大规模伺服器与伺服器之间的数据转移如何成为隐藏的隐私威胁

发布于2024年1月31日，由Glyn Moody撰写

我们在使用互联网时，随时都会被跟踪，这已经是人尽皆知的事实。大多数人也理解，线上的主要商业模式是监控广告，这种模式通过收集和聚合大量个人数据来为高度针对性的数字广告提供信息。尽管这些事实已经为人熟知，但我们仍缺乏对于在观看网页和在线购物时具体发生了什么的详细分析。因此，来自受人尊敬的非营利组织《消费者报告》Consumer Reports的一项新研究，探讨了美国监控广告的性质和规模，特别受人关注，尽管其结果相当令人不安。

报告指出，最近在隐私法和技术方面取得了一些重要的进展，这些进展对监控经济施加了“适度的限制”。像加州消费者隐私法California Consumer Privacy Act这样的新隐私法被引入，这些法律赋予消费者选择退出追踪的权利，通过要求公司回应消费者指定的“授权代理”来行使其隐私权。此外，像苹果和Firefox这样的数字平台推出了技术，限制网站和应用在不同环境中追踪用户的能力。

具有讽刺意味的是，这些成就导致了一个新的、鲜为人知的问题：伺服器与伺服器之间的数据流。从公司直接将数据传输到数字平台如Meta的过程，以便促进针对性广告的投放例如在Facebook页面上，是发生在浏览器或应用之外的。因此，这对用户来说是不可见的，也超出了他们的直接控制范围。

不过，Meta的下载您的信息工具提供了一些关于这些伺服器对伺服器转移的见解。根据其超过六百万的成员，《消费者报告》邀请人们参加Facebook监控研究，以便整合这些数据，并用来揭示公司为针对性广告转移个人数据的规模。最终收集并分析了709组数据。尽管这是一个相对较小的样本，但它提供了对美国目前状况的第一手见解。

《消费者报告》的研究揭示了以下发现：

除了数据经纪公司，出现在志愿者数据中的最常见商业类型是个别品牌和直销品牌。还包括知名美国零售商，如亚马逊和沃尔玛，这些公司也经常出现。或许更令人惊讶的是：

许多针对最大百分比参与者的广告商并未在全国范围内运营。例如，伊利诺伊州彩票对近70的志愿者分享了数据。当地的汽车经销商在样本数据中也意外地占了相当大的比例，这表明他们经常可以获得来自全国来源的大型市场名单。例如，德克萨斯州圣便迪托San Benito，人口24665的某汽车经销商负责分享了约10的研究志愿者信息，尽管整个德克萨斯州仅有66的研究志愿者在此居住。几家其他当地汽车经销商，包括一家小镇的保时捷经销商，也利用大约10志愿者的联系信息。

这表明，即使是相对较小的企业，也可以收集或购买大量个人数据以进行针对性广告这不仅仅是与亚马逊等数字巨头有关。此外，《消费者报告》解释说，高度特定的微针对化似乎也很容易且普遍：

此外，96000家公司占52只针对我们709名志愿者中的一名进行了投放。这可能反映了即使是资源有限的小型公司，也能轻松使用Meta广告管理工具进行实验。Meta为小企业提供了简便的高级监控广告技术实施方案。小企业主只需设定预算，提供客户的个人信息，并向Meta报告客户的购买行为Meta的软件会完成其余工作。

除了首次提供有关伺服器对伺服器数据转移的有价值信息外，《消费者报告》的数据还揭示了一个主要问题：许多数据中所显示的公司名称无法与真实的企业实体相连。例如，有些名称由难以识别的字母和数字组成，如“Bm 5 100tkqc nlm”。这意味著Facebook的下载您的信息工具在实际上提供的透明度有限，因为无法解读大部分数据。其他因素，如中介公司广泛参与在线广告购买，进一步降低了这一工具的实用性，使消费者几乎无法理解谁在用他们的数据做什么。

除了呼吁像Meta这样的公司提供真正的透明度外，这项研究还提出了其他几项政策建议，包括在隐私法中实行数据最小化条款，授予授权代理进行权利请求的能力，以及建立可搜索的公共广告档案，便于用户查阅。这一点与欧盟新推出的数字服务法类似。正如这份有用的报告所总结的那样，“美国消费者应该享有与我们的欧洲同伴相同水平的广告市场洞察，而不是今天这种神秘的黑匣子。”

图片来源：Rawpixel