服务不需要使用 “像素” 或其他技巧来触发第三方请求。
另一类跟踪器代表广告商工作,而不是第一方网站或应用程序。这些公司与广告商合作,监测他们的广告在哪里、如何、以及向谁提供服务。他们往往不与第一方出版商合作,事实上,他们的目标是收集出版商以及用户的数据。
DoubleVerify 是最大的此类服务之一。第三方广告商在投放广告的同时注入 DoubleVerify 代码,DoubleVerify 会估计每个展示是否来自真实的人类(而不是机器人),人类是否是广告商的目标对象,以及广告周围的页面是否 “品牌安全”。
根据其隐私政策,该公司会衡量 “广告在消费者浏览器中显示的时间” 和 “广告在消费者浏览器上的显示特征”。为了做到这一切,DoubleVerify 收集了用户浏览器的详细数据;它是迄今为止网络上最大的第三方浏览器指纹来源。
它收集位置数据,包括来自其他第三方来源的数据,试图确定用户是否在广告商所瞄准的地理区域观看广告。
该领域的其他公司包括 Adobe、Oracle 和 Comscore。
3、嵌入式媒体播放器
有时,第三方跟踪器会提供用户真正想看的内容。在网络上,嵌入第三方内容对于博客和其他媒体网站来说极为常见。一些例子包括 YouTube、Vimeo、Streamable 和 Twitter 等服务的视频播放器,以及 Soundcloud、Spotify 和播客流服务的音频小部件。
这些媒体播放器几乎总是在 IFrames 中运行,因此可以访问本地存储,并能够运行任意的 JavaScript。这使得它们也非常适合追踪用户。
4、社交媒体小部件
社交媒体公司为网站提供各种服务,如 Facebook “点赞” 按钮和Twitter分享按钮。请记得 Like 和 Share 按钮可以像像素一样被用于跟踪:“按钮” 实际上是一个嵌入的图像,它触发了对社交媒体公司服务器的请求。
更复杂的小部件,如评论区,工作方式更像嵌入式媒体播放器。它们通常位于 IFrames 内部,更容易进入用户的浏览器。像媒体播放器一样,这些小部件能够访问本地存储和运行 JavaScript,以便计算浏览器指纹。
最后,最大的公司(尤其是 Facebook 和谷歌)向小公司提供账户管理服务,比如 “用谷歌登录”。这些被称为 “单点登录” 的服务对出版商有吸引力,原因有几个。比如 独立网站和应用程序可以将管理用户账户的工作卸载给大公司;用户需要记住的用户名/密码相对较少,也不需要经常经历恼人的注册/登录流程 …… 但是,对于用户来说,是要付出代价的:账户管理服务允许登录服务商作为第三方,跟踪用户在所有登录服务上的活动。登录服务是比像素等小玩意更厉害的跟踪器,因为它们迫使用户确认身份。
5、验证码
验证码是一种测试用户是不是机器人的技术。出版商在他们想要特别小心阻止自动流量的页面上安装这东西,比如注册表和可投放特别大的文件的页面。
谷歌的 ReCAPTCHA 是网络上最流行的验证码技术。每当连接到一个使用 recaptcha 的网站时,您的浏览器都会连接到一个*.google.com 域,以便加载验证码资源,并与谷歌共享所有相关的 cookies。这意味着其验证码网络是谷歌可以用来描述用户的另一个数据来源。
旧的验证码要求用户阅读乱码文字或点击比如自行车的图片,而新的 ReCAPTCHA v3 记录了 “与网站的互动”,并默默地猜测用户是否是人类。
ReCAPTCHA 脚本不会将原始的交互数据发回给谷歌。相反,它们会生成类似于行为指纹的东西,它总结了用户与页面的交互方式。
谷歌将其反馈到机器学习模型中,以估计用户是人类的可能性有多大,然后将该估计值返回给第一方网站。
除了让用户更方便之外,这个较新的系统还在两个方面给谷歌带来了好处。首先,它使大多数用户看不到 CAPTCHAS,这可能会使人们不太清楚谷歌(或任何人)正在收集他们的数据。其次,它利用谷歌庞大的行为数据集来巩固其在验证码市场的主导地位,并确保未来的任何竞争对手都需要他们自己的一部分交互数据以建立以类似方式工作的工具。
6、会话重播服务
会话重播服务是网站或应用程序所有者可以安装的工具,以便实际记录用户如何与他们的服务互动。这东西既可以在网站上操作,也可以在应用程序中操作。它们记录用户的按键、鼠标移动、点击、滑动和对页面的更改,然后允许第一方网站在事后 “重放” 个人用户的体验。
通常情况下,用户不会知道自己的行为被记录并与第三方共享。
这些令人毛骨悚然的工具带来了巨大的风险,敏感数据,如医疗信息、信用卡号码或密码,都将被记录和泄露。
会话重播服务的提供者通常会让客户自行将某些数据指定为禁区。但是对于客户来说,过滤掉敏感信息的过程是微妙的、费力的、耗时的,而且这与重放服务 “在几秒钟内就能设置好” 的承诺完全矛盾。
因此,独立审计发现,敏感数据最终依旧会出现在记录中,而会话重播服务提供商往往不能适当保护这些数据。
