2020年6月的一天,作者花费13.87美元通过流行的送餐服务Doordash订购了一杯珍珠奶茶,并愉快地等待它送达到家。当我下订单时,我预计我对Doordash的小小放纵会继续下去。我没有明确将此服务与我的其他在线帐户相关联。说不定外卖骑手会因此翻白眼,说不定Doordash的推荐系统会有各种“激励”,建议作者在几天内重复下单。但我认为仅仅购买不会产生太大影响。但是我错了。Doordash(以及数百家类似的公司)不仅会记录您的每一次购买,还会与其他使用它来定位广告的公司共享购买数据,Facebook就是其中之一。当具有里程碑意义的加州消费者隐私法案(CCPA)于1月1日生效时,它为加州居民提供了前所未有的法律工具,可以向大公司询问他们收集的关于他们的信息。这包括特别希望其活动不被发现的公司,例如ClearviewAI。但CCPA还创建了一个新的有趣的企业隐私策略——让消费者沉浸在信息中。根据7月1日生效的法律,CCPA是一项可怕的罚款,很容易让大公司损失数百万甚至数十亿美元。面对这种风险,一些公司似乎在想:“如果我们让消费者接触到几乎所有的信息,我们就不可能被指控违反了CCPA,对吧?”几家大公司的海量数据转储。要获取您自己的信息,只需转到Facebook.com/your_information,单击“下载信息”,然后按照说明进行操作。通常在几分钟内,您会被邀请下载一个巨大的zip文件,其中包含Facebook所知道的关于您的所有信息。来源:unsplash没错,就是这些资料。我的数据转储是461兆字节,它包含我在Facebook上发布的每条帖子、我上传到该平台的每张照片、我评论的每件事、我喜欢的每件事、我的所有视频、与朋友的对话等。Facebook收集所有这些数据并不是什么新鲜事,我们都知道Facebook知道我们所做的一切。在访问美国参议院时,马克·扎克伯格甚至明确表示,公司之所以对你了如指掌,是因为:“我们做广告。”但看到他整个在线生活都在一个个装满HTML文档的小文件夹里排在前面,还是让人震撼。在Facebook的海量数据存档中还有一个有趣的小文件夹,标记为your_off-facebook_activity(只有程序员会喜欢的目录名称)。此文件夹包含已向其他地方的Facebook提供有关您的活动数据的所有公司的列表。用Facebook自己的话说,这些数据捕获了“企业和组织与我们分享的有关您与他们互动的活动的摘要,例如访问他们的应用程序或网站。”这包括“打开应用程序、通过FacebookOne应用程序登录、查看内容、搜索商品、将商品添加到购物车、购买商品和捐赠。”如果你在无数的电子商务网站上购买了一件商品,捐赠给了一场政治运动,使用了数百个引人入胜的应用程序中的任何一个,或者像我一样,买了一种非常昂贵的珍珠奶茶,Facebook很可能知道这件事。它们是什么用这些信息做什么?很明显,它的存在是为了“向您展示更相关的广告”,“帮助您发现新的交易和品牌”等等。Facebook收集它可以得到的所有数据,这对我来说并不奇怪.但令人惊讶的是,有多少我认识和信任的公司愿意将这些数据交给他们。通过阅读我的“非Facebook数据页面”,我发现我的列表包括我曾与之抗衡的大公司的所有内容(例如Sprint和Airbnb)、新闻网站(如纽约时报和彭博社)、医疗服务提供商(LabCorp)、慈善机构(碳基金)。我记得我用谷歌搜索找到了一个水管工,他的网站是Rooter先生,他也在名单上;以及Fitbit和Welltory等健康应用程序,以及本地商业网站,例如我常去的两个城镇外面有一家比萨店。总共有1000多家外部公司向Facebook提供了我的活动信息。来源:unsplash点击每个公司,我可以看到他们提供的数据摘要。这些交易的许多细节都被泛泛而谈所掩盖。Facebook为每个数据点列出了一个“事件类型”字段,其中大部分都有通用名称自定义“CUSTOM”。根据事件类型很容易确定Facebook记录了什么。例如,在查看Doordash条目时,我发现有几个事件记录为购买“PURCHASE”,每个事件都带有时间戳。我将这些与送货单进行了比较,这就是我如何发现珍珠奶茶订单从Doordash到Facebook我生活中的庞大数据库的方式。这些订单确实在我的Facebook数据中记录为购买事件,由Doordash共享。它的时间显示为6月9日下午2:13,正好是我下“Doordash”订单的时间,它与在Doordash应用程序中访问的订单历史记录完全匹配。Facebook再次展示了它收集的数据,但显示的问题多于回答的问题。Facebook的关闭事件页面指出,“出于技术和准确性的原因,我们不会显示我们收到的所有事件信息,也不会显示您添加到购物车的商品等详细信息。”来源:unsplash没有显示出来,但他们会收集吗?我们不知道,所以我决定找出答案。我向Doordash提交了CCPA申请,但未获批准。所以我启动了Chrome,开始使用浏览器开发工具(它记录浏览器发送和接收的所有原始数据)进行网络监控,为发送到Facebook的数据设置过滤器,访问Doordash的网站,并创建了一个全新的帐户。从第一次点击开始,我就被Facebook收集的内容震惊了。当您从一个页面浏览到另一个页面并完成创建帐户的过程时,Doordash会不断向Facebook发送活动的详细更新。这包括注册一个帐户、您第一次登录的那一刻以及您在Doordash网站上浏览的每个页面。同样,这是一个全新的Doordash帐户。我没有使用我的Facebook帐户登录Doordash,也没有做任何事情来链接这两个服务。Doordash在我不知情的情况下自愿与Facebook共享数据。为了更深入地了解,我决定重现那次珍珠奶茶的购买过程,这次我将全程监控。现在是早餐时间,所以我决定找一杯冰沙而不是茶。我浏览了网页,找到了一家名为VitalityBowls的当地餐馆。当我这样做时,Doordash慷慨地将我的每一个动作的数据发送到Facebook。我看到我喜欢的奶昔(在TropicalParadise?售价7.49美元),所以我点击了解更多。Doordash将此点击发送到Facebook。它甚至包括所点击项目的名称,以及它链接到的商店(VitalityBowlsDublin)。这次我可以清楚地看到他们发送的内容。它包括商店的标识符、奶昔本身的ID、购买价格、Doordash购物车和订单的ID、购买的数量、使用的货币以及我是新客户的事实。发送到Facebook的数据量惊人——我购物过程中的每一步,包括个人点击和确切消费,都被实时记录和共享。Doordash向Facebook发送了有关我购买奶昔的数据片段。红色标记的潜在识别信息为作者隐私|资料来源:ThomasS同样,Doordash并不是唯一一家向Facebook发送数据的公司。许多其他公司也分享了采购数据。例如,Sprint记录了我购买新手机前后在Facebook上的购买情况。其他公司还以某种可以理解的形式提供购买以外的数据。例如,当查看Facebook网站上的内容(VIEWEDCONTENT)时,多个消息来源会告诉Facebook。Welltory是一款健康APP,是在我升级(LEVELEDUP)时分享的。然后所有这些用户(自定义)记录。使用相同的浏览器数据监控技术,我也许能够确定大量这些数据的含义。但是,CCPA可能有更简单的方法。我可以简单地向我感兴趣的每家公司提交一个请求,并可能确定他们向Facebook发送了哪些“客户”数据。值得赞扬的是,Facebook非常清楚他们收集你所有数据的原因。它们让访问所有与Facebook相关活动的大量档案变得相对容易,这至少让你知道哪些公司正在发送哪些类型的数据,即使具体细节是模糊的。他们应该包括更多(例如记录的确切数据),但这确实提供了一个开始,而且他们收集的大部分数据都是公开的。与公司共享信息的其他组织可能对信息泄露感到不满,有些甚至没有意识到他们在Facebook上发送了什么。Zoom在今年早些时候被指控违反其隐私政策共享数据时发表了声明(Doordash的隐私政策承认它与第三方共享数据,但没有具体提及Facebook)。一些公司可能正在发送他们不应该发送的数据。Facebook有一项政策,禁止发送敏感数据,例如医疗或财务记录。但是当一切都被标记为“自定义”时,就不可能知道它是否遵守这些政策。这就是CCPA发挥作用的地方。如果您曾经想知道是谁向Facebook发送了您的数据,以及他们究竟向您发送了什么,现在您可以找到答案。首先,使用我上面描述的过程从Facebook获取你自己的海量数据集。然后,梳理Facebook以外的活动区域,看看是谁向他们发送了您的消息。最后,向每家公司提交一份CCPA申请,询问他们如何共享您的数据以及出于什么目的的详细信息。如果您住在加利福尼亚州,您的索赔将得到法律支持。但是许多大公司也在将CCPA扩展到州外的客户,因此即使您不是加利福尼亚人也有可能得到回应。如果您对公司的反馈不满意,或者觉得他们隐瞒数据,请咨询律师。自该法律于7月1日生效以来,一些公司正在受理CCPA案件。根据消费者保护律师MikeCardoza的说法,他的公司已经开始受理CCPA案件,律师“经常将这些案件作为集体诉讼起诉,这是阻止公司行为不端的好方法。”作为消费者,CCPA和其他隐私法使我们能够前所未有地访问自己的数据。但是,只有当我们积极保护我们的隐私并了解谁在收集我们的数据以及原因时,这些法律才会起作用。来源:unsplash工作量很大,谁愿意花几个小时梳理一个巨大的压缩文件的模糊角落,或者搜索原始HTTP请求以找到微不足道的个人信息?但是,如果我们想要确保我们的在线生活受到保护,就需要我们付出努力。所以卷起袖子,抓住你自己的Facebook数据档案,然后开始挖掘。如果您发现某些令人惊讶或担忧的事情,请遵循CCPA或您力所能及的其他法律。只有采取这些步骤来提高透明度并获得信息,我们才能让自己知道大公司对我们了解什么,以及他们告诉了谁。
