本文轉載自公眾號“讀芯術”(ID：AI_Discovery)。

2020年6月的某一天，筆者花了13.87美元，通過流行的送餐服務Doordash點了杯珍珠奶茶，喜滋滋地等它到家。下單時，筆者期待著和Doordash之間小小的放縱會持續(xù)下去。

筆者并沒有明確地將這種服務與自己其他在線賬戶綁定。也許外賣騎手因此會翻白眼，也許Doordash的推薦系統(tǒng)會各種“利誘”，建議筆者在幾天內(nèi)重復訂單。但筆者認為只是購買不會產(chǎn)生太大的影響。

[[337908]]

但我錯了。Doordash(以及數(shù)百家類似的公司)并不只是記錄你的每一次購買，他們還與其他公司分享購買數(shù)據(jù)，這些公司利用這些數(shù)據(jù)來定向投放廣告，F(xiàn)acebook就是其中一家公司。

當具有里程碑意義的加州消費者隱私法 (CCPA)于1月1日生效時，它為加州居民提供了一個前所未有的法律工具，能以此詢問大公司收集的有關他們的信息。這包括那些特別希望自己的活動不被發(fā)現(xiàn)的公司，比如Clearview AI.。

但是CCPA也創(chuàng)造了一個新而有趣的公司隱私策略——讓消費者沉浸在信息中。根據(jù)這部 從7月1日開始實施的法律，CCPA會是一筆可怕的罰款，很容易就會給大公司帶來數(shù)百萬甚至數(shù)十億美元的損失。面對這種風險，一些公司似乎在想：“如果我們讓消費者接觸到幾乎所有的信息，我們就不可能被指控違反CCPA，對吧?”

結果就是，消費者現(xiàn)在可以訪問包括Facebook在內(nèi)的幾家大公司的海量數(shù)據(jù)轉儲。要獲得你自己的信息只需登錄Facebook.com/your_information，點擊下載信息，然后按照說明操作。通常在幾分鐘內(nèi)，你就會被邀請下載一個巨大的壓縮文件，里面有Facebook知道的關于你的所有信息。

[[337909]]

圖源：unsplash

沒錯，就是全部信息。筆者的數(shù)據(jù)轉儲是461兆字節(jié)，它包含了筆者在Facebook上發(fā)的每一個帖子，上傳到這個平臺上的每一張照片，評論的每一件事，喜歡的每一件事，筆者的所有視頻，和朋友的對話等等。

Facebook收集了所有這些數(shù)據(jù)并不是什么新鮮新聞了，我們都知道Facebook對我們所做的一切都了如指掌。在對美國參議院的訪問中，馬克·扎克伯格甚至明確表示，公司了解你一切的原因是：“我們運營廣告。”

但親眼看到自己的整個線上生活在充滿HTML文檔的小文件夾中排列在面前，仍然是令人震驚的。還有一個有趣的=小文件夾，藏在Facebook的海量數(shù)據(jù)存檔中，標記著your_off-facebook_activity(一個只有程序員才會喜歡的目錄名)。這個文件夾包含了所有在其他地方提供過你活動數(shù)據(jù)給Facebook的公司列表。

用Facebook自己的話說，這些數(shù)據(jù)捕捉了“企業(yè)和組織與我們分享的活動的概要，關于你與他們的互動，比如訪問他們的應用程序或網(wǎng)站。”這包括“打開一個應用程序，通過Facebook登錄一個應用程序，查看內(nèi)容，搜索商品，將商品添加到購物車購買商品和捐款。”

如果你在無數(shù)的電子商務網(wǎng)站上買了一件東西，為政治競選捐款，使用了幾百個參與應用程序中的任意一個，或者，像我這樣，買了非常昂貴的珍珠奶茶，F(xiàn)acebook很有可能知道這些。他們用這些信息做什么?這很清楚，它的存在就是為了“向你展示更多相關的廣告”，“幫助你發(fā)現(xiàn)新的交易和品牌”等等。

對筆者來說，F(xiàn)acebook收集它所能得到的所有數(shù)據(jù)并不奇怪。但令人驚訝的是，有多少筆者認識以及信任的公司愿意把這些數(shù)據(jù)交給他們。

通過閱讀自己的“非Facebook數(shù)據(jù)頁面”，筆者發(fā)現(xiàn)自己的清單中包含了從交手過的大公司(如Sprint和Airbnb)，到新聞網(wǎng)站(如紐約時報和彭博社)，醫(yī)療供應商(LabCorp)，慈善機構(碳基金)。