被动的、真实世界中的跟踪
1、WiFi热点和无线信标
许多消费类设备发出无线 “探针” 信号,许多公司安装了商业信标,在物理世界的各个角落拦截这些探针。一些设备会随机分配它们在探针中共享的唯一MAC地址设备标识符,保护自己免受被动追踪,但并不是所有设备都会这样做。而连接到开放的WiFi网络或给应用蓝牙权限,总是会让设备打开追踪。
如上所述,WiFi热点、无线信标和其他无线电设备都可以用来 “监听” 附近的设备。像 Comcast(提供 XFinity WiFi)和谷歌(在星巴克和许多其他企业中提供免费WiFi)这样的公司在世界各地都安装了WiFi热点;仅 Comcast 就拥有超过1800万个 XFinity WiFi 安装。还有几十家你可能都没听说过的公司为咖啡店、餐厅、活动和酒店提供免费WiFi。
公司还付费在现实世界的企业和公共场所安装无线信标。在零售店周围、政治集会上、竞选活动现场以及路灯杆上都安装了支持蓝牙的信标。
无线信标能够在两个层面进行跟踪。首先,也是最令人关注的,无线信标可以被动地监控设备一直发出的 “探针”。如果一个设备正在广播它的硬件MAC地址,公司就可以利用它们收集到的探针来追踪其用户在一段时间内的移动情况。
其次,当用户连接到WiFi热点或蓝牙信标时,热点或信标的控制器可以将设备的MAC地址与IP地址、Cookie 和广告ID等附加标识符连接起来。
许多WiFi热点运营商还使用登录页面来收集用户的真实姓名或电子邮件地址信息。
然后,当用户从该热点浏览网页时,运营商就可以收集所有来自用户设备的流量数据,就像ISP一样。
蓝牙信标的使用方式略有不同。手机允许应用程序在获得一定权限的情况下访问蓝牙接口。而拥有蓝牙权限的应用中的第三方追踪器可以自动连接到现实世界中的蓝牙信标,它们可以利用这些连接收集非常详细的位置数据。
值得庆幸的是,现在 iOS 和 Android 设备都默认发送带有探针的混淆MAC地址。这就避免了上述第一种、被动式的追踪方式。
但手机并不是唯一具有无线功能的设备。笔记本电脑、电子阅读器、无线耳机,甚至汽车,都经常配备蓝牙功能。
这些设备中的一些并不具备新型号的智能手机所具备的MAC随机化功能,这使得它们很容易受到被动式位置跟踪的影响。
此外,即使是具有MAC随机化功能的设备,在实际连接到无线热点或蓝牙设备时,通常也会共享静态的MAC地址。这就增加了上述第二种追踪方式的风险,即 当设备连接到公共 WiFi 网络或本地蓝牙信标时发生的风险。
2、车辆跟踪和ALPR
自动车牌读取器 ALPRs,是一种配备有检测和读取车牌能力的监视摄像头,它们还可以利用汽车的其他特征,如品牌、型号、颜色和磨损,来帮助识别汽车。
ALPR 通常由警察部门使用,但许多 ALPR 设备由私人公司拥有。这些公司不分青红皂白地收集所有车辆的数据,一旦他们掌握了这些数据,就可以把这些数据再卖给任何人:当地警察、联邦移民执法机构、私人数据聚合商、保险公司、甚至赏金猎人(私家侦探)。
不同的公司从不同的来源收集车牌数据,并将其出售给不同的受众。在美国,数字识别网络(Digital Recognition Network,简称DRN)的数据来源于全国各地数千家收车机构,并将数据出售给保险机构、私人调查员和 “资产回收” 公司。
根据 Motherboard 的调查,被DRN收集数据的绝大多数个人并没有犯罪嫌疑、也没有叫拖车。创业公司 Flock Safety提供由 ALPR 驱动的 “邻里守望” 服务(就是群众斗群众),业主可以在自己的物业上安装ALPR,以便记录和分享开车经过自己小区的所有汽车的信息。
DRN 由 VaaS International Holdings 拥有,这是一家位于沃斯堡的公司,该公司将自己标榜为 “车牌识别 (‘LPR’)和面部识别产品和数据解决方案的卓越供应商”。它还拥有 Vigilant Solutions,另一家ALPR技术的私人传播者。
Vigilant 的客户包括警察机构和私人购物中心。Vigilant 将来自全国各地数千个来源的数据汇集到一个单一的数据库中,它称之为 “PlateSearch”。数十家执法机构为访问 PlateSearch 付费。
根据EFF的研究,Vigilant 记录的大约99.5%的车牌在被扫描时与公共安全利益完全无关。
摄像头和机器视觉并不是唯一能够实现车辆跟踪的技术。被动式MAC地址跟踪也可用于跟踪车辆运动。车辆内部的电话、有时是车辆本身,都会广播包括其MAC地址在内的探测请求。战略性地放置在道路周围的无线信标可以监听这些信号。一家名为 Libelium 的公司销售一种无线信标,这种信标旨在安装在路灯上,以便跟踪附近的交通。
《路灯间谍》
3、人脸识别监视相机
人脸识别已经在一些国家的执法部门广泛部署,包括中国和英国。这具有可怕的影响:它允许大规模记录无辜者的一举一动。在中国,它不仅被用来监视和控制维吾尔族社区的成员。
媒体报道往往只关注警察部门使用人脸识别相关的公民自由危害。但是,人脸识别也已经被部署在一些私营行业中。比如 航空公司在登机前使用人脸识别来验证乘客的身份;音乐会场馆和票贩子用它来筛选音乐会的观众;零售商使用人脸识别来识别那些据说有较大购物风险的人 …… 私人保安公司出售配备了人脸识别功能的机器人,用于监控公共场所,帮助雇主掌握员工的情况。而学校甚至夏令营也用它来监视孩子们的一举一动。
大型科技公司已经开始投资于面部识别功能的支付处理,这将使他们有另一种方式将现实世界的活动与用户的在线角色联系起来。Facebook 已经申请了一项系统专利,该系统可以将人脸与社交媒体资料联系起来,以便处理支付。另外,亚马逊的实体店 “Go” 也依靠生物识别技术来追踪进入的人和他们拿走的任何东西,以便收取相应的费用。
此外,许多人认为面部识别是将定位广告带入物理世界的一种合理方式。人脸识别相机可以安装在商店、广告牌和商场中,以描述人们的行为,建立每个人的行为习惯档案,并向人们发送定位信息。
2019年1月,Walgreens 开始了一项试点计划,使用安装在冰箱门LED屏幕上的人脸识别相机。这个想法是,消费者不需要透过玻璃板看冰箱里的东西,而是可以看一个屏幕,屏幕上会显示图形,表明里面有什么。监视摄像机对站在冰箱前的人进行面部识别,图形可以动态改变,以提供针对该人的定位广告。无论 Walgreens 最终是否会在更大范围内部署这项技术,这似乎都是零售商的一个方向。
4、支付处理器和金融科技
所谓的”金融科技”,是对与金融相关的技术公司这一新兴行业的总称。数以千计的相对较新的科技公司充当了老牌金融机构和较新技术(包括跟踪和监控技术)之间的粘合剂。这些金融科技公司往往比银行等传统机构受到更少的政府监督。
支付处理商是代表其他企业接受付款的公司。因此,他们掌握了大量有关企业销售和人们购买的信息。由于大多数金融交易都涉及信用卡号码和姓名,支付处理商很容易将他们收集的数据与真实身份联系起来。
其中一些公司是纯粹的服务提供商,除了将钱从一个地方转移到另一个地方之外,不会将数据用于任何其他目的。而另一些则是建立消费者或企业的档案,然后将这些数据货币化。例如,Square 是一家为小企业生产信用卡阅读器的公司,它还利用收集到的信息向第三方提供有针对性的广告,并通过其 Square Capital 计划承保贷款。
一些金融科技公司直接向用户提供金融服务,比如 TurboTax 和 Mint 背后的 Intuit 公司。其他公司则为银行或企业提供服务。
在金融科技领域,“数据聚合商” 充当了银行和其他服务之间的中介,比如理财应用。在这一过程中,数据聚合商获得了所有通过其管道的数据,包括数百万人的账户余额、未偿还债务和信用卡交易。
此外,聚合商还经常收集消费者的用户名和密码,以便从银行提取数据。Yodlee 是该领域最大的公司之一,它将交易数据出售给对冲基金,而对冲基金则挖掘这些信息,为股市走势提供参照。
许多用户并不知道自己的数据除了用于操作他们注册的应用程序外,还被用于非常多的其他用途。
5、追踪和企业权力
许多从数据跟踪中获益最大的公司都有令人信服的方法来吸引网络开发者、应用创建者和商店经理安装他们的跟踪技术。拥有垄断权力或近乎垄断的公司斗可以利用其市场力量建立跟踪网络,监控和抑制较小的竞争对手,并利用消费者的隐私人权来获得自己的经济优势。
公司权力和公司监控在几个方面相互加强。
首先,谷歌和 Facebook 等最大的寡头公司向出版商施压,要求他们安装跟踪代码。出版商依靠世界上最大的社交网络和世界上最大的搜索引擎来推动自己网站的流量。因此,大多数出版商需要投放广告。而为了追踪他们的广告效果如何,他们别无选择,只能在自己的网站和应用上安装谷歌和 Facebook 的跟踪器。
谷歌、Facebook 和亚马逊也是第三方广告网络,共同控制着超过三分之二的市场。这意味着想要实现内容货币化的任何出版商都很难避开大平台的广告追踪代码。
其次,垂直整合的科技公司可以控制追踪市场的两个方面。谷歌管理着世界上最大的行为广告系统,它通过收集安卓手机和 Chrome 浏览器 —— 世界上最流行的移动操作系统和最流行的网络浏览器 —— 的数据来提供动力。与同行的操作系统和浏览器相比,谷歌的用户软件使其追踪器更容易收集数据。
当Web设计者第一次描述浏览器时,他们称其为 “用户代理”:代表用户在互联网上采取行动的软件。但是,当一个浏览器制造商同时也是一家以监视资本主义为收入来源的公司时,公司在用户隐私和控制方面的承诺与公司在追踪方面的利益是完全相悖的。利益通常会占上风。
第三,数据不仅可以用来剖析人,还可以用来剖析竞争对手的公司。最大的数据收集者不仅知道每个人的行为方式,他们还比任何人都更了解市场和他们的竞争对手。
谷歌的跟踪工具监控着全网 80% 以上的流量,这意味着它对竞争对手流量的了解往往和竞争对手一样多(甚至更多)。
Facebook (通过第三方广告、分析、转换像素、社交小工具以及臭名昭著的间谍 VPN应用) 也监控着大大小小的网站、应用和出版商的使用和增长情况。亚马逊已经在其 Amazon Web Services 中托管了大面积的互联网,并开始建立自己强大的第三方广告网络。
这些巨头利用这些信息来识别新生的竞争对手,然后在它们成为重大威胁之前将其收购或克隆其产品。根据内部机密文件,Facebook 利用其 VPN Onavo 的用户行为习惯数据,为其收购 WhatsApp 提供信息。
第四,随着科技巨头将追踪权力集中到自己手中,他们可以将获取数据作为反竞争的砝码。也就是数据权力。
Facebook 很清楚,对其API的访问权 (以及由此带来的详细私人数据) 对其他社交公司来说是无价的。Facebook 最臭名昭著的历史就包括,允许或拒绝访问用户数据,以破坏竞争。
此外,谷歌和 Facebook 都已经开始采取政策,限制竞争对手对其数据的访问,而不限制他们自己收集的数据。
例如,现在大多数大型平台都限制了自己网站上的第三方追踪器。在谷歌自己的实时出价版本中,谷歌最近开始限制对广告识别器和其他信息的访问,这些信息将允许竞争的广告网络建立用户档案。而在 “剑桥分析公司” 事件之后,Facebook 开始锁定对第三方API的访问权限,但是并没有对 Facebook 自身收集的用户数据进行任何有意义的改变。
一方面,限制第三方访问可以带来隐私方面的好处。但另一方面,将第三方开发者和外部行为者踢出 Facebook 和谷歌的平台服务,只会使垄断问题变得更加严重,让现有巨头对其收集的用户数据独揽大权,并巩固其危害隐私的监视资本主义体制。
与其将竞争和隐私视为孤立的问题,不如赋予用户权力,需要解决这两个问题,以减少大公司对用户数据和注意力的控制。
最后,这些寡头公司可以通过并购获得其他公司的大量数据。Google Analytics 以独立公司 Urchin 起家,Google 在2005年收购了这家公司。2007年,谷歌通过收购 Doubleclick 来超额完成其第三方广告网络,从而成为了现在行为定向广告市场的领导者。2019年底,它又收购了健康数据公司 Fitbit,将每个人多年积累的步数和运动记录合并到谷歌自己庞大的用户身体活动数据库中。
在其短暂的存在中,Facebook 已经收购了67家其他公司。亚马逊收购了91家,谷歌收购了214家 —— 平均每年超过10家。
Facebook、亚马逊或谷歌所收购的许多小公司都能获得大量数据和数百万活跃用户。
每一次收购,这些数据源都会被整合到科技巨头控制的已经非常庞大的数据权力孤岛中。而由于网络效应,当这些数据都放在一个屋檐下时,就会变得更加有价值。
📌 单独来看,Doubleclick 可以组装出用户完全浏览历史的假名资料。但作为谷歌的一部分,它就可以将这些数据与真实姓名、位置、跨设备活动、搜索历史、和社交图谱合并起来,形成有关每个人的详细档案。
那些数十亿美元的科技巨头并不是唯一跟踪您的恶魔。但他们规模越大,知道的东西就越多。而一家公司能够获得的数据种类越多,其对用户和竞争对手的控制权就越强大。
在监视资本主义经济体制中,富人只会越来越富。
第3部分:定位,代理和实时出价
数据收集后会去哪里?大多数追踪者并不是自己收集每一条信息的。相反,各公司共同合作,为自己收集数据,并相互分享。
有时,拥有同一个人信息的公司只会将其简单地结合起来,以确定哪个广告商将向该人提供哪种广告。在其他情况下,公司将其整个商业模式建立在收集和销售他们从未与之互动的个人数据上。
在所有情况下,他们收集和分享的数据类型都会影响目标用户的体验,无论是通过影响他们接触到的广告,还是通过决定他们最终被编入哪些政府数据库。
此外,用户的数据被传播得越多,受到有害数据泄露影响的风险就越大。本节将探讨个人信息是如何被共享的,以及它的去向。
1、实时出价
实时出价系统是出版商和广告商用来提供目标广告的系统。互联网广告界的销售单位是 “印象”。每当一个人访问一个有广告的网页时,这个人就浏览了一个广告印象。在幕后,广告客户向广告网络支付向您展示广告的权力,广告网络向您看到广告的网页的出版商支付费用。
但是,在这之前,出版商和广告网络必须决定显示哪些广告。为此,他们要进行一场拍卖,拍卖者提供用户的个人信息,然后几十台公司服务器上的软件对该用户的眼球进行竞价。数据流向一个方向,资金流向另一个方向。
这种 “实时出价” 是相当复杂的,这个主题可以单独编写一份白皮书。幸运的是,关于这个话题已经有了非常多深入的资源。Johnny Ryan 博士和 Brave 写了一系列关于RTB的隐私影响的文章。还有一篇关于协议的隐私影响的博士论文。本节将简要概述这个过程是什么样的,其中大部分是基于 Ryan 的研究工作。