筆者記得在谷歌上搜索的時候找到了一個管道工，其網(wǎng)站是Mr. Rooter，他也在名單上;還有Fitbit和Welltory等健康應用，以及當?shù)氐纳虡I(yè)網(wǎng)站，比如筆者經(jīng)常光顧的兩個城鎮(zhèn)外的一家披薩店?？偣灿?000多家外部公司向Facebook提供了筆者的活動信息。

[[337910]]

圖源：unsplash

點擊每個公司，筆者都能看到他們提供的數(shù)據(jù)摘要。這些交易的許多細節(jié)都因籠統(tǒng)而模糊不清。Facebook為每個數(shù)據(jù)點列出了一個“事件類型”字段，大多數(shù)都有其通用的名稱自定義“CUSTOM”。

根據(jù)事件類型很容易確定Facebook記錄了什么。例如，在查看Doordash條目時，筆者發(fā)現(xiàn)有幾件事被記錄為購買“PURCHASE”，每一個都有時間標記。筆者把這些和送貨單進行了對比，這就是筆者如何發(fā)現(xiàn)珍珠奶茶訂單從Doordash進入了Facebook上關于筆者生活的巨大數(shù)據(jù)庫。

這些訂單確實是作為一個購買事件記錄在筆者的Facebook數(shù)據(jù)中，由Doordash分享的。它的時間顯示是6月9日下午2:13，這正是筆者下“Doordash”訂單的時間，而且與在Doordash應用程序中訪問到的訂單歷史記錄完全吻合。

Facebook再次展示了它收集的數(shù)據(jù)，但所顯示的問題比它所回答的問題更多。Facebook關閉活動頁面表示，“出于技術和準確性方面的原因，我們不會顯示收到的所有活動信息，也不會顯示您添加到購物車中的商品等細節(jié)。”

[[337911]]

圖源：unsplash

不顯示出來，但是他們會收集嗎?我們不得而知，所以筆者決定找出答案。筆者用Doordash提交了一份CCPA申請，但沒有得到批準。于是筆者啟動Chrome瀏覽器，開始使用瀏覽器開發(fā)工具進行網(wǎng)絡監(jiān)控(它會記錄瀏覽器發(fā)送和接收的所有原始數(shù)據(jù))，為發(fā)送到Facebook的數(shù)據(jù)設置了一個過濾器，進入Doordash的網(wǎng)站，并創(chuàng)建了一個全新的帳戶。

從第一次點擊開始，筆者就被Facebook正在收集的東西震撼了。當從一個頁面瀏覽到另一個頁面，完成創(chuàng)建賬戶的過程時，Doordash會不斷向Facebook發(fā)送活動的詳細更新。其中包括注冊了一個賬戶，第一次登錄的時刻，以及在Doordash網(wǎng)站上瀏覽的每一個頁面。

同樣，這是一個全新的Doordash賬戶。筆者沒有使用Facebook賬戶登錄Doordash，也沒有做過任何將兩項服務鏈接起來的事情。Doordash完全是在筆者不知情的情況下自愿將數(shù)據(jù)分享給Facebook。

為了更深入地了解，筆者決定重現(xiàn)那次珍珠奶茶購買，這一次筆者將監(jiān)視全過程。這是早餐時間，所以筆者決定找一杯奶昔而不是茶。筆者瀏覽網(wǎng)頁找到了當?shù)匾患颐麨閂italityBowls的餐館。在筆者這么做的同時，Doordash殷勤地將筆者每次行動的數(shù)據(jù)發(fā)送到Facebook。

筆者看到了一款喜歡的奶昔(the TropicalParadise™售價7.49美元)，于是點擊來了解更多。Doordash將這個點擊發(fā)送到Facebook。它甚至包括了點擊的商品的名稱，以及它鏈接到的商店(VitalityBowls Dublin)。

這一次筆者能清楚地看到他們發(fā)送了什么。它包括商店的標識符、奶昔本身的ID、購買價格、Doordash購物車和訂單的ID、購買數(shù)量、使用的貨幣，以及筆者是新顧客這一事實。發(fā)送到Facebook的大量數(shù)據(jù)令人震驚—筆者購物經(jīng)歷的每一步，包括個人點擊和確切花費，這些數(shù)據(jù)都被記錄下來并實時分享。