首先,数据从你的浏览器流向广告网络,也就是 “供应方平台”(SSP)。在这种经济中,你的数据和你的眼球(注意力)就是广告网络和SSP出售的 “供应”。
每个SSP都会收到你的身份信息,通常是以 cookie 的形式,并根据它对你过去行为的了解,生成一个 “出价请求”。接下来,SSP将这个出价请求发送给每一个表示有兴趣展示广告的几十家广告商。
📌 出价请求包含有关您的位置,兴趣和设备的所有信息,并包括您的唯一ID。上面的屏幕截图显示了 OpenRTB 出价请求中包含的信息。
最后,轮到竞价者了。利用自动化系统,广告商看了你的信息,决定是否要向你做广告,以及要展示哪一个广告,然后向SSP回复出价。SSP决定谁在竞价中获胜,并将获胜者的广告显示在发布者的网页上。
📌 竞价请求中的所有信息都会在任何资金转手之前共享。而没有赢得竞价的广告商仍然会收到用户的个人信息。这就实现了 “影子竞价”。某些公司可能会假装对购买印象感兴趣,但故意在每次拍卖中竞价输掉,目的就是以尽可能便宜的价格收集到尽可能多的数据。
此外,在SSP和广告主之间有多层公司都参与实时出价,每一层公司也都会对用户信息进行吸纳。
SSP与 “广告交易所” 对接,“广告交易所” 与 “需求方平台”(DSP)共享数据”,需求方平台也从数据经纪人那里共享和购买数据。发布商与SSP合作销售他们的广告空间,广告商与DSP合作购买广告空间,广告交易所则连接买家和卖家 …… 您可以在这里阅读为广告商撰写的SSP和DSP之间的差异分析。
很难理解也没关系,您只需要知道:参与整个过程的每个人都能收集到您的行为数据。
在竞价过程中,广告商和与之合作的DSP可以使用第三方数据经纪人来增强他们掌握的个人用户的资料。这些数据经纪人自称为 “数据管理平台”(DMP),他们根据竞价请求中包含的身份标识和人口统计数据出售个人数据。换句话说,广告商与数据经纪人共享用户ID,并获得该用户的行为档案作为回报。
上图再次展示了单个实时出价拍卖中的信息和资金流向。
从访问页面的用户的角度来看,实时出价造成了两组独立的隐私侵犯。
首先,在人们访问页面之前,一系列公司跟踪你的个人信息,包括在线和离线,并将其合并成一个关于您的复杂的档案。然后,在实时出价过程中,一组不同的公司使用该档案来决定广告印象的出价。
作为用户访问页面的结果,实时出价参与者从访问用户那里收获了额外的信息。这些信息被注入到用户的旧档案中,以便在其下一次访问页面所触发的后续实时出价中使用。
因此,实时出价既是追踪的原因,也是追踪的手段。
网络上的实时出价工具:Cookie同步 ——
Cookie同步是网络追踪者用来将 Cookie 相互链接、并将一家公司拥有的关于用户的数据与其他公司可能拥有的数据相结合的一种方法。
从机制上讲,它非常简单。一个跟踪域触发对另一个跟踪器的请求。在请求中,第一个跟踪器发送一份自己的跟踪 cookie 的副本。第二个跟踪器同时获得自己的 cookie 和第一个跟踪器的 cookie。这样,它就可以与另一个跟踪器进行 “比较说明”,同时建立起它对用户的档案。
Cookie共享通常作为实时出价的一部分被使用。在竞价请求中,SSP与所有潜在投标人共享自己的 Cookie ID。在没有同步的情况下,需求方平台可能会有自己的关于用户的档案与自己的 cookie ID 挂钩。
一个DSP可能不知道 Doubleclick(谷歌的广告网络)的用户 “abc” 和自己的用户 “xyz” 是同一个人。而Cookie 同步就让他们能够确定这点。
作为竞价过程的一部分,SSP通常会同时向许多DSP触发 Cookie 同步请求。这样一来,在SSP下次发出出价请求时,将要出价的DSP可以使用他们自己的关于用户的行为档案来决定如何出价。
移动应用中的实时出价 ——
实时出价是为Web创建的,但它同样适用于移动应用中的广告。追踪者使用广告ID来代替 cookies。
iOS和安卓系统中内置的广告ID让追踪者的工作更加轻松。在网络上,每个广告主都有自己的 cookie ID,需求方平台需要与 DMPs 以及彼此同步数据,以便将他们的数据与特定用户绑定。
但在移动设备上,每个用户都有一个通用的广告ID,每个应用都可以访问。这意味着,上述描述的在web上的同步程序在移动设备上没有必要,广告商可以使用广告ID来确认身份,共享数据,并建立更详细的档案,在此基础上出价。
2、群体定位和相似受众
有时,大型平台并不披露他们的数据,而是临时出租其数据驱动的工具的访问权。Facebook、谷歌和 Twitter 都允许广告商针对各类人群投放广告。例如,Facebook 允许广告商针对具有某些 “兴趣” 或 “亲和力” 的用户。
这些公司不会向广告商展示其活动目标个人的实际身份。如果你在 Facebook 上发起一个活动,目标是 “对圣地亚哥轮滑阻拦赛兴趣的人”,你无法马上看到一个名单。然而,这种定位确实允许广告商直接接触到参加比赛的圣地亚哥人,并将他们引导到外部网站或应用程序。
当目标用户点击广告时,他们会被引导离开 Facebook,进入广告商的域名。此时,广告商知道这些人来自 Facebook,并且他们是目标人群的一部分。一旦用户登陆第三方网站,广告商就可以利用数据交换服务将他们与行为特征甚至现实世界的身份进行匹配。
此外,Facebook 还允许广告商根据其他人群建立 “外观相似的受众”。例如,假设你是一家有网站的发薪日贷款公司。你可以在你的债务人访问的页面上安装一个隐形的 Facebook 追踪像素,列出访问该页面的人的名单,然后要求 Facebook 创建一个 “look-alike” 受众,这些人是 Facebook 认为与您的名单上的人 “相似” 的人。
然后,您就可以在 Facebook 上针对这些人投放广告,引导他们回到你的网站,在那里你可以使用 cookies 和数据交换来识别他们是谁。
这些 “look-alike” 的功能完全是黑盒子。如果不能对它们进行审计或研究,就不可能知道它们使用了什么样的数据,以及它们可能会暴露出什么样的用户信息。
3、数据经纪人
数据经纪人是收集、汇总、处理和销售数据的公司。他们在普通用户看不见的地方经营,但的确处于数据共享经济的中心。
通常情况下,数据经纪人与用户根本没有直接关系,他们出售数据的对象可能完全不知道他们的存在。
数据经纪人从各种小公司购买信息,包括零售商、金融科技公司、医疗研究公司、在线广告商、手机供应商、物联网设备制造商、还包括地方政府。
然后,他们将数据或数据驱动的服务出售给广告商、房地产商、市场研究公司、高校、政府、私家侦探赏金猎人、和其他数据经纪人。
这又是一个太过宽泛的话题,在此不做赘述,其他人已经对数据销售生态系统进行了深入的分析。Cracked Labs 关于企业监控的报告既方便又深入。世界隐私论坛的 Pam Dixon 也对数据经纪人做了很好的研究,包括2014年的报告以及2015年和2019年在参议院的证词。
“数据经纪人” 这个词的含义非常广。它包括组装和销售电话号码或电子邮件列表的营销小公司,也包括像甲骨文这样的庞然大物,它们从成千上万的不同流中摄取数据,并向其他企业提供基于数据的服务。
一些经纪人出售原始信息流。这包括有关零售购买行为的数据、来自物联网设备的数据、以及来自联网汽车的数据。
另一些则充当各种数据的买家和卖家之间的信息交换所。例如,Narrative 承诺帮助卖家 “释放[他们]数据的价值”,并帮助买家 “访问[他们]需要的数据”。Dawex 将自己描述为 “一个全球数据市场,在这里你可以直接面见、出售和购买数据”。
另一类公司充当中间人或 “聚合器”,从多个不同来源获得原始数据的许可,对其进行处理,并将其重新包装为其他企业的特定服务。
例如,主要的手机运营商将位置数据的访问权卖给了名为 Zumigo 和 Microbilt 的聚合商,而后者又将访问权卖给了其他一系列广泛的公司,由此产生的市场最终达到了保释担保人和赏金猎人的手里(以及一名卧底记者)。
许多最大的数据经纪人并不出售他们收集到的原始数据。相反,他们从数以千计的不同来源收集和消费数据,然后利用这些数据组建自己的档案,并对个人进行推断。
全球最大的数据经纪人之一甲骨文公司拥有网络上最大的第三方追踪器之一 Bluekai。包括 Equifax 和 Experian 在内的信用报告机构在这里也特别活跃 —— 就是负责信用评分的机构。
虽然美国《公平信用报告法》规定了信用评分机构如何分享特定类型的数据,但是,并不妨碍这些信用机构出售追踪者收集到的大部分信息,包括交易信息和浏览历史记录。
这些公司中的许多公司都在宣传他们能够推导出心理特征,即 描述用户行为的 “天生” 特征。
剑桥分析公司(Cambridge Analytica)臭名昭著,它利用有关 Facebook 点赞的数据,得出了数百万选民的 “OCEAN评分” —— 开放性、认真性、外向性、合意性、甚至神经质程度的评分,然后用这些数据卖给政治活动以操纵选举。
关于剑桥分析公司《心理操纵的秘密:”行为经济学”+PR=?》
最后,许多经纪人利用他们的内部资料向他人提供 “身份解析” 或 “充实” 服务。如果一个企业拥有一个身份标识,如 cookie 或电子邮件地址,它就可以向数据经纪人支付费用,以 “充实” 该数据并了解该人的其他信息。
它还可以将与一个标识符(如 cookie)绑定的数据与另一个标识符(如移动广告ID)的数据联系起来。
在实时出价领域,这些服务被称为 “数据管理平台”。实时竞价者可以利用这类服务来了解某个用户是谁,他们的兴趣是什么,只需根据竞价请求中包含的ID即可。
数据使用者
到目前为止,本文已经讨论了如何收集,共享和出售数据。但是,最终结果在哪里?谁是个人数据的使用者,他们将如何处理?