Doordash將筆者購買奶昔的數(shù)據(jù)片段發(fā)送到Facebook。用紅色標注的潛在識別信息是筆者的隱私 | 圖源:Thomas S

再次強調(diào)，Doordash并不是唯一一家將數(shù)據(jù)發(fā)送到Facebook的公司。許多其他公司也分享了購買數(shù)據(jù)。例如，Sprint公司在筆者購買新手機前后就在Facebook上記錄了購買記錄。

其他公司也以某種可以理解的形式提供了購買之外的數(shù)據(jù)。例如，當在Facebook網(wǎng)站上瀏覽內(nèi)容(VIEWED CONTENT)時，有幾個消息來源告訴Facebook。Welltory，一款健康應用，在我升級(LEVELED UP)的時候被分享。

然后是所有這些用戶(CUSTOM)記錄。使用相同的瀏覽器數(shù)據(jù)監(jiān)控技術，筆者也許可以確定其中許多數(shù)據(jù)意味著什么。然而，CCPA可能有一個更簡單的方法。筆者可以簡單地向筆者感興趣的每家公司提交請求，并可能準確確定他們向Facebook發(fā)送了哪些“客戶”數(shù)據(jù)。

值得稱贊的是，F(xiàn)acebook非常清楚他們?yōu)槭裁匆占愕乃袛?shù)據(jù)。而且它們讓訪問所有與Facebook相關的活動的大量存檔變得相對便易，這至少可以讓你知道哪些公司正在發(fā)送哪些類別的數(shù)據(jù)，即使具體細節(jié)是模糊的。

它們應該包括更多(比如被記錄的確切數(shù)據(jù))，但它確實提供了一個開端，而且它們的許多數(shù)據(jù)收集工作都是公開的。

其他與公司分享信息的組織可能會對信息泄露感到不滿，有些人甚至沒有意識到他們在Facebook上發(fā)送了什么。今年早些時候，當因違反其隱私政策被指控共享數(shù)據(jù)時，Zoom做出了這一聲明(Doordash的隱私政策承認它與第三方共享數(shù)據(jù)，但沒有特別提到Facebook)。

一些公司可能正在發(fā)送他們不應該發(fā)送的數(shù)據(jù)。Facebook有禁止發(fā)送敏感數(shù)據(jù)的政策，比如醫(yī)療或財務記錄。但當一切都被貼上“CUSTOM”標簽時，就不可能知道其是否遵守了這些政策。

這就是CCPA該發(fā)揮作用的地方。如果你想知道是誰向Facebook發(fā)送了你的數(shù)據(jù)，確切地說，他們給你發(fā)送了什么，現(xiàn)在你可以找到答案了。首先，使用我上面描述的過程，從Facebook獲取你自己的海量數(shù)據(jù)。然后，梳理一下Facebook以外的活動區(qū)域，看看是誰向他們發(fā)送了你的信息。

最后，向每個公司提交一個CCPA申請，要求詳細說明他們是如何共享你的數(shù)據(jù)的，以及共享的目的是什么。如果你住在加州，你的要求將得到法律的支持。但許多大公司也在將CCPA擴展到該州以外的客戶，所以即使你不是加州人也有可能得到回復。

如果你對公司的反饋不滿意，或者覺得他們在隱瞞數(shù)據(jù)，那就去找律師。自從該法律于7月1日生效以來，一些公司正在受理CCPA的案件。根據(jù)消費者保護律師Mike Cardoza的說法，他的公司已經(jīng)開始受理CCPA的案件，律師們“經(jīng)常以集體訴訟的形式起訴這些案件，這是阻止公司不當行為的一個好方法。”

作為消費者，CCPA和其他隱私法給了我們一個前所未有的權限來訪問我們自己的數(shù)據(jù)。但只有當我們積極保護自己的隱私，了解誰在收集關于我們的數(shù)據(jù)，以及為什么收集數(shù)據(jù)時，這些法律才會起作用。

[[337912]]

圖源：unsplash

這需要大量的工作，誰會愿意花幾個小時在一個巨大的壓縮文件模糊角落里梳理，或者在原始的HTTP請求中搜索，以找到寥寥無幾的個人信息呢?但如果我們想確保我們的網(wǎng)絡生活受到保護，我們就需要投入工作。

所以，卷起你的袖子，抓起你自己的Facebook數(shù)據(jù)檔案，開始挖掘吧。如果發(fā)現(xiàn)了一些令人驚訝或擔憂的事情，請使用CCPA或你權力范圍內(nèi)的其他法律來跟進。只有通過采取這些步驟來提高透明度并獲取信息，我們才能讓自己知道大公司對我們了解多少，以及他們在告訴誰。