1、定向广告
到目前为止,最大、最明显、最无处不在的数据使用者是定向广告商。定向广告允许广告商根据人口统计学、心理学和其他特征来接触用户。行为广告是定向广告的一个子集,利用用户过去的行为数据来进行个性化的广告。
最大的数据收集者也是最大的定向广告商。谷歌和 Facebook 共同控制了美国近60%的数字广告市场,他们利用各自的数据库来实现这一目标。
谷歌、Facebook、亚马逊和 Twitter 提供点到点的定向服务,广告商可以针对高级别的用户进行定向,而广告商本身不需要获取任何数据。
Facebook 让广告商根据位置、年龄、性别、教育和收入等人口统计学数据;以及爱好、音乐类型、名人和政治倾向等兴趣数据来定位用户。
Facebook 使用的 “兴趣” 有些是基于用户 “点赞” 或评论的内容,有些则是基于 Facebook 的第三方追踪而得出的。虽然 Facebook 利用其数据为广告商匹配目标受众,但 Facebook 并不与这些广告商分享其数据。
实时出价(RTB)涉及到更多的数据共享,有大量的小公司参与到这个过程的不同层面。大的科技公司也在这个领域提供服务。谷歌的 Doubleclick Bid Manager 和亚马逊DSP都是RTB需求方平台。
在实时出价中,身份标识是共享的,这样广告主自己(或他们的代理商)就可以决定是否要接触到每个人,以及他们要展示什么广告。
在RTB生态系统中,广告商收集自己的用户行为数据,他们可能会使用内部的机器学习模型来预测哪些用户最有可能参与他们的广告或购买他们的产品。
一些广告商想在 Facebook 或谷歌上接触用户,但又不想使用大公司的专有定向技术。相反,他们可以从数据经纪人那里购买联系人信息列表,然后将这些列表直接上传到 Facebook 或谷歌,后者将在其所有平台上接触这些用户。
这个系统破坏了大公司控制歧视性或其他恶意目标的努力。谷歌和 Facebook 等定向平台不允许广告商针对特定种族的用户发布工作、住房或信贷广告。
但是,广告商可以从数据经纪人那里购买个人的人口统计信息,上传一份恰好来自同一种族群体的名单,让平台直接针对这些人。谷歌和 Facebook 都禁止使用 “敏感信息” 来锁定联系人名单上的人,但目前还不清楚他们如何执行这些政策。
2、政治运动和利益集团
公司并不是唯一试图从数据收集和定向广告中获益的实体。剑桥分析公司就是个最著名的例子,它们使用不正当得来的个人数据以估计数百万潜在选民的 “心理特征”,然后使用这些数据来操纵政治。
剑桥分析公司并非唯一,并且这种操纵已经很有历史,见 《国王们的晚宴 — — 这是一场看不见的政变》
2018年,CatholicVote 组织利用手机位置数据确定谁曾进入过天主教堂,然后针对他们发布竞选广告。反堕胎组织使用类似的地理围栏技术,在妇女去堕胎诊所时向她们定向投放广告。
关于地理围栏监视,见 《警察如何利用抗议者的手机追踪每个人》
而这些事件并非孤立。一些依靠捐款的非营利组织购买数据,帮助缩小潜在捐助者的范围。许多政客都利用公开的选民登记数据来锁定选民。据报道,民主党全国委员会正在2020年大选前大力投资其 “数据仓库”。而共和党的咨询公司 Deep Root Analytics 是美国史上最大的选民数据泄露事件的源头,该公司一直在收集近2亿美国人的姓名、登记细节以及 “模型化” 的种族和宗教数据。
3、讨债者、赏金猎人和欺诈调查员
讨债者、赏金猎人和调查机构都从一些来源购买和使用位置数据。EFF正在起诉 AT&T,因为它将位置数据出售给聚合商,使赏金猎人能够进入二级市场。
然而,手机运营商并不是该数据的唯一来源。保释金公司 Captira 将从手机和车牌阅读器收集的位置数据出售给赏金猎人,价格仅为7.5美元。
而数以千计的应用程序利用GPS权限收集位置数据,然后将这些数据卖给下游的聚合商。这些数据可以用来定位任何人。而且正如调查所显示的那样,它也可以被几乎任何人购买和滥用。
4、城市、警察部门和间谍机构
公共部门也从私营部门购买数据,用于各种用途。例如,美国移民和海关执法局从 Vigilant 公司购买了ALPR数据,以帮助定位该机构驱逐移民。
加利福尼亚城市联盟(League of California Cities)在一封信中称,政府机构与数据经纪人签订合同,以完成无数任务,从确定人类服务的资格到收税,寻求该州消费者数据隐私法对政府机构和数据经纪人之间合同的例外。
长期以来,倡导者一直谴责政府机构和私人数据经纪人之间的这些安排,谴责其是对消费者数据隐私的威胁,也是对政府自身数据库法律限制的终结。
当然,所谓的国家安全监控往往是建立在对私营公司的消费者数据库进行数据挖掘的基础上。例如,作为爱德华·斯诺登披露的 PRISM (棱镜)计划的一部分,NSA 直接从谷歌、YouTube、Facebook 和雅虎收集个人数据。
在这看到斯诺登披露的完整分析《互联网霸主的时间线 — — 他们将互联网视为间谍、破坏和战争的主场》
关于这些数据都被如何使用了,见《他们是如何抓捕说真话的人?灾难和教训》
第4部分:反击
不幸的现实是,跟踪是难以避免的。数千名独立的监视者使用数百种不同的技术,企业监控是广泛的,而且资金充足。虽然没有任何一键式的东西可以阻止每一种追踪方法,但您仍然可以做很多事来夺回您的隐私。
每个人都应该自己决定愿意为保护自己的人权和安全付出多少努力。小的改变就可以明显减少追踪者可以收集和分享的数据量,比如在浏览器中安装 Privacy Badger,以及更改手机上的设置。
更大的改变,比如卸载第三方应用和使用 Tor,可以提供更强的隐私保证。对于那些有严重顾虑的用户来说,更强的措施可能是值得的。
📌 您可以在我们的 列表-1 “技术防身” 栏目中看到具体的防身技巧介绍;如果您是组织者和行动者,可以参考 列表-5 中的 “护盾” 栏目。
请记住,这一切都不是你的错。隐私不应该是个人责任的问题。这不是您的工作,您不应该去读那些25万字的隐私政策中莫名其妙的法律术语才能了解您的手机如何共享数据。隐私应该是一种基本人权,而不是受过良好教育和有闲暇时间的人的特权。每个人都应该生活在一个尊重自己隐私的世界里,无论是在线还是离线。
在手机上
阻止移动设备上的跟踪器是比较复杂的。没有一种解决方案,比如浏览器或扩展,可以覆盖很多基础。而且不幸的是,在某些设备上根本无法控制某些种类的跟踪。
抵御追踪的第一道防线是您的设备设置。
在这里看到详细内容《您真的理解应用权限都授予了什么吗?这里是保护您安全的重要知识 》
iOS 和 Android 都可以让用户查看和控制每个应用所拥有的权限。您应该检查所有应用所拥有的权限,并删除不需要的权限。
您可以简单地删除您不使用的应用程序。除了每个应用程序的设置外,您还可以更改全局设置,这些设置会影响您的设备如何收集和共享特别敏感的信息,如位置。您还可以控制应用程序在不使用时如何允许其访问互联网,这可以防止被动跟踪。
这两种操作系统可以选择以不同的方式重置设备的广告ID。在iOS系统中,可以通过将广告ID设置为一串零来完全删除它。在Android上,您可以手动重置它。这相当于清除 cookie,但不会阻止新的 cookie:它不会完全禁用跟踪,但会使跟踪者更难建立关于您的统一档案。
安卓系统还有一个 “退出基于兴趣的广告” 的设置。这向应用程序发出了一个信号,即 用户不希望自己的数据被用于定向广告,但实际上并没有通过广告ID来阻止应用程序这样做。事实上,最近的研究发现,数以万计的应用根本无视这个信号。
在iOS上,有少数应用可以过滤其他应用的追踪活动,在 Android 上就没那么容易了。谷歌在其应用商店 Play Store 中禁止广告和追踪器拦截器,所以它没有官方审核的这类应用。可以从 Play Store 之外 “侧载” 拦截器,但这可能非常危险。确保你只安装来自你信任的发行商的应用,最好是开源的。
您还应该考虑您的设备正在与之通信的网络。最好避免连接到不熟悉的公共WiFi网络。
无线信标也在试图收集您的设备的信息。只有当您的设备正在广播其硬件MAC地址时,它们才能收集识别信息。现在 iOS 和 Android 都会默认随机化这些MAC地址,但其他种类的设备可能不会。
您的电子阅读器、智能手表或汽车都会广播探针请求,追踪者可以利用这些请求来获取位置数据。为了防止这种情况发生,您通常可以关闭WiFi和蓝牙,或者将设备设置为 “飞机模式”。这也是一个省电的好方法。
最后,如果您的确需要匿名,使用一次性手机可以帮助您控制与固有硬件标识符相关的跟踪。在下面看到具体介绍:
现实中
首先您应该了解,如今在现实中您已经基本无法离线了。没有选择 “退出” 的按钮。
如上所述,有许多方法可以修改您的设备工作方式,以防止它们对您不利。但是,要避免人脸识别摄像头和自动车牌阅读器的追踪几乎是不可能的。
当然,我们介绍过一些混淆人脸识别算法的思考方式,您也可以选择不买车来远离ALPR监视数据库,您可以使用现金或虚拟信用卡来阻止支付处理器对您进行追踪描述。
但期待完全摆脱监视在当前世界是不现实的,所以非常建议您将工作和生活分层处理,每一层根据其不同的敏感等级采取不同的和恰当的保护性措施。
📌 我们在 “难以被追踪” 系列中介绍过很多方法,基本能帮助您做到在大多数情况下保护安全,在下面看到汇总:
对于中国用户来说,除了上述之外,您也许还值得关注我们正在进行的新系列 “如何在敌对环境中保护自己”,尤其是,如果您预期自己有可能遭遇传唤甚至逮捕的话。⚪